Personvernnemndas vedtak 18. februar 2019 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Gisle Hannemyr, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem)
Saken gjelder klage fra A på Datatilsynets vedtak 16. april 2018 om å avslutte saken fordi Datatilsynet ikke fant at det forelå brudd på personopplysningsloven 2000, samt at de opplysningene som forelå ikke foranlediget nærmere undersøkelser fra tilsynet.
Sakens bakgrunn
A står registrert i folkeregisteret med «Sperret adresse -FORTROLIG», hvilket innebærer at hennes adresse og telefonnummer ikke skal legges ut offentlig, herunder ikke utleveres til nummeropplysningstjenester. Mens A var kunde hos NextGenTel ble hennes telefonnummer og adresse likevel utlevert fra NextGenTel til tilbydere av nummeropplysningstjenester. I september 2013 aksepterte A NextGenTels tilbud om 175 000 kroner i erstatning og oppreisning for at NextGenTel hadde utlevert kontaktinformasjon om henne til tross for at hun var registret med hemmelig adresse. I juni 2016 inngikk A og NextGenTel videre et utenrettslig forlik etter rettsmekling. A stevnet deretter NextGenTel. Det er opplyst i saksfremstillingen i Bergen tingretts dom 23. mai 2017 (TBERG-2016-206673) at forliket i 2016 innebar en erstatningsutbetaling fra NextGenTel til A på 250 000 kroner.
A brakte også forholdet inn for Datatilsynet som 4. mai 2016 ila NextGenTel overtredelsesgebyr på 500 000 kroner for uautorisert utlevering av personopplysninger til tilbydere av nummeropplysningstjenester, herunder Bisnode AS, Eniro Norge (1880), EasyConnect AS (1890) og Digitale Medier 1881. Vedtaket ble ikke påklaget til Personvernnemnda.
A kontaktet også Datatilsynet 29. november 2016. Hun mente at NextGenTel urettmessig hadde utlevert hennes personopplysninger til telemarketingselskaper, herunder Loyalty (2013), Bright (2015) og Voice2Voice (2015).
Datatilsynet anmodet NextGenTel om en redegjørelse 11. januar og 1. februar 2017. NextGenTel svarte Datatilsynet 25. januar og 3. februar 2017. NextGenTel bekreftet at selskapet har brukt tjenestene til Direct Respons Service AS (DRS), Voice2Voice AS (tidligere Unicall AS) og Bright AS i forbindelse med kundepleie, og at disse selskapene har hatt tilgang til kundenes kontaktopplysninger for å gjennomføre kundepleietjenester på vegne av NextGenTel som databehandler (jf. personopplysningsloven 2000 § 2 nr. 5).
NextGenTel oppsummerte sitt svar til Datatilsynet 25. januar 2017 slik:
«Selskapet har ikke levert ut Klagers personopplysninger, jf. ekomforskriften § 6-6 og Selskapets e-post til Klager av 25. april 2013.
Selskapet har benyttet Klagers personopplysninger i forbindelse med direkte markedsføring og annen kundepleie, i tråd med det samtykket som ble avgitt i forbindelse med avtaleinngåelsen. Behandlingen er derved tillatt i medhold av personopplysningsloven [2000] § 8 første alternativ.
Klager hadde ikke adgang til å reservere seg mot at Selskapet engasjerte databehandlere for å gjennomføre ellers lovlige behandlinger av hennes personopplysninger.»
På dette tidspunktet hadde A reist søksmål mot NextGenTel ved stevning til Bergen tingrett 21. desember 2016. A mente at NextGenTel hadde foretatt ulovlig utlevering av hennes personopplysninger til selskapene Direct Response Service AS, Bright AS, Voice2Voice AS, Loyalty AS, TeliaSoneraAS, Bring Dialog AS og EasyConnect AS. Hun krevde erstatning og oppreisning i medhold av personopplysningsloven 2000 § 49 NextGenTel hadde også sagt opp abonnementsavtalen med A med virkning fra 31. desember 2016, og A krevde at oppsigelsen av hennes kundeforhold skulle kjennes ugyldig.
I dom fra Bergen tingrett 23. mai 2017 ble NextGenTel (NGT) frifunnet og oppsigelsen av kundeforholdet ansett gyldig. Av dommen fremkommer det:
«Retten legger til grunn at NGT ikke har levert ut saksøkerens personopplysninger til nummeropplysningstjenestene etter Datatilsynets vedtak av 4. mai 2016 om overtredelsesgebyr på kr 500.000 for uautorisert utlevering av hemmelige/reserverte nummeropplysninger og adresser til tilbydere av nummeropplysningstjenester i strid med personopplysningsloven [2000] § 11 a, jf. § 8. Tilbyderne av nummeropplysningstjenester som er nevnt i Datatilsynets vedtak var Bisnode, Eniro Norge (1880), EasyConnect (1890) og Digitale Medier 1881. Under et rettsmeklingsmøte 14. juni 2016 kom partene frem til en minnelig ordning i den saken som saksøkeren hadde anlagt – og som retten legger til grunn gjaldt uautorisert utlevering av hemmelige nummer og adresse til de nummeropplysningstjenestene som er opplistet i Datatilsynets vedtak.
Saksøkeren gjør gjeldende at forliket av 14. juni 2016 ikke omfattet det forhold at NGT har solgt personopplysninger til EasyConnect. Til dette bemerker retten at direktør Jan Petter Tvedt under hovedforhandlingen har opplyst at NGT ikke selger kundeinformasjon. Retten har ikke grunn til å trekke denne informasjonen i tvil, og legger til grunn at NGT ikke selger kundeinformasjon.
Saksøkeren gjør gjeldende at forliket i september 2013 ikke omfattet utlevering av nummeropplysninger til Loyalty, ettersom Datatilsynet den gang meddelte at det ikke forelå noen utlevering til Loyalty. Til dette bemerker retten at NGT i brev av 28. juni 2013 til Datatilsynet har gjort rede for at de har gitt ut saksøkerens kontaktinformasjon til nummeropplysningstjenestene, noe som de anser som et svært beklagelig avvik. Ingen nummeropplysningsselskaper er nevnt uttrykkelig. I brev av 28. august 2013 har Datatilsynet bekreftet å ha mottatt avviksmeldingen. Her er det redegjort for hvilke tiltak NGT har gjennomført for å lukke avviket. Datatilsynet vurderte tiltakene som tilstrekkelige, og avsluttet avvikssaken. Heller ikke her er nummeropplysningsselskaper navngitt. I brev av 16. september 2013 har advokat Marit H. Håkonsen akseptert et forlikstilbud på vegne av saksøkeren. Heller [ikke] advokat Håkonsen har navngitt noe nummeropplysningsselskap. Retten konkluderer etter dette med at den ikke har holdepunkter for å legge til grunn at en eventuell utlevering av nummeropplysninger til Loyalty i eller forut for 2013, ikke er omfattet av forliket i september 2013.
Etter dette konkluderer retten med at den ikke finner det sannsynliggjort at NGT har påført saksøkeren en skade som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av personopplysningsloven [2000], jf. personopplysningsloven [2000] § 49 første ledd.
For øvrig har retten merket seg at saksøkeren i e-post av 15. oktober 2015 [til] Jan Petter Tvedt hos NGT har fremholdt blant annet følgende:
"Jeg kan opplyse at saken ennå ikke har blitt innmeldt til datatilsynet eller noen andre. Jeg vet at det ikke er brudd på personopplysningsloven denne gang men jeg tror nok datatilsynet vil lure på om NGT er skikket til å håndtere personopplysninger med så mange utleveringer i alle retninger og former, igjen og igjen og igjen ..."
Etter dette skal NGT frifinnes for kravet på erstatning.»
Dommen er rettskraftig.
Datatilsynet synes å ha ment å avslutte saken ved brev 23. oktober 2017 om «utlevering av kontaktopplysninger til telemarketingfirmaer - NextGenTel AS» som ble sendt til NextGenTel, med kopi til klager. Det ble ikke opplyst om klageadgang eller klagefrist. I uttalelsen skriver Datatilsynet:
«[…] Datatilsynet er kjent med at Bergen tingrett avsa dom i en sak mellom de samme partene rett før sommeren. Saken gjaldt spørsmål om erstatning og oppreisning etter personopplysningsloven [2000] § 49, som følge av mulige brudd på personopplysningslovens regler om utlevering av kontaktopplysninger.
Vi anser at saken dermed har funnet sin løsning, idet vi legger til grunn at tingrettens avgjørelse er rettskraftig […]»
Datatilsynet uttalte likevel at det sentrale spørsmålet gjaldt utlevering av personopplysninger om A, og at tingretten ikke hadde kommentert utleveringsbegrepet. Tilsynet kom derfor med noen merknader knyttet til fortolkningen av utleveringsbegrepet i personopplysningsloven 2000. Datatilsynet mente at det i denne saken ikke hadde skjedd en «utlevering» i personopplysningslovens forstand, ettersom de omtalte virksomhetene var å regne som databehandlere, som utelukkende behandlet personopplysninger på vegne av NextGenTel. Datatilsynet konkluderte slik:
«Etter vårt syn er det altså ikke skjedd noe i denne saken som bryter med personopplysningslovens bestemmelser, verken når det gjelder manglende behandlingsgrunnlag eller brudd på informasjonsplikten, ettersom det ikke kan sies å ha skjedd en «utlevering».
Likevel ser vi at situasjonen som foranlediget denne saken er uheldig for klager. Opplysninger som i denne konkrete konteksten kan sies å ha et konfidensialitetsvern, ser ut til å ha blitt tilgjengeliggjort for flere personer enn klager har ønsket.
I lys av den kommende lovrevisjonen, i kjølvannet av forordning (EU) 2016/679, og det faktum at informasjonsplikten ikke lenger vil være knyttet til et utleveringsbegrep, samt bestemmelsen i direktiv 95/46/EF artikkel 10, vil vi henstille om at Nextgentel ser på og, om nødvendig, oppdaterer sine rutiner for behandling av kontaktopplysninger som kan sies å ha et konfidensialitetsvern.»
A klaget på Datatilsynets uttalelse 13. februar, 4. og 7. mars 2018. Hun mener at NextGenTel har solgt hennes personopplysninger ulovlig (til nummeropplysningsselskapene Bisnode AS og EasyConnect AS), og at Datatilsynet ikke hadde tatt stilling til dette spørsmålet. A hadde på dette tidspunktet også henvendt seg til Sivilombudsmannen.
I Datatilsynets svar til A 8. mars 2018 la tilsynet til grunn at saken gjelder spørsmål om hvorvidt det var blitt utlevert personopplysninger om A, og hvorvidt en slik utlevering i så fall var i strid med personopplysningsloven 2000, jf. uttalelsen 23. oktober 2017. Datatilsynet bemerket at hun ikke hadde påklaget uttalelsen innen treukersfristen. Tilsynet presiserte videre at NextGenTel etter deres syn ikke har handlet i strid med personopplysningsloven 2000, verken hva gjelder manglende behandlingsgrunnlag eller brudd på informasjonsplikten.
Datatilsynet ba 13. mars 2018 NextGenTel om en redegjørelse om deres relasjon til Bisnode AS og EasyConnect AS. I brev til tilsynet 27. mars 2018 redegjorde NextGenTel for denne relasjonen. NextGenTel opplyser at virksomheten ikke leverer ut personopplysninger for nummeropplysningsformål til Bisnode Norway AS eller EasyConnect AS (tidligere 1891), når det gjelder personer som har hemmelig adresse eller som har reservert seg direkte mot slik utlevering, og at NextGenTel for øvrig forholder seg til Nasjonal kommunikasjonsmyndighet (Nkom) standardavtale for slik utlevering.
I brev 16. april 2018 ble sakens parter informert om at Datatilsynet hadde avsluttet saken. Datatilsynet la til grunn at NextGenTels redegjørelse ikke brakte noe nytt, og at NextGenTel ikke hadde handlet i strid med personopplysningsloven 2000.
A framsatte rettidig klage på Datatilsynets vedtak 17. april 2018. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt til Personvernnemnda 9. mai 2018. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. A har i e-poster til nemnda 15. mai og 6. juni 2018 med vedlegg gitt sine kommentarer. NextGenTel har ikke inngitt noen uttalelse.
Partene og Datatilsynet ble i brev fra nemnda 14. november 2018 varslet om forlenget saksbehandlingstid og orientert om ny personvernlovgivning. Partene har ikke kommet med ytterligere merknader etter dette, heller ikke Datatilsynet.
Saken ble behandlet i nemndas møte 18. februar 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Gisle Hannemyr, Hans Marius Graasvold, Ellen Økland Blinkenberg og Hans Marius Tessem. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A har i hovedsak anført
NextGenTel selger kundeopplysninger ulovlig. Dokumentasjonen viser dette med nærmest 100% sannsynlighet.
Hun har ikke har fått sin rett til innsyn etter personopplysningsloven 2000 oppfylt av NextGenTel. NextGenTel nekter, til tross gjentatte anmodninger, å fremvise dokumentasjon som hadde renvasket virksomheten dersom NextGenTel var uskyldig i anklagen.
Datatilsynet skriver mye om spørsmålet om utlevering av personopplysninger til databehandler, tross reservasjon mot det. Hun har akseptert Datatilsynets avgjørelse av den saken og har ikke klaget på den i det hele tatt. Dette har hun gjort klart overfor Datatilsynet gjentatte ganger.
Saken som hun innklaget til Personvernnemnda er ene og alene om NextGenTels ulovlige salg av personopplysninger. NextGenTel har i alle år ulovlig solgt kunders personopplysninger uten kundenes samtykke. Dette er det eneste som skal omtales, behandles eller skrives om. Hun ber derfor om korreksjon av den overførte sakens tittel og hovedvekt.
Datatilsynet har vært partisk og har brutt EU-direktivet som viser at sannsynlighetsprinsippet som skal gjelde for Datatilsynet er 51%. Datatilsynets undersøkelser i saken er ikke tilstrekkelige, og de har ikke krevd dokumentasjon av NextGenTel, noe de burde har gjort.
Datatilsynets vurdering
A henvendte seg til Datatilsynet med anførsel om at Datatilsynet ikke hadde tatt stilling til alle problemstillingene i hennes klage på NextGenTel. A mener Datatilsynet kun omtaler NextGenTel sin adgang til å gi databehandlere tilgang til personopplysninger, mens deler av klagen angikk NextGenTel sin adgang til å selge personopplysninger.
I utgangspunktet er det etter personopplysningslovens system irrelevant om personopplysninger selges eller ikke. Spørsmålet er om personopplysninger er utlevert fra en behandlingsansvarlig (NextGenTel) til en annen. I brev 8. mars 2018 ga Datatilsynet A rett i at dette var et scenario som ikke ble dekket av den drøftelsen som ble gjort i brev 23. oktober 2017. Datatilsynets saksbehandling var konsentrert rundt spørsmålene som var utgangspunktet for klagesaken, nemlig spørsmålet om behandlingsgrunnlag og informasjonsplikt for databehandleres behandling av personopplysninger. Utfra sakens dokumenter så tilsynet at anførselen om at NextGenTel videreselger personopplysninger kom et stykke ut i saksgangen. På denne bakgrunn ble det besluttet å undersøke om personopplysninger var utlevert fra NextGenTel til andre behandlingsansvarlige.
Datatilsynet har bedt NextGenTel om å redegjøre for sin relasjon til de virksomhetene som A har anført kjøper hennes personopplysninger. Etter Datatilsynets vurdering er det ikke noe i NextGenTel s redegjørelse som tyder på at det er grunn til å gjøre grundigere undersøkelser.
Datatilsynet har oppfylt undersøkelsesplikten, Det er riktig å avslutte saken.
Personvernnemndas vurdering
Saken gjelder klage på Datatilsynets vedtak 16. april 2018 om å avslutte saken fordi Datatilsynet ikke fant at det forelå brudd på personopplysningsloven 2000, samt at de opplysningene som forelå ikke foranlediget nærmere undersøkelser fra tilsynet.
Datatilsynet har vurdert saken etter personopplysningsloven 2000, før de oversendte den til Personvernnemnda i mai 2018.
Ny lov om behandling av personopplysninger (personopplysningsloven 2018) trådte i kraft 20. juli 2018. Det følger av personopplysningsloven 2018 § 1 at Europaparlaments- og rådsforordning (EU) 679/2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (GDPR eller forordningen), gjelder som norsk lov fra 20. juli 2018. Fra samme tidspunkt er personopplysningsloven 2000 opphevet.
I forarbeidene til personopplysningsloven 2018, Prop. 56 LS (2017-2018) side 196, uttaler departementet om lovvalgspørsmålet:
«Det vil være en rekke saker som verserer for tilsynsmyndigheten og Personvernnemnda på ikraftsettingstidspunktet for den nye personopplysningsloven [2018]. Forordningen inneholder ingen overgangsbestemmelser som regulerer behandlingen av slike saker. Utgangspunktet vil være at vedtak hos Datatilsynet og Personvernnemnda vil måtte fattes på grunnlag av de til enhver tid gjeldende materielle regler».
Selv om saken oppsto før den nye loven trådte i kraft og Datatilsynet vurderte saken etter personopplysningsloven 2000, skal nemnda altså behandle saken etter personopplysningsloven 2018. Nemnda bemerker at den rettslige konsekvensen av dette lovvalget er uten betydning i denne saken.
Saken handler om NextGenTels behandling, herunder utlevering, av As kundeopplysninger. A har presisert at det hun er opptatt av er NextGenTels, fra hennes side anførte, salg av kundeopplysninger. Nemnda er enig med Datatilsynet i at personopplysningsloven ikke skiller mellom salg eller annen utlevering (eller annen behandling) av personopplysninger. Det avgjørende er om det foreligger behandlingsgrunnlag for den behandlingen av personopplysninger den behandlingsansvarlige foretar, enten selv eller ved bruk av databehandler.
Det har vært konstatert brudd på NextGenTels behandling av personopplysninger tidligere og virksomheten har vært ilagt overtredelsesgebyr fra Datatilsynet for sine lovbrudd i mai 2016. A har også, ved to anledninger, fått utbetalt erstatning/oppreisning for den urettmessige behandlingen NextGenTel har foretatt av hennes personopplysninger, slik det fremkommer av Bergen tingretts dom 23. mai 2017 (TBERG-2016-206673). Ved nevnte dom ble NextGenTel frifunnet for ytterligere erstatningsansvar og retten fant det ikke sannsynliggjort at A var påført noen skade som følge av at personopplysninger skulle være behandlet i strid med personopplysningsloven. As kundeforhold med NextGenTel opphørte 31. desember 2016 og det er ikke anført noen ulovlig behandling av hennes personopplysninger etter dette tidspunktet.
Datatilsynet har foretatt en ny vurdering av mulige brudd på personopplysningsloven og har konkludert med at det ikke foreligger opplysninger som tilsier at det er skjedd ytterligere brudd på NextGenTels behandling av As personopplysninger, utover det som tidligere er konstatert. Datatilsynet har ikke funnet grunn til å gjøre ytterligere undersøkelser.
Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven 2018, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger fremstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være et sentralt moment.
Etter nemndas vurdering er lovligheten av NextGenTels behandling av personopplysninger om A i den perioden hun var kunde i virksomheten tilstrekkelig og forsvarlig vurdert av Datatilsynet og nemnda er enig med tilsynet i at det ikke foreligger noen nye brudd på personopplysningsloven. Det er heller ikke behov for ytterligere undersøkelser.
Nemnda har på dette grunnlaget kommet til at behandlingen av personopplysningene om A i foreliggende sak har skjedd i samsvar med loven.
Klagen har ikke ført fram.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak opprettholdes.
Oslo, 18. februar 2019
Mari Bø Haugstad
Leder