Kirke

Oslo katolske bispedømme får bot for å ha overvåket ansatte

Oslo katolske bispedømme straffes med 75.000 i bot for «ulovlig innsyn i» og «kontinuerlig overvåkning av» arbeidstakers e-poster. Bispedømmet aksepterer boten.

Oslo katolske bispedømme (OKB) har overtrådt personopplysningsforskriften, fastslår Datatilsynet. Derfor ilegges bispedømmet en bot på 75.000 kroner, ifølge dokumenter Vårt Land har fått tilgang til.

Datatilsynets vedtak kommer etter en klage fra Andreas Dingstad og Heidi Øyma – begge ansatt i bispedømmet mens den såkalte medlemsjukssaken pågikk – samt en tredje medarbeider som fortsatt er ansatt i OKB. Sistnevnte har ikke ønsket å snakke med Vårt Land.

De tre ble kjent med den angivelige overvåkningen under straffesaken mot OKB i november 2017. Da la OKBs forsvarer fram e-postkorrespondanse mellom Andreas Dingstad og OKB-medarbeideren som fortsatt er ansatt i bispedømmet, som bevis på at de hadde vært delaktig i en «hektisk» og «konspirativ» mailutveksling om medlemsregistreringssaken (se faktaboks).

Også e-poster sendt til OKB-medarbeideren Heidi Øyma ble lagt fram i retten.

Sentrale varslere

I sin klage beskriver de tre seg som sentrale varslere og kritikere mot OKB under medlemsregistreringssaken. Saken endte med at OKB ble idømt en foretaksbot på 2 millioner kroner for grovt bedrageri.

Det var i februar 2018 at de tre klaget OKB inn til Datatilsynet for ulovlig innsyn i ansattes e-poster.

Ifølge klagen skal tekniske undersøkelser ha blitt satt i gang av OKB etter at den ene klageren ba om en redegjørelse fra bispedømmet. Undersøkelsens konklusjon var at en teknisk feilinnstilling i den tredje klagerens e-post gjorde at alle vedkommendes e-poster, og dermed all e-postkommunikasjon hun har hatt med andre, automatisk ble videresendt til kommunikasjonsavdelingens felles e-postkonto. OKB bekrefter dette i sitt svar til Datatilsynet.

Feilen ble ikke oppdaget før en av e-postene ble lagt frem under hovedforhandlingene i tingretten, skriver OKB i svaret. E-posten som ble framlagt i retten var imidlertid printet ut i 2016. Feilen i systemet oppstod i 2013.

OKB svarer

Klagerne mener hele eller deler av ledelsen i OKB har visst om den tekniske feilinnstillingen siden 2016. De mener OKB da burde meldt fra om feilen til e-postkontoens eier, og foretatt en gjennomgang av IT-systemet.

At dette ikke ble gjort, mener de vitner om «en kontinuerlig utnyttelse av sikkerhetshullet med den hensikt å bruke det man finner mot nåværende og tidligere ansatte - og det helt uten kontekst og tilsvarrett».

I klagen spør de seg om ledelsen i OKB kan ha lest igjennom hundrevis av e-poster fra over et år tilbake i tid med «den hensikt å finne informasjon som kan brukes mot kritikere og varslere».

OKB hevder på sin side at de ikke kjente til feilen før rettsaken og at det ikke har «foreligget noe ønske eller skjult motiv om å utnytte feiloppsettet». Til Datatilsynet skriver OKB videre at bispedømmet «ikke har foretatt innsyn i noe e-postkorrespondanse til/fra klagerne, verken i deres personlige e-postkasser eller i IT-postkassen, men at «innsynet kan ha blitt foretatt av en ansatt».

Har konkludert

Sommeren 2019 sendte Datatilsynet et «varsel om vedtak» til OKB. Der gir de klagerne medhold i at det «har blitt foretatt innsyn i klagers e-postkasse i form av en angivelig utilsiktet automatisk videresending av hennes sendte e-poster til en felles e-postkasse», og at dette underbygges av at en e-posttråd er blitt printet ut.

Datatilsynet omtaler også klagernes og OKBs uenighet om hvem det er som har foretatt innsynet i e-postene.

«E-postutskriftene har blitt brukt som bevis til favør for OKB-ledelsens sak. Hvorvidt ledelsen i OKB selv har foretatt innsynet og utskriften, eller ikke, er det vanskelig for Datatilsynet å mene noe sikkert om. Vi mener dette imidlertid er irrelevant all den tid ledelsen synes å ha akseptert innsynet», skriver Datatilsynet.

De påpeker også at arbeidsgiver uansett har overordnet ansvar for en virksomhets behandling av opplysninger.

Videre skriver Datatilsynet at det «fremstår som at videresendingen skjedde ved en tilfeldighet. Utskrift av e-postene ble foretatt en gang i 2016. Datatilsynet har vanskelig for å tro at utskriften, og derav innsyn, har blitt foretatt uten tanke for at dette kunne fremme overtrederens (altså arbeidsgivers) interesse».

OKBs innsigelser

Høsten 2019 sendte OKB sine innsigelser til Datatilsynets «varsel om vedtak». Disse ble ikke tatt til følge.

22. januar i år sendte derfor Datatilsynet «Vedtak om ileggelse av overtredelsesgebyr» til OKB, der ordlyden fra varsel om vedtak fra juni 2019 ble stående. Her heter det bispedømmet ilegges 75.000 kr i bot for «overtredelse av personopplysningsforskriften av 2000 paragraf 9-2 for ulovlig innsyn i, herunder kontinuerlig overvåkning av, i form av automatisk videresending av, arbeidstakers sendte e-poster».

I en e-post til Vårt Land opplyser økonom og advokat i OKB, Sindre-Jacob Bostad, at bispedømmet ikke vil klage på Datatilsynets vedtak.

- OKB innser at vi har gjort en feil og vårt ansvar som arbeidsgiver, og vil derfor ikke påklage Datatilsynets vedtak, uttaler han.

– Betyr det at OKB er enig med Datatilsynets vurdering av sakens forhold?

– Vi har et annet syn på fakta i saken enn Datatilsynet, hvilket allerede er fremført i vårt tilsvar til dem. Men vi aksepterer overtredelsesgebyret da vi ser at det ble gjort en feil i en epost-innstilling i juni 2013. Straks den tekniske feilen ble oppdaget, ble den rettet. Vi gikk i 2017 over til et nytt system, som forhindrer at slikt skjer igjen, opplyser Bostad.

Oslo katolske bispedømme har blitt presentert for påstandene i denne artikkelen.

Til det har Sindre-Jacob Bostad følgende kommentar:

– Disse påstandene har i hovedtrekk med forhold å gjøre som ligger utenfor Datatilsynets konkrete vedtak i denne saken. De gjelder i hovedsak straffesaken i 2017, der det foreligger en rettskraftig dom og hvor OKB har gjort opp for seg ved å betale en bot.

LES FLERE ARTIKLER OM MEDLEMSREGISTRERINGSSAKEN:

---

Fakta om medlemsregistreringssaken

  • I slutten av februar 2015 ble Oslo katolske bispedømme (OKB) anmeldt for ulovlig praksis ved registrering av medlemmer av Fylkesmannen i Oslo og Akershus.
  • Få dager senere ble kirkens lokaler ransaket av politiet. Biskop Bernt Eidsvig ble sammen med bispedømmets økonomisjef siktet for medlemsjuks og grovt bedrageri av om lag 50 millioner kroner. Saken mot Eidsvig ble henlagt fordi statsadvokaten mener det ikke kan bevises at han hadde kjennskap til det som foregikk under hans ledelse.
  • Bakgrunnen for anmeldelsen var at ansatte i OKB fant polsk- og spanskklingende navn i telefonkatalogen, søkte opp personnummeret deres i Folkeregisteret og registrerte dem som medlemmer.
  • Kirken mottok i 2014 totalt 105,4 millioner kroner i statlig og kommunal støtte.
  • 65.500 nyregistreringer fra 2010 til 2014 er gjennomgått. 56.500 av disse ble registrert gjennom diskutable metoder. 28.900 har bekreftet medlemskapet, mens cirka 6.800 ikke ønsker å være medlemmer.
  • Det er OKB som håndterer medlemsregisteret for hele Den katolske kirke i Norge.
  • OKB vedtok ikke millionboten de fikk i medlemssaken, og rettssaken mot bispedømmet og daglig leder, som ble tiltalt for grovt bedrageri, startet i Oslo tingrett 20. november 2017. Oslo katolske bispedømme ble dømt til en foretaksbot på 2 millioner kroner for grovt bedrageri. Den daglige lederen ble frifunnet.
  • Fylkesmannen krevde i et brev sendt i slutten av juni 2016 tilbake nærmere 40,6 millioner kroner av Den katolske kirken og slo samtidig fast at praksisen var lovstridig og innmeldingene ugyldige. OKB må også betale tilbake kommunal støtte på mellom 40 og 50 millioner kroner.
  • OKB gikk på sin side til sivilt søksmål mot staten ved Kulturdepartementet fordi det mener departementet ikke har grunnlag for å kreve tilbake millionene de fikk i statsstøtte. OKB tapte søksmålet da saken var oppe i Oslo tingrett i 2017. Dommen ble anket. Anken ble forkastet 13. mars 2019 av Borgarting lagmannsrett.

---

Ingeborg Bergem

Ingeborg M. Bergem

Vårt Land anbefaler

1

1

1

1

Mer fra: Kirke