Rådgiver hadde sendt en fil med emnet «Portefølje» fra sin e-post i bedriften til sin private e-post. Årsaken til dette var at rådgiver var i prosess med en mulig ny arbeidsgiver og ønsket å si farvel til noen av kundene på en personlig og ryddig måte.
Bedriften som meldte saken, mener dette er et brudd på God skikk-regel nr. 3 om personvern. 

Disiplinærutvalget er enig i dette og uttaler seg og om hvordan regelen skal forstås. 

Rådgiver hadde sendt en fil med emnet «Portefølje» fra sin e-post i bedriften til sin private e-post. Rådgiver har opplyst at hen var i prosess med en mulig ny arbeidsgiver og at hen hadde sendt filen med ønske om kontroll over kundene. Rådgiver hadde hatt kundene i lang tid og disse ville uansett følge rådgiver videre. Rådgiver ønsket å si farvel til på en personlig og ryddig måte. Dette er kun basert på normal høflighet etter å ha kjent kundene godt gjennom flere år. Med tanke på at Rådgiver muligens ble satt i umiddelbar jobbkarantene ved et eventuelt jobbskifte til en konkurrende bedrift, så valgte Rådgiver å ta ut listen.

Disiplinærutvalget er av den oppfatning at det sentrale i saken er at å sende en fil som omfatter personopplysninger til sin private e-post, i strid med bedriftens retningslinjer. Hva som har vært rådgivers personlige formål, er ikke avgjørende. Det er heller ikke avgjørende hva opplysningene faktisk har eller ikke har blitt benyttet til. 

Regelverket for behandling av personopplysninger oppstiller en rekke forpliktelser, blant annet knyttet til databehandling og lagring. Ved at rådgiver sender slike opplysninger til sin private e-post uten at dette er avklart med bedriften, har bedriften ikke mulighet til å sørge for etterlevelse av personvernregelverket, herunder hvor opplysningene lagres, hvem som har tilgang, hvor opplysningene overføres og rutiner for sletting/backup. Dette er i seg selv et alvorlig brudd på God skikk. At opplysningene i etterkant har blitt slettet av rådgiver, er i denne sammenheng ikke avgjørende for saken.

Disiplinærutvalget viser videre generelt til kommentarutgaven til God skikk, regel nr. 3 om personvern, og vil i tillegg til vurderingene ovenfor, trekke frem tre sentrale punkter for behandling av personopplysninger:

• De må «bygge på forutsigbare og forståelige avgjørelser som kunden er informert om og forstår» for å sikre rettferdighet og gjennomsiktighet. 
• Det kreves at det foreligger et «formål», som må være «kjent for kunden før behandlingen starter». 
• «Gjenbruk av personopplysninger til andre formål enn det formålet de er samlet inn for, vil bare være tillatt dersom kunden samtykker». 

I denne saken har Rådgiver opptrådt i strid med atferdsnormene som reflekteres i disse tre punktene.

Rådgiver har stilt seg noe undrende til at denne saken kommer opp lang tid i etterkant. 
Til dette bemerker Disiplinærutvalget generelt at meldinger om brudd på God skikk bør sendes til FinAut innen rimelig tid, men slik at bedriftene må ha anledning til å behandle sakene internt i henhold til egne prosedyrer før eventuell melding. I dette tilfellet finner Disiplinærutvalget at det ikke har gått urimelig lang tid mellom handlingen og behandlingen av bruddsaken i FinAut, og har derfor ikke lagt vekt på dette i vurderingen. 

Etter en samlet vurdering har Disiplinærutvalget kommet til at rådgiver fratas sine autorisasjoner i sparing & investering og i kreditt i 6 måneder.   

Rådgiver må vente til perioden for fratakelsene på 6 måneder er over før rådgiver kan søke om å avlegge autorisasjonsprøvene på nytt. Det er et vilkår at rådgivers arbeidsgiver anbefaler dette og går god for at vedkommende er skikket. 

Disiplinærutvalgets fullstendige behandling i anonymisert versjon (PDF)

Se flere saker om brudd på God skikk