Hjem

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser

PVN-2021-05 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 22. oktober 2020 om avslag på krav om sletting av søketreff i søkemotoren Google.

Saken gjelder klage fra A på Datatilsynets vedtak 22. oktober 2020 om avslag på krav om sletting av søketreff i søkemotoren Google.

A krevde slettet et søketreff på sitt navn hos Google. Søketreffet leder til et publisert intervju fra tv-programmet «TV2 hjelper deg». I intervjuet uttaler A, som er serviceleder hos en bobilforhandler, seg om en sak hvor kjøper av en bobil krever kjøpet hevet. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

PVN-2021-04 Partsrettigheter i klagesak for oppløst aksjeselskap

Saken gjelder spørsmål om et oppløst aksjeselskap, [Firma 2] AS, eller representanter for det oppløste aksjeselskapet kan utøve partsrettigheter knyttet til klage over vedtak fra Datatilsynet 3. desember 2020 om å ilegge aksjeselskapet et overtredelsesgebyr på 100 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

Etter at Datatilsynet oversendte klagesaken til nemnda er aksjeselskapet oppløst og slettet fra enhetsregisteret i Brønnøysund. Nemnda la til grunn at et aksjeselskap etter oppløsning og sletting ikke lenger eksisterer som selvstendig rettssubjekt, og det har da i utgangspunktet heller ikke partsevne, jf. forvaltningsloven § 2 første ledd bokstav e. Nemnda fant ingen forhold som tilsa en annen vurdering. Heller ikke eier og styreleder av selskapet kunne i dette tilfellet kreve å få opptre som part. Avgjørelsen rettet seg ikke mot ham og ble heller ikke ansett direkte å gjelde ham. Det var heller ikke noe ved Datatilsynets vedtak som tilsa en ny behandling av de materielle spørsmålene i saken. Klagen ble derfor ikke tatt til behandling på grunn av manglende partsrettigheter. Det innebærer at Datatilsynets vedtak blir stående.

PVN-2021-02 Krav om innsyn i etterlysnings- og utleveringssak

Klage fra A på Datatilsynets avgjørelse 15. februar 2021 om avslag på krav om innsyn i internasjonal etterlysnings- og utleveringssak, jf. personopplysningsloven § 16 første ledd bokstav a og bokstav b.

A ba om innsyn i sine personopplysninger hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om A og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avslo innsynskravet. A klaget til Datatilsynet som ikke ga han medhold. Nemnda viste til at personvernforordningen artikkel 15 i utgangspunktet gir den registrerte rett til innsyn i personopplysninger som behandles om seg, men at personopplysningsloven § 16 første ledd gjør unntak fra innsynsretten i noen tilfeller. I likhet med Datatilsynet er nemnda varsom med å overprøve fagmyndighetens vurdering av hvilke opplysninger det kan gis innsyn i. Nemnda fant ikke grunn til å foreta en annerledes vurdering av det faglige skjønnet som er gjort av politi- og/eller utlendingsmyndighet. Nemnda opprettholdt Datatilsynets vedtak om å avslå As innsynskrav, jf. personopplysningsloven § 16 første ledd bokstav a og b.

PVN-2021-01 Kameraovervåking av fellesområder i et boligsameie

Klage fra et boligsameie på Datatilsynets vedtak 31. august 2020 der tilsynet påla sameiet å avslutte kameraovervåking av sameiets fellesarealer.

Nemnda kom til at sameiet hadde en berettiget interesse i å iverksette tiltak som hindrer forsøpling av sameiets egne lokaler ved at gjenstander og søppel hensettes og samles opp i fellesarealene. Nemnda fant det tilstrekkelig sannsynliggjort at dette hadde vært et problem i mange år og at flere tiltak for løse utfordringene var forsøkt uten at det hadde hjulpet. Nemnda kom til at kameraovervåking på deler av sameiets fellesarealer var et egnet, hensiktsmessig og nødvendig tiltak. Under interesseavveiningen etter artikkel 6 nr. 1 bokstav f, la nemnda til grunn at kameraovervåking av fellesarealene representerte et inngrep i personvernet til alle beboerne i sameiet. Overvåkingen skjedde i rom som er nødvendig for beboerne å oppsøke og oppholde seg i (søppelrom og i gangen utenfor beboernes boder). Personvernulempen var likevel redusert ved at overvåkingen kun skjedde i avlåste rom uten gjennomgangstrafikk og hvor beboerne ikke ville oppholde seg over tid. Overvåkingen rammet ikke allmenheten og deres bevegelse og opphold i offentlige rom. Flertallet la videre vekt på at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Nemnda konkluderte med at kameraovervåkingen var lovlig og omgjorde Datatilsynets vedtak. Dissens 6:1.

PVN-2020-24 Behandling av helseopplysninger - klage på Datatilsynets avslutning av sak uten å gi pålegg eller konstatere brudd på personopplysningsloven

Klage fra A på Datatilsynets avgjørelse 20. januar 2020 om å opprettholde sin tidligere vurdering om å avslutte behandlingen av saken uten å gi pålegg eller konstatere brudd på personopplysningsloven.

Etter Personvernforordningen artikkel 57 nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Datatilsynets undersøkelsesplikt etter forordningen gjelder «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Nemnda kom til at Datatilsynet hadde oppfylt sine forpliktelser etter personvernforordningen artikkel 57, samt oppfylt sin utrednings- og informasjonsplikt, jf. forvaltningsloven § 17. Nemnda var enig med Datatilsynet i at det, basert på sakens dokumenter, ikke var hensiktsmessig å undersøke saken nærmere, og at det ikke var framkommet opplysninger som tilsa at personopplysningsloven er brutt. Datatilsynets avgjørelse om å avslutte saken var etter nemndas vurdering forsvarlig og innenfor lovens rammer.

PVN-2020-23 Krav om retting av registrerte passeringsdata hos bompengeselskap

Klage fra A på Datatilsynets vedtak 20. desember 2018 der Datatilsynet avsluttet en sak mot bompengeselskapet Vegfinans AS om uriktige passeringsdata, uten å gi pålegg om retting.

Bomstasjonen på Bommestad på E18 ved Larvik ble satt i drift 9. mai 2018. Etter åpning ble det oppdaget at klokka på bomstasjonen gikk ca. 7 minutter feil, noe som ga tilsvarende uriktig tidsregistrering på passerende biler. Feilen ble rettet i begynnelsen av juni 2018 med virkning for nye passeringer. A klaget Vegfinans AS inn for Datatilsynet etter å ha mottatt en faktura der passeringene i mai 2018 var oppgitt med uriktig tidsregistrering. A ville ha feilen slettet eller rettet, og klaget også på manglende overholdelse av informasjonsplikten. Datatilsynet kom til at personopplysningsloven var overholdt og avsluttet saken uten å ilegge pålegg. A klaget på vedtaket. Nemnda la til grunn at retten til å kreve retting etter personvernforordningen artikkel 16 må vurderes i lys av formålet opplysningene behandles for, jf. artikkel 5 nr. 1 bokstav d. Dette har betydning for hvor langt retteplikten strekker seg, og for hvor omfattende tiltak som kreves for at den behandlingsansvarlige skal rette uriktige opplysninger. Nemnda var enig med tilsynet i at Vegfinans AS ikke skulle pålegges å rette eller slette de registrerte opplysningene. Nemnda var også enig med Datatilsynet i at den uriktige tidsregistreringen åpenbart ikke medførte noen høy risiko for As rettigheter og friheter, og at Vegfinans AS ikke brøt personopplysningsloven ved ikke å gi A informasjon om de uriktige opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-21 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra Flisleggingsfirma AS på Datatilsynets vedtak 25. september 2020 om ileggelse av overtredelsesgebyr på 150 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag, samt pålegg om å utbedre sine systemer for internkontroll vedrørende bruk av kredittsjekk.

A kontaktet kredittopplysningsbyrået Bisnode da hun mottok et gjenpartsbrev om at Flisleggingsfirma AS, som hun ikke hadde noe kundeforhold til, hadde kredittvurdert hennes enkeltpersonforetak. Daglig leder i flisleggingsfirmaet, som også var As nabo, hadde foretatt kredittsjekken som privatperson fordi han var bekymret for at iverksatte byggearbeider på As tomt, og ville finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene medførte problemer for han som nabo. Datatilsynet ila Flisleggingsfirmaet AS et overtredelsesgebyr på 150 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet ble også pålagt å utarbeide rutiner for innhenting av kredittvurderinger for å sikre etterlevelse av forordningen og bedre selskapets system for internkontroll. Selskapet klaget vedtaket inn for nemnda. Nemnda kom til at selskapet åpenbart ikke hadde noen berettiget interesse i å foreta en kredittvurdering av A, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er åpenbart i strid med loven og en grunnleggende krenkelse av As personvernrettigheter at daglig leder bruker firmaets onlinetilgang til Bisnode for private formål. Nemnda, som har begrenset adgang til å sette tilsynets gebyr høyere, jf. forvaltningsloven § 34 tredje ledd, mente at et gebyr på 150 000 i alle fall ikke er for høyt. Nemnda opprettholdt Datatilsynets vedtak om ileggelse av gebyr, samt pålegg om å utarbeide rutiner for bedre internkontroll ved innhenting av kredittvurderinger.

PVN-2020-20 Kameraovervåking fra privat bolig

Klage fra A på Datatilsynets vedtak 12. mai 2020 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var ulovlig etter personopplysningsloven fordi overvåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a.

A klaget på kameraovervåking fra en privat bolig i området han bor, der eier av eiendommen hadde montert to kameraer under takmønet på boligens fasade. Boligen ligger rett ut mot offentlig vei der parkeringsmulighetene langs veien er allmenn og tilgjengelig for alle. Nemnda la til grunn at personer som går langs veien, og passerer boligen der kameraene er montert, kan fanges opp av kameraene. Det samme gjelder de som parkerer langs veien utenfor boligen. Nemnda la til grunn at kameraovervåking montert på private hus ikke omfattes av unntaket for «rent personlige eller familiemessige aktiviteter», dersom overvåkingen også dekker deler av et offentlig område, jf. EU-domstolen sak C-212/13 (Ryneš). Nemnda konkluderte videre med at huseieren ikke hadde lovlig behandlingsgrunnlag idet han ikke hadde noen berettiget interesse i vedvarende overvåking av et område åpent for alminnelig ferdsel, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-22 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 8. september 2020 der Datatilsynet kom til at Æ barneverntjenestes behandling av personopplysninger var lovlig.

I forbindelse med en undersøkelsessak etter barnevernloven i barneverntjenesten i Y knyttet til klagernes datter, D, og hennes barn, utleverte Æ barneverntjeneste opplysninger til barneverntjenesten i Y, herunder en uttalelse fra Æ barneverntjeneste der det framkommer opplysninger om oppveksten til D og barnevernets vurdering av omsorgssituasjonen i foreldrehjemmet og bakgrunnen for omsorgsovertakelsessaken den gangen. Det er spørsmål om behandlingsgrunnlag for utlevering av personopplysninger fra én barneverntjeneste til en annen, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om retting og sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved Æ barnevern er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningen artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-19 Innhenting og publisering av kredittopplysninger i en artikkel i Bergens Tidende

Klage fra A på Datatilsynets vedtak 18. februar 2020 om at innhenting og publisering av kredittopplysninger om ham i en avisartikkel i Bergens Tidende sommeren 2019 er gjort utelukkende for journalistiske formål og dermed ikke er i strid med personopplysningsloven, jf. personopplysningsloven § 3.

Nemnda redegjør for sin forståelse av journalistunntaket i § 3 og uttaler at bestemmelsen ikke kan forstås så absolutt som ordlyden tilsier. I vurderingen av hvor langt unntaket rekker, må det i noen tilfeller foretas en avveining av hensynet til ytringsfrihet og hensynet til personvernet til den personen som omtales. Slik loven i dag lyder må dette gjøres ved en mulig innskrenkende tolkning av «utelukkende journalistisk virksomhet». Innsamlingen og publiseringen av personopplysninger i denne saken skjedde i forbindelse med en nyhetsartikkel i Bergens Tidende. Bergens Tidende er en mediebedrift med en sentral redaktørfunksjon, tilsluttet en pressefaglig selvdømmeordning. Avisens innsamling og publisering av personopplysninger i forbindelse med en nyhetsartikkel representerer kjerneområdet for journalistisk virksomhet. I en slik situasjon gir ikke personopplysningsloven § 3 rom for å foreta noen interesseavveining mellom ytringsfriheten og personvernet. Det er ikke personvernmyndighetenes oppgave å overprøve redaksjonens vurdering av denne typen nyhetsartikler, herunder hvilken informasjon som bør formidles til publikum, og hvorvidt den aktuelle informasjonen har generell samfunnsmessig interesse eller ikke. Dette gjelder uavhengig av om opplysningene som publiseres er korrekte eller ikke. Nemnda opprettholdt Datatilsynets vedtak.