Home

Avgjørelser

PVN-2024-24 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Meta Platforms Ireland Ltd. (Meta Ireland) og Facebook Norway AS (Facebook Norway), jf. forvaltningsloven § 36.

Saken gjelder krav om dekning av sakskostnader fra Meta Ireland og Facebook Norway etter at nemnda i sak PVN-2023-31 og PVN-2024-04 ga Meta Ireland og Facebook Norway medhold i klagen på Datatilsynets vedtak om ileggelse av tvangsmulkt. Spørsmålet i saken var hvilke utgifter som hadde vært nødvendige for å få endret vedtaket. Nemnda mente det var forståelig at Meta Ireland og Facebook Norway søkte juridisk bistand i klageomgangen og at saken ble anlagt bredt. Sett hen til sakens kompleksitet og den store økonomiske betydningen tvangsmulktvedtaket hadde for klagerne, mente nemnda at utgiftene til advokatsalærer var nødvendige, med fradrag for timer medgått etter at vedtaket var truffet (tid for å gjennomgå vedtaket). Meta Ireland og Facebook Norway ble begge tilkjent 1 911 936,30 kroner hver til dekning av sakskostnader, jf. forvaltningsloven § 36

PVN-2024-10 Behandlingsgrunnlag for behandling av helseopplysninger i et forskningsprosjekt – opphevelse av Datatilsynets vedtak

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om behandlingsgrunnlag for behandling av helseopplysninger i et forskningsprosjekt uten å gjøre undersøkelser og uten å ta stilling til om behandlingsgrunnlaget er lovlig.

Nemnda la til grunn at Datatilsynet plikter å behandle og ta stilling til om personopplysningsloven er brutt når de mottar en klage etter artikkel 77, men at loven åpner for en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig. Det sentrale spørsmålet i saken var om det forelå gyldig behandlingsgrunnlag. Det var ikke mulig å ta stilling til spørsmålet om behandlingsgrunnlag uten å forelegge saken for den behandlingsansvarlige og innhente REKs vurdering av prosjektet. Da dette ikke var gjort, hadde Datatilsynet ikke oppfylt sin plikt etter artikkel 57 nr. 1 bokstav f til å behandle de klager som er inngitt av en registrert. Vedtaket ble opphevet og saken returnert til Datatilsynet for behandling.

PVN-2024-09 Avslag på krav om elektronisk tilgang til tannlegejournal

Klage fra A på Datatilsynets vedtak om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.

Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-08 Klage på Datatilsynets avvisning av en henvendelse fordi den ikke representerer en klage etter artikkel 77 nr. 1

Klage fra A på Datatilsynets avvisning av hans henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.

Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A den aktuelle appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå var først og fremt knyttet til at saken etter hans syn har allmenn interesse i og med at appen brukes av mange personer over hele landet. Han ba blant annet Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2024-07 Klage over Datatilsynets avslutning av sak om innsyn i logg og brudd på personopplysningssikkerheten hos Helseklage

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om innsyn i logg og brudd på personopplysningssikkerheten hos Nasjonalt klageorgan for helsetjenesten (Helseklage) uten å gi pålegg.

Nemnda var enig med Datatilsynet i at personvernforordningen ikke krever logging av hvor lenge hvert nemndsmedlem bruker på å lese dokumenter i en sak. Nemnda la videre til grunn at artikkel 77 nr. 1 må forsås slik at forordningen oppstiller et krav til en viss konkretisering av den påståtte ulovlige behandlingen av personopplysninger for at Datatilsynets plikt til å gjøre undersøkelser etter artikkel 57 nr. 1 bokstav f utløses. En generell oppfordring om å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan ikke regnes som en klage som utløser en slik plikt. Når det gjaldt anmodning om innsyn viste nemnda vil at A hadde fått innsyn i loggdata om når oppslag ble gjort og formålet med dem, og konkluderte med at innsynsretten etter artikkel 15 ikke gir rett til å vite hvem som gjorde oppslag eller varigheten av dem, jf. EU-domstolens uttalelser i C-578/21. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-06 Klage på Datatilsynets avvisning av en henvendelse fordi den ikke representerer en klage etter artikkel 77 nr. 1

Klage fra A på Datatilsynets avgjørelse 9. oktober 2023 som i realiteten innebar en avvisning av hennes henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.

Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke var å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. As henvendelser var generelle og handlet om misnøye med barneverntjenestens behandling av undersøkelsessaker vedrørende omsorgssituasjonen for hennes barn. Datatilsynet hadde korrekt opplyst at tilsynet ikke har kompetanse til å vurdere barneverntjenestens saksbehandling, og at klage over dette må rettes til Statsforvalteren. Tilsynet hadde også informert om hvordan hun skulle gå fram ved eventuelle rette- eller slettekrav i barneverntjenestens journaler. Henvendelsen til Datatilsynet gjaldt etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og kunne ikke anses som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2024-05 Klage over Datatilsynets avgjørelse om å avslutte sak - retting/sletting av helseopplysninger i pasientjournal

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av helseopplysninger hos Sykehuset X, uten å treffe vedtak.

Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.

PVN-2024-03 Klage over Datatilsynets avvisning av klage på valg av reaksjon ved konstatert brudd på personvernforordningen

Klage fra Human-Etisk Forbund, på vegne av fem av sine medlemmer, samt likelydende klager fra tre enkeltpersoner som ikke er medlemmer av Human-Etisk forbund; A, B og C. Klagen gjelder Datatilsynets vedtak der tilsynet avviste klage over tilsynets vedtak om irettesettelse av Den norske kirke for overtredelse av personvernforordningen.

Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. I saken fastholder nemnda at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av klagen på valg av reaksjon mot Den norske kirke.

PVN-2024-02 Klage over Datatilsynets avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36

Klage fra A på Datatilsynets vedtak om avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36.

A framsatte krav om dekning av sakskostnader etter at Datatilsynet hadde fattet et nytt endret vedtak i en sak som gjaldt klage fra A på arbeidsgivers innsyn i As e-postkasse. A var i forvaltningssaken til Datatilsynet og klagen til Personvernnemnda representert ved sin ektefelle. Det er flere vilkår i forvaltningsloven § 36 som må være oppfylt for at en part skal få dekket sine kostnader. Nemnda avslo As krav på dekning av sakskostnader da det ikke var sannsynliggjort reelle utgifter som gir rett til dekning etter forvaltningsloven § 36. Nemnda fant det derfor ikke nødvendig å vurdere de øvrige vilkårene. Nemnda opprettholdt Datatilsynets vedtak om avslag på dekning av sakskostnader.

PVN-2024-01 Arbeidsgivers innsyn i arbeidstakers e-postkasse

Klage fra A på Datatilsynets vedtak om irettesettelse til arbeidsgiver for overtredelse av personvernforordningens prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. Datatilsynet la til grunn at arbeidsgiver hadde rettslig grunnlag for innsynet.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner. Datatilsynet vurderte at arbeidsgiver hadde rettslig grunnlag for innsynet, men traff vedtak om irettesettelse mot arbeidsgiver for brudd på personvernregelverkets prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. A klagde over vedtaket når det gjaldt Datatilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsynet, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll etter artikkel 30, samt Datatilsynets valg av reaksjon overfor arbeidsgiver. Nemnda vurderte i likhet med Datatilsynet at arbeidsgiver hadde rettslig grunnlag for innsynet i As e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b. Nemnda vurderte videre at retten til å klage til en tilsynsmyndighet etter artikkel 77 ikke omfatter separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll. Når det gjaldt As klage over Datatilsynets valg av reaksjon overfor arbeidsgiver, vurderte nemnda at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. As klage over arbeidsgivers manglende protokoll og klagen over manglende ileggelse av overtredelsesgebyr ble avvist, for øvrig ble Datatilsynets vedtak opprettholdt.

PVN-2023-31 og PVN-2024-04 Klage fra Meta Ireland og Facebook Norway på Datatilsynets vedtak om tvangsmulkt

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 7. august 2023. I vedtaket ila Datatilsynet selskapene en tvangsmulkt på én million kroner per dag, i inntil tre måneder, for manglende oppfyllelse av et midlertidig forbud mot å behandle personopplysninger for atferdsbasert markedsføring i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester i Norge.

Det midlertidige forbudet ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Tvangsmulktvedtaket ble truffet med hjemmel i personopplysningsloven § 29. Nemnda tolket personopplysningsloven § 29 innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker. Nemnda viste til at det ikke var holdepunkter i forarbeidene til personopplysningsloven for at departementet mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, ville det vært nærliggende å forvente at departementet i forarbeidene hadde avklart spørsmålet om nemndas kompetanse og den behandlingsansvarliges klagerett i slike saker. Også legalitetsprinsippet tilsa at det i loven hadde vært inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Nemnda konkluderte med at tvangsmulktvedtaket ikke hadde hjemmel i lov og opphevet vedtaket.

PVN-2023-30 Klage over Datatilsynets valg av reaksjon ved konstatert brudd på personopplysningssikkerheten i en kommune

Klage fra A på Datatilsynets avvisning av hennes klage over Datatilsynets vedtak om irettesettelse mot en kommune for brudd på personopplysningssikkerheten. Det er også truffet andre vedtak i saken som gjelder innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

PVN-2023-29 Klage på Datatilsynets avslutning av sak om politiets behandling av personopplysninger

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om politiets innhenting og utlevering av opplysninger i en straffesak.

A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

PVN-2023-28 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet avsluttet sak med krav om innsyn i, informasjon om og sletting av personopplysninger hos NAV uten å gi pålegg.

Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.

PVN-2023-27 Klage over Datatilsynets avgjørelse om å avslutte sak om retting og sletting av personopplysninger i kommunen uten å gi pålegg

Klage fra A og B på Datatilsynets vedtak om å avslutte sak om retting og sletting av personopplysninger uten å gi pålegg.

A og B kontaktet Datatilsynet og klaget over behandlingen av personopplysninger om deres sønn ved to barnehager og en barneskole, samt i barneverntjenesten. A og B ønsket flere dokumenter rettet og slettet. Tilsynet avsluttet saken uten å gi pålegg om retting eller sletting, under henvisning til reglene om arkivplikt i arkivlova. Nemnda vurderte at arkivregelverket ikke kan tolkes slik at den enkelte kommune eller fylkeskommune står helt fritt til å avgjøre hvilke dokumenter som skal arkiveres og hvilke som skal/kan slettes. Det må foretas en avveining av om det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 21 nr. 1. Nemnda var ikke enig med Datatilsynet i at tilsynet ikke har kompetanse til å foreta denne vurderingen og foretok en selvstendig prøving av om det forelå tvingende berettigede grunner for fortsatt oppbevaring. Nemnda opprettholdt Datatilsynets vedtak når det gjaldt opplysningene fra skolen og barneverntjenesten. Når det gjaldt kravet om sletting av opplysninger fra barnehagene delte nemnda seg i et flertall og et mindretall. Flertallet fant at det ikke forelå tvingende berettigede grunner for fortsatt oppbevaring av opplysningene fra barnehagene, slik at vilkårene for fortsatt lagring ikke var oppfylt.

PVN-2023-26 Klage fra Meta Ireland og Facebook Norway på Datatilsynets avvisning av klage over vedtak truffet med hjemmel i personvernforordningen artikkel 66 nr. 1

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 3. august 2023 der tilsynet avviste klage over vedtak 14. juli 2023 truffet med hjemmel i artikkel 66 nr. 1, jf. personopplysningsloven § 22 andre ledd.

Det var enighet om at Datatilsynets vedtak 14. juli 2023 er hjemlet i personvernforordningen kapittel VII og at Personvernnemnda ikke har kompetanse til å behandle klager over dette vedtaket, jf. personopplysningsloven § 22 andre ledd. Klagerne anførte at selskapene har rett til forvaltningsklage etter forvaltningsloven § 28 og ba nemnda ta stilling til om vedtaket kunne klages inn for departementet. Nemnda la til grunn at når nemnda ikke har kompetanse til å behandle klagen, tilligger det heller ikke Personvernnemnda å ta stilling til de prosessuelle reglene for hvordan disse sakene skal behandles. Gyldigheten av Datatilsynets vedtak vil imidlertid kunne bringes inn for domstolene. Nemnda opprettholdt Datatilsynet avvisning av klagen.

PVN-2023-25 Klage over Datatilsynets avvisning av sak om uriktig/mangelfull registrering i Konkursregisteret m.m.

Klage fra A på Datatilsynets vedtak hvor tilsynet avviste hans sak om ulike feilregistreringer i Brønnøysundregistrene uten å gi pålegg.

Nemnda la til grunn at registrering av konkursåpning i Brønnøysundregistrene, som skjer etter melding fra retten, ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b. Registreringen av de aktuelle opplysningene hadde behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. nr. 3, med supplerende rettsgrunnlag i konkursloven og konkursregisterforskriften. A hadde ikke sannsynliggjort at Konkursregisteret hadde registrert uriktige opplysninger som han kunne kreve rettet eller slettet. Når det gjaldt registering av fusjon i Foretaksregisteret mellom aksjeselskaper og sletting av registrerte kunngjøringer om selskaper i Brønnøysundregistrene, var nemnda enig med Datatilsynet i at slike opplysninger ikke er personopplysninger, men opplysninger om juridiske personer. Slik registrering faller utenfor personopplysningsloven og personvernforordningens virkeområde, jf. personopplysningsloven § 2 første ledd. A fikk ikke medhold i klagen.

PVN-2023-24 Klage på Datatilsynets beslutning om ikke å følge opp en henvendelse om brudd på personvernforordningen - avvisning

Klage fra A på Datatilsynets avgjørelse om ikke å gjøre nærmere undersøkelser av om Statistisk sentralbyrå (SSB) behandler personopplysninger ulovlig.

A kontaktet Datatilsynet og varslet om flere forhold ved SSBs behandling av personopplysninger som han mente var ulovlig. Datatilsynet avsluttet saken uten å gjøre nærmere undersøkelser og uten å ta stilling til om behandlingen av personopplysninger var ulovlig. Datatilsynet viste til personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda vurderte hvilket handlingsrom tilsynet, når det mottar en henvendelse om mulige brudd på personopplysningsloven, har til å velge ikke å ta stilling til om den beskrevne behandlingen i henvendelsen er ulovlig eller ikke. Nemnda la til grunn at tilsynet i utgangspunktet plikter å ta stilling til de klagene som fremsettes, jf. artikkel 77, men at det er klagers oppgave å redegjøre for saken og legge frem dokumentasjon for det forholdet som påklages. I mangel av en viss konkretisering av at det er vedkommendes egne personopplysninger som er behandlet på en måte som er i strid med forordningen, kan det etter nemndas syn argumenteres for at henvendelsen ikke skal regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser. I dette tilfellet hvor SSB driver en lovregulert virksomhet og hvor de opplysningene som er gitt i henvendelsen ikke i seg selv gir tilstrekkelig grunn til å mistenke en ulovlig behandling av personopplysninger, kan ikke henvendelsen anses som en klage som gir tilsynet plikt til å gjøre nærmere undersøkelser etter artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

PVN-2023-22 Klage over Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger hos NAV

Klage fra A v/B på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over at NAV ikke hadde gitt ham medhold i hans krav om sletting/retting av det han mener er ulovlige vedtak truffet av NAV. Nemnda fastslo at dersom NAV tolker en rettsregel feil eller foretar en uriktig vurdering av faktum, vil dette kunne resultere i et uriktig vedtak, som kan endres ved at vedtaket påklages, omgjøres eller endres gjennom et nytt vedtak. Vedtaket kan ikke rettes eller slettes etter bestemmelsene i personvernforordningen artiklene 16 og 17. Nemnda la til grunn at Datatilsynet hadde oppfylt sin plikt til å behandle As klage, jf. personvernforordningen artikkel 77. Nemnda var enig med Datatilsynet i at det ikke er lagt frem dokumentasjon for, eller redegjort for, et faktum som ga grunnlag for å pålegge NAV å rette eller slette opplysninger om A i hans saker i NAV. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda viste til at det er opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å innhente ytterligere opplysninger i saken fra innklagede eller om saken behandles på bakgrunn av den informasjonen klager har sendt inn. I utgangspunktet er det klagers oppgave å redegjøre for saken og legge fram nødvendig dokumentasjon for å sannsynliggjøre sitt krav. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-21 Klage på Datatilsynets avslutning av sak om kredittvurdering

Klage fra A på Datatilsynets vedtak der Datatilsynet avsluttet sak om Qliro ABs kredittvurdering av ham uten ytterligere undersøkelser og uten å gi pålegg.

Etter at A fikk et gjenpartsbrev fra Bisnode, henvendte han seg til Datatilsynet og klaget over at det han mente var en ulovlig kredittvurdering av ham fra det svenske betalingsløsningsselskapet Qliro AB. Datatilsynet ba A om å kontakte Qliro for å få klarhet i faktum før tilsynet eventuelt kunne be om bistand fra det svenske datatilsynet. A ønsket ikke det og Datatilsynet avsluttet saken. Nemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages. Da A valgte ikke å bidra ytterligere til å opplyse saken, mente nemnda at det forsvarlig av Datatilsynet å avgjøre saken med bakgrunn i de opplysningene som forelå. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at personopplysningsloven eller kredittopplysningsloven var brutt. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-20 Sletting av dokument i personalmappe hos tidligere arbeidsgiver

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at A hadde fått oppfylt sin innsynsrett etter personvernforordningen artikkel 15, og ikke ga ham medhold i sitt slettekrav etter personvernforordningen artikkel 17.

Spørsmålet for nemnda var om As tidligere statlige arbeidsgiver skulle pålegges å slette et arkivert dokument som inneholdt personopplysninger om A fra hans personalmappe. Arbeidsgivers formål med innsamling av personopplysningene opprinnelig var knyttet til hans arbeidsforhold. Arbeidsforholdet var avsluttet og arbeidsgivers formål med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til at de aktuelle personopplysningene representerte materiale som er underlagt bevaringsplikt etter arkivlova § 6 jf. § 9 og Riksarkivarens forskrift § 7-11 første ledd, og at arbeidsgiver har en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Nemnda kunne derfor ikke pålegge arbeidsgiver å slette opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Datatilsynets vedtak ble opprettholdt.

PVN-2023-19 Innsyn i arbeidstakers e-postkasse - Klage på Datatilsynets avslutning av sak mot arbeidsgivers samarbeidspartner

Klage fra A på Datatilsynets avgjørelse om å avslutte en klagesak mot arbeidsgiverens samarbeidspartner. Avslutningen ble begrunnet med at klagen ville bli behandlet som en del av hovedsaken som gjaldt klage på arbeidsgiverens innsyn i As e-postkasse.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot B (ekstern samarbeidspartner). Datatilsynet vurderte at B måtte regnes som en selvstendig behandlingsansvarlig, men avsluttet saken mot B og viste til at de innklagede forholdene mest hensiktsmessig ville bli behandlet sammen med klagen mot arbeidsgiver. A klagde på denne avgjørelsen og saken ble oversendt Personvernnemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot arbeidsgiver. Nemnda uttalte at det må ligge innenfor Datatilsynets hensiktsmessighetsskjønn å ta stilling til om en klage mot ulike aktører (behandlingsansvarlig, databehandler eller andre samarbeidspartnere) skal behandles samlet i én sak eller om klagen skal behandles i flere saker. Dette er ikke et forhold som kan styres av den registrerte. As klage ble dermed avvist.

PVN-2023-18 Innsyn i pasientjournal

Klage fra A på Datatilsynets avgjørelse der Datatilsynet konkluderte med at A ikke hadde krav på ytterligere innsyn etter personvernforordningen.

Personvernforordningen artikkel 15 har generelle regler om den registrertes rett til innsyn i egne personopplysninger som behandles. For helseopplysninger er dette videre regulert i helselovgivningen, herunder i pasientjournalforskriften og pasient- og brukerrettighetsloven. Retten til innsyn i pasientopplysninger gjelder pasientjournal (med eventuelle vedlegg) og innsynslogg. Når det gjelder øvrige tekniske data om helsepersonellets handlinger knyttet til journalen, er dette ikke opplysninger som er omfattet av retten til innsyn. Nemnda sluttet seg til Datatilsynets vurdering om at innsynsretten var oppfylt i dette tilfellet, jf. pasientjournalforskriften §§ 11 og 14, pasient- og brukerrettighetsloven § 5-1 og personvernforordningen artikkel 15.

PVN-2023-17 Databehandlers bistand til arbeidsgivers innsyn i arbeidstakers e-postkasse - Datatilsynets avslutning av sak

Klage fra A på Datatilsynets avgjørelse om å avslutte en klagesak mot en databehandler uten nærmere undersøkelser, under henvisning til at tilsynet behandlet klage mot den behandlingsansvarlige.

A klaget til Datatilsynet etter at arbeidsgiver hadde foretatt innsyn i hennes e-postkasse Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra C, som databehandler for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot databehandleren, C. Datatilsynet avsluttet klagen mot databehandler uten nærmere undersøkelser og uten å ta stilling til realiteten, med henvisning til at Datatilsynet allerede behandlet en klage mot arbeidsgiver (behandlingsansvarlig) for den samme behandlingen av personopplysninger. A klaget på dette og saken ble oversendt nemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot den behandlingsansvarlige. Når Datatilsynet konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av As klage.

PVN-2023-16 Klage over Datatilsynets avgjørelse om å avslutte saken uten å ta stilling til om personvernforordningen er brutt

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.

Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

PVN-2023-15 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om avslutning av sak

Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om kameraovervåking fra privat bolig (nabo) uten ytterligere undersøkelser og uten å gi pålegg.

Nemnda var enig med Datatilsynet i at det ikke var sannsynliggjort at den innklagede naboen hadde montert kameraovervåkingsutstyr som innebar at det ble gjort opptak av A. Personopplysningsloven var dermed ikke brutt. Etter nemndas vurdering hadde Datatilsynet oppfylt sin utredningsplikt slik at saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynets avgjørelse om ikke å gjøre ytterligere undersøkelser var etter nemndas vurdering forsvarlig og innenfor lovens rammer. Nemnda påpekte at det må være opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å foreta befaring for å kontrollere påstander om ulovlig montert kameraovervåkingsutstyr, og at det i utgangspunktet er klagers oppgave å legge fram dokumentasjon for det forholdet som påklages. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-14 Klage over Datatilsynets avgjørelse om å avslutte sak uten å ta stilling til om personopplysningsloven er brutt

Klage fra A på Datatilsynets avgjørelse der Datatilsynet avsluttet en sak uten å foreta nærmere undersøkelser og uten å ta stilling til om As rettigheter etter personopplysningsloven var brutt.

Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

PVN-2023-13 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at det ikke foregikk ulovlig kameraovervåking etter at Datatilsynets varslede pålegg om opphør var oppfylt

Klage fra A på Datatilsynets avgjørelse der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke lenger var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a, da varslet pålegg om å avslutte overvåking av deler av eiendommen ble ansett oppfylt.

Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2. Loven gjelder likevel ikke «ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», jf. personopplysningsloven § 2 andre ledd bokstav a. På bakgrunn av partenes forklaringer og de framlagte bildene, la nemnda, som Datatilsynet, til grunn at det ikke er sannsynliggjort at noen av Bs kameraer lenger var montert slik at de overvåker As eiendom, verken hagen, huset eller inn i huset gjennom vindu eller døråpninger. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-12 Krav om innsyn i interne dokumenter, samt spørsmål om gyldig behandlingsgrunnlag for personopplysninger i en personalsak

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at en arbeidsgiver ikke hadde brutt personopplysningsloven.

Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.

PVN-2023-11 Behandling av personopplysninger om barn ved bruk av bilder i barnehage

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at X kommune hadde rettslig grunnlag for å behandle bilder av deres barn i barnehagen.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

PVN-2023-10 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Klage fra A på Datatilsynets der tilsynet avsluttet en sak om X kommunes brudd på personopplysningssikkerheten uten å ilegge kommunen en reaksjon.

En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

PVN-2023-09 Brudd på personopplysnings- og informasjonssikkerheten i Karmøy kommune - overtredelsesgebyr

Klage fra Karmøy kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 300 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23.

I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

PVN-2023-08 Klage på Datatilsynets beslutning om ikke å følge opp et varsel om brudd på personvernforordningen - avvisning

Klage fra A på Datatilsynets beslutning om ikke å følge opp et mottatt varsel om ulovlig utlevering av personopplysninger fra Arkivverket som databehandler.

Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.

PVN-2023-07 Klage på Datatilsynets avgjørelse om at det ikke var sannsynliggjort utlevering av personopplysninger fra deponerte dokumenter hos Arkivverket

Klage fra A på Datatilsynets vedtak der tilsynet kom til at det ikke var sannsynliggjort utlevering av personopplysninger fra As klientmappe i arkivet til Veiledningstjenesten til romanifolket/taterne som var deponert hos Arkivverket.

Personvernnemnda var enig med Datatilsynet i at det på bakgrunn av opplysningene i saken ikke var sannsynliggjort at det hadde skjedd noen utlevering av opplysninger fra klientmappene til Veiledningstjenesten som var deponert hos Arkivverket. Nemnda la til grunn at klientmappene befant seg i et låst skap og ble oppbevart et annet sted enn tidligere avlevert arkivmateriale fra Stiftelsen romanifolkets/taternes kulturfond og Stiftelsen til Romanifolkets/taternes senter. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-06 Retting av journalopplysninger

Klage på Datatilsynets vedtak der Datatilsynet konkluderte med at klager hadde fått oppfylt sin rett til retting og supplering av opplysninger i sønnens journal.

Personvernlovgivningen gir verken Datatilsynet eller nemnda kompetanse til å pålegge endring av innholdet i en pasientjournal. Dette gjelder både helsefaglige vurderinger og journalnotater som representerer legens referat av hva som ble sagt i en samtale med pasienten. Riktigheten av slike journalføringer må vurderes av helseforetaket, eventuelt av statsforvalteren ved klage på avslag om retting. Ved uklarhet eller uenighet om hva som ble sagt, vil supplering være aktuelt. Hvilke opplysninger som hører hjemme i en journal og hva som skal arkiveres andre steder reguleres ikke av personvernlovgivningen og kan ikke bestemmes av tilsynet eller nemnda. Nemnda viste til at sykehuset hadde lagret As innvendinger i sykehusets systemer, og at det ikke et krav at opplysningene skal suppleres direkte i journalen. A hadde dermed fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-05 Behandling av personopplysninger om barn ved bruk av videopptak i barnehage

Klage fra X kommune på Datatilsynets vedtak om å ilegge kommunen en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b, for å ha behandlet personopplysninger uten gyldig behandlingsgrunnlag, jf. artikkel 6 nr. 1, samt for ikke å ha overholdt informasjonsplikten etter artikkel 13.

En barnehageansatt tok videopptak av et barn under et sinneutbrudd i barnehagen. Formålet med opptaket var å vise det til kommunepsykologen for å gjøre de barnehageansatte bedre rustet til å møte barnet. Opptaket ble lagret på en kommunal tjenestetelefon og fremvist til de ansatte, enhetslederen og kommunepsykologen, og slettet etter 10 dager. I motsetning til Datatilsynet kom nemnda til at kommunen hadde behandlingsgrunnlag for å ta videoopptaket i artikkel 6 nr. 1 bokstav c, jf. barnehageloven og forskrift om rammeplan for barnehager. Nemnda la videre til grunn at foreldrenes samtykke dekket utleveringen av opptaket til kommunepsykologen. Nemnda var imidlertid enig med tilsynet i at kommunen ikke hadde overholdt sin informasjonsplikt overfor foreldrene, jf. artikkel 13, men at bruddet på informasjonsplikten ikke var så alvorlig at det var grunnlag for å gi kommunen en irettesettelse. Datatilsynets vedtak ble omgjort.

PVN-2023-04 Retting av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at det ikke var grunnlag for å foreta retting i et vedtak fra NAV, jf. personvernforordningen artikkel 16.

A mottok dagpenger under arbeidsløshet fra NAV. Da A søkte om støtte til etablering av egen virksomhet og opplyste at han holdt på med en masterutdanning, fattet NAV vedtak om stans i dagpengene da han ikke oppfylte vilkårene. Det viste seg senere at dagpengene ikke skulle ha vært stanset og NAV omgjorde vedtaket om stans og fattet et nytt vedtak som innvilget A dagpenger i stansingsperioden. Nemnda viste til at stansingsvedtaket ga korrekt uttrykk for det faktum NAV la til grunn på tidspunktet da vedtaket ble fattet. I de påfølgende vedtakene omgjorde NAV sin vurdering av de faktiske forholdene. Nemnda mente at det av vedtakene lest i sammenheng framkommer at A på søknadstidspunktet for dagpenger ikke var aktiv student, og at NAVs stans av dagpenger var urettmessig. Nemnda konkluderte med at dette samlet sett medfører at det ikke er registret uriktige opplysninger om A. Vilkåret for retting etter artikkel 16 var derfor ikke oppfylt og NAV kunne ikke pålegges å rette eller supplere opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-03 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak er tilsynet avviste saken under henvisning til at den falt utenfor personopplysningslovens saklige virkeområde, jf. personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket omfatter forsikringsselskapets oversendelse av saksdokumenter med helseopplysninger til en privat engasjert sakkyndig i forbindelse med behandlingen av en sivil sak for lagmannsretten. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, og at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Datatilsynet har i sin praksis lagt til grunn at unntaket også omfatter aktørenes behandling av personopplysninger i saker som behandles eller avgjøres i medhold av rettspleielovene, noe nemnda også la til grunn i sak PVN-2022-16. Det forelå ikke personvernhensyn som tilsier en innstramming av denne etablerte forvaltningspraksisen. Skulle rettspleielovunntaket bare gjelde for domstolene, og ikke aktørene som enten er parter eller representerer parter i saker for domstolen, vil unntaket ikke ha en reell betydning. Domstolen behandler ingen personopplysninger innenfor sin dømmende myndighet som ikke behandles av sakens parter. At behandlingen av en sak for domstolen er avsluttet, endrer ikke på vurderingen. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2023-02 Avvisning av klage på grunn av manglende kompetanse i sak om grenseoverskridende behandling av personopplysninger

Klage over Datatilsynets avvisning av klage fra A på grunn av manglende klagerett til Personvernnemnda i en sak om grenseoverskridende behandling av personopplysninger, jf. personopplysningsloven § 22 andre ledd andre punktum.

Datatilsynet vurderte As klage mot Equinors behandling av personopplysninger i rekrutteringsprosesser som en grenseoverskridende sak, og behandlet saken etter personvernforordningen artikkel 56 og kapittel VII. Nemnda har ikke kompetanse til å behandle klager på Datatilsynets vedtak i slike grenseoverskridende saker, jf. personopplysningsloven § 22 andre ledd. Nemnda opprettholdt Datatilsynets avvisning av klagen.

PVN-2023-01 Kredittvurdering ved bilutleie via en bildelingsplattform

Klage fra A på Datatilsynets vedtak der tilsynet kom til at Getaround (tidligere Nabobil.no) hadde rettslig grunnlag for å kredittvurdere A da han skulle leie bil via selskapets bildelingsplattform, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.

Nabobil foretok en kredittvurdering av A da han ønsket å leie bil via Nabobils digitale plattform. Han fikk ikke inngått en leieavtale på grunn av en betalingsanmerkning. Nemnda var enig med Datatilsynet i at Nabobils økonomiske interesse i å beskytte seg mot tap i forbindelse med utleie av bil utgjør en berettiget interesse og at det er nødvendig for Nabobil å kredittvurdere sine leietakere for å redusere selskapets økonomiske risiko. Nemnda sluttet seg også til Datatilsynets interesseavveining og la til grunn at Nabobils berettigede interesser i denne saken veide tyngre enn hensynet til As ønske om å verne opplysningene. Nabobils innhenting av kredittopplysninger om A i forbindelse med forespørselen om leie av bil via Nabobils digitale plattform var lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Datatilsynets vedtak ble opprettholdt.

PVN-2022-22 Grindr - utlevering av personopplysninger uten gyldig samtykke - overtredelsesgebyr

Klage fra Grindr LLC (nå Grindr Inc.) på Datatilsynets vedtak der tilsynet ila Grindr et overtredelsesgebyr på 65 000 000 kroner for å ha utlevert personopplysninger av særlig kategori, uten rettslig grunnlag, i perioden 20. juli 2018 til 7. april 2020, jf. personvernforordningen artikkel 6 nr. 1 og artikkel 9 nr. 1.

Nemnda kom til at opplysningen om at en person er en registrert bruker av dating-appen Grindr er en opplysning om en «persons seksuelle forhold eller seksuelle orientering», og at Grindrs utlevering av nevnte type opplysninger dermed innebar en behandling av opplysninger som var omfattet av forbudet i artikkel 9 nr. 1. Nemnda viste til to storkammerdommer fra EU-domstolen som støtte for sitt syn; C- 184/20 fra 1. august 2022 og C- 252/21 av 4. juli 2023. Nemnda konkluderte videre med at Grindr ikke hadde innhentet gyldig samtykke for sin utlevering av personopplysningene om brukerne til annonsepartnerne. Grindrs samtykkemekanisme, i den aktuelle perioden, var innrettet på en slik måte at brukerens samtykke verken var frivillig, spesifikt eller informert. At brukeren, etter å ha fullført registreringen fikk en mulighet til «opt out» medførte ikke at samtykket anses som frivillig. Nemnda var enig med Datatilsynet i at Grindr skulle ilegges et overtredelsesgebyr etter artikkel 83 nr. 2. Nemnda fant ingen grunn til å endre størrelsen på det fastsatte gebyret da et gebyr på 65 000 000 kroner ble ansatt nødvendig for å ha tilstrekkelig avskrekkende effekt. Overtredelsens alvor, særlig antallet registrerte som er berørt, kategorien av opplysninger som det gjaldt, at overtredelsen pågikk over nesten to år, samt at det dreide seg om en forsettlig handling hvor Grindr bevisst hadde valgt en teknisk løsning som ikke gjorde det mulig å registrere seg uten at brukeren samtidig måtte akseptere utlevering av opplysninger til analyse- og annonseselskaper til bruk for markedsføring, tilsa at overtredelsesgebyret ikke var uforholdsmessig. Datatilsynets vedtak ble opprettholdt.

Grindr tok ut stevning mot staten ved Personvernnemnda for Oslo tingrett 27. oktober 2023 med påstand om at nemndas vedtak er ugyldig, subsidiært at overtredelsesgebyret nedsettes. Staten v/Personvernnemnda ble frifunnet ved tingrettens dom 1. juli 2024 (23-160384TVI-TOSL/04).

 

PVN-2022-21 Oppreisning for oversittelse av klagefrist m.m.

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 15. mai 2022 fordi den var for sent framsatt.

Nemnda kom til at klagen skulle tas til behandling til tross for fristoversittelsen fordi A ikke kunne lastes for å ha oversittet klagefristen. Datatilsynet hadde ikke gitt A orientering om klagefristen, jf. fvl. § 27. A hadde også endt opp med å bli henvist fram og tilbake mellom Datatilsynet og statsforvalteren fordi det var uenighet om hvilken offentlig myndighet som var rett klageorgan i saken. Videre kom nemnda til at brevet til A der Datatilsynet avsluttet saken må anses som et avvisningsvedtak som gir klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter artikkel 17 nr. 1. Datatilsynet skal blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. Nemnda konkluderte med at arkivlova § 6, sammenholdt med bestemmelsene i arkivforskriftens kapittel 2, pålegger NAV å arkivere alle saksdokumenter i saker om sosialhjelp. A fikk ikke medhold i sitt krav om sletting av opplysninger i NAVs arkiv, jf. artikkel 17 nr. 3 bokstav b og d.

PVN-2022-20 Klage over Datatilsynets avgjørelse om å avslutte saken uten tiltak

Klage fra A på Datatilsynets vedtak der Datatilsynet avviste klage på tilsynets avgjørelse om å avslutte saken uten å foreta nærmere undersøkelser.

Nemnda kom til at Datatilsynets avgjørelse om å avslutte saken uten å gjøre nærmere undersøkelser eller treffe tiltak overfor NAV og kommunen er et enkeltvedtak som gir klagerett til nemnda, jf. forvaltningsloven §§ 2 og 28. Datatilsynet skulle derfor ikke avvist klagen fra A. Nemnda viste til Datatilsynets plikt til å føre tilsyn med og håndheve anvendelsen av personvernforordningen, jf. artikkel 57 nr. 1 bokstav a, og plikt til å undersøke klagens gjenstand «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Selv om tilsynet i noen grad har myndighet til å vurdere om det i det enkelte tilfellet er nødvendig å foreta nærmere undersøkelser og hvilke undersøkelser som er hensiktsmessige, kan ikke Datatilsynet fritt velge ikke å behandle innkomne klager. Nemnda uttalte at en slik begrensning i de registrertes mulighet for et effektivt rettsmiddel mot det de opplever som en ulovlig behandling av deres personopplysninger i så fall bøs utredes og reguleres nærmere i loven og viste bl.a. til Graver, Alminnelig forvaltningsrett, 5. utgave, 2019 side 389. I denne saken la nemnda til grunn at Datatilsynet hadde tatt stilling også til sakens realitet. Nemnda sluttet seg til tilsynets vurdering om at NAV og kommunens behandling av personopplysninger om A ikke var i strid med personopplysningsloven. Nemnda opprettholdt Datatilsynets vurdering av sakens realitet.

PVN-2022-19 Krav om sletting av personopplysninger i barnevernjournal

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at barneverntjenesten i X kommune ikke har brutt personopplysningsloven ved å avslå krav om sletting av opplysninger i sønnens barnevernjournal.

Opplysningen var gitt av A selv og framkommer i et journalnotat hvor barneverntjenesten redegjør for en samtale med A som oppfølging etter en bekymringsmelding. Den aktuelle barnevernssaken er avsluttet og fortsatt oppbevaring av opplysningene er nå begrunnet i arkivformål i allmennhetens interesse, jf. bestemmelsene om arkivverdig materiale i arkivlova. Riksarkivarens forskrift 19. desember 2017 nr. 2286 til arkivlova, § 7-28 niende ledd bokstav a bestemmer at «Prosedyrer, rutiner og saksbehandlingsprosesser for barnevernstjenesten, herunder håndtering av bekymringsmeldinger» skal bevares for ettertiden og ikke gjøres til gjenstand for kassasjon. Selve journalnotatet kunne derfor ikke slettes, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Nemnda kom til at heller ikke opplysningen (om at far er tater) isolert sett kunne kreves slettet. Nemnda viste til barneverntjenestens begrunnelse for å avslå retting og konkluderte med at opplysningen var nødvendig for å forstå barneverntjenestens behandling av bekymringsmeldingen. Datatilsynets vedtak ble opprettholdt.

PVN-2022-18 Klage over Datatilsynets vedtak om å omgjøre tidligere pålegg om sletting av personopplysninger hos statsforvalteren

Klage fra A på Datatilsynets vedtak der Datatilsynet, etter klage fra statsforvalteren, omgjorde tidligere vedtak om å pålegge statsforvalteren sletting av personopplysninger i sitt arkiv.

Nemnda la til grunn at Datatilsynets omgjøring av et tidligere vedtak som påla sletting av opplysninger var et nytt vedtak som ga A klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter personvernforordningen artikkel 17 nr. 1. Det innebærer at Datatilsynet blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. At den offentlige myndighetens egen vurdering av om opplysningene er nødvendig for arkivformål skal tillegges stor vekt, endrer ikke på at Datatilsynet er rette myndighet for å ta imot og behandle slettekrav etter artikkel 17. I dette tilfellet hadde statsforvalteren behandlingsgrunnlag for fortsatt lagring av personopplysningene i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3, jf. personopplysningsloven § 8 og personvernforordningen artikkel 9 nr. 2 bokstav j. Når de aktuelle personopplysningene representerer materiale som er underlagt bevaringsplikt etter arkivlova, har statsforvalteren også en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

PVN-2022-17 Nettselskapers behandling av helseopplysninger ved søknad fra kunder om fritak for installasjon av avanserte måle- og styringssystemer (AMS)

Klage på Datatilsynets vedtak om at nettselskapenes behandling av helseerklæringer har gyldig behandlingsgrunnlag.

Nemnda konkluderte med at nettselskapene har lovlig behandlingsgrunnlag for å behandle helseopplysninger ved søknad fra kunder om fritak for installasjon av AMS, jf. artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav g. Selv om avregningsforskriften § 4-1 andre ledd bokstav b kunne vært klarere formulert, gir den etter omstendighetene et tilstrekkelig nasjonalt rettsgrunnlag for behandlingen. Nemnda påpekte at kravene til utformingen av det nasjonale rettsgrunnlaget etter artikkel 9 nr. 2 bokstav g varierer etter formålet med behandlingen og avhengig av blant annet hvilket inngrep som gjøres i de registrertes rettigheter. Forskriften fastslår at nettselskapene ikke plikter til å installere AMS dersom «installasjonen er til vesentlig og dokumenterbar ulempe for sluttbruker». Nemnda kunne vanskelig se hvilke andre dokumenterbare ulemper enn helseplager som skulle gi grunnlag for fritak, og når forskriften forutsetter en konkret vurdering av helsesituasjonen av den enkelte nettkunde kan ikke det gjøres uten helseopplysninger. NVEs overordnede målsetting med innføring av AMS ivaretar viktige allmenne interesser. Nemnda vurderte helseopplysningene som behandles som relevante og nødvendige for at nettselskapene skal oppfylle sin plikt etter forskriften, og at kravet om legeerklæring ikke er et urimelig inngrep sett i forhold til det målet som søkes oppnådd, jf. artikkel 9 nr. 2. Datatilsynets vedtak ble opprettholdt.

PVN-2022-16 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak der tilsynet avviste saken under henvisning til personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-15 Avvisning av krav om retting av personopplysninger i statsforvalterens framstilling av faktum i en tilsynssak

Klage på Datatilsynets avgjørelse om å avvise et krav om retting av personopplysninger i statsforvalterens framstilling av faktum i avgjørelsen i en tilsynssak.

Nemnda la til grunn at statsforvalteren kan behandle opplysninger i tilsynssaken med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e, samt artikkel 9 nr. 2 bokstav f og at supplerende rettsgrunnlag, jf. artikkel 6 nr. 3, følger av lov om statlig tilsyn med helse- og omsorgstjenester §§ 2 og 3, samt lov om pasient- og brukerrettigheter § 7-4. Nemnda fant det klart at Datatilsynet ikke har kompetanse til å vurdere om statsforvalteren har framstilt faktum (herunder personopplysningene) korrekt eller fullstendig i sin avgjørelse i tilsynssaken, og kan heller ikke pålegge statsforvalteren å endre utformingen av denne. Det var derfor korrekt av tilsynet å avvise kravet om retting og avslutte saken uten ytterligere undersøkelser. Nemnda opprettholdt Datatilsynets avvisning av As krav om retting.

PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13. Klagen gjelder også Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.

Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale.

PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune - overtredelsesgebyr

Klage fra Østre Toten kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 4 000 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24.


Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.

PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter

Klage fra A på Datatilsynets vedtak om avvisning av klage på grunn av manglende klagerettigheter.

Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-10 Sletting av uriktige personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak 15. november 2021 om avslag på krav om sletting av personopplysninger hos NAV.

Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning - personvernforordningen artikkel 57 nr. 4

Klage fra A på Datatilsynets avgjørelse om å avvise en klage fordi anmodningen om bistand åpenbart er overdreven eller grunnløs.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.

​​​​​​​PVN-2022-08 Innsyn i elevmappe - klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn

Klage fra A på Datatilsynets vedtak 1. mars 2022 om at A ikke hadde krav på ytterligere innsyn etter personopplysningsloven, jf. personopplysningsloven § 16 første ledd bokstav e.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.


Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2022-03 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

PVN-2022-02 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 30. april 2021 om sletting av tre søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 4. oktober 2021 om å avslutte sak om ulovlig kameraovervåking hos nabo B fordi den hadde opphørt. Datatilsynet konkluderte med at kameraovervåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a, og dermed var lovlig.

Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.

PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier

Klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.

Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.

PVN-2021-20 Kameraovervåking i virksomhet - overtredelsesgebyr

Klage fra en X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.

Salongen benyttet sanntidsmonitorert kameraovervåking i virksomhetens lokaler uten å ha rettslig grunnlag for overvåkingen i perioden fra februar/mars 2019 til kameraet sluttet å virke i august samme år. Kameraet filmet både ansatte og kunder. Nemnda la til grunn at kameraet ble brukt til å overvåke de ansatte og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Kameraovervåkingen var heller ikke tydelig skiltet. Nemnda kom til at den kontinuerlige overtredelsen var alvorlig og kritikkverdig, og at virksomheten skulle ilegges et gebyr for overtredelsen. Datatilsynet hadde ilagt selskapet et gebyr på 100 000 kroner. Nemnda mente at overtredelsens alvor i utgangspunktet tilsa et høyere gebyr. Under henvisning til forvaltningsloven § 34 ble det utmålte gebyret opprettholdt. Lang saksbehandlingstid var da også hensyntatt. Nemnda la til grunn at en samlet saksbehandlingstid på 2 ½ år var for lang sett hen til sakens mangel på kompleksitet. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-19 Klage på Datatilsynets vedtak om at NAV ikke har behandlet personopplysninger ulovlig

Klage fra A på Datatilsynets vedtak 14. januar 2021 der Datatilsynet kom til at NAV ikke behandlet As personopplysninger ulovlig.

A kontaktet Datatilsynet fordi han mente at NAV hadde behandlet hans personopplysninger ulovlig i forbindelse med gjennomføringen av prosjektet «Forsøk med ny medisinsk vurdering etter seks måneders sykmelding». Forsøket ble hjemlet i en egen forskrift, med hjemmel i folketrygdloven § 25-13. A, som var en av fastlegene med pasienter som ble omfattet av forsøket, ble i vedtak fra NAV i april 2018 fratatt «retten til å praktisere for trygdens regning», jf. folketrygdloven § 25-7. I vedtaket var det også vist til medisinske journaler til pasienter som hadde deltatt i forsøket. A mente opplysninger innhentet gjennom forsøksprosjektet ikke kunne brukes til kontrollformål. Nemnda konkluderte med at innsamlingen av opplysningene i forbindelse med forsøket, måtte anses som en del av NAVs utøvelse av offentlig myndighet overfor NAVs brukere og at man ikke kunne anse forskning som det eneste formålet for innsamlingen av disse opplysningene. NAV har hjemmel i folketrygdloven til å behandle personopplysninger til kontrollformål, jf. folketrygdloven § 21-4. Selv om opplysningene opprinnelig var samlet inn for å gi pasienter riktig behandling, herunder gi en pasient sykmelding og rett til sykepenger, var en bruk av opplysningene til kontrollformål ikke uforenlig med det opprinnelige formålet. Nemnda sluttet seg til Datatilsynets vurdering om at NAVs behandling av personopplysninger om A var lovlig. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-18 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 17. august 2021 der Datatilsynet avslo krav om sletting av to søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2012 dømt til fengsel i fire år og seks måneder for blant annet grov korrupsjon. A ble også dømt til å betale erstatning til et annet selskap og fradømt retten til å drive selvstendig næringsvirksomhet på ubestemt tid. De straffbare handlingene foregikk i årene 2003 til 2010 og var knyttet til As rolle som styreleder og daglig leder i selskapet X AS. A krevde å få slettet søketreff i Google som ledet til avisartikler som omtalte straffesaken. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og at allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

PVN-2021-17 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 14. juni 2021 om sletting av søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2018 dømt til fengsel i ett år og åtte måneder for blant annet anskaffelse, oppbevaring, samt tilgjengeliggjøring av bilder, film og blader som omhandlet seksuelle overgrep mot barn. A hadde en yrkesbakgrunn som psykiater og sakkyndig i barnevernssaker og foreldretvister og fikk sin autorisasjon som psykiater tilbakekalt som følge av dommen. A krevde å få slettet enkelte søketreff på sitt navn som omtalte domfellelsen. Søketreffene som ble vurdert av Personvernnemnda ledet til private nettsteder som hovedsakelig publiserer kritiske artikler knyttet til barnevernet. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda la til grunn at retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering kom nemnda til at hensynet til As personvern veide tyngre enn allmenhetens rett til informasjon knyttet til de aktuelle søketreffene ved søk på As navn i søkemotoren. Nemnda la særlig vekt på hensynet til A og skadevirkningene søketreffene har for ham og særlig hans barn. Google ble pålagt å slette søketreffene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-16 Brudd på personopplysningssikkerheten ved Sykehuset Østfold HF - overtredelsesgebyr

Klage fra Sykehuset Østfold HF på Datatilsynets vedtak 22. oktober 2020 der sykehuset ble ilagt et overtredelsesgebyr på 750 000 kroner for brudd på personopplysningssikkerheten. I klageomgangen nedjusterte Datatilsynet gebyret til 500 000 kroner.

Sykehuset Østfold HF sendte en avviksmelding Datatilsynet i januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Avviket omfattet uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ) i årene 2015-2019. Uttrekkene fra EPJ var lister over utskrivningsklare pasienter og omfattet også særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Nemnda fastslo at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24. I likhet med Datatilsynet la nemnda til grunn i at sykehuset hadde brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for, og at sykehuset skulle ilegges et overtredelsesgebyr for bruddet. Nemnda mente at gebyret i utgangspunktet burde ligge på rundt 500 000 kroner, men reduserte dette til 400 000 kroner på grunn av den lange saksbehandlingstiden.

PVN-2021-15 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Coop i sak PVN-2021-09, jf. forvaltningsloven § 36.

Saken gjelder krav fra Coop om dekning av sakskostnader etter at Personvernnemnda i sak PVN-2021-09 ga Coop medhold i klagen på Datatilsynets vedtak og ikke ila gebyr. I vurderingen la nemnda vekt på at vedtaket i sak PVN-2021-09 ble endret til gunst for Coop og at det var forståelig at Coop pådro seg utgifter ved å søke juridisk bistand i klageomgangen. Nemnda anså timeantallet som rimelig sett hen til sakens art og vanskelighetsgrad, og tilkjente 69 000 kroner til dekning av sakskostnader, jf. forvaltningsloven § 36. En ½ time gjaldt gjennomgang av nemndas vedtak, og ble ikke dekket fordi kostnader pådratt etter nemndas vedtak ikke var nødvendige for endringen av tilsynets vedtak.

PVN-2021-14 Klage på Datatilsynets avgjørelse om at det ikke var tilstrekkelig sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen

Klage fra A på Datatilsynets vedtak 27. januar 2021 om at det ikke var sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen.

A kontaktet Datatilsynet 22. september 2019 fordi han mener at hans tidligere arbeidsgiver, X kommune foretok uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Arbeidsgiver opplyste til Datatilsynet at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, og at dokumenter som er lagret der ikke kan gjenopprettes. Arbeidsgiver framla samtidig en ekstern og uavhengig ekspertvurdering som var innhentet i forbindelse med denne saken. Datatilsynet konkluderte med at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet saken. Nemnda sluttet seg til Datatilsynets vurdering om at det ikke er tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-13 Kameraovervåking av restaurantlokaler - overtredelsesgebyr

Klage fra Basaren Drift AS på Datatilsynets vedtak 6. april 2021 der Datatilsynet ila selskapet et overtredelsesgebyr på 200 000 kroner for å ha kameraovervåket virksomhetens restaurantlokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1, for manglende informasjon til de registrerte, jf. artikkel 13, og for manglende skriftlige rutiner for kameraovervåkingen, jf. artikkel 24 nr. 2.

Nemnda la til grunn at selskapet i utgangspunktet hadde en berettiget interesse i å overvåke restaurantens lokaler. Nemnda var imidlertid i tvil om utfallet av den skjønnsmessige vurderingen av behandlingsgrunnlaget for kameraovervåkingen, jf. artikkel 6 nr. 1 bokstav f. Nemnda påpekte at utfallet av en interesseavveining etter denne bestemmelsen kan bli ulik avhengig av om framgangsmåten i arbeidsmiljøloven § 9-2 er fulgt (ettersom overvåkingen innebærer et kontrolltiltak overfor ansatte), samt om den behandlingsansvarlige kan dokumentere tilstrekkelig tekniske og organisatoriske tiltak etter artikkel 24. Selskapet erkjente at informasjonsplikten etter artikkel 13 ikke var overholdt, og at dokumentasjon av organisatoriske tiltak etter artikkel 24 ikke var på plass. Nemnda fant at bruddene på artikkel 13 og artikkel 24 var kritikkverdige, og som det var grunn til å sanksjonere, men i motsetning til Datatilsynet la nemnda til grunn at det ikke var et alvorlig brudd på personvernforordningen. Nemnda mente at gebyret for overtredelsene i denne saken burde ligge rundt 100 000 kroner. Ved den endelige fastsettelsen av gebyret la nemnda vekt på lang saksbehandlingstid hos Datatilsynet (nær tre år) med lange perioder uten framdrift, jf. PVN-2021-03. Nemnda mente at sakens omfang og kompleksitet ikke tilsa en så lang saksbehandlingstid. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda kom enstemmig til at gebyret skulle falle bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

PVN-2021-12 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak 28. april 2021 der Datatilsynet avviste As klage fra 12. mars 2021 over Datatilsynets avgjørelse 13. januar 2021 om at fastlegen ikke hadde behandlet personopplysninger om han ulovlig, på grunn av oversittet klagefrist.

Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2021-11 Innhenting av opplysninger om stedsposisjon ved elektronisk signering ved levering av fisk til fiskemottak, jf. landingsforskriften §§ 8 og 8a

Saken gjelder klage fra A på Datatilsynets vedtak 24. april 2021 om at Fiskeridirektoratet har behandlingsgrunnlag for å innhente opplysninger om stedsposisjon ved elektronisk signering av landings- og sluttseddel, jf. landingsforskriften §§ 8 og 8a.

Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-10 Klage over Datatilsynets avgjørelse om at treningssenterets kameraovervåking av inngangspartiet ikke innebar behandling av biometriske opplysninger

Saken gjelder spørsmål om lovligheten av et treningssenters bruk av kameraovervåking av inngangspartiet til treningssenteret, herunder spørsmål om kameraovervåkingen medfører behandling av biometriske opplysninger, jf. personvernforordningen artikkel 4 nr. 14.

Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.

PVN-2021-09 Utlevering av personopplysninger innsamlet ved kameraovervåking - overtredelsesgebyr

Klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha utlevert personopplysninger innsamlet ved kameraovervåking i strid med personvernforordningen artikkel 6 og artikkel 5 nr. 1 bokstav a.

Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

PVN-2021-08 Behandling av opplysninger om etnisk opprinnelse i helsejournal

Klage fra A på Datatilsynets avgjørelse 29. september 2020 om at X distriktspsykiatriske senters behandling av opplysninger om hans etniske opprinnelse var lovlig etter personvernforordningen.

A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-07 Klage over Datatilsynets avgjørelse om å avslutte saken uten realitetsavgjørelse

Saken gjelder klage fra A på Datatilsynets vedtak 1. mars 2021 der tilsynet avviste hennes klage på grunn av manglende klagerett.

A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.

PVN-2021-06 Innsyn i personopplysninger knyttet til IP-adresser

Saken gjelder klage fra A på Datatilsynets vedtak 23. mars 2021 om ikke å gi innsyn i personopplysninger knyttet til IP-adresser.

A ønsket bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som hadde logget seg på hans Microsoft hotmail-konto fra utlandet. Han ønsket også informasjon om all aktivitet på e-postkontoen for å avdekke om han var utsatt for identitetstyveri og om det var sendt ukjente e-poster i hans navn som han ikke var kjent med. Nemnda la til grunn at IP-adresser etter omstendighetene vil være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at Microsofts behandling av IP-adressene representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen. A har rett til innsyn i registrerte aktiviteter på sin e-postkonto og han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Nemnda var enig med Datatilsynet i at personvernforordningen artikkel 15 ikke gir A rett til å kreve innsyn og utlevering av andre personers personopplysninger (identiteten til personene bak IP-adressene som er knyttet til de ulike aktivitetene). Nemnda anså dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 var oppfylt, og ikke et spørsmål om Datatilsynets kompetanse.

PVN-2021-05 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 22. oktober 2020 om avslag på krav om sletting av søketreff i søkemotoren Google.

A krevde slettet et søketreff på sitt navn hos Google. Søketreffet leder til et publisert intervju fra tv-programmet «TV2 hjelper deg». I intervjuet uttaler A, som er serviceleder hos en bobilforhandler, seg om en sak hvor kjøper av en bobil krever kjøpet hevet. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

PVN-2021-04 Partsrettigheter i klagesak for oppløst aksjeselskap

Saken gjelder spørsmål om et oppløst aksjeselskap, [Firma 2] AS, eller representanter for det oppløste aksjeselskapet kan utøve partsrettigheter knyttet til klage over vedtak fra Datatilsynet 3. desember 2020 om å ilegge aksjeselskapet et overtredelsesgebyr på 100 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

Etter at Datatilsynet oversendte klagesaken til nemnda er aksjeselskapet oppløst og slettet fra enhetsregisteret i Brønnøysund. Nemnda la til grunn at et aksjeselskap etter oppløsning og sletting ikke lenger eksisterer som selvstendig rettssubjekt, og det har da i utgangspunktet heller ikke partsevne, jf. forvaltningsloven § 2 første ledd bokstav e. Nemnda fant ingen forhold som tilsa en annen vurdering. Heller ikke eier og styreleder av selskapet kunne i dette tilfellet kreve å få opptre som part. Avgjørelsen rettet seg ikke mot ham og ble heller ikke ansett direkte å gjelde ham. Det var heller ikke noe ved Datatilsynets vedtak som tilsa en ny behandling av de materielle spørsmålene i saken. Klagen ble derfor ikke tatt til behandling på grunn av manglende partsrettigheter. Det innebærer at Datatilsynets vedtak blir stående.

PVN-2021-03 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag - overtredelsesgebyr

Klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21, og for manglende informasjon, jf. artikkel 13.

Nemnda la til grunn at arbeidsgivers handlinger var å anse som en grov overtredelse av reglene, og at et overtredelsesgebyr i størrelsesorden 400 000 kroner i alle fall ikke var for strengt. Med henvisning til grunnleggende strafferettslige og forvaltningsrettslige prinsipper kom nemnda til at gebyret måtte reduseres skjønnsmessig med 150 000 kroner på grunn av tilsynets lange saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k. Etter at arbeidsgiver, på Datatilsynets anmodning, hadde redegjort for saken, tok det nærmere 16 måneder før tilsynet sendte selskapet varsel om pålegg og overtredelsesgebyr. Lang saksbehandlingstid ble av tilsynet begrunnet med begrensede ressurser. Saken var verken faktisk eller rettslig særlig kompleks, og det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn. Nemnda påpekte Datatilsynets plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet i slike saker. Nemnda opprettholdt Datatilsynets vedtak om å ilegge arbeidsgiver overtredelsesgebyr med den endring at gebyret ble satt til 250 000 kroner.

PVN-2021-02 Krav om innsyn i etterlysnings- og utleveringssak

Klage fra A på Datatilsynets avgjørelse 15. februar 2021 om avslag på krav om innsyn i internasjonal etterlysnings- og utleveringssak, jf. personopplysningsloven § 16 første ledd bokstav a og bokstav b.

A ba om innsyn i sine personopplysninger hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om A og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avslo innsynskravet. A klaget til Datatilsynet som ikke ga han medhold. Nemnda viste til at personvernforordningen artikkel 15 i utgangspunktet gir den registrerte rett til innsyn i personopplysninger som behandles om seg, men at personopplysningsloven § 16 første ledd gjør unntak fra innsynsretten i noen tilfeller. I likhet med Datatilsynet er nemnda varsom med å overprøve fagmyndighetens vurdering av hvilke opplysninger det kan gis innsyn i. Nemnda fant ikke grunn til å foreta en annerledes vurdering av det faglige skjønnet som er gjort av politi- og/eller utlendingsmyndighet. Nemnda opprettholdt Datatilsynets vedtak om å avslå As innsynskrav, jf. personopplysningsloven § 16 første ledd bokstav a og b.

PVN-2021-01 Kameraovervåking av fellesområder i et boligsameie

Klage fra et boligsameie på Datatilsynets vedtak 31. august 2020 der tilsynet påla sameiet å avslutte kameraovervåking av sameiets fellesarealer.

Nemnda kom til at sameiet hadde en berettiget interesse i å iverksette tiltak som hindrer forsøpling av sameiets egne lokaler ved at gjenstander og søppel hensettes og samles opp i fellesarealene. Nemnda fant det tilstrekkelig sannsynliggjort at dette hadde vært et problem i mange år og at flere tiltak for løse utfordringene var forsøkt uten at det hadde hjulpet. Nemnda kom til at kameraovervåking på deler av sameiets fellesarealer var et egnet, hensiktsmessig og nødvendig tiltak. Under interesseavveiningen etter artikkel 6 nr. 1 bokstav f, la nemnda til grunn at kameraovervåking av fellesarealene representerte et inngrep i personvernet til alle beboerne i sameiet. Overvåkingen skjedde i rom som er nødvendig for beboerne å oppsøke og oppholde seg i (søppelrom og i gangen utenfor beboernes boder). Personvernulempen var likevel redusert ved at overvåkingen kun skjedde i avlåste rom uten gjennomgangstrafikk og hvor beboerne ikke ville oppholde seg over tid. Overvåkingen rammet ikke allmenheten og deres bevegelse og opphold i offentlige rom. Flertallet la videre vekt på at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Nemnda konkluderte med at kameraovervåkingen var lovlig og omgjorde Datatilsynets vedtak. Dissens 6:1.

PVN-2020-24 Behandling av helseopplysninger - klage på Datatilsynets avslutning av sak uten å gi pålegg eller konstatere brudd på personopplysningsloven

Klage fra A på Datatilsynets avgjørelse 20. januar 2020 om å opprettholde sin tidligere vurdering om å avslutte behandlingen av saken uten å gi pålegg eller konstatere brudd på personopplysningsloven.

Etter Personvernforordningen artikkel 57 nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Datatilsynets undersøkelsesplikt etter forordningen gjelder «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Nemnda kom til at Datatilsynet hadde oppfylt sine forpliktelser etter personvernforordningen artikkel 57, samt oppfylt sin utrednings- og informasjonsplikt, jf. forvaltningsloven § 17. Nemnda var enig med Datatilsynet i at det, basert på sakens dokumenter, ikke var hensiktsmessig å undersøke saken nærmere, og at det ikke var framkommet opplysninger som tilsa at personopplysningsloven er brutt. Datatilsynets avgjørelse om å avslutte saken var etter nemndas vurdering forsvarlig og innenfor lovens rammer.

PVN-2020-23 Krav om retting av registrerte passeringsdata hos bompengeselskap

Klage fra A på Datatilsynets vedtak 20. desember 2018 der Datatilsynet avsluttet en sak mot bompengeselskapet Vegfinans AS om uriktige passeringsdata, uten å gi pålegg om retting.

Bomstasjonen på Bommestad på E18 ved Larvik ble satt i drift 9. mai 2018. Etter åpning ble det oppdaget at klokka på bomstasjonen gikk ca. 7 minutter feil, noe som ga tilsvarende uriktig tidsregistrering på passerende biler. Feilen ble rettet i begynnelsen av juni 2018 med virkning for nye passeringer. A klaget Vegfinans AS inn for Datatilsynet etter å ha mottatt en faktura der passeringene i mai 2018 var oppgitt med uriktig tidsregistrering. A ville ha feilen slettet eller rettet, og klaget også på manglende overholdelse av informasjonsplikten. Datatilsynet kom til at personopplysningsloven var overholdt og avsluttet saken uten å ilegge pålegg. A klaget på vedtaket. Nemnda la til grunn at retten til å kreve retting etter personvernforordningen artikkel 16 må vurderes i lys av formålet opplysningene behandles for, jf. artikkel 5 nr. 1 bokstav d. Dette har betydning for hvor langt retteplikten strekker seg, og for hvor omfattende tiltak som kreves for at den behandlingsansvarlige skal rette uriktige opplysninger. Nemnda var enig med tilsynet i at Vegfinans AS ikke skulle pålegges å rette eller slette de registrerte opplysningene. Nemnda var også enig med Datatilsynet i at den uriktige tidsregistreringen åpenbart ikke medførte noen høy risiko for As rettigheter og friheter, og at Vegfinans AS ikke brøt personopplysningsloven ved ikke å gi A informasjon om de uriktige opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-22 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 8. september 2020 der Datatilsynet kom til at Æ barneverntjenestes behandling av personopplysninger var lovlig.

I forbindelse med en undersøkelsessak etter barnevernloven i barneverntjenesten i Y knyttet til klagernes datter, D, og hennes barn, utleverte Æ barneverntjeneste opplysninger til barneverntjenesten i Y, herunder en uttalelse fra Æ barneverntjeneste der det framkommer opplysninger om oppveksten til D og barnevernets vurdering av omsorgssituasjonen i foreldrehjemmet og bakgrunnen for omsorgsovertakelsessaken den gangen. Det er spørsmål om behandlingsgrunnlag for utlevering av personopplysninger fra én barneverntjeneste til en annen, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om retting og sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved Æ barnevern er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningen artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-21 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra Flisleggingsfirma AS på Datatilsynets vedtak 25. september 2020 om ileggelse av overtredelsesgebyr på 150 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag, samt pålegg om å utbedre sine systemer for internkontroll vedrørende bruk av kredittsjekk.

A kontaktet kredittopplysningsbyrået Bisnode da hun mottok et gjenpartsbrev om at Flisleggingsfirma AS, som hun ikke hadde noe kundeforhold til, hadde kredittvurdert hennes enkeltpersonforetak. Daglig leder i flisleggingsfirmaet, som også var As nabo, hadde foretatt kredittsjekken som privatperson fordi han var bekymret for at iverksatte byggearbeider på As tomt, og ville finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene medførte problemer for han som nabo. Datatilsynet ila Flisleggingsfirmaet AS et overtredelsesgebyr på 150 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet ble også pålagt å utarbeide rutiner for innhenting av kredittvurderinger for å sikre etterlevelse av forordningen og bedre selskapets system for internkontroll. Selskapet klaget vedtaket inn for nemnda. Nemnda kom til at selskapet åpenbart ikke hadde noen berettiget interesse i å foreta en kredittvurdering av A, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er åpenbart i strid med loven og en grunnleggende krenkelse av As personvernrettigheter at daglig leder bruker firmaets onlinetilgang til Bisnode for private formål. Nemnda, som har begrenset adgang til å sette tilsynets gebyr høyere, jf. forvaltningsloven § 34 tredje ledd, mente at et gebyr på 150 000 i alle fall ikke er for høyt. Nemnda opprettholdt Datatilsynets vedtak om ileggelse av gebyr, samt pålegg om å utarbeide rutiner for bedre internkontroll ved innhenting av kredittvurderinger.

PVN-2020-20 Kameraovervåking fra privat bolig

Klage fra A på Datatilsynets vedtak 12. mai 2020 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var ulovlig etter personopplysningsloven fordi overvåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a.

A klaget på kameraovervåking fra en privat bolig i området han bor, der eier av eiendommen hadde montert to kameraer under takmønet på boligens fasade. Boligen ligger rett ut mot offentlig vei der parkeringsmulighetene langs veien er allmenn og tilgjengelig for alle. Nemnda la til grunn at personer som går langs veien, og passerer boligen der kameraene er montert, kan fanges opp av kameraene. Det samme gjelder de som parkerer langs veien utenfor boligen. Nemnda la til grunn at kameraovervåking montert på private hus ikke omfattes av unntaket for «rent personlige eller familiemessige aktiviteter», dersom overvåkingen også dekker deler av et offentlig område, jf. EU-domstolen sak C-212/13 (Ryneš). Nemnda konkluderte videre med at huseieren ikke hadde lovlig behandlingsgrunnlag idet han ikke hadde noen berettiget interesse i vedvarende overvåking av et område åpent for alminnelig ferdsel, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-19 Innhenting og publisering av kredittopplysninger i en artikkel i Bergens Tidende

Klage fra A på Datatilsynets vedtak 18. februar 2020 om at innhenting og publisering av kredittopplysninger om ham i en avisartikkel i Bergens Tidende sommeren 2019 er gjort utelukkende for journalistiske formål og dermed ikke er i strid med personopplysningsloven, jf. personopplysningsloven § 3.

Nemnda redegjør for sin forståelse av journalistunntaket i § 3 og uttaler at bestemmelsen ikke kan forstås så absolutt som ordlyden tilsier. I vurderingen av hvor langt unntaket rekker, må det i noen tilfeller foretas en avveining av hensynet til ytringsfrihet og hensynet til personvernet til den personen som omtales. Slik loven i dag lyder må dette gjøres ved en mulig innskrenkende tolkning av «utelukkende journalistisk virksomhet». Innsamlingen og publiseringen av personopplysninger i denne saken skjedde i forbindelse med en nyhetsartikkel i Bergens Tidende. Bergens Tidende er en mediebedrift med en sentral redaktørfunksjon, tilsluttet en pressefaglig selvdømmeordning. Avisens innsamling og publisering av personopplysninger i forbindelse med en nyhetsartikkel representerer kjerneområdet for journalistisk virksomhet. I en slik situasjon gir ikke personopplysningsloven § 3 rom for å foreta noen interesseavveining mellom ytringsfriheten og personvernet. Det er ikke personvernmyndighetenes oppgave å overprøve redaksjonens vurdering av denne typen nyhetsartikler, herunder hvilken informasjon som bør formidles til publikum, og hvorvidt den aktuelle informasjonen har generell samfunnsmessig interesse eller ikke. Dette gjelder uavhengig av om opplysningene som publiseres er korrekte eller ikke. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-18 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at Z barneverns behandling av personopplysninger var lovlig.

Saken gjelder barnevernet i Z kommunes behandling av personopplysninger da det ble åpnet barnevernsak etter bekymringsmelding fra Y kommune vedrørende klagernes datter C og hennes barn. Sammen med bekymringsmeldingen mottok Z barneverntjeneste blant annet et brev fra helsestasjonen i X som barneverntjenesten i Y hadde hentet inn og et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om behandlingsgrunnlag og krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at Z kommunes behandling av personopplysninger er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-17 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at barneverntjenesten i Ys behandling av personopplysninger var lovlig.

Saken gjelder barneverntjenestens innhenting og utlevering av personopplysninger i to forskjellige undersøkelsessaker knyttet til to av klagernes barn, C og D. Da C flyttet til Z sendte barneverntjenesten i Y en bekymringsmelding til Z, og oversendte samtidig et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. I et familieråd vedrørende D og hennes barn la barnevernet i Y fram opplysninger i et skriftlig innlegg, hvor det framkom at D hadde opplevd omsorgssvikt og vold fra egne foreldre. Opplysningene ble gjort tilgjengelig for alle deltakerne i møtet. Det er spørsmål om behandlingsgrunnlag, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved barneverntjenesten i Y er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter personvernforordningen artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-16 Behandling av personopplysninger på helsestasjonen

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at helsestasjonen i X kommunes behandling av personopplysninger var lovlig.

Saken gjelder utlevering av personopplysninger fra helsestasjonen i X kommune sendt til kommunens barneverntjeneste i forbindelse med en undersøkelsessak knyttet til klagernes datter C og hennes barn. De utleverte opplysningene inneholdt blant annet et over 20 år gammelt notat om C og omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om utlevering av personopplysninger fra helsestasjonen til barneverntjenesten, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at kommunes utlevering av opplysninger til barneverntjenesten var lovlig og i tråd med personvernforordningen. A og B har ikke rett til innsyn, og de registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-15 Skrivemåte for personnavn

Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.

Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter personvernforordningen artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.

PVN-2020-14 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.

Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.

PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter

Klage fra Arendal kommune på Datatilsynets vedtak 23. oktober 2019 der tilsynet nedla forbud mot behandling av personopplysninger innhentet ved bruk av kartleggingsverktøyet Spekter, og påla kommunen å slette de innhentede personopplysningene.

Datatilsynet konkluderte blant annet med at opplæringslova kapittel 9 A ikke ga tilstrekkelig supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 3. Nemnda kom til at Arendal kommune har behandlingsgrunnlag for behandlingen av personopplysninger i Spekter i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A. Nemnda la til grunn at kartleggingen i Spekter i utgangspunktet ikke etterspør særlige kategorier av personopplysninger, og skolen må derfor ikke ha behandlingsgrunnlag for innsamling av opplysningene i artikkel 9. Nemnda konkluderte videre med at kommunen ikke oppfylte de øvrige reglene i personvernforordningen, herunder prinsippene for behandling av personopplysninger i artikkel 5 nr. 1, og reglene om de registrertes rettigheter etter forordningen kapittel III. For å benytte Spekter i fremtiden må kommunen etablere internkontrolldokumentasjon og rutiner som sikrere etterlevelse av personvernforordningen, blant annet når det gjaldt informasjon til elevene og retten til innsyn.

PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven

Klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.

Datatilsynet påla annonseselskapet OpenX å redegjøre for selskapets behandling av personopplysninger knyttet til mobiltelefonapplikasjonen Grindr, jf. personvernforordningen artikkel 58 nr. 1. Kravet om redegjørelse ble sendt etter at Forbrukerrådet, i forbindelse med lansering av rapporten «Out of Control» klaget både Grindr LLC og flere annonseselskaper Grindr bruker, inn til Datatilsynet for det de mente var ulovlig behandling av personopplysninger. OpenX klaget over pålegget, jf. forvaltningsloven § 14 og anførte at Datatilsynet ikke har hjemmel for å gi et slikt pålegg. Selskapet viste til at behandlingen uttømmende er regulert av ekomloven § 2-7b og at rett tilsynsmyndighet for den behandlingen Forbrukerrådet har klaget på er Nasjonal kommunikasjonsmyndighet (Nkom). Nemnda la til grunn at selv om ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av hva en eventuell innsendt klage over virksomheten gjelder. Nemnda konkluderte med at OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt.

PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse

Klage fra X Misjonsforsamling på Datatilsynets avgjørelse 19. mars 2020 hvor tilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysninger fra kameraopptak ulovlig, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.

I forbindelse med en nabokonflikt mellom A og hennes tidligere nabo B, mente begge seg trakassert av hverandre. B varslet misjonsforsamlingens styre, hvor A var styremedlem, om det hun oppfattet som trakasserende oppførsel fra A. Hun oversendte også private kameraopptak som hun mente viste As trakasserende oppførsel til ett styremedlem C. C og forsamlingens styreformann, D, så på og lagret opptakene, samt foreviste disse til A og hennes ektemann. Opptakene ble senere slettet. På bakgrunn av det opptakene viste, stilte C og D spørsmål ved As egnethet til styrevervet og det endte med at A trakk seg fra styret. A kontaktet Datatilsynet og ba om hjelp for det hun oppfattet som svært urettferdig behandling av henne fra misjonsforsamlingen. Datatilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysningene uten gyldig behandlingsgrunnlag. Nemnda la til grunn at tilsynets irettesettelse overfor den behandlingsansvarlige, jf. artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. Misjonsforsamlingens formål med å bruke opptakene var å avklare riktigheten av innholdet i varselet de hadde mottatt om A, og undersøke de faktiske forholdene, før de tok saken opp med A. Dette var en berettiget interesse. I den konkrete interesseavveiningen etter artikkel 6 nr. 1 bokstav f, delte nemnda seg i et flertall og et mindretall (6:1). Etter flertallets syn var misjonsforsamlingens lagring og bruk av de mottatte filmopptakene nødvendig for å ivareta den berettigede interessen hos misjonsforsamlingen og hensynet til As personvern gikk etter en avveining av de ulike interessene ikke foran. Mindretallet var enig med Datatilsynet i at misjonsforsamlingen kunne oppnådd det samme formålet på en mindre inngripende måte, og at en irettesettelse var en passende reaksjon.

PVN-2020-10 Sletting av personopplysninger i barnevernssak

Klage fra A og B på Datatilsynets vedtak 20. desember 2019 der Datatilsynet blant annet avslo anmodningen om å få slettet personopplysninger i en barnevernssak i X kommune.

Etter en bekymringsmelding åpnet barneverntjenesten undersøkelsessak, innhentet opplysninger om barnas mor fra DPS uten samtykke fra henne og traff et akuttvedtak om å plassere barna midlertidig utenfor hjemmet med samtykke fra foreldrene. I vedtaket, der foreldrenes personnummer framkommer, gjengis blant annet barnas beskrivelser av voldshendelser i hjemmet. Barneverntjenesten utleverte vedtaket til beredskapshjemmet. Foreldrene klaget på barneverntjenestens behandling av deres personopplysninger. Nemnda kom til at barneverntjenesten hadde behandlingsgrunnlag for utleveringen av opplysningene i vedtaket (med unntak av personnummeret) til beredskapshjemmet i artikkel 6 nr. 1 bokstav e, sammenholdt med barnevernloven og forvaltningslovens regler om taushetsplikt, opplysningsplikt og opplysningsrett. Datatilsynets avgjørelse om ikke å ilegge noen reaksjon for ulovlig utlevering av personnummeret var ikke en avgjørelse som kunne påklages, jf. PVN-2020-07. Videre hadde barneverntjenesten behandlingsgrunnlag for å innhente helseopplysninger uten samtykke i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav b, jf. barnevernloven § 4-3 og § 6-4. Foreldrenes krav om at opplysningene i barnevernssaken skulle slettes førte ikke fram. Kommunen kunne ikke pålegges å slette disse opplysningene. Det følger både av personvernforordningen § 17 nr. 3 bokstav b (rettslig forpliktelse), jf. arkivlova § 9 bokstav d, og av personvernforordningen artikkel 17 nr. 3 bokstav d (arkivformål i allmennhetens interesse).

PVN-2020-09 Behandling av personopplysninger i AutoPASS

Klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven.

A klaget over at bompengeselskapet får lagre passeringsdata i fem år, samt at selskapet kan kreve at kundene registrerer sitt mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte tjenesten «Min side». Datatilsynet hadde i sitt vedtak lagt til grunn at det i utgangspunktet var Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med personvernforordningen. Personvernnemnda var uenig i dette og påpeker at det er Datatilsynets oppgave, som uavhengig tilsynsorgan, å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Nemnda la til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) gir behandlingsgrunnlag for å lagre opplysningene i denne tiden. Nemnda var uenig med tilsynet i at det forelå gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle en avtale) for å kreve registrering av As telefonnummer for å inngå avtale om AutoPASS-brikke eller for å benytte tjenestene på «Min side». Selv om manglende telefonnummer vil kunne gi en noe dårligere kundebehandling, må det være opp til kunden selv å velge dette. Nemnda la også vekt på at kundeforholdet med et bompengeselskap, for alle som kjører bil, skiller seg fra andre kundeforhold hvor det i langt større grad er frivillig om man ønsker å bli kunde eller ikke.

PVN-2020-08 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av treff i søkemotoren Google.

Saken gjelder klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av søketreff i søkemotoren Google. Søketreffene A krevde slettet ledet hovedsakelig til flere avisartikler som omtalte en straffesak mot A i 2014 der han ble domfelt for flere straffbare forhold. A ble i samme dom dømt til å betale erstatning og ilagt kontaktforbud mot flere personer. Handlingene han ble domfelt for var knyttet til As rolle et turoperatørselskap hvor A var eier og daglig leder. Ett søketreff A krevde slettet leder til en avisartikkel fra 2003 som omtaler As erstatningssøksmål mot en avis. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til ytrings- og informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i personvernforordningen artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom en enstemmig nemnd til at hensynet til informasjons- og ytringsfriheten veier tyngst når det gjaldt de fleste søketreffene som omtalte dommen fra 2014 og at disse søketreffene ikke skulle slettes. A fikk derimot medhold i kravet om sletting av søketreffet som ledet til avisartikkelen fra 2003, da artikkelen er svært gammel og ikke gir informasjon av betydning utover det som følger av de øvrige søketreffene som Google fortsatt vil ha rett til å presentere i den strukturerte oversikten over informasjon som framkommer ved et navnesøk på A.

PVN-2020-07 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Saken gjelder klage fra A og B på Datatilsynets avgjørelse 20. januar 2020 der Datatilsynet avsluttet en sak fra X kommune om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge overtredelsesgebyr.

A og B sendte et høringssvar i en sak etter plan- og bygningsloven der de vedla et dokument med konfidensielle helseopplysninger om A. Setningen med de konfidensielle opplysningene var sladdet av A før innsendelse, men teksten var likevel synlig. Dokumentet ble publisert på kommunens offentlige saksliste, via kommunens nettsted. A kontaktet kommunen som umiddelbart fjernet dokumentet fra nettstedet. Personvernombudet sendte avviksmelding om hendelsen til Datatilsynet. A kontaktet også Datatilsynet og viste til kommunens brudd på personvernforordningen, samt fremsatte krav om erstatning. Datatilsynet avsluttet avvikssaken overfor kommunen uten å gi pålegg eller ilegge sanksjoner. Datatilsynet avsluttet også saken overfor A og B og viste til at saken var avsluttet overfor kommunen og at de iverksatte tiltakene var vurdert som tilstrekkelige. Datatilsynet orienterte om at et eventuelt erstatningskrav må fremmes for domstolene. A og B klaget til nemnda på Datatilsynets avgjørelse. Klagen ble avvist av Personvernnemnda. I likhet med Datatilsynet henviste nemnda til domstolene som rett instans for erstatningskravet. I tillegg kom Personvernnemnda til at Datatilsynets avgjørelse om å avslutte avvikssaken – etter å ha konstatert brudd – men uten å ilegge sanksjoner eller pålegg, ikke er et enkeltvedtak som kan påklages av A og B, jf. forvaltningsloven § 2 første ledd. Valg av reaksjon er ikke en avgjørelse som retter seg mot A og B og er heller ikke bestemmende for deres rettigheter og plikter.

PVN-2020-06 Sletting av personopplysninger i kommunal journal

Saken gjelder klage fra A på Datatilsynets vedtak 16. januar 2020 der tilsynet avslo kravet om sletting av personopplysninger i to journaler hos vedtakskontoret for helse- og omsorgstjenester i X kommune.

A søkte om kommunale helse- og omsorgstjenester som følge av psykiske plager. Kommunen utarbeidet journalnotater med vurderinger av As oppfølgingsbehov. A anmodet om sletting av flere opplysninger. Kommunen imøtekom delvis slettekravet, men avslo å slette notatene i to journaler fra 2014 og 2017 under henvisning til at det var arkivpliktig materiale. A fikk anledning til å supplere journalnotatetene slik at det framkommer hva hun mener er feil. Nemnda mente at kommunen med dette har ivaretatt sin plikt til dataminimering. Nemnda la til grunn at formålet med innsamling av opplysningene opprinnelig var knyttet til kommunens behandling av As søknad om kommunale helse- og omsorgstjenester og at formålet med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste videre til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge kommunen å slette disse opplysningene, jf. personvernforordningen § 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav d, og personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-05 Sletting av personopplysninger i elevmappe

Saken gjelder klage fra X kommune på Datatilsynets vedtak 20. august 2019 der Datatilsynet påla kommunen å slette personopplysninger i elevmappen til A.

En barneskole sendte en bekymringsmelding til kommunens barne- og familietjeneste vedrørende eleven A. Opplysningene knyttet til bekymringsmeldingen ble lagret i As elevmappe i saksbehandlingssystemet ESA Sikker. Barneverntjenesten henla saken uten å iverksette tiltak. Foreldrene ba skolen om å slette alle opplysninger knyttet til bekymringsmeldingen fra elevmappen da A skulle over til ungdomsskolen. Kommunen avslo kravet om sletting, men sperret de aktuelle dokumentene slik at de ikke var tilgjengelige for ansatte. Nemnda tok ikke stilling til om det blant opplysningene som var krevd slettet også var opplysninger som er arkivpliktig etter arkivloven, jf. Riksarkivarens forskrift § 7-28. Nemnda kom til at unntaket for sletteplikt i personvernforordningen artikkel 17 nr. 3 bokstav d uansett kom til anvendelse. Etter nemndas vurdering er fortsatt lagring av opplysningene i elevmappen nødvendig for arkivformål i allmennhetens interesse og sletting av opplysningene vil gjøre det umulig eller i alvorlig grad hindre at målene med nevnte behandling nås. Målene med fortsatt lagring av opplysningene er å sikre at opplysningene ikke blir kassert før rettslige og forvaltningsmessige dokumentasjonsbehov er bortfalt. Det foreligger tvingende berettigede grunner for fortsatt oppbevaring av de aktuelle opplysningene i kommunens arkiv, som går foran den registrertes interesser, rettigheter og friheter, jf. artikkel 21 nr. 1. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-04 Påstand om mangelfull informasjon fra energiselskap - klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 29. april 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer, omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019. A ba Datatilsynet om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning. Tilsynet mente at A har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut, og avsluttet saken uten å gi pålegg eller foreta ytterligere undersøkelser. I likhet med tilsynet la nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artiklene 12, 13 og 14. Nemnda mente at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt og at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven.

PVN-2020-02 Sletting av personopplysninger på Tilsynsrådets nettside

Klage fra A på Datatilsynets vedtak 2. oktober 2019 der Datatilsynet avslo kravet om å pålegge Tilsynsrådet for advokatvirksomhet (Tilsynsrådet) å slette publiserte personopplysninger på sin nettside.

As advokatbevilling ble tilbakekalt av Advokatbevillingsnemnden i 2011. Tilsynsrådet mottok meldinger om at A fortsatt drev advokatvirksomhet og publiserte i oktober 2018 et varsel dette på sin nettside. Nemnda la til grunn at Tilsynsrådets behandling av personopplysninger ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at Tilsynsrådets behandling av personopplysninger om A har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. l bokstav e, jf. domstolloven § 225 og advokatforskriften § 1-3 og § 4-5. Nemnda la til grunn at de publiserte opplysningene er korrekte og nødvendig oppdaterte, og at publiseringen av varselet både er nødvendig og proporsjonalt for formålet. Nemnda sluttet seg til Datatilsynets konklusjon om at det foreligger tvingende eller tungtveiende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 17 nr. 1 bokstav c, jf. artikkel 21 nr. 1.

PVN-2020-01 Kameraovervåking på privat eiendom

Klage fra A og B på Datatilsynets vedtak 5. mai 2018 der tilsynet konkluderte med at kameraovervåkingen på C's eiendom har et privat formål, og at det ikke foreligger brudd på personopplysningsloven.

A og B klaget over to kameraer på naboens (Cs) eiendom som de mente overvåket dem. Tilsynet konkluderte med at kameraene ikke fanget opp klagernes eiendom og at personopplysningsloven ikke var brutt. Da nemnda fikk saken til behandling hadde C flyttet og det ene kameraet var fjernet. Nemnda la til grunn at C ikke lenger var å anse som part, jf. forvaltningsloven § 2 e, og at saken når det gjaldt C ikke lenger var aktuell. Nemnda kom til at saken kunne behandles uten at ny eier ble brakt inn som part i saken, fordi nemnda la til grunn at det ikke var sannsynliggjort brudd på personopplysningsloven forbundet med det gjenværende kameraet. Nemnda la til grunn at tilsynet hadde foretatt en forsvarlig behandling av saken. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at det monterte kameraet fanget opp områder utenfor husets egen tomt og at behandlingen dermed var omfattet av unntaket for lovens virkeområde i personopplysningsloven § 2 andre ledd bokstav a. Nemnda opprettholdt tilsynets vedtak. Saken har tidligere vært behandlet av nemnda i PVN-2016-03.

PVN-2019-16 Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 7. mai 2019 der tilsynet avslo kravet om sletting av opplysninger i As personalmappe.

Opplysningene var knyttet til en hendelse i mai 2009 hvor A ble gitt en skriftlig tilrettevisning av arbeidsgiver. Nemnda la til grunn at det aktuelle behandlingsgrunnlaget for lagringen er personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda skal ikke vurdere grunnlaget for at tilrettevisningen opprinnelig ble gitt, men skal vurdere nødvendigheten av fortsatt lagring etter at den registrerte har protestert, jf. personvernforordningen artikkel 21 nr. 1. Nemnda la til grunn at det er arbeidsgiver som har bevisbyrden for at fortsatt lagring er nødvendig og at det i dette ligger at arbeidsgiver må påvise konkrete og reelle forhold som tilsier at det foreligger «tvingende berettigede grunner», jf. også PVN-2018-11. Alvorlighetsgraden av den aktuelle hendelsen som har resultert i tilrettevisningen er da av betydning for arbeidsgivers behov for fortsatt lagring. Det samme er tiden som har gått siden den aktuelle hendelsen fant sted, og om det har vært nye hendelser senere. Nemnda konkluderte med at det ikke forelå tvingende berettigede grunner for fortsatt lagring. Det var registrert én ny tilrettevisning etter den tilrettevisningen saken gjaldt, men den gjaldt et helt annet type forhold enn hendelsen i 2009, som hadde sammenheng med en stor personlig krise. Arbeidsgiver ble pålagt å slette alle personopplysninger fra As personalmappe knyttet til den aktuelle tilrettevisningen.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2019-15 Kredittvurdering uten saklig behov - overtredelsesgebyr

Klage fra X Advokatfirma på Datatilsynets vedtak 6. mai 2019 om ileggelse av overtredelsesgebyr på 75 000 kroner for å ha foretatt kredittvurdering av et enkeltpersonforetak uten saklig behov.

A kontaktet Datatilsynet 6. juni 2017 etter å ha mottatt flere brev fra kredittopplysningsbyrået Bisnode om at X Advokatfirma hadde kredittvurdert hans enkeltpersonforetak, Y Advokatkontor. A mente X ikke hadde saklig behov for slik kredittsjekk. X bestred at advokatfirmaet har kredittvurdert enkeltpersonforetaket og viste til at de heller ikke hadde saklig grunn for det. X mente kredittvurderingene skyltes en systemsvikt hos Bisnode. Datatilsynet kom fram til at det var klar sannsynlighetsovervekt for at X foretok kredittvurderingene av As enkeltpersonforetak og ila et overtredelsesgebyr på 75 000 kroner. X Advokatfirma klaget vedtaket inn for nemnda. Nemnda fant det klart sannsynliggjort at det var foretatt kredittvurdering uten saklig behov og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 4.

PVN-2019-14 Arbeidsgivers innsyn i e-post

Klage fra A og B på Datatilsynets vedtak 11. februar 2019 der tilsynet konkluderte med at det ikke var foretatt ulovlig innsyn i As og Bs e-poster og at Bs Teamviewer-konto ikke var benyttet i strid med regelverket.

A var ansatt og B var innleid konsulent i selskapet X AS. A og B ble utleid fra X AS for å utføre oppdrag for Y AS. Ved en fisjon av selskapet Y AS ble den delen som A og B var utleid til lagt til X AS. Etter at A sa opp sin stilling og B avsluttet sitt oppdragsforhold, foretok X AS innsyn i A og Bs e-poster både med X og Ys domenenavn. Nemnda kom til at X AS hadde rettslig adgang til å foreta innsyn i A og B's e-postkasser og at innsynene i e-postkassene var nødvendig for å ivareta virksomhetens berettigede interesser. Videre mente nemnda at C, som deltok under innsynsforretningene på vegne av X AS da han var daglig leder i et tredje selskap, hadde fullmakt til å foreta innsynene i e-postkassene på vegne av X AS. Nemnda var også enig med tilsynet i at det ikke var grunnlag for å si at Teamviewer-kontoen ble benyttet i strid med regelverket. Nemnda opprettholdt Datatilsynets vedtak om at det ikke hadde skjedd brudd på personopplysningsloven.

PVN-2019-12 Klage på Datatilsynets avslutning av sak uten å gjøre nærmere undersøkelser eller gi ytterligere sanksjoner

Klage fra A på Datatilsynets vedtak 24. september 2019 der tilsynet besluttet å avslutte saken uten å gjøre nærmere undersøkelser eller gi pålegg overfor universitetet X.

Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila universitetet X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger om at en students (As) skikkethet til psykologistudiet var til behandling i Skikkethetsnemnda. A henvendte seg til Datatilsynet på nytt i 2018 og mente at X var skyldig i ytterligere brudd på personopplysningsloven som ikke var omfattet av det tidligere ilagte overtredelsesgebyret, at universitetet hadde gitt uriktige opplysninger til Datatilsynet, samt at reaksjonen i 2016 ikke var streng nok. Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser. Nemnda kom til at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven. Nemnda viste til at et gebyr for et lovbrudd i 2014 nå i 2019 var foreldet etter personopplysningsloven § 28, jf. § 33. I likhet med tilsynet la nemnda til grunn at X hadde gjennomført tiltak for å unngå at slike konfidensialitetsbrudd skjer igjen. Nemnda bemerket at A uansett ikke er klageberettiget når det gjelder Datatilsynets valg av reaksjon for å ha overtrådt personopplysningsloven.

PVN-2019-11 Påstand om urettmessig oppslag i pasientjournal - klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets avgjørelse 27. mars 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A kontaktet Datatilsynet fordi hun mistenkte at noen urettmessig hadde gjort oppslag i hennes pasientjournal ved et sykehus. Datatilsynet veiledet A i hvordan hun skulle få innsyn i hvilket helsepersonell som hadde gjort oppslag journalen, samt informerte henne om at Fylkesmannen var rett klageinstans dersom hun mente det var gjort urettmessige oppslag. Datatilsynet fant ikke konkrete holdepunkter for at det var foretatt oppslag som ikke var begrunnet i tjenstlig behov, eller at det var generelle mangler ved tilgangsstyringen ved sykehuset. Nemnda var enig med tilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling hvem som har tjenstlig behov for oppslag i pasientjournal etter helsepersonelloven. Nemnda konkluderte med at Datatilsynet hadde etterkommet As anmodning og oppfylt sine forpliktelser etter personvernforordningen artikkel 57 og forvaltningsloven § 17. Datatilsynets avslutning av saken var forsvarlig og i tråd med loven.

 

PVN-2019-09 Publisering av bilde fra overvåkingskamera på Facebook - overtredelsesgebyr

Klage fra gullsmedforretningen A på Datatilsynets vedtak 21. januar 2019 om ileggelse av overtredelsesgebyr på 50 000 kroner for publisering på Facebook av et bilde gjort ved kameraovervåking.

En gullsmedforretning, A, publiserte et bilde på Facebook fra et overvåkingskamera. Bildet viste en identifiserbar person og var tatt i forbindelse med et tyveri av julepynten utenfor forretningen i desember 2017. Nemnda kom til at saken skulle behandles etter personopplysningsloven 2018. Personopplysningsloven 2018 og GDPR åpner for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000 § 39 og må derfor anses som gunstigere, jf. personopplysningsloven § 33. Nemnda vurderte om A hadde behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse), og konkluderte etter en interesseavveining, med at den registrertes interesse gikk foran og krevde vern av opplysningene. Ved utmålingen av gebyr etter GDPR artikkel 83 var det i denne saken nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen var begått i desember 2017 (dvs. før personopplysningsloven 2018 og GDPR trådte i kraft). Nemnda opprettholdt Datatilsynets vedtak om å ilegge A et overtredelsesgebyr på 50 000.

PVN-2019-08 Innsyn i personopplysninger i mobilabonnement etter ID-tyveri

Klage fra A på Datatilsynets vedtak 23. januar 2019 om ikke å gi telefonselskapet B pålegg om å gi han innsyn etter GDPR artikkel 15.

A ble kjent med at en ukjent person urettmessig hadde brukt hans fødselsnummer til å opprette et kontantkortabonnement. A sperret telefonnummeret umiddelbart og anmeldte forholdet til politiet, men politiet henla saken. A ba om innsyn i opplysninger som var knyttet til abonnementet (bl.a. datatrafikk, samtalelogg, sms’er). Mobilselskapet avslo begjæringen. A klaget til Datatilsynet som avsluttet saken uten ytterligere tiltak med henvisning til at A ikke hadde krav på innsyn i etter GDPR artikkel 15. Nemnda var enig med tilsynet i at GDPR artikkel 15 ikke ga A rett til innsyn. Selv om et fødselsnummer entydig er knyttet til en person, var det i dette tilfellet på det rene at As fødselsnummer var misbrukt av noen andre og at de personopplysningene som eventuelt fremkom i tilknytning til det opprettede abonnementet hos mobilselskapet ikke var personopplysninger om A, men personopplysninger om den som hadde opprettet mobilabonnementet. Nemnda opprettholdt Datatilsynets vedtak om ikke å gi pålegg om innsyn.

PVN-2019-07 Retting og sletting av personopplysninger i personalmappe

Klage fra A på Datatilsynets vedtak 11. juli 2018 om ikke å pålegge retting eller sletting av personopplysninger i hennes personalmappe hos arbeidsgiver.

Klageren i saken, A, er involvert i en arbeidskonflikt med ledelsen som har vart over flere år. I likhet med Datatilsynet fant nemnda at det ikke var grunnlag for å pålegge å slette eller rette personopplysningene i As personalmappe. Nemnda sluttet seg til tilsynets vurdering om at det adekvate alternativet er supplering, noe det var gitt anledning til. Videre la nemnda til grunn at arbeidsgivers behandling av As personopplysninger var nødvendig for å ivareta arbeidsgivers berettigede interesse i å håndtere og dokumentere sakshistorikken i arbeidsforholdet og den pågående arbeidskonflikten, jf. GDPR artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet. Nemnda la også til grunn at arbeidsgiverens oppbevaring av personopplysningene var forsvarlig, og at det ikke forelå brudd på reglene om personopplysningssikkerhet, jf. GDPR artikkel 32.

PVN-2019-06 Utlevering av personopplysninger

Klage fra A på Datatilsynets vedtak 21. desember 2018 om å avslutte behandlingen av en sak om X kommunes behandling av personopplysninger, uten å gi pålegg.

Saken har sin opprinnelse i en bekymringsmelding som ble sendt fra en skole til barneverntjenesten i kommunen. Skolen var bekymret over foreldrenes konfliktfylte forhold til skole og lokalmiljø. Barnevernet avsluttet saken uten å iverksette tiltak. Foreldrene kontaktet Datatilsynet og klaget over kommunens/skolens behandling og utlevering av opplysninger. Nemnda la til grunn at kommunen/skolen hadde behandlingsgrunnlag for å behandle personopplysninger i anledning bekymringsmeldingen, og var enig med Datatilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling til grunnlaget for bekymringsmeldingen. Nemnda la videre til grunn at kommunen/skolen ikke brøt personopplysningsloven i sin interne og eksterne kommunikasjon rundt bekymringsmeldingen, samt at Datatilsynet hadde foretatt tilstrekkelige undersøkelser i saken og oppfylt sin plikt etter GDPR artikkel 57.

PVN-2019-05 Innsyn i personalmappe

Klage fra A på Datatilsynets vedtak 22. januar 2019 om å avslutte behandlingen av en innsynssak uten å gi pålegg.

En tidligere ansatt (A) i en fylkeskommune ba om innsyn i opplysninger i egen personalmappe. Han ba også om informasjon om en rekke forhold knyttet til behandlingen av hans personopplysninger. Datatilsynet undersøkte saken og fant at A hadde fått det innsynet og den informasjonen han har krav på etter GDPR artikkel 15. I tillegg informerte og veiledet Datatilsynet A om hans rett til å be om innsyn hos fylkesmannen i anledning en klagesak som var sendt dit. En samlet nemnd var enig med Datatilsynet i at fylkeskommunen hadde etterkommet As anmodning og gitt ham innsyn. Nemnda la videre til grunn at Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg var forsvarlig og innenfor lovens rammer, jf. GDPR artikkel 57 nr. 1 bokstav f.

PVN-2019-04 Feilsending av eksamensbesvarelse - klage på Datatilsynets avslutning av sak etter begrensede undersøkelser

Klage fra A på Datatilsynets vedtak 10. januar 2019 om å avslutte behandlingen av en sak vedrørende Høgskolen i X sin håndtering av en avviksmelding om en eksamensbesvarelse som ble sendt til feil person.

En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. GDPR artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.

PVN-2019-03 Innsyn i personopplysninger i et dødsbo under offentlig skifte – klage over Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 12. oktober 2018 om å avslutte behandlingen av en sak vedrørende begjæring om innsyn i personopplysninger i et dødsbo under offentlig skifte.

Saken gjelder spørsmål om rett til innsyn i personopplysninger i et dødsbo under offentlig skifte, og rekkevidden av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b.

I forbindelse med offentlig skifte av dødsboet til As foreldre, henvendte A seg til bobestyreren å ba om innsyn i sakens dokumenter og en komplett dokumentliste, samt om innsyn i opplysninger om seg selv. Bobestyreren henviste A til Oslo byfogdembete (OBYF), som sendte A en utskrift av sakens dokumentliste, og ba A opplyse hvilke dokumenter han ønsket kopi av. Byfogden opplyste samtidig at begjæring om innsyn etter personopplysningsloven måtte sendes i egen henvendelse til byfogdembete. A klaget til Datatilsynet, som konkluderte med at skifteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at tilsynet derfor ikke har kompetanse til å forfølge saken. Tilsynet avsluttet sin saksbehandling og la til grunn at As innsynsrettigheter ville bli ivaretatt av OBYF. A klaget vedtaket inn for nemnda. Nemnda kom til at domstolens behandling av personopplysninger i et dødsbo under offentlig skiftebehandling er omfattet av personopplysningsloven og ikke omfattet av rettspleielovunntaket i § 2 andre ledd bokstav b. Det var likevel forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at As innsynsrettigheter ville bli ivaretatt av Oslo byfogdembete ved henvendelse dit.

PVN-2019-02 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 3. oktober 2017 der tilsynet avslo anmodningen om å pålegge sletting av søketreff i søkemotoren Google.

Klage på Datatilsynets avslag på anmodning om å pålegge Google å slette søketreff ved søk på As navn. Søketreffene ledet til flere nyhetsartikler som omtalte en straffesak mot A i 2013/2014 der han, mens han praktiserte som advokat, ble domfelt for flere grove bedragerier. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i GDPR artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom nemnda til at As rett til personvern veide tyngst. Nemnda la vekt på at det hadde gått lang tid siden de straffbare handlingene ble begått (8–14 år siden), og at det var lenge siden domfellelsen (seks år). A praktiserer ikke lenger som advokat og han ble vurdert å ha en mindre rolle i bedrageriene. Det ble videre vektlagt at A opplever søketreff til de publiserte opplysningene svært belastende, samt at det dreier seg om opplysninger som er omfattet av GDPR artikkel 10.

PVN-2019-01 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Legelisten.no, jf. forvaltningsloven § 36.

Saken gjelder Legelistens krav på dekning av sakskostnader etter at Personvernnemnda i vedtak 21. januar 2019 i sak PVN-2018-14 ga Legelisten delvis medhold i sin klage på Datatilsynets vedtak, ved at tilsynets vedtak ble omgjort på to punkter. Omgjøringen var samsvar med Legelistens subsidiære anførsel i klagen. Det totale kravet på kroner 248 972,80 omfattet salærutgifter til prosessfullmektig for 80 timers arbeid utført i perioden 9. mars 2017 til 24. januar 2019, totalt kroner 173 972,80, samt et skjønnsmessig fastsatt beløp på kroner 75 000 for Legelistens eget arbeid med saken. Nemnda la til grunn at vedtaket i sak PVN-2018-14 ble endret til gunst for Legelisten og at det var forståelig at Legelisten pådro seg vesentlige utgifter ved å engasjere juridisk bistand i forbindelse med klagen over Datatilsynets vedtak i en så omfattende og prinsipiell sak. Nemnda anså 50 000 kroner til prosessfullmektigens bistand som nødvendig for å få endret vedtaket, men øvrig arbeid ikke var nødvendig, jf. forvaltningsloven § 36. Legelistens godtgjørelse for eget arbeid ble ikke dekket.

Personvernnemndas vedtak ble påklaget til Kommunal- og moderniseringsdepartementet. Departementets vedtak finner du her: Endelig vedtak om delvis dekning av sakskostnader fra KMD.

PVN-2018-20 Anmodning om oppsettende virkning – Legelisten.no (beslutning)

Anmodning fra Legelisten.no om oppsettende virkning (utsatt iverksettelse) av deler av Datatilsynets vedtak 8. november 2017, jf. forvaltningsloven § 42. Det ene vedtakspunktet gjaldt dispensasjon fra konsesjonsplikten etter personopplysningsloven 2000. Ettersom konsesjonsplikten etter personopplysingsloven 2018 har falt bort, fant nemnda det ikke nødvendig å gi oppsettende virkning for dette vedtakspunktet. Nemnda vil imidlertid ta stilling til om Legelisten.no har behandlingsgrunnlag for sin behandling av personopplysninger ved realitetsbehandling av saken. Når det gjaldt utsatt iverksettelse av Datatilsynets vedtakspunkt om pålegg om sletting av e-postadressen til pasienter som har inngitt vurdering av helsepersonell på nettsiden Legelisten.no, hadde Legelisten.no anført at slettingen ville innebære en uopprettelig skade. Nemnda viste til at dersom Legelisten.no sin klageadgang på Datatilsynets vedtak skal være reell, var det grunnlag for å beslutte utsatt iverksettelse av dette vedtakspunktet i Datatilsynets vedtak.

PVN-2018-19 Begjæring om retting og sletting i politioperativt register – avvisning av sak

Klage fra A på Datatilsynets avgjørelse 25. januar 2018 der tilsynet avsluttet sak om retting og sletting i politioperativt register, uten å gi pålegg.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO).

En privatperson (A) ba om at alle opplysninger om han fra en rettsak i tingretten og lagmannsretten hvor A var fornærmet, ble slettet. Han ba også om at en bekymringsmelding fra et familiemedlem vedrørende As psykiske helse ble slettet, samt opplysninger fra en hendelse på toget hvor politiet ble tilkalt på grunn av en melding om en beruset passasjer. As begjæring om sletting og retting av opplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Den delen av klagen som gjaldt sletting av opplysninger i PO fra straffesaken ble avvist av nemnda fordi Datatilsynets kompetanse i straffesaker er begrenset til eventuelt å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. De øvrige opplysningene ble ansett for å være opplysninger utenfor straffesak. For slike opplysninger har tilsynet påleggskompetanse etter politiregisterloven § 60 første ledd. Nemnda la til grunn at politiregisterloven § 60 må forstås slik at det kun er tilsynets vedtak om pålegg som kan klages inn for nemnda. Når tilsynet hadde funnet at opplysningene om A var behandlet i samsvar med politiregisterloven og konkludert med at behandlingen er lovlig, kan ikke tilsynets vurdering påklages til nemnda etter politiregisterloven § 60. Nemnda aviste saken.

PVN-2018-18 Klage over Datatilsynets pålegg om anonymisering av enkelte personopplysninger på Internett

Klage fra A på Datatilsynets vedtak 9. mars 2018 om å anonymisere utvalgte ytringer på nettstedet http://offentlig.info (offentlig.info) på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven 2000 § 11 bokstav a, jf. §§ 8 og 9 og 46 siste ledd.

Saken gjelder spørsmål om enkelte uttalelser om enkeltpersoner på et nettsted er vernet av unntaket for journalistiske, kunstneriske eller litterære ytringer i personopplysningsloven 2018 § 3.

En tidligere avskjediget ansatt (A) i en fylkeskommune, har skrevet negative kommentarer om fylkeskommunen og enkelte ansatte på et nettsted og i fire ulike e-bøker. Han har blant annet publisert ulike offentlige dokumenter knyttet til rettslige prosesser han har vært part i, sammen med egne kommentarer og vurderinger av det som har skjedd. E-bøkene er også utgitt i papirversjon. Datatilsynet påla A å slette/anonymisere enkelte personopplysninger på nettstedet, samt i en av e-bøkene. Den aktuelle e-boka har tilsvarende innhold som nettstedet, i pdf-format. De øvrige tre e-bøkene ble vurdert å være omfattet av unntaket i personopplysningsloven 2000 § 7. Nemnda kom til at også de aktuelle personopplysningene på nettstedet og i den fjerde e-boka var vernet av unntaket i personopplysningsloven 2018 § 3. Nemnda uttaler at man med bakgrunn i § 3 ikke kan foreta en detaljregulering av innholdet og layouten på en nettside, hvor de samme personopplysningene tillates i én kontekst, men ikke i en annen. Nemnda påpeker at personopplysningsloven ikke nødvendigvis er det ideelle rettsgrunnlaget for å forfølge denne typen saker. Samme saksforhold har også vært behandlet av nemnda tidligere i PVN-2017-06.

PVN-2018-17 Begjæring om retting og sletting i politioperativt register – avvisning av sak

Klage fra A på Datatilsynets avgjørelse 12. desember 2017 der tilsynet avsluttet sak etter å ha konkludert med at politiets behandling av opplysninger var i samsvar med politiregisterloven.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO). Etter en trafikkontroll hvor politiet mistenkte A for ruspåvirket kjøring, ble opplysninger fra hendelsen registrert i PO. As førerkort ble midlertidig beslaglagt, men utlevert senere samme dag. Saken ble senere henlagt av politiet. As begjæring om retting og sletting av personopplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Nemnda viste til at mistanke om ruspåvirket kjøring og midlertidig beslag av førerkort er saker som behandles etter straffeprosessloven og at Datatilsynets kompetanse i slike saker er begrenset til å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi anmerkning eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda aviste saken.

PVN-2018-16 Arbeidsgivers tilgang til arbeidstakers e-post - overtredelsesgebyr

Klage fra en arbeidsgiver på Datatilsynets vedtak 7. desember 2017 om ileggelse av overtredelsesgebyr på 75 000 kroner for ulovlig innsyn i og manglende sletting av tidligere arbeidstakers e-post.

Saken gjelder spørsmål om arbeidsgivers innsyn i og sletting av arbeidstakers e-postkonto, jf. personopplysningsforskriften 2000 § 9-2 og § 9-4, og spørsmål om overtredelsesgebyr, jf. personopplysningsloven (2000) § 46.

I oppsigelsestiden innførte arbeidsgiver en fraværsassistent på arbeidstakerens (A) e-postadresse som innebar at e-poster sendt til A ble direkte videresendt til firmaets e-postadresse «[firmapostkasse]». A kontaktet Datatilsynet og klaget på at arbeidsgiveren ikke hadde avsluttet og slettet e-postkassen hans. Datatilsynet ila overtredelsesgebyr på 75 000 kroner. Arbeidsgiveren klaget vedtaket inn for nemnda. Nemnda redegjorde for den bevisvurdering som skal foretas i saker om overtredelsesgebyr. Basert på den fremlagte dokumentasjonen la nemnda, med klar sannsynlighetsovervekt, til grunn at As e-postkasse automatisk ble viderekoblet til virksomhetens e-postkasse i nesten ett år og ni måneder etter at arbeidsforholdet ble avsluttet, og at viderekoblingen var å anse som ulovlig innsyn i As e-postkasse. En samlet nemnd konkluderte med at det var en grov overtredelse av personopplysningsforskriften 2000 §§ 9-2 og 9-4, og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 46.

PVN-2018-15 Sletting av personopplysninger i personalmappe etter avsluttet arbeidsforhold

Klage fra A på Datatilsynets vedtak 23. april 2018 om avslag på krav om sletting av dokumenter i personalmappe hos X videregående skole og Y fylkeskommune.

Saken gjelder spørsmål om lærer A, etter avslutning av arbeidsforholdet, kan kreve at tidligere arbeidsgiver (X/Y) sletter dokumenter fra hans personalmappe med opplysninger om en arbeidskonflikt A var involvert i da han arbeidet der. Etter at arbeidsforholdet var avsluttet har A tatt ut søksmål mot X/Y. Datatilsynet avslo As begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR) og redegjorde nærmere for sitt syn på lovvalget. Nemnda fastslo at arbeidsgivers opprinnelige behandlingsgrunnlag for lagringen var personaladministrasjon, jf. GDPR artikkel 6 nr. 1 bokstav f, men etter at A avsluttet arbeidsforholdet var begrunnelsen for fortsatt lagring endret til skolens behov for å dokumentere saksbehandlingshistorikken. Nemnda la til grunn at den nye bruken av opplysningene er forenlig med det opprinnelige formålet, jf. GDPR artikkel 6 nr. 4, jf. artikkel 5 nr. 1 bokstav b og c. Nemnda viste til at A har en pågående klagesak mot X/Y i Diskrimineringsnemnda der A mener seg utsatt for aldersdiskriminering. Nemnda konkluderte med at fortsatt lagring er nødvendig for å ivareta X/Ys berettigede interesser, jf. GDPR artikkel 6 nr. 1 bokstav f, og avslo As krav om sletting.

PVN-2018-14 Behandling av personopplysninger på nettstedet Legelisten.no

Saken gjelder flere spørsmål knyttet til om behandlingen av personopplysninger på nettstedet Legelisten.no er i tråd med personopplysningsloven 2018 og GDPR.

Nemnda konkluderer blant annet med at Legelisten.no er behandlingsansvarlig for alle person­opplysningene som behandles på nettstedet, og at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Nemnda konkluderer videre med at Legelisten.no ikke skal pålegges å offentliggjøre identiteten til brukere som sender inn vurderinger av helsepersonell til nettstedet. Nemnda kom til et annet resultat enn Datatilsynet på to punkter; hvorvidt samtykke er gyldig behandlingsgrunnlag for å samle inn og lagre e-postadresser til brukere som sender inn vurderinger av helsepersonell, og hvorvidt Legelisten.no har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helsepersonellet gis en generell reservasjonsadgang. På disse punktene delte nemnda seg i et flertall og et mindretall (5:2).

Nemndas flertall konkluderer med at Legelisten.no har gyldig samtykke fra de som sender inn vurderinger av helsepersonell til også å samle inn og lagre deres kontaktinformasjon (e-post­adresse). Det samme flertallet konkluderer videre med at Legelisten.no har behandlings­grunnlag for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Den berettigede interessen til Legelisten.no i å formidle brukernes subjektive ytringer veier, etter en bred interesseavveining, tyngre enn hensynet til helsepersonellets personvern.

Legeforeningen brakte vedtaket inn for domstolene med påstand om at nemndas vedtak var ugyldig. Staten v/Personvernnemnda ble frifunnet i tingretten ( TOSLO-2019-98312), anken forkastet av lagmannsretten (LB-2020-18230) og anken forkastet av Høyesterett (HR-2021-2403-A).

PVN-2018-13 Sletting av personopplysninger i fylkesmannens arkiv

Klage fra A på Datatilsynets vedtak 17. april 2018 om avslag på krav om sletting av saksdokumenter i arkivet til Fylkesmannen i X.

Saken gjelder spørsmål om en privatperson (A) kunne kreve å få slettet sine personopplysninger fra fylkesmannens arkiv. Dokumentene, som inneholder opplysninger om As helse og innleggelse på psykiatrisk avdeling, er knyttet til en klagesak på en kommunelege som fylkesmannen tidligere hadde behandlet. Datatilsynet, som ikke ga A medhold i kravet om sletting, vurderte saken etter personopplysningsloven 2000. Nemnda redegjorde for lovvalgsspørsmålet, og vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). I likhet med Datatilsynet konkluderte nemnda med at fylkesmannen ikke kunne pålegges å slette dokumentene selv om A hadde protestert mot behandlingen, jf. GDPR artikkel 17 nr. 3 bokstav d. Nemnda la vekt på at Riksarkivaren var hørt og hadde uttalt at fortsatt lagring var nødvendig ut fra rettssikkerhetshensyn, arkivformål og forskningsformål. Nemnda fant at fylkesmannen har behandlingsgrunnlag for fortsatt lagring av opplysningene til arkivformål i allmennhetens interesse, jf. GDPR artikkel 6 nr. 1 bokstav e, jf. personopplysningsloven 2018 § 8 og GDPR artikkel 9 nr. 2 bokstav j.

PVN-2018-12 Publisering av saksframlegg på kommunens nettside

Klage på at X kommune har gitt allmennheten innsyn i personopplysninger ved å publisere på Internett kommunens saksframlegg til et kommunestyremøte. Saksframlegget inneholdt personopplysninger som klagerne anfører var taushetsbelagte.

Saken gjelder en kommunes publisering av et saksframlegg til et kommunestyremøte på kommunens nettside som inneholdt opplysninger om mulig personalsak mot tre av kommunens ansatte, som alle hadde sluttet seg til en varslersak knyttet til rådmannens lederstil. De tre ansatte, som var omtalt med navn i saksframlegget, mente publiseringen innebar et brudd på personopplysningsloven og at de publiserte personopplysningene var taushetsbelagte etter forvaltningsloven. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fant i likhet med Datatilsynet at saksframlegget ikke inneholdt sensitive personopplysninger og konkluderte med at det ikke var skjedd en utlevering av personopplysninger som omfattes av bestemmelsene i personopplysningsloven 2018. Nemnda var enig med Datatilsynet i at de ikke hadde kompetanse til å vurdere hvorvidt kommunens tolkning av taushetspliktbestemmelsene i forvaltningsloven var korrekt eller ikke. I vedtaket uttaler nemnda seg om innsyn i offentlige dokumenter og forholdet mellom personopplysningsloven (både 2000-loven og 2018-loven) og offentleglova.

PVN-2018-11 Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 16. november 2017 om avslag på begjæring om sletting av personopplysninger i personalmappe hos X.

Saken gjaldt en statlig arbeidstaker (A) som hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i personalmappen. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det det behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.

PVN-2018-10 Utlevering av kundeopplysninger fra NextGenTel AS – klage over Datatilsynets avslutning av sak uten å gi pålegg

Klage fra A på Datatilsynets vedtak 16. april 2018 om å avslutte saken fordi Datatilsynet ikke fant at det forelå brudd på personopplysningsloven 2000, samt at de opplysningene som forelå ikke foranlediget nærmere undersøkelser fra tilsynet.

Saken gjelder spørsmål om bredbåndselskapets NextGenTels behandling, herunder utlevering, av As kundeopplysninger. A står registrert i folkeregisteret med «Sperret adresse -FORTROLIG», som innebærer at hennes adresse og telefonnummer ikke skal legges ut offentlig, heller ikke utleveres til nummeropplysningstjenester. NextGentel avsluttet kundeforholdet til A i 2016 etter å ha blitt ilagt overtredelsesgebyr av Datatilsynet for utlevering av hennes personopplysninger, gjennomgått rettsprosesser og inngått flere forlik med A, som også innebar erstatningsutbetaling for urettmessig utlevering av personopplysninger. A brakte saken inn for Datatilsynet igjen og anførte at saken gjaldt spørsmål om hvorvidt NextGenTel hadde solgt hennes personopplysninger. Tilsynet avsluttet saken uten å gi pålegg. Nemnda la som Datatilsynet til grunn at personopplysningsloven 2000 og 2018 ikke skiller mellom salg eller annen utlevering av personopplysninger, men at det avgjørende er om det foreligger behandlingsgrunnlag for den behandlingen av personopplysninger den behandlingsansvarlige foretar. Nemnda konkluderte med at NextGenTels behandling av As personopplysninger da hun var kunde var tilstrekkelig og forsvarlig vurdert av Datatilsynet. Det forelå ingen nye brudd på personopplysningsloven. Det var heller ikke behov for ytterligere undersøkelser fra tilsynets side.

PVN-2018-09 Dekning av sakskostnader, jf. forvaltningsloven § 36

Krav om dekning av sakskostnader fra Nobina Norge AS, jf. forvaltningsloven § 36.

I Personvernnemndas sak PVN-2017-18 vurderte nemnda klage fra Nobina Norge AS over Datatilsynets vedtak 13. februar 2017, der Datatilsynet konkluderte med å ilegge Nobina et overtredelsesgebyr etter personopplysningsloven § 46. I Personvernnemndas vedtak 20. mars 2018 fikk Nobina Norge AS medhold i sin klage på Datatilsynets vedtak. I foreliggende sak tok nemnda stilling til om Nobina Norge AS skulle tilkjennes dekning av sakskostnader etter forvaltningsloven § 36. Advokaten hadde fremlagt en detaljert timeliste på totalt 14 timer. Nemnda la til grunn at vedtaket var endret til gunst for Nobina Norge AS, og kom frem til at forvaltningslovens vilkår om dekning av sakskostnader var oppfylt. Nemnda konkluderte med at kravet på 14 timer var rimelig, og tilkjente full dekning av sakskostnadene, jf. forvaltningsloven § 36.

PVN-2018-08 Begjæring om innsyn i politioperativt register - Avvisning av klage

Klage fra A på Datatilsynets beslutning 7. juli 2017 om avslutning av sak om innsynsbegjæring.

Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.

PVN-2018-07 Sletting av søketreff i søkemotoren Google

Saken gjelder klage fra Google Inc./Google Norway på Datatilsynets vedtak 6. juni 2017 der Google fikk pålegg om sletting av søketreff i søkemotoren Google.

En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A's begjæring om slette et søketreff fra søkemotoren Google som inneholdt A's navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende.

Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A's navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.

PVN-2018-06 Begjæring om innsyn

Klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring.

Dissens (5-1).
Saken gjaldt klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.

PVN-2018-05 EILO-registeret - Behandlingsgrunnlag

Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).

Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.

PVN-2018-04 Begjæring om innsyn

Klage fra en privatperson på Datatilsynets vedtak 5. desember 2017 om avslutning av sak om innsynsbegjæring.

En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.

PVN-2018-03 Nasjonalt tvillingregister - Behandlingsgrunnlag

Klage over Datatilsynets avslag på søknad fra Folkehelseinstituttet om endring av konsesjon til behandling av personopplysninger i Nasjonalt tvillingregister.

Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.

PVN-2018-02 Sletting av personopplysninger i barnevernjournal

Klage over Datatilsynets avslag på krav om sletting av personopplysninger i barnevernjournal

Dissens.
En privatperson ønsket slettet enkelte bekymringsmeldinger og journalnotater i hans datters barnevernjournal, jf. personopplysningsloven §§ 27 og 28. Nemndas flertall kom til at klagen ikke skulle tas til følge. En samlet nemnd mente det skulle være høy terskel for å fatte vedtak om sletting av personopplysninger i barnevernjournal. Nemndas flertall mente at personvernhensynene var tilstrekkelig ivaretatt gjennom sakens samlede fremstilling og fant at det ikke foreslå tungtveiende grunner til å fatte vedtak om sletting eller sperring etter personopplysningsloven, jf. nemndas tilsvarende vurderinger i PVN-2003-04 og PVN-2013-06. Nemndas flertall mente hensynet til behov for dokumentasjon måtte veie tyngre enn hensynet til at familien opplevde opplysningene som belastende. Nemndas mindretall fant at to journalnotater skulle sperres, jf. pol § 27 tredje ledd. Etter mindretallets syn dreide det seg om opplysninger av svært belastende karakter som mindretallet anså dokumentert uriktige.

PVN-2018-01 Bruk av kameraopptak i oppsigelsessak – avslutning av sak uten realitetsavgjørelse

Klage på Datatilsynets avgjørelse om ikke å foreta en realitetsvurdering i en påbegynt tilsynssak

Etter anmodning fra Yrkestrafikkforbundet (YTF) åpnet Datatilsynet tilsynssak mot Keolis Norge AS. Tilsynssaken gjaldt Keolis' bruk av kameraopptak i en oppsigelsessak overfor en ansatt. Parallelt med tilsynssaken skulle oppsigelsessaken mellom den ansatte og Keolis behandles av tingretten, herunder spørsmålet om bruken av kameraopptakene var i henhold til personopp­lysnings­loven. Tingretten konkluderte med at den ansatte måtte fratre sin stilling, og at bruken av de aktuelle kameraopptakene ikke var uforenlig med det opprinnelige formålet med kameraovervåkingen. Dommen ble anket til lagmannsretten, og saken ble senere hevet som forlikt etter rettsmekling. Med henvisning til ressurshensyn og at domstolens avgjørelse var bindende for sakens parter, avsluttet Datatilsynet saken etter at tingretten hadde avsagt dom, men før saken var behandlet i lagmannsretten. YTF klaget tilsynets avgjørelse inn for Personvernnemnda. Nemnda la til grunn at YTF hadde rettslig klageinteresse og at YTF ikke var avskåret fra å be om Datatilsynets vurdering av saken selv om den ansatte valgte å bringe oppsigelsessaken inn for domstolene. Ansettelsessaken for domstolene hadde ikke rettskraftsvirkning for den forvaltningsrettslige tilsynssaken hvor YTF var part. Nemnda viste til Datatilsynets ulike roller som ombud og tilsyn, og kom til at Datatilsynet ikke hadde adgang til å unnlate å ta stilling til den åpnede tilsynssakens realitet. Datatilsynets avgjørelse ble opphevet og saken ble sendt tilbake til tilsynet for realitetsbehandling.

PVN-2017-18 Bruk av innsamlede opplysninger til et nytt formål

Klage på Datatilsynets vedtak om ileggelse av overtredelsesgebyr for å ha sammenstilt GPS-data fra bussens billetteringssystem med en ansatt bussjåførs overtidsregistrering uten rettslig grunnlag og i strid med det opprinnelige formålet.

Nemnda la til grunn at gjenbruk av innsamlede opplysninger til et annet formål enn hva de opprinnelig ble innsamlet for, ikke kan forankres alene i personopplysningsloven § 8 bokstav f eller alene i § 11 første ledd bokstav c. Bruken av opplysningene må ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f, for å være lovlig, jf. Rt-2013-143. De ansatte hadde ikke samtykket til behandlingen og spørsmålet var om formålet med behandlingen var «uforenlig» med det opprinnelige formålet. Nemndas flertall la avgjørende vekt på at bruken av opplysningene lå innenfor de ansattes rimelige forventninger om hva opplysningene kunne brukes til. Bruken var drøftet med de tillitsvalgte og fremgangsmåten angitt i arbeidsmiljøloven § 9-1 og § 9-2 var fulgt. Nemndas flertall fant at behandlingen var nødvendig for å ivareta arbeidsgivers berettigede interesse, og at de registrertes interesse ikke oversteg denne interessen, jf. § 8 bokstav f. Klagen ble tatt til følge. Dissens 4-2.

PVN-2017-17 Sletting av søketreff Google

Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google

Dissens 4-3.
Klage på Datatilsynets avslag på anmodning om å slette et søketreff hos søkemotoren Google. Søketreffet ledet til en artikkel fra Dagens Næringsliv som omtalte en dom fra Borgarting lagmannsrett hvor en advokat ble frikjent for økonomisk utroskap, men dømt for å ha medvirket til å gi uriktig forklaring til offentlig myndighet. Saken gjaldt sensitive personopplysninger og behandlingsgrunnlaget måtte etableres etter en interesseavveining, jf. nemndas tolkning av § 9 i PVN-2016-10. I interesseavveiningen benyttet nemnda kriteriene utformet av EU-domstolen i sak C-131/12 (Google/Costeja González), samt Artikkel 29-gruppens veiledende retningslinjer i 14/EN WP 225. Flertallet fant at Google hadde behandlingsgrunnlag for å behandle opplysningene og viste til Datatilsynets begrunnelse som flertallet var enig i. Etter flertallets syn kan ikke kravet om «korrekte og oppdaterte» opplysninger i personopplysningsloven § 11 bokstav e, forstås slik at formidling av historiske hendelser gjennom søkemotorindeksering mister behandlingsgrunnlag, fordi nye faktiske forhold har kommet til etter at den opprinnelige publiseringen av opplysningene fant sted, jf. direktiv 95/46 artikkel 6 punkt 1 bokstav d. Klagen ble ikke tatt til følge.

PVN-2017-16 Utlevering av bilder innsamlet ved kameraovervåking – overtredelsesgebyr

Klage fra en bilforhandler på Datatilsynets vedtak om overtredelsesgebyr for publisering av stillbilder fra kameraopptak på Facebook

Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av bilforhandleren selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75.000 til kr. 50 000.

PVN-2017-15 Innsyn i personopplysninger hos barneverntjenesten

Klage på Datatilsynets avvisningsvedtak

Saken gjelder klage over avslag på innsyn etter personopplysningsloven i opplysninger registrert i saksdokumenter hos barneverntjenesten. Nemnda påpeker at det er misvisende å kalle vedtaket avvisning, jf. nemndas tilsvarende vurdering i PVN- 2017-09. Datatilsynet har foretatt en materiell vurdering av fosterforeldrenes rett til innsyn i registrerte opplysninger om dem selv, jf. personopplysningsloven § 18, og kommet til at det innsynet fosterforeldrene er gitt med hjemmel i forvaltningsloven er mer vidtrekkende enn hva personopplysningsloven i dette tilfellet ville gi dem. Nemnda påpeker at personopplysningsloven ikke gir hjemmel for å kreve innsyn i saksdokumenter. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet. Personvernnemda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn.

PVN-2017-14 Journalføring av talemelding og innsyn i logg

Klage på Datatilsynets avgjørelse om at kommunens journalføring av en talemelding var lovlig og at personopplysningsloven § 18 ikke gir rett til innsyn i loggen i kommunens saksbehandlingssystem.

Dissens.
Nemnda fant at det var behandlingsgrunnlag i personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6, for journalføring av en talemelding en privatperson hadde lagt igjen på rådmannens telefonsvarer. Nemnda fant videre at den fortsatte lagringen av talemeldingen var i overensstemmelse med personopplysningsloven § 28. Nemnda vurderte klagers innsynsrett etter personopplysningsloven § 18. Nemnda fant det åpenbart at klager ikke kunne få innsyn i kommunikasjonen mellom Datatilsynet og kommunen, i og med at denne kommunikasjonen hadde skjedd muntlig. Når det gjaldt klagers krav om innsyn i loggen i kommunens saksbehandlingssystem var nemnda enig med Datatilsynet i at personopplysningsloven § 18 ikke ga hjemmel for slikt innsyn.

Når det gjaldt den videre forståelsen av hva klagen gjaldt, delte nemnda seg i et flertall og et mindretall. Nemndas flertall mente at verken faktum eller den innsendte klagen, ga grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14. Mindretallet vurderte klagen også etter disse bestemmelsene og fant at det forelå brudd på personopplysningsloven. Nemndas flertall konkluderte med at klagen over Datatilsynets avgjørelse ikke tas til følge. En samlet nemnd avviste klagen over saksbehandlingstiden.

PVN-2017-13 NORCCAP Helseforskningsloven og helseregisterlovens anvendelsesområder

Klage på Datatilsynets vedtak om forlengelse av konsesjon på vilkår om nye samtykker i NORCCAP-prosjektet

Klagen gjaldt hvorvidt det skal stilles vilkår om innhenting av nye samtykker fra de registrerte ved en forlengelse av NORCCAP-prosjektet til 31. desember 2036. Nemnda fant at man først måtte ta stilling til det rettslige grunnlaget for behandling av personopplysninger i NORCCAP-prosjektet. Det er tre alternative regelverk som kan regulere behandling av helseopplysninger i NORCCAP-prosjektet: helseforskningsloven, kreftregisterforskriften (helseregisterloven § 8 jf. kreftregisterforskriften § 1-9, jf. § 1-2 tredje ledd) eller konsesjon gitt av Datatilsynet (helseregisterloven § 5, jf. personopplysningsloven § 33). Nemnda kom til at NORCCAP er regulert av helseforskningsloven etter en gjennomgang av det saklige virkeområdet i helseregisterloven og helseforskningsloven og forarbeidenes uttalelser. Nemnda la vekt på at forskningsprosjektet faller inn under ordlyden i helseforskningsloven, at det dreier seg om et tidsbegrenset forskningsprosjekt i motsetning til et permanent helseregister og at NORCCAP er mer enn et typisk helseregister, idet det også omfatter opplysninger om en kontrollgruppe som blir sammenlignet med intervensjonsgruppen ved koblinger mot Kreftregisteret og Dødsårsaksregisteret. Datatilsynet har ikke kompetanse til å treffe vedtak om utvidet konsesjon, eller stille vilkår i den forbindelse, idet denne kompetansen i henhold til helseforskningsloven er lagt til REK.

PVN-2017-12 Utleiers adgang til å innhente kredittvurdering av leietakere

Klage på Datatilsynets vedtak om overtredelsesgebyr for å ha innhentet kredittvurdering uten saklig behov

Saken gjelder profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda vurderte først behandlingsgrunnlaget for å innhente kredittopplysninger, og kom til at rett behandlingsgrunnlag i saken er personopplysningsloven § 8 bokstav a. Deretter tolket nemnda kravet til «saklig behov» i personopplysningsforskriften § 4-3 første ledd. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebærer en endring av praksis, særlig PVN-2006-03 og PVN-2008-01. Nemnda fant at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig og at det er sannsynlig at en kredittvurdering av potensielle leietakere bidrar til å redusere utleiers økonomiske risiko. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist. Nemnda uttaler at kriteriet «saklig grunn» i personopplysningsforskriften § 4-3 ikke åpner for en bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko.

PVN-2017-11 Begjæring om innsyn i et dansk advokatfirma

Klage på Datatilsynets vedtak om ikke å pålegge et dansk advokatfirma å gi en privatperson innsyn etter personopplysningsloven § 18 første ledd

Problemstillingen var om personopplysningslovens bestemmelser om innsyn kom til anvendelse, jf. personopplysningsloven § 18 første ledd. Klager hadde anført at personopplysningsloven kommer til anvendelse uavhengig av hvem som er behandlingsansvarlig og uavhengig av hvor den behandlingsansvarlige er etablert, jf. åndsverkloven § 56b siste ledd. Personvernnemnda var enig med Datatilsynet i at åndsverklovens bestemmelser §§ 56a og b ikke kan forstås slik at de utvider personopplysningslovens geografiske anvendelsesområde. For å ta stilling til om personopplysningsloven kommer til anvendelse må man derfor først ta stilling til hvem som er behandlingsansvarlig. Personvernnemnda fant ikke saken tilstrekkelig utredet til at det var mulig å treffe noen avgjørelse, jf. forvaltningsloven § 17. Det var ikke grunnlag for å ta stilling til hvem som var behandlingsansvarlig før sakens faktum var bedre redegjort for, og før advokatfirmaet, som det er krevet innsyn hos, var varslet om saken og gitt anledning til å uttale seg, jf. fvl § 16. Vedtaket ble derfor opphevet og sendt tilbake til Datatilsynet.

PVN-2017-10 Kameraovervåking i Brumunddal

Klage på Datatilsynets vedtak om pålegg om opphør av politiets kameraovervåking i Brumunddal sentrum

Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkningen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f), jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Det tas utgangspunkt i kriminalitetsbildet i Brumunddal noen år tilbake, nedgangen i straffesaker etter at overvåkingen ble iverksatt, politiets opplysninger om antall straffesaker som er oppklart som følge av opptakene, samt den utrygghetsfølelsen befolkningen hadde. Disse interessene ble veid opp mot ulempene ved overvåking av det offentlige rom. Nemnda la vekt på at det var forsøkt andre, mindre personverninngripende tiltak først, samt at personverninngrepet var avdempet noe ved begrenset lagringstid, begrensninger i hvem som hadde tilgang til opptakene og ved at det ikke dreide seg om en kontinuerlig overvåking i den forstand at noen kontinuerlig fulgte opptakene i sanntid. Nemnda viste til PVN-2005-12 (Sporveibussene) og PVN-2005-13 (NSB). Uttalelser om betydningen og vektingen av politifaglige vurderinger som Datatilsynet og nemnda bør være forsiktige med å overprøve.

PVN-2017-09 Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet – Datatilsynets avvisning av sak

Klage på Datatilsynets vedtak om å avvise en sak på grunn av prioriteringshensyn

Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet har foretatt en realitetsvurdering av klagen og kommet til at behandlingen er lovlig. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.

PVN-2017-08 Sletting av personopplysninger i personalmappe

Klage på Datatilsynets avslag på krav om sletting av et dokument i en personalmappe

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge arbeidsgiver å slette et dokument om tilrettevisning fra klagers personalmappe. Klager har anført personopplysningsloven § 28 første ledd som grunnlag for sitt krav om sletting. Hvor lenge det er nødvendig å oppbevare en tilrettevisning må vurderes konkret i hvert individuelle tilfelle. I denne saken har kommunen vurdert behovet for oppbevaring, og konkludert med at det er tilstrekkelig å oppbevare dokumentet ut skoleåret 2016/17. Nemnda har vært varsom med å overprøve arbeidsgivers skjønn i tidligere saker vedrørende sletting av dokumenter i personalmapper. Kommunen har definert formålet og behovet for oppbevaringen, og legger slik nemnda forstår det stor vekt på behovet for veiledning av A. Nemnda la til grunn at dokumentet vil bli slettet i samsvar med det arbeidsgiver har skissert. Nemnda kom til at klagen ikke tas til følge.

PVN-2017-07 Arbeidsgivers bruk av innsamlede opplysninger til et nytt formål - overtredelsesgebyr

Klage på Datatilsynets vedtak om overtredelsesgebyr for kobling av GPS-logg mot timelister

Personvernnemnda tok stilling til om arbeidsgiver skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet har ilagt arbeidsgiver et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen, som besto i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag for å kontrollere en ansatt, representerer forholdsvis grove brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at arbeidsgiver bør ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 og PVN-2016-06.

PVN-2017-06 Publisering av personopplysninger på nettstedet Kollega.info og andre nettsteder

Klage på Datatilsynets vedtak om publisering av personopplysninger på internett uten behandlingsgrunnlag

Problemstillingen for nemnda var om klager kunne pålegges å fjerne publiserte politianmeldelser og nedsettende kommentarer fra ulike nettsider på grunn av manglende behandlingsgrunnlag eller om publiseringene var omfattet av personopplysningsloven § 7.

Personopplysningsloven § 7 regulerer forholdet til ytringsfriheten. Etter denne bestemmelsen gjelder blant annet ikke kravet til behandlingsgrunn §§ 8 og 9 for behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske formål. 

Nemnda fant at enkeltvedtaket var utformet og begrunnet på en måte som ikke oppfyller forvaltningslovens krav til enkeltvedtak. Etter nemndas syn kan ikke tilsynet pålegge en person helt generelt å slette «politianmeldelser og nedsettende kommentarer» fra «nettsider» uten at det samtidig konkretiseres hvilke opplysninger som må fjernes og hvorfra de må slettes. Nemnda kom til at vedtaket måtte oppheves og sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 34 siste ledd. Nemnda mente videre at Datatilsynet må vurdere på nytt om As publiseringer omfattes av personopplysningsloven § 7, slik at det ikke er krav om behandlingsgrunnlag etter personopplysningsloven § 8 eller § 9. Nemnda mente at Datatilsynet hadde lagt til grunn en for snever forståelse av hva som skal regnes som «journalistiske formål», jf. personopplysningsloven § 7. Nemnda viste også til en svensk høyesterettsavgjørelse i den såkalte «Ramsbro-dommen», NJA 2001 s 409. Nemnda fant at vedtaket led av lovanvendelsesfeil, i tillegg til saksbehandlingsfeil knyttet til vedtakets utforming og begrunnelse. Nemnda fant også at Datatilsynets lovtolkning av begrepet "mistenkt" i § 2 nr. 8 bokstav b var uriktig. Klager hadde også bedt om Personvernnemndas bistand til å få legejournaler utlevert/overlevert, men nemnda har ikke kompetanse til å overprøve tingrettens beslutning.

PVN-2017-05 Krav om retting av personopplysninger

Klage på Datatilsynets vedtak om å avvise krav om retting av opplysninger i dataregister

Problemstillingen var om opplysningene klager ønsker korrigert omfattes av personopplysningsloven § 7, slik at bestemmelsene om retting av mangelfulle personopplysninger i § 27 ikke kommer til anvendelse. Datatilsynet har avvist saken, med begrunnelse at det gjelder en publikasjon som ikke er omfattet av personopplysningsloven, jf. § 7, og at dette er en konflikt om plagiat eller faglig uenighet som ikke egner seg for retting etter personopplysningslovens regler om retting, jf. § 27. Nemnda fant det klart at opplysningene i publikasjon som klager ønsker fjernet er omfattet av personopplysningsloven § 7. Bestemmelsene i § 27 kom derfor ikke til anvendelse.

PVN-2017-04 Utvidet lagringstid for kameraopptak fra bensinstasjoner

Klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner

Saken gjaldt klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner, jf. personopplysningsforskriften § 8-4 siste ledd hvor det fremgår at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, kan Datatilsynet gjøre unntak, det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering. Personvernnemnda bemerket at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. En utvidet lagringstid er personverninngripende og nemnda la vekt på minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn fant nemnda at det ikke forelå et «særlig behov» som tilsa at lagringstiden bør utvides.

PVN-2017-03 Kredittopplysningsvirksomhet uten konsesjon - overtredelsesgebyr

Klage på Datatilsynets vedtak om overtredelsesgebyr – kredittopplysningsvirksomhet uten konsesjon

Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr. Saken gjaldt hvorvidt et kredittopplysningsselskap har drevet med kredittopplysningsvirksomhet i forskriftens forstand, jf personopplysningsforskriften § 4-2. Nemnda fant at anførselen om videreformidling ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak. Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling, jf. forvaltningsloven §§ 17 og 25, jf. forvaltningsloven § 34 siste ledd.

PVN-2017-02 Kredittvurdering uten saklig behov - overtredelsesgebyr

Klage på Datatilsynets vedtak om overtredelsesgebyr for kredittvurdering uten saklig behov

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda la vekt på at daglig leder og medeier av et bilverksted brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og bilverkstedet. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

PVN-2017-01 Arbeidsgivers innsyn i arbeidstakers e-postkasse - overtredelsesgebyr

Klage på vedtak om overtredelsesgebyr – innsyn i arbeidstakers epostkasse

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelsen av overtredelsesgebyr for innsyn i ansatts epostkasse, jf. personopplysningsloven § 46. Husbyggerfirmaet Hereid Hus AS har brutt personopplysningsforskriften § 9-2. Nemnda fant at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Arbeidsgiver har brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.

PVN-2016-18 NAV

Klage over Datatilsynets vedtak om å ikke opprette tilsynssak eller på annen måte gripe inn i saken

Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medfører ikke dette at NAV underkjenner hans faglige kompetanse. Nemnda kan ikke se at det er dokumentert at NAV behandler opplysninger som er utilstrekkelige eller irrelevante, jf. personopplysningsloven § 11 bokstav d), eller at NAV bruker uriktige eller ufullstendige personopplysninger som må rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Nemnda konkluderte med at klagen ikke tas til følge.

PVN-2016-17 AA-registeret

Klage over Datatilsynets vedtak om ikke å pålegge retting i AA-registeret

Sak vedrørende retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt "uten grunn". Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

PVN-2016-16 Gastronet

Klage på vilkår i konsesjon til behandling av helseopplysninger i Gastronet

Saken gjelder overprøving av enkelte av vilkårene for konsesjon til Gastronet. Nemnda vurderte tidsbegrensningen av konsesjonen. Nemnda fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det gir Datatilsynet en viktig mulighet for kontroll med registerets premisser og at Gastronet etterlever konsesjonsvilkårene. Nemnda la vekt på at tilsynet har både utvidet og forlenget konsesjonen flere ganger tidligere, og har uttalt at Gastronet kan påregne å få forlenget konsesjonen ut over 30. juni 2018. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda mener kravet til informasjon er grunnleggende for at pasientene skal kunne ivareta sine rettigheter. Dersom pasienter skal registreres uten samtykke, men med reservasjonsadgang, bør pasientene motta informasjon om dette. Nemnda fant at det er forskjell på pasienter som registreres i koloskopidelen og ERCP-delen av Gastronet. For pasienter som omfattes av koloskopidelen mener nemnda det ikke er nødvendig å gi ytterligere informasjon i etterkant av samtykket til registreringen, med mindre registeret har endret seg vesentlig siden samtykket ble gitt. Nemnda legger derfor til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mener nemnda at pasientene i ERCP-delen må få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda kan imidlertid ikke se at det er påkrevet at informasjonen gjentas innen en viss periode etter at undersøkelsene har funnet sted. Nemnda er enig i Datatilsynets vurdering av personvernulempene.

PVN-2016-15 Tromsø kommune II. Begjæring om omgjøring

Begjæring om omgjøring av vedtak om innsyn

Nemnda tok begjæring om omgjøring av vedtak i nemndas sak PVN 2016-15 til følge da nemnda har overskredet sin kompetanse. Nemnda fant at flertallet i nemnda i vedtak fattet 30. desember 2016 gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven.
Nemnda konkluderte med at vedtak fattet 30. desember 2016 er ugyldig på grunn av manglende kompetanse og at A ikke med hjemmel i personopplysningsloven har rett til innsyn i samtalereferat og underlagsmateriale. Det har skjedd feil som tilsier at vedtaket må anses ugyldig, jf. forvaltningsloven § 35. Nemnda fattet nytt vedtak der A ikke gis rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

PVN-2016-15 Tromsø kommune II

Klage over vedtak om innsyn

Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf. § 18 a), jf. c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

PVN-2016-14 Årdal kommune – sensitive personopplysninger i offentlig postjournal

Klage over Datatilsynets overtredelsesgebyr

Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

PVN-2016-13 Avvisningsvedtak – sletting av journalopplysninger

Klage over Datatilsynets avvisning av å realitetsbehandle klagers krav om sletting av klagers journalopplysninger samt krav om tilsyn

Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

PVN-2016-12 Stange kommune – sletting av personalmappe

Klage over Datatilsynets avslag på krav om sletting av personopplysninger i personalmappe

Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

PVN-2016-10 Google II – sletting av søketreff

Klage over Datatilsynets pålegg overfor Google Inc om å slette søketreff i søkemotoren Google

Problemstillingen var om Google plikter å slette søketreff på en domfelt person (A) slik de er pålagt av Datatilsynet. Pålegget er begrunnet med at Google mangler behandlingsgrunnlag i personopplysningsloven for indekseringen av det aktuelle søketreffet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. De aktuelle personopplysningene er følgelig sensitive, og behandlingsgrunnlaget må etter nemndas oppfatning søkes i lovens § 9, jf. § 11 første ledd bokstav a. Datatilsynet har avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. Nemnda minnet om at behandlingsgrunnlag for sensitive personopplysninger ikke bare avgjøres med grunnlag i § 9, men at også ett av vilkårene i § 8 må være oppfylt. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn at de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). Nemnda la vekt på at A er domfelt for alvorlig kriminalitet. Etter at soningen er gjennomført, vil hensynene som tilsier fortsatt offentlighet om saken normalt svekkes. A er ikke en offentlig person. Nemnda la vekt på at identifiseringen på nettstedet nordisk.nu er begrunnet i hevn og sjikane. Nemnda fremhevet dog at samfunnet har et helt legitimt behov for å sette i verk tiltak som har til formål å forhindre at domfelte forgriper seg på nytt, og viste til Barnevoldsutvalget. Til støtte for at identifiseringen av A ikke har allmenn interesse, pekte også nemnda på at den domfelte ikke ble identifisert da dommen fra 2009 ble omtalt i avisen. Vedtaket fra Datatilsynet utgjør heller ikke et særlig intensivt inngrep i ytringsfriheten. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

PVN-2016-09 Codex advokat – videresending av epost

Klage over Datatilsynets vedtak om overtredelsesgebyr for videresending av alle innkommende eposter i strid med personopplysningsforskriften § 9-2

Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

PVN-2016-08 Trondheim kommune II

Klage over Datatilsynets avgjørelse om å ikke pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf. nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf. § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

PVN-2016-07 Synkron Media

Klage over Datatilsynets ileggelse av overtredelsesgebyr som følge av overvåkning av tidligere arbeidstakeres epostkontoer

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf. personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf. PVN-2015-14 Viken Økonomi.

PVN-2016-06 Vaktmester Andersen

Klage over Datatilsynets overtredelsesgebyr for bruk av data fra kjøreboken ABAX til andre formål

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf. PVN-2015-08 Windsor Door.

PVN-2016-05 Sletting av saksdokumenter i Datatilsynet

Klage over Datatilsynets avslag på krav om sletting av saksdokumenter i sak hos Datatilsynet

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

PVN-2016-04 Legelisten.no

Klage over avslag på krav om sletting av opplysninger på nettjenesten Legelisten.no

Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf. fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2016-03 Klage over avvisning i sak vedrørende kameraovervåkning

Klage over Datatilsynets avvisning av sak

Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf. § 2 tredje ledd. Enkeltvedtak er påklagbare, jf. forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

PVN-2016-02 Hovedredningssentralen Nord-Norge

Klage på Datatilsynets vedtak om pålegg og ileggelse av overtredelsesgebyr

Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf. personopplysningsloven §§ 8 og 9, jf. § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf. politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf. personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

PVN-2016-01 Bank i butikk II

Klage på Datatilsynets vedtak om utvidet lagringstid for kameraopptak av Bank i Butikk (BIB)

Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.

PVN-2015-17 Bisnode Norge

Klage over avvisningsvedtak – søknad om endring av kredittopplysningskonsesjon

Nemnda vurderte om saken skulle sendes tilbake til Datatilsynet for realitetsbehandling. I Personvernnemndas vedtak PVN-2012-07 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Det var ikke dokumentert forhold som endret denne vurderingen. Nemnda behøvde ikke å ta stilling til den subsidiære anførselen. Klagen ble ikke tatt til følge.

PVN-2015-16 Walhalla

Klage over vedtak om overtredelsesgebyr som følge av publisering av overvåkningsfilm på Facebook

Nemnda vurderte de usladdede videoene som ble lagt ut på Facebook og fant at opptakene hadde god nok oppløsning til at de er egnet til å identifisere enkeltpersoner. Opptakene viser personer som stjeler varer og er således sensitive personopplysninger. Publiseringen har ikke grunnlag i personopplysningsloven § 39. Personvernnemnda viste til Datatilsynets vurdering av personopplysningsloven § 46 a) til h) og tiltrådte denne. Klagen ble ikke tatt til følge.

PVN-2015-15 Mona Lisa Huset

Klage over vedtak om pålegg og overtredelsesgebyr

Ileggelse av overtredelsesgebyr for skjult kameraovervåking. Klagen ble ikke tatt til følge. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-14 Viken Økonomi

Klage over vedtak om overtredelsesgebyr – innsyn i tidligere arbeidstakeres epostkasse

Innsyn i ansattes – og tidligere ansattes – epostkasse. Klagen førte ikke frem. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-13 Trønder Taxi

Klage over pålegg om opphør av opptak av telefonsamtaler

Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

PVN-2015-12 Universitetet i Oslo

Klage over avslag på søknad om konsesjon til å behandle helseopplysninger – Reseptregisteret

Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

PVN-2015-11 Vardø kommune

Klage over pålegg og overtredelsesgebyr – internkontroll og informasjonssikkerhet

Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

PVN-2015-10 Sykehuset i Østfold

Klage over forutsetning om oppfyllelse av informasjonsplikt i konsesjonsvedtak

Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf. personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

PVN-2015-09 Dekning sakskostnader, jf. forvaltningsloven § 36

Klage over avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36

I denne saken valgte Datatilsynet, etter at EU-domstolens dom forelå, å veilede naboen om rettstilstanden. Etter nemndas syn innebærer dette ikke en omgjøring til gunst for klager. Når omformuleringen ikke har hatt noen betydning for klagers rettsstilling har ikke klager krav på å få dekket sakskostnader etter forvaltningsloven § 36.

PVN-2015-08 Windsor Door

Klage på Datatilsynets vedtak om overtredelsesgebyr

Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf. personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

PVN-2015-07 Tromsø kommune

Klage på Datatilsynets avslag på innsyn i dokumenter hos arbeidsgiver Tromsø kommune

Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

PVN-2015-06 Google

Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google

Personvernnemnda var enig med Datatilsynet i at personopplysningsloven kom til anvendelse. Etter nemndas syn ble det behandlet sensitive personopplysninger. Det innebærer at det må foreligge et behandlingsgrunnlag etter personopplysningsloven § 9. Datatilsynet syntes å ha avgjort saken med hjemmel i § 8. Nemnda opphevet Datatilsynets vedtak.

PVN-2015-05 Skan-kontroll II

Klage på Datatilsynets vedtak om overtredelsesgebyr

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

PVN-2015-04 FaVer

Klage på Datatilsynets vedtak om overtredelsesgebyr for mangler ved databehandleravtaler

Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-03 Innsyn i skoles aktivitetslogg

Klage på Datatilsynets avslag på innsyn i skoles aktivitetslogg

Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.

PVN-2015-02 SmerteReg

Klage på Datatilsynets vilkår i konsesjon gitt til Nasjonalt kvalitetsregister for smertebehandling («SmerteReg»)

Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

PVN-2015-01 Konsesjon kjønnsdysfori

Klage på Datatilsynets delvise avslag om konsesjon til behandling av helseopplysninger

Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

PVN-2014-25 Tilgang på tvers av virksomhetsgrenser

Klage på Datatilsynets vedtak om at direktetilgang til helseopplysninger må avsluttes, jf helseregisterloven § 13

Nemnda vurderte tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen måtte vurderes etter det lovverk som gjaldt da klagen kom inn. Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Personvernnemnda er enig i denne vurderingen. Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende. Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

PVN-2014-24 Unilabs Norge AS

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-23 Sørlandet sykehus

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

PVN-2014-22 Vestre Viken HF

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-21 Norsk brannskaderegister

Klage på Datatilsynets vilkår i konsesjon

I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

PVN-2014-20 Anmodning om gjenåpning av saker

Begjæring om gjenåpning av saker

Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf. forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.

PVN-2014-19 Bergen Bydrift

Klage på Datatilsynets vedtak om behandlingsansvar

Problemstillingen i saken var plassering av behandlingsansvar for opplysninger i Mipps og Mowic. Nemnda viste til forarbeider og juridisk teori som begge legger til grunn at den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Nemnda viste også til tidligere avgjørelser i nemnda, herunder PVN-2007-01. Nemnda la til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Nemnda konkluderte med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic.

PVN-2014-18 Sletting av personopplysninger i personalmappe

Klage på Datatilsynets avslag om sletting av dokumenter i personalmappe

Personvernnemnda vurderte om dokumentene skulle slettes etter personopplysningsloven § 28 første ledd. Nemnda kom til at dokumentene fortsatt kunne lagres i samsvar med det opprinnelige formålet. Videre vurderte nemnda § 28 tredje ledd. Nemnda fant at opplysningene kunne være belastende, konkluderte med at man ikke behøvde å ta stilling til om de er «sterkt belastende» da slettingsvilkårene uansett ikke var oppfylt. Sletting ville ikke være forsvarlig ut fra kommunens behov som arbeidsgiver og tjenesteyter.

PVN-2014-17 Sletting av avisartikler

Klage på Datatilsynets avslag på krav om sletting av publiserte artikler fra aviser og nettsteder

Nemnda hadde forståelse for at det kan være belastende å bli omtalt i avisen, samt oppleves som urettferdig at den frifinnende dom ikke omtales, men nemnda kom til at slike artikler må sies å ligge innenfor «journalistisk formål». Personvernnemnda konkluderte med at avisartikler og nettartikler faller inn under avgrensningen i personopplysningsloven § 7 slik at blant annet personopplysningsloven kapittel II ikke kommer til anvendelse. Datatilsynets vedtak ble opprettholdt.

PVN-2014-15 Trondheim kommune

Klage på Datatilsynets beslutning om ikke å fatte vedtak om sletting av en tilrettevisning i personalmappen

Datatilsynet hadde veiledet kommunen om pliktene som følger av personopplysningsloven § 28 og vist til at arkivloven ikke inneholder et pålegg om at arbeidsgivere skal arkivere enhver tilrettevisning i ubegrenset tid. Tilsynet avsto imidlertid fra å fatte vedtak om sletting, med henvisning til at det er den behandlingsansvarlige som selv skal foreta en nødvendighetsvurdering etter personopplysningsloven § 28 og det er virksomheten selv som har best forutsetninger for å vurdere dette. Personvernnemnda kom til at sakens prinsipielle karakter tilsa at Datatilsynet bør realitetsbehandle saken.

PVN-2014-14 Kjennemerkegjenkjenningssystemer

Klage på Datatilsynets vedtak om at Statens vegvesen må gi informasjon om behandlingen til fører og eventuelle passasjerer i kjøretøyet ved bruk av skilting

Personvernnemnda forsto det slik at fører og passasjer ikke avbildes eller gjenkjennes av bildet som tas av kjøretøyets kjennemerke. Så lenge bilfører (og passasjer) ikke identifiseres, skjer det kun en behandling av informasjon om registrert bileier. Personvernnemnda kan derfor ikke se at personopplysningsloven § 19 er anvendelig i denne situasjonen. Det er dermed ikke påkrevet med informasjon så lenge det ikke behandles personopplysninger om fører eller passasjer. Nemnda konkluderte med at skilt 558 uten underskilt er tilstrekkelig markering av de faste installasjonene.

PVN-2014-13 Sandnes taxi

Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi

Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-12 Stavanger taxi

Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Stavanger Taxi

Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-11 Gjensidige

Klage på Datatilsynets vedtak om overtredelsesgebyr for Gjensidige Forsikring for å ha innhentet sensitive personopplysninger, gjennom blant annet skjult observasjon og skjult videopptak av privatperson, uten at det forelå behandlingsgrunnlag

Personvernnemnda vurderte det slik at rapport fra skjult observasjon og skjult filming alltid må vurderes konkret og individuelt i den enkelte sak, og kom til at dette var forholdsmessige tiltak i den aktuelle saksutredningen og ble ikke utført på utilbørlig måte. Etter en konkret helhetsvurdering forelå det behandlingsgrunnlag etter personopplysningsloven § 8 f) og § 9 e). Overtredelsesgebyr bortfalt.

PVN-2014-10 Telenors lagring av destinasjons-IP

Klage på Datatilsynets vedtak om opphør av lagring av destinasjons-IP hos Telenor

Personvernnemnda konkluderte med at Telenor kan fortsette med å lagre destinasjons-IP for mobil som et sikkerhetstiltak som er nødvendig og hensiktsmessig for å sørge for tilfredsstillende sikkerhet i mobilnettet. Lagringsplikten er minst tre måneder.

PVN-2014-09 Kanvas

Klage på Datatilsynets vedtak om innsyn i foreldreklager i barnehage

Personvernnemnda vurderte innsyn, jf. personopplysningsloven § 23, 1. ledd bokstav f) som gjør unntak i retten til innsyn som «det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv». Nemnda kom til at Kanvas hadde tilrettelagt for innsyn og faktisk oppfylt innsynsretten, så langt det går uten å røpe avsenders identitet.

PVN-2014-08 Fjell kommune

Klage på Datatilsynets beslutning om ikke å ilegge overtredelsesgebyr etter personopplysningsloven § 46

Personvernnemnda kom til at det skal ilegges overtredelsesgebyr i saken, jf. personopplysningsloven § 46. Datatilsynet kom til at det ikke skulle ilegges overtredelsesgebyr til tross for at tilsynet konkluderte med at spredningen av personopplysningene var et brudd på personopplysningsloven. Personvernnemnda vurderte lovbruddets alvorlighetsgrad annerledes enn Datatilsynet. Regelbruddet bar preg av grov systemsvikt og fremsto som forsettlig eller grov uaktsom. Overtredelsen krenket grunnleggende personverninteresser for en større krets av personer og krenkelsen har medført utlevering av følsomme personopplysninger. Saken ble sendt tilbake til Datatilsynet for utmåling av gebyr.

PVN-2014-07 Schibsted Payment

Klage på Datatilsynets manglende realitetsbehandling av sak

Klager påklaget Datatilsynets behandling av sak vedrørende personopplysninger behandlet av Schibsted Payment (som driver betalings- og påloggingstjenesten SPiD) i forbindelse med elektronisk abonnement på Stavanger Aftenblad. Personvernnemnda kom til at Datatilsynets behandling av saken hadde vært tilstrekkelig og forsvarlig i samsvar med forvaltningsloven.

PVN-2014-06 Kameraovervåkning

Klage på Datatilsynets beslutning om å avslutte sak etter veiledning, uten videre saksbehandling

Personvernnemnda vurderte om Datatilsynets behandling av saken var tilstrekkelig og forsvarlig i samsvar med forvaltningsloven. Nemnda kom til at tilsynet har veiledet klager om dette temaet i tilstrekkelig grad til å kunne fastslå at saken var forsvarlig behandlet og for klager til å forstå reglene på området. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11.

PVN-2014-04 Post i butikk

Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking av post i butikk

For så vidt gjaldt spørsmålet om behandlingsansvar for finansielle tjenester i PIB, ga nemnda klager medhold i at butikken er behandlingsansvarlig. For så vidt gjaldt vurderingen etter personopplysningsforskriften § 8-4 annet og tredje ledd av om butikk med PIB-tjenester anses som postlokale, ble klagen ikke tatt til følge. Det ble vist til resonnementet i PVN-2013-21. Særlige behov etter § 8-4 sjette ledd ble ikke vurdert.

PVN-2014-03 Husbanken

Klage på Datatilsynets avslag om å gi konsesjon til kontrollformål

Nemnda vurderte hvorvidt samtykke til innhenting av opplysninger er en betingelse for å få behandlet en bostøttesøknad, jf. bostøttelovens § 8. I dette spørsmålet delte nemnda i et flertall og et mindretall. Flertallet konkluderte med at man har krav på å få behandlet søknad om bostøtte uten å ha avgitt samtykke som omtalt i bostøtteloven § 8 annet ledd. Nemnda vurderte deretter hvorvidt Husbanken trenger konsesjon til å gjennomføre etterfølgende kontroll av hvorvidt vilkårene for bostøtte var oppfylt. Nemnda konkluderte med at det er hjemmel i bostøtteloven og at det ikke kreves konsesjon, jf. personopplysningsloven § 33 femte ledd. Når det gjelder innhenting av informasjon fra en tredjepart uten søkers samtykke, er nemndas flertall kommet til at Husbanken ikke har adgang til dette. Dissens 4-3. Klagen ble tatt delvis til følge.

PVN-2014-02 NORHIV

Klage på Datatilsynets avslag på konsesjon til nasjonalt kvalitetsregister for HIV

Personvernnemnda viste til PVN-2013-28 NOKBIL og påpekte at landsomfattende helseregistre med mange opplysninger om den enkelte registrerte er spesialregulert i helseregisterloven § 8. Man kan derfor ikke omgå denne bestemmelsen ved å bruke helseregisterloven § 5 om konsesjon. Det fremgår av forarbeidene at det har vært lovgivers intensjon at slike registre skal opprettes i henhold til forskrift, noe som gir høringsprosess og transparens i behandlingen. Klagen førte ikke frem.

PVN-2014-01 Skan-Kontroll

Klage på Datatilsynets pålegg om databehandleravtaler og informasjonssikkerhet, samt ileggelse av overtredelsesgebyr

Skan-Kontroll påklaget avslag på konsesjon for analyse- og varslingstjeneste, samt vedtakspunktene 1, 2, 5, 6 og 7 i Datatilsynets vedtak. Personvernnemnda kom til at konsesjon ikke kunne innvilges på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak 1, 2 og 5. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

PVN-2013-28 NOKBIL

Klage på Datatilsynets avslag på konsesjonssøknad om å opprette Norsk kvalitetsregister for biologiske legemidler NOKBIL

Nemnda var enig med Datatilsynet. Rettslig grunnlag for slik landsomfattende, internasjonalt og permanent forskningsprosjekt er forskrift, jf. helseregisterloven § 8. Sentrale landsomfattende helseregistre er spesialregulert i § 8 og da kan man ikke omgå denne bestemmelsen ved å bruke § 5 om konsesjon. Det vises til forarbeidene.

PVN-2013-27 Gjensidige Forsikring

Klage på Datatilsynets vedtak om informasjonssikkerhet og internkontroll

Nemnda kom til at vedtakspunktene ikke hadde et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf. § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Saken sendes tilbake til Datatilsynet slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b) til fornyet behandling.

PVN-2013-26 Klage på beslutning om ikke å ta en klage til behandling

Klage på Datatilsynets beslutning om ikke å ta en sak opp til behandling

Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf. forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2013-25 Kameraovervåking hytteområde

Klage på Datatilsynets beslutning om ikke å ta en sak opp til behandling

Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

PVN-2013-24 Saksmappe hos barnevernstjenesten

Klage på Datatilsynets avvisningsvedtak

Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

PVN-2013-23 Informasjon etter helseforskningsloven

Klage på Datatilsynets vedtak om pålegg av informasjonsplikt i medhold av helseforskningsloven

Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.

PVN-2013-22 Sletting av rettspsykiatrisk erklæring

Klage på Datatilsynets beslutning om å avslutte en sak om sletting av rettspsykiatrisk erklæring

Nemnda var enig i Datatilsynets resonnement i denne saken. Datatilsynet har ikke kompetanse til å beslutte sletting av personopplysninger i en straffesak som straffeprosessuelt ikke er ferdigbehandlet. Nemnda var enig med Datatilsynet i at klagers angrep på tingrettsbeslutningen naturlig hører hjemme ved en fornyet behandling i tingretten.

PVN-2013-21 Bank i butikk

Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking i bank i butikk

Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

PVN-2013-20 Teletopia

Klage på Datatilsynets vedtak og ileggelse av overtredelsesgebyr

Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf. personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf. personopplysningsloven § 46.

PVN-2013-19 Innsynsrett i lydopptak

Klage på Datatilsynets vedtak om innsynsrett for de registrerte i lydopptak

Det var ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Nemnda kunne ikke se at det var noen beskyttelsesverdig interesse for virksomheten og dens ansatte i denne saken. Lydfilene gjengir profesjonelle telefonsamtaler om transaksjoner mellom en privatperson og en selger. Begge parter er kjent med at det gjøres opptak. Klagen ble ikke tatt til følge. Innsyn kan kreves skriftlig (transkripsjon), jf. § 24, hos den behandlingsansvarlige eller hos dennes databehandler, eller i form av kopi av lydfil.

PVN-2013-18 Kameraovervåking i sameie

Klage på Datatilsynets behandling av sak

En beboer i et sameie har montert et skilt med «videoovervåking» på fellesarealet. Beboerens advokat har opplyst at det kun er satt opp et skilt og at beboeren håper at dette skal være tilstrekkelig for å skremme eventuelle gjerningspersoner. Datatilsynet korresponderte med partene, men prioriterte ikke stedlig tilsyn av hensyn til Datatilsynets begrensede ressurser. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets prioritering.

PVN-2013-17 Tvillingregisteret

Klage på Datatilsynets delvise avslag på forlengelse og utvidelse av Nasjonalt tvillingregister

Personvernnemnda kom til at det må innhentes nye samtykker fra deltakerne i noen av prosjektene. Nemnda kan ikke se at deltakere i de opprinnelige tidsbegrensede og formålsbestemte tvillingprosjektene har avgitt samtykke, opprinnelig eller senere, til å bli registrert i Nasjonalt tvillingregister. Konsesjonen kan således ikke anses gyldig ved bare å hevde at opprinnelige samtykker dekker sammenslåingen. Det foreligger heller ikke hjemmel i personopplysningsloven §§ 8 bokstav d) og 9 bokstav h). Videre kom nemnda til at det som er beskrevet i samtykkeerklæringene og prosjektbeskrivelsene i informasjonsbrevene til deltakere vil være førende for hvilken adgang det er til å tilføre registeret nye opplysninger.

PVN-2013-16 Folkeregisteret

Klage på Datatilsynets vedtak om avslutning av sak vedrørende feilregistreringer hos Folkeregisteret

Klager pålagde Datatilsynets avslutning av saken. Klager opplevde at sønnens nasjonalitet ble uriktig registrert, at sønnen ikke fikk registrert bostedsadresse, samt manglende innsyn. Personvernnemnda kom til samme konklusjon som Datatilsynet. Personvernnemnda er enig med Datatilsynet i at problemstillingen reguleres av folkeregisterloven og folkeregisterforskriften. Folkeregisterloven er lex specialis. Klager ble veiledet og oppfordret til å klage sin sak til de rette myndigheter. Det har klager også gjort. Personvernnemnda finner at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt etter forvaltningsloven i denne saken.

PVN-2013-15 Oslo universitetssykehus

Klage på avslag på søknad om konsesjon til kobling av data mellom et allerede eksisterende forskningsprosjekt og data i Kreftregisteret og Reseptregisteret

SPCG-7/SFUO-3 studien – langtidsoppfølging ved registerkobling. I samtykkeskjemaet har pasientene samtykket til gjennomgang av pasientjournalen, men klager ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret. Det er imidlertid et forbud mot samtidig tilgang i reseptregisterforskriften § 4-1. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til slik kobling, med mindre koblingen er pseudonymisert eller den registrerte samtykker. Personvernnemnda slutter seg til Datatilsynets vedtak i denne saken.

PVN-2013-14 Farmers' biobank

Klage på Datatilsynets vedtak om avslag på konsesjonssøknad

Personvernnemnda kom til at det opprinnelige samtykket også omfatter slik forskning som det nå søkes om. Den foreliggende informasjon og samtykkegrunnlaget dekker imidlertid ikke en overføring til utlandet.

PVN-2013-13 Anmodning om gjenåpning av OBOS-sak

Klage på Datatilsynets avvisningsvedtak vedrørende anmodning om gjenåpning av OBOS-sak

Nemnda konkluderte med at en lagmannsrettsdom av 11.2.2013 ga klageren en legitim interesse i å få bragt på det rene hvorvidt de aktuelle dokumenter foreligger hos OBOS eller hos Advokatkontoret i OBOS. Nemnda kom til at klagers sak ikke ble tilfredsstillende utredet av Datatilsynet. Saken sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 35, jf. § 41.

PVN-2013-12 Curato Røntgen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-11 Oslo universitetssykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-10 Helse Stavanger

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-09 Helse Bergen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-08 Haraldsplass Diakonale Sykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-07 Nyrebiopsiregisteret

Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger – Det Norske Nyrebiopsiregisteret

Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.

PVN-2013-06 Sletting av opplysninger hos barnevernstjenesten

Klage på Datatilsynets avslutning av sak vedrørende krav om sletting av personopplysninger

Nemnda var enig med tilsynet i at opplysningene ikke skal rettes etter personopplysningsloven § 27. Videre fremstår opplysningene som nødvendige for formålet og kan ikke slettes etter personopplysningsloven § 28, 1. ledd. Endelig kom nemnda til at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2013-05 Diakonhjemmet sykehus

Klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla Diakonhjemmet sykehus å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-04 HUNT

Klage på Datatilsynets delvise avslag på konsesjonsforlengelse med krav at informert samtykke innhentes fra deltakerne i HUNT2

Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.

PVN-2013-03 GullAdam

Klage på Datatilsynets varslede vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre

Personvernnemnda vurderte om kameraovervåkningen var i samsvar med personopplysningsloven § 38 som krever «særskilt behov». Butikken er delt i tre soner, et kundeareal, et midtareal og et pauseareal. Det er kun de to førstnevnte arealene som er kameraovervåket. Formålet med overvåkningen er å hindre eller enklere oppklare innbrudd og ran, samt å overvåke verdiene i lokalet. Nemnda kom etter en helhetsvurdering til at den beskrevne overvåking var i samsvar med personopplysningsloven § 38 og la vekt på at det dreier det seg om mindre gjenstander av stor verdi, pauserommet blir ikke overvåket og de ansatte ble informert om kameraovervåkingen før ansettelsen.

PVN-2013-02 Tysnes kommune

Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat

Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.

PVN-2013-01 RMI internkontroll og informasjonssikkerhet

Klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten

Nemnda var enig med Datatilsynet og opprettholdt påleggene. Folkehelseinstituttet må ha databehandleravtaler og må bringe til opphør behandlinger av personopplysninger som går ut over hva instituttet har rettslig grunnlag for i straffeprosessloven.

PVN-2012-15 Kameraovervåkning av privat grunn

Klage på Datatilsynets beslutning om å ikke realitetsbehandle en sak

Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvern­nemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no.

PVN-2012-14 Klage på avvisning av sak

Klage på Datatilsynets avvisning av sak

Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.

PVN-2012-13 Innsyn i personalmappe

Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe

Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf. forvaltningslovens regler om partsoffentlighet.

PVN-2012-12 Livmorhalsprogram

Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte

Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

PVN-2012-11 Mammografiprogram

Klage på Datatilsynets avvisning av å realitetsbehandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte

Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

PVN-2012-10 SUSS-telefonen

Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS

Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

PVN-2012-09 Elektroniske pasientkurver

Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra pasientkurver

Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

PVN-2012-08 Sletting av elevmappe

Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe

Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf. § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2012-07 Konsesjon kredittopplysningsvirksomhet

Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet

Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

PVN-2012-06 Teletopia

Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis

Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

PVN-2012-05 Opplysninger om fosterforeldre

Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre

Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf. personopplysningsloven § 27, 2. ledd.

PVN-2012-04 Arbeidsgivers innsyn i e-post

Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post

Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

PVN-2012-03 Nettby

Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby

Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf. pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

PVN-2012-02 Rekruttering AS

Klage på Datatilsynets planlagte kontroll mot Rekruttering AS

Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

PVN-2012-01 Barn med påførte dødelige skader

Klage på Datatilsynets avslag på søknad om konsesjon til å behandle personopplysninger i forskning i forbindelse med hovedoppgave om «Barn med påførte dødelige skader – hva gjør helsevesenet og rettsvesenet»

Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.

PVN-2011-13 Sletting fra Brillelands kunderegister

Klage på Datatilsynets saksbehandling i forbindelse med klage på manglende sletting i kunderegister

Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

PVN-2011-12 Adgangskontroll ubetjent treningssenter

Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll

Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

PVN-2011-11 Visma Retail

Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri

Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf. personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

PVN-2011-10 Simonsen – antipiratarbeid

Klage på Datatilsynets avslag på forlengelse av konsesjon

Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

PVN-2011-09 Tollvesenets kontroll av vareførsel

Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre

Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf. valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.

PVN-2011-08 Tilsyn hos Arendal kommune

Klage på Datatilsynets kontroll hos Arendal kommune

Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre, at klager ikke hadde fått tilstrekkelig innsyn i dokumentene, at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager. Personvernnemnda sendte saken tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen. Tilsyn (stedlig kontroll) ble gjennomført. Klager har påklaget kontrollen. Personvernnemnda er av den oppfatning at tilsynet har avdekket at tilgangskontrollen er i samsvar med regelverk, samt at opplysninger og karakteristikker av klageren er blitt rettet ved supplering på adekvat måte. Personvernnemnda er kommet til at Datatilsynets behandling har vært utført i samsvar med forvaltningsloven § 17.

PVN-2011-07 Tilgang til fellesregister Gerica

Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre

Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

PVN-2011-06 ConocoPhillips

Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening innen ConocoPhillips-konsernet

Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

PVN-2011-05 Antidopingprogram – konsesjon

Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre

Klagen er begrunnet i at konsesjonen i praksis godkjenner avtalevilkårene om dopingtest, som er vurdert av Markedsrådet/Forbrukerombudet til å være i strid med markedsføringsloven og at en slik vurdering av vilkårene faller utenfor Datatilsynets ansvarsområde. Klager anfører videre at han som fastlege kan komme i den situasjon at han må skrive legeerklæringer vedrørende medikamentbruk for at pasienten skal kunne opprettholde sitt kundeforhold til treningssenteret. Personvernnemnda kommenterte at selve avtalevilkårenes rimelighet hører under Forbrukerombudet og Markedsrådet, og kan eventuelt påklages dit. Etter Personvernnemndas oppfatning var dette ikke sakens tvistepunkt. Saken gjaldt en klage på Datatilsynets standardkonsesjon utstedt med hjemmel i personopplysningsloven § 46 fjerde ledd, jf. § 9 tredje ledd. Personvernnemnda var etter en totalvurdering av saken enig i Datatilsynets vurdering og vedtak. Personvernnemnda la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter. Klager hadde anført ulike klagegrunner, men nemnda fant ikke at disse veide tyngre enn de samfunnsinteressene som gjør seg gjeldende i denne saken.

PVN-2011-04 Avfallsservice

Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag

Personvernnemnda var enig i Datatilsynets resonnement og konklusjon, nemnda kunne derfor tiltre Datatilsynets vurderinger og begrunnelse. Dette sammenfalt også med lagmannsrettens vurdering av spørsmålet. Personvernnemnda stadfestet Datatilsynets vedtak. Nemnda støttet også Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike tilfeller.

PVN-2011-03 Arbeidsgivers attest

Klage på Datatilsynets vedtak om sletting av opplysninger i personalmappe

Saken dreier seg om et åtte år gammelt skjema i en personalmappe hos Nordea kalt “Grunnlag for utarbeidelse av attest”. Notatet inneholder negative karakteristikker av klager. Klager ønsker notatet slettet. Nordea ønsker å beholde notatet hele ansettelsestiden, jf. attestplikten i arbeidsmiljøloven § 15-15. Personvernnemnda bemerket at skjemaet ikke skal oppbevares lenger enn formålet for innsamlingen tilsier. Formålet er attestgrunnlag. Stillingen er fratrådt og klager har åpenbart en annen stilling i samme konsern. Personvernnemnda er av den oppfatning at åtte år gamle opplysninger fra en fratrådt stilling neppe er relevante opplysninger nå i relasjon til den påberopte attestplikten etter arbeidsmiljøloven § 15-15. Nemnda var enig med Datatilsynet i at dokumentet skal slettes.

PVN-2011-02 BP Norge

Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land

Datatilsynet la opprinnelig til grunn at det ikke var nødvendig med kontinuerlig overføring av lyd og bilder for å oppnå de angitte formålene. Etter befaringen på Forus finner tilsynet det imidlertid godtgjort at lyd og bildeoverføringen er egnet til å optimalisere driften og sikkerheten. Det legges til grunn at det må være en fordel at støttefunksjoner på land lettere vil kunne bistå med sin ekspertise. Det legges også vekt på at tiltaket så langt har hatt en positiv effekt og Datatilsynet konkluderte med at for å oppnå full integrering av kontrollrommene, slik hensikten er, må bildeoverføringen være kontinuerlig. Personvernnemnda var enig med Datatilsynet. Begrunnelsen for kameraovervåkningen er sikkerhet. Ved at to uavhengige miljøer kan se det samme, vil en hendelse som oppstår bli enklere å jobbe med for de to uavhengige miljøene. Nemnda har også oppfattet at de som arbeider på de to kontrollrommene er komplementære kompetansemessig, men likestilte kolleger. Etter nemndas syn vil det være mindre krenkende med kameraovervåkning som går begge veier, altså at offshore også ser kontrollrommet på land, enn enveis overvåkning. Nemnda kan forstå at de ansatte kan oppleve også toveis overvåkning stressende og ubehagelig. Nemnda finner imidlertid at de hensyn som er anført ikke er tungtveiende.

PVN-2011-01 Arbeidsgivers innsyn i e-post

Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr

Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf. personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Etter nemndas syn har ikke Datatilsynet særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf. § 46 annet ledd. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette “skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Tilsynets vurdering er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak. Saken sendes tilbake til Datatilsynet som mangelfullt begrunnet.

PVN-2010-11 Sletting av informasjon om beredskapshjem

Klage på Datatilsynets vedtak om sletting av personopplysninger på internett

Klage vedrørende sletting av informasjon om beredskapshjem. Saken dreier seg om et internettforum med diskusjon av og informasjon om ulike barnevernssaker. En av innleggerne har oppgitt kontaktopplysninger om såkalt skjermet beredskapshjem (med sperret adresse). Datatilsynet fant at man er utenfor vernet ytringsfriheten gir når man legger ut opplysninger om et beredskapshjem, som er ment å være en skjermet adresse av hensyn til de som befinner seg der. Personvernnemnda kom til klager må gis medhold fordi ytringene på nettstedet omfattes av ytringsfriheten slik som angitt i Grunnloven § 100 og personopplysningsloven § 7.

PVN-2010-10 SATK

Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll

Personvernnemnda måtte vurdere behandlingsgrunnlag og kom til at SATK har hjemmel i lov, jf. vegtrafikkloven § 5, tredje ledd, jf. § 10. Nemnda kom til at registreringen som foretas i den løsningen som er valgt synes saklig begrunnet og formålstjenlig. Valget av løsning ligger innenfor handlingsrommet til behandlingsansvarlig. Nemnda konkluderte med at klager har rettslig grunnlag for fotografering av biler som passerer punkt A og B, men at lagring og videre behandling av data kun skjer for kjøretøy som kjører for fort.

PVN-2010-09 Ung i Norden

Klage på Datatilsynets delvise avslag på søknad om konsesjon til å behandle personopplysninger i forskning

Datatilsynet har satt som vilkår at foreldrene må samtykke til ungdommenes deltakelse i prosjektet og dessuten har Datatilsynet vurdert at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om, jf. personopplysningsloven § 13, jf. personopplysningsforskriften kapittel 2. Personvernnemnda mener at det ikke foreligger hjemmel for en 15 årings egensamtykke til behandling av sensitive personopplysninger i personopplysningsloven, og heller ikke i barneloven. Det kreves derfor samtykke fra foresatte for å delta i en slik undersøkelse som ikke er anonym. Foreldresamtykket må være aktivt. Når kravet til samtykke er at det skal være “utrykkelig” er det bare det aktive samtykket som kan godtas, jf. personopplysningsloven § 2 nr 7. Personvernnemnda har også vurdert informasjonssikkerhetsspørsmålet, og finner ikke grunnlag for å endre på Datatilsynets vedtak.

PVN-2010-08 Fjellinjen

Klage på Datatilsynets vedtak om sletting av passeringsdata ved etterskuddsbasert fakturering

Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som med etterskuddsbasert fakturering. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passeringstidspunktet, jf. personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

PVN-2010-07 E-18 Vestfold.

Klage på Datatilsynets pålegg om å slette data om bompasseringer for innehavere av forskuddsbetalt konto

Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passeringstidspunktet, jf. personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

PVN-2010-06 Forsikringsselskaps bruk av kredittopplysninger

Anmodning om omgjøring av vedtak

Anmodning om omgjøring av konsesjonsvilkår som er omhandlet i PVN-2004-08 pkt 6.4, som gjelder for behandling av personopplysninger i forsikringsvirksomhet, slik at det blir tillatt å foreta kredittvurdering som ledd i risikovurderingen. Etter en grundig analyse av aktuarrapporten er nemnda ikke enig i at dette beviser selskapenes påstand om at data om betalingsanmerkninger ville gi signifikant bedring av risikomodellen til selskapene. Klagernes påstand viser dessuten en misforståelse av KLP- og Utleiermegleren-sakene. Personvernnemnda kan ikke se at rettstilstanden er endret slik klager anfører. Etter nemndas syn er dette dessuten en annen bruk av kredittopplysninger – ikke for kredittvurdering som i KLP-saken og Utleiemegleren-saken, men for å prise en tjeneste. Nemnda har tatt saken til vurdering, men kan ikke se at det gjør seg gjeldende hensyn som burde tilsi en omgjøring av vedtaket.

PVN-2010-05 Kredittvurdering

Klage på Datatilsynets avvisningsvedtak vedrørende saklig behov for kredittvurdering

Klager mente at det ikke vil være saklig behov for kredittvurdering ved opprettelse av inkassosak på lave beløp. Nemnda var enig med Datatilsynet. Det avgjørende for nemnda var at det foreligger en bransjenorm som fastslår at man som hovedregel kan kredittvurdere ved registrering av nytt inkassokrav. Årsaken til kredittvurderingen på dette punktet er at man skal vurdere om kreditor kan/bør velge å ikke fortsette saken. Etter nemndas syn foreligger det da saklig behov nærmest uavhengig av beløpets størrelse.

PVN-2010-04 Kredittvurdering

Klage på Datatilsynets vedtak om saklig behov ved kredittvurdering

Klager anførte at det påståtte erstatningskravet ikke var den reelle grunnen til at advokaten foretok kredittvurdering av ham. Klager mente at kredittvurderingen ble foretatt for å bruke opplysningene om hans økonomi i en pågående tvist mellom advokatens klient og klagers kone. Nemnda var enig i Datatilsynets vurdering. Det forelå saklig behov for kredittvurderingen av klager idet det nærmet seg foreldelse for giftsaken mot klager og det fremsto ikke unaturlig å vurdere sivilrettslige skritt. Etter nemndas syn bør terskelen for å kredittvurdere i slike forhold være lave. Nemnda kom også til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2010-03 Opplysninger i kommunalt register

Klage på Datatilsynets avvisningsvedtak vedrørende feilaktige opplysninger i kommunalt register

Det ligger dokumenter i kommunens sakssystem hvor klager er betegnet som “psykisk syk” og med “unormale personlighetstrekk”. Kommunen er dømt til å betale erstatning til klager i lagmannsretten og lagmannsretten la til grunn at klagers sykdom og uføretrygding var et resultat av kommunens håndtering av denne saken. Nemnda kom til at når det er blitt avsagt dom med et slikt innhold så bør Datatilsynet, for å sikre forsvarlig saksbehandling og resultat, undersøke hva som har skjedd og hva kommunen har gjort. Unnlatt tilsyn var således en saksbehandlingsfeil i denne saken. Klagen ble tatt til følge.

PVN-2010-01 Kredittvurdering

Klage på Datatilsynets avvisningsvedtak – kredittvurderingen omfattes av unntaket i personopplysningsloven § 7

Datatilsynet har avvist saken fordi tilsynet er av den oppfatning at kredittvurderingen omfattes av unntaket i personopplysningsloven § 7. Klager anfører at han ikke skulle vært kredittvurdert av Mastiff TV. Det stemmer at han har vært daglig leder i firmaet, men det var på et tidligere tidspunkt. Personvernnemnda var enig med Datatilsynet i at journalister kan innhente kredittopplysninger i forbindelse med journalistisk arbeid. Etter nemndas syn kan det være høyst relevant for en journalist som gjør research til et tv-program å innhente opplysninger ikke bare om nåværende ledelse i et foretak. Klagen ble ikke tatt til følge.

PVN-2009-25 Personopplysninger om arbeidstaker

Klage på Datatilsynets vedtak om utlevering av personopplysninger

Klager anfører personopplysningsloven § 23 f som grunnlag for å frita klager fra å utlevere dokumenter i saken til andre enn de en ser seg tjent med. Personvernnemnda er enig med Datatilsynet i at Datatilsynets rett reguleres av § 44 og dette er en rett til å kreve opplysninger som gjelder uten unntak og uten hinder av taushetsplikt. Klagen ble ikke tatt til følge.

PVN-2009-24 CoCa-banken II

Klage på Datatilsynets vedtak om sletting av personopplysninger

I sak PVN-2009-08 CoCa-banken, behandlet Personvernnemnda spørsmålet om avslag på søknad om konsesjon til å behandle personopplysninger til forskning, samt varsel om vedtak om sletting/anonymisering. Personvernnemnda kom til at Datatilsynets vedtak skulle opprettholdes. Datatilsynet fattet deretter endelig vedtak om at UiO skal “slette eller anonymisere” opplysningene. Datatilsynet henstilte om at opplysningene ble slettet og ikke anonymisert. UiO påklaget dette vedtaket. Personvernnemnda fant at Datatilsynets siktemål med vedtaket oppfylles ved at dataene anonymiseres. En anonymisering kan skje ved at nøkkelen mellom person og prøver slettes, slik at det ikke beholdes noen kobling som åpner for å finne tilbake til fødselsnummeret eller person. Anonymisering vil tillate at pågående doktorgradsstudier kan fullføres. Klagen ble ikke tatt til følge.

PVN-2009-23 Opplysninger i politiets registre

Klage på Datatilsynets vedtak om å avslutte sak (avvisningsvedtak)

Saken gjelder en påstand om at det er registrert feilaktige opplysninger om klager i politiets strafferegister og at klager ikke har fått innsyn i samtlige opplysninger som er registrert om vedkommende. Nemnda kom til at saken ble tilstrekkelig opplyst og Datatilsynet har oppfylt sin utredningsplikt etter forvaltningsloven § 17 og sin veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-22 NAV

Klage på Datatilsynets vedtak om informasjonsplikt ved NAVs innhenting av pasientjournaler i forbindelse med etterkontroll

Datatilsynet og NAV er uenige om rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a. Klager mener at personopplysningsloven § 20 annet ledd bokstav a, sammenholdt med folketrygdloven § 21-4, jf. § 21-4 bokstav c hjemler unntak fra informasjonsplikten som følger av personopplysningsloven § 20 første ledd. Personvernnemnda kom til at en naturlig forståelse av ordlyden i folketrygdloven § 21-4c 4.ledd tilsier at hovedregelen om informasjonsplikt skal gjelde her. Det er uttrykkelig henvist til informasjonsplikten i personopplysningsloven i § 21-4c 4. ledd, og det er bare gjort unntak for de forhold som er regulert i folketrygdlovens § 21-4b.

PVN-2009-21 Klage på advokat

Klage på Datatilsynets avvisningsvedtak

Klagen gjaldt forhold knyttet til klagers advokat, blant annet manglende og mangelfull bistand. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

PVN-2009-20 Tvangsekteskap

Klage på Datatilsynets avslag på søknad om konsesjon for behandling av personopplysninger i IMDis kompetanseteam mot tvangsekteskap

Personvernnemnda kom til at klager har behov for ytterligere veiledning, begrepsavklaring og utredning. Av hensyn til klager, er nemnda derfor kommet til at saken sendes tilbake til Datatilsynet slik at saken eventuelt kan bli gjenstand for en reell toinstansbehandling i forvaltningsapparatet.

PVN-2009-19 Betalingsanmerkninger

Klage på Datatilsynets vedtak hvor Datatilsynet har gitt pålegg om sletting av betalingsanmerkninger eldre enn åtte år og omlegging av kredittopplysningsbyråenes praktisering av sletting i samsvar med pålegget

Saken gjelder en tolkning av standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2, som sier at en fordring som ikke kan resultere i slik tvangsforretning, kan benyttes i kredittopplysningsøyemed i ytterligere fire år, dersom det tas nye rettslige skritt. Klager mener at det dermed ikke finnes noen maksimal oppbevaringstid, slik at bemerkningen ikke behøver å slettes før det er gått fire år siden siste rettslige skritt. Datatilsynet har tolket inn en øvre grense på maksimalt to fireårsperioder. Etter nemndas syn blir det å trekke den naturlige språklig forståelsen av ordlyden for langt. Datatilsynet kan eventuelt sette en øvre grense ved å endre konsesjonen. Klager gis medhold.

PVN-2009-18 Konsesjon til å overvåke fildelingsnettverk

Klage på Datatilsynets vedtak hvor Datatilsynets vedtak hvor det gis avslag på forlengelse av konsesjon til behandling av personopplysninger for å bistå rettighetshavere til musikk og filmverk

Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering. En særbemerkning på dette punkt. Mindretallet var enig i Datatilsynets vedtak. Mindretallet fremhever at den aktuelle registrering vil ha personvernmessige virkninger som kan “volde ulemper”. Mindretallet mener at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Mindretallet mener at saken berører vesentlige prinsipielle personvernspørsmål, så som påregnelig feilregistrering, privat overvåkning, bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.

PVN-2009-17 Klage på NAV og helsepersonell

Klage på Datatilsynets avvisningsvedtak

Klagen gjaldt behandling hos NAV og ulike personer innen helsevesenet. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

PVN-2009-16 Drosjeløyve

Klage på Datatilsynets vedtak om at Oslo kommune ikke kan be om samtykke fra løyvesøker til å innhente vandelsopplysninger ved tildeling av drosjeløyver, samt pålegg om sletting av innhentede personopplysninger

Klagen ble delvis tatt til følge. Nemnda konkluderte med at den behandlingen det her var tale om kunne skje på grunnlag av samtykke fra den registrerte, så fremt det var etablert en alternativ behandlingsmåte for de som velger å ikke gi samtykke. For at dette skal være tilfelle må søker få anledning og tilstrekkelig informasjon til selv å kunne fremskaffe de relevante opplysninger. Personvernnemnda vurderte samtykkeskjemaet og kom til at erklæringen måtte konkretiseres nærmere og de ulike opplysninger som skulle innhentes i samsvar med vilkårene i yrkestransportloven og forskriften måtte spesifiseres. Nemnda kom derfor til at samtykkeerklæringen ikke var utformet slik at den tilfredsstilte kravene til en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningsloven § 2 nr 7.

PVN-2009-15 Skoleskyssordning

Klage på Datatilsynets vedtak om at Rogaland fylkeskommune ikke kan bruke fødselsnummer for administrering av skoleskyss

Datatilsynet viste til at bestemmelsen i personopplysningsloven § 12 er strengt utformet og sikker identifisering kan oppnås ved bruk av navn, adresse og fødselsdato i denne saken. Personvernnemnda kom etter en konkret vurdering til at det var “saklig behov” for sikker identifisering og at metoden var “nødvendig” for å oppnå slik identifisering. Bruken av personnummer i denne saken var derfor i samsvar med personopplysningsloven § 12.

PVN-2009-14 Altinn

Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse

Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.

PVN-2009-13 Registrering hos folkeregisteret

Klage på Datatilsynets avgjørelse om å avslutte sak om registrering av opplysninger i folkeregisteret

Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf. personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-12 Politiets taushetsplikt

Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt

Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-11 Nasjonalbiblioteket

Klage på Datatilsynets vedtak om tidsbegrenset konsesjon til å behandle personopplysninger hos Nasjonalbiblioteket

Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep “allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har “allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor “ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.

PVN-2009-10 Ila fengsel

Klage på Datatilsynets vedtak hvor Ila fengsel nektes fullt innsyn i den underliggende klage

Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.

PVN-2009-09 Tvillingundersøkelse

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.

PVN-2009-08 CoCa-banken

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.

PVN-2009-07 Gjennombruddsprosjekt keisersnitt

Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med ”Gjennombruddsprosjekt keisersnitt”

Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.

PVN-2009-06 Kreftregisterets mammografiprogram

Klage på Datatilsynets vedtak vedrørende Kreftregisterets behandling av opplysninger fra Mammografiprogrammet

Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.

PVN-2009-05 Kobling av helseregistre – levertransplantasjon

Klage på Datatilsynets avslag på søknad om helseforskning – kobling av helseregistre og samtykke

Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.

PVN-2009-04 Kobling av helseregistre – St Olavs Hospital

Klage på Datatilsynets avslag på søknad om endring av konsesjon – kobling av helseregistre uten å informere pasientene

Det ble søkt om konsesjon til å foreta en kobling not Dødsårsaksregisteret uten å informere utvalget. Datatilsynet ga delvis avslag på søknaden. Klager fikk konsesjon, men Datatilsynet satte som krav at utvalget ble informert om koblingen. Personvernnemnda vurderte hvorvidt informasjon til pasientene om at det skal foretas en kobling mot Dødsårsaksregisteret er “utilrådelig”. Nemnda bemerket at denne saken er annerledes enn de to sakene hvor Datatilsynet brukte unntaksregelen i helseregisterloven § 25, 2. ledd nr 3. Tolkning av begrepet “utilrådelig” skal ta utgangspunkt i et faglig skjønn, men dette er ikke avgjørende selv om det er av betydning. Nemnda kom til at kravet om informasjon etter helseregisterlovens §§ 20, 23 og 24 må opprettholdes.

PVN-2009-03 Forskningsprosjekter – helseopplysninger

Klage på Datatilsynets saksbehandling vedrørende påberopte brudd på personvernlovgivningen i forskningsprosjekter

Klager mente at Datatilsynet skulle ha foretatt seg mer i denne saken. Datatilsynet svarte at det har fulgt opp saken på en adekvat måte, blant annet med både brevlig og stedlig kontroll – uten at det ble funnet noen behandling som var ulovlig. Personvernnemnda var enig med tilsynet og konkluderte med at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-02 Vekting av momenter ved kredittvurdering

Klage på Datatilsynets beslutning hvor tilsynet finner at det ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har lovlig adgang til å innhente i forbindelse med en kredittvurdering

Nemnda var enig med tilsynet om at de ikke har myndighet til å overprøve Lindorffs valg av metoder. Heller ikke påstandene om retting etter personopplysningsloven § 27 eller sletting etter personopplysningsloven § 28 førte frem.

PVN-2009-01 Gjenpartsbrev ved kredittvurdering

Klage på tre vedtak fra Datatilsynet vedrørende gjenpartsbrev ved kredittvurdering

Klager anfører at det ikke er rettslig grunnlag for å gi pålegg om at selve kredittvurderingen skal fremgå av gjenparten. Formålet med gjenpartsplikten er oppfylt når den registrerte får informasjon om hvilke opplysninger som er utlevert til spørrer eller lagt til grunn for kredittvurderingen. Datatilsynet mener at en score sier noe om en persons kredittverdighet og er følgelig å anse som en personopplysning. Personvernnemnda er enig med Datatilsynet og mener at når personopplysninger er definert som både fakta og vurderinger, blir det uriktig å skille mellom opplysningene og scoren. Personvernnemnda er derfor av den oppfatning at også scoren skal fremgå av gjenparten.

PVN-2008-06 Pasientopplysninger hos fysioterapeut

Klage på Datatilsynets avvisningsvedtak. Klager anmodet Datatilsynet om å gjennomføre et tilsyn hos en fysioterapeut. Dette ble avvist. Klager påklaget avvisningsvedtaket

Klager mener at Datatilsynet skulle ha foretatt tilsyn hos en fysioterapeut som klager har vært pasient hos. Klager hadde klaget fysioterapeuten inn for Helsetilsynet for feilbehandling. Helsetilsynet fikk ikke pasientjournal som det ba om fordi fysioterapeuten hadde fått virus på datamaskinen og ødelagt harddisk. Fysioterapeuten sendte harddisken til IBAS, men IBAS klarte ikke å gjenopprette eller rekonstruere innholdet. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften. Etter Personvernnemndas syn, har Datatilsynet gjort det som kan gjøres i denne saken. Klager har fått innsyn i IBAS-rapporten. Når IBAS ikke klarer å gjenopprette eller rekonstruere innholdet på harddisken, er det ikke sannsynlig at andre vil klare det.

PVN-2008-05 Creditinform

Klage på Datatilsynets vedtak om at Creditinform må stoppe salg av verdiøkende produkter inntil konsesjon for slik bruk av kredittopplysningsdatabasen foreligger

Klagen ble tatt til følge. Personvernnemnda mener at bransjeanalyser er omfattet av gjeldende konsesjon. Etter nemndas mening må Datatilsynet av eget tiltak trekke konsesjonen tilbake og regulere salg av tjenesten “bransjeanalyse” i en ny og endret konsesjon dersom tilsynet mener at dette er nødvendig. Det vil ha den konsekvens at alle kredittopplysningsforetak vil bli behandlet likt, i og med at dette er en standardkonsesjon.

PVN-2008-04 Lindorff

Klage på Datatilsynets vedtak om at Lindorff ikke kan benytte opplysninger om tidligere adresser i kredittvurdering av en privatperson

Personvernnemnda kom til at når adresse er klassifisert under “kontaktopplysninger”, må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Mindretallet finner også at bare aktuelle adresser kan registreres, men mener at den aktuelle adressen kan brukes som variabel i kredittvurdering.

PVN-2008-03 OBOS-megleren

Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler

Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge. ontor i denne saken. Klagen ble tatt til følge.

PVN-2008-02 SSP

Klage på Datatilsynets vedtak om at Kripos skal slette opplysninger om en person i det sentrale straffe- og politiopplysningsregisteret (SSP)

Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf. ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf. personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er “nødvendig for å gjennomføre formålet med behandlingen”, jf. personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.

PVN-2008-01 Utleiemegleren

Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger

Datatilsynet mente at Utleiemegleren ikke har et “saklig behov” for å innhente kredittopplysninger om interessenter, jf. personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.

PVN-2007-07 ung1881.no

Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin opplysningstjeneste

Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en “bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf. hovedregelen i personopplysningsloven § 8.

PVN-2007-06 OBOS

Klage på Datatilsynets avvisningsvedtak. Begjæring om innsyn i dokumenter, advokaters taushetsplikt og spørsmål om hvor langt Datatilsynets utredningsplikt går

Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf. personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf. domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

PVN-2007-05 Fosterforeldre

Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål

Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc. var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med “utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

PVN-2007-04 Kolumbuskortet

Klage på Datatilsynets vedtak om at Rogaland Kollektivtrafikk FKF må endre løsning for etablering av elektronisk billettering for passasjerer

Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har “reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

PVN-2007-03 Budstikka

Klage på Datatilsynets vedtak om å avvise en henvendelse fra Norsk Eiendomsinformasjon AS om å vurdere lovligheten av Asker og Bærum Budstikkes (heretter Budstikka) internettbaserte eiendomsbase i henhold til personopplysningslovens grunnkrav

Datatilsynet mener at Budstikkas tjeneste er et journalistisk produkt som faller innenfor personopplysningsloven § 7, og begrunnelsen for avvisningen er dermed at personopplysningslovens grunnkrav ikke kommer til anvendelse på forholdet. Tjenesten er med andre ord ikke i strid med personopplysningsloven.

Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de “tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

PVN-2007-02 Bibliotek-Systemer

Klage på Datatilsynets avslag hvoretter Bibliotek-Systemer AS ikke får utvikle bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike låntakerne låner – såkalt korrelasjonsdatabase

Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf. personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

PVN-2007-01 Arvelighetsregisteret

Klage på Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret” hos Universitetet i Oslo. Avgjørelsen innebærer samtidig et avslag på klagers konsesjonssøknad for det aktuelle materialet

Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for “Arvelighetsregisteret”, herunder “Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en “arbeidskonsesjon” eller “brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.

PVN-2006-13 Personopplysninger i forsikringssak

lage på Datatilsynets vedtak om å ikke intervenere i sak angående spesialisterklæring utarbeidet i forsikringssak som inneholdt personopplysninger om andre personer enn klager

Saken gjelder klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager. Klager underskrev en fullmakt til Vesta

Erklæring om fritak for taushetsplikt. Legen tok likevel med informasjon om andre enn klager i sin spesialisterklæring, blant annet utleverte den personopplysninger om klagers nærmeste familie. Saken ble først klaget inn for Helsetilsynet i Vestfold, som konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte reaksjonskapittelet i helsepersonelloven, men fant at det ikke dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55. Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen, og når Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning. Personvernnemnda mener at utlevering av personopplysninger om andre enn den som har samtykket, sannsynligvis er et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Slik nemnda ser det, har Helsetilsynet i Vestfold funnet at utleveringen er et taushetspliktsbrudd etter helsepersonelloven, men Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes. Personvernnemnda må derfor legge dette til grunn. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven.

PVN-2006-12 Bokettersyn hos advokat

Klage på Datatilsynets vedtak om at opplysning om bokettersyn hos advokat ikke er en personopplysning

Datatilsynet mottok klage fra en advokat fordi opplysning fra Tilsynsrådet for advokatvirksomhet om at det var besluttet bokettersyn hos advokaten var blitt offentliggjort. Datatilsynet vedtok at slik opplysning om en advokat ikke er en personopplysning i personopplysningslovens forstand. Personvernnemnda vurderte hvorvidt det å offentliggjøre en liste over advokater som er underlagt bokettersyn er i strid med taushetspliktsbestemmelsen i forvaltningsloven fordi dette er “noens personlige forhold”, jf. forvaltningsloven § 13, 1.ledd nr 1. Nemnda kom til at slike virksomhetsrelaterte opplysninger, herunder bokettersyn hos advokat, faller utenfor taushetsplikten om personlige forhold. Opplysningen er derfor offentlig. Personopplysningsloven § 6 angir at innsynsretten etter forvaltningsloven eller offentlighetsloven ikke begrenses. Klagen ble derfor ikke tatt til følge.

PVN-2006-11 REMA 1000 – fingeravtrykk ved registrering av timer

Klage på pålegg om at bruk av fingeravtrykk må opphøre

REMA 1000 har påklaget Datatilsynets vedtak om at REMA 1000 må avslutte bruken av fingeravtrykk i forbindelse med timeregistrering for de ansatte. Registrering i terminalen skjer ved at den ansatte taster sitt ansattnummer eller ID-nummer. Deretter blir vedkommende bedt om å legge en finger på leseplaten eller sensoren for å verifisere at det er tastet riktig nummer. Datatilsynet er ikke uenig i at REMA 1000 har et saklig behov for å sikre at lønn føres korrekt. Tilsynet er imidlertid av den oppfatning at fingeravtrykket ikke benyttes for sikker identifisering slik dette er formulert i § 12. Identifisering skjer ved hjelp av ansattkoden, mens fingeravtrykket brukes til autentisering, noe som faller utenfor § 12. Datatilsynet mener at lovens krav til nødvendighet heller ikke er oppfylt. Personvernnemnda har i sak PVN-2006-10 (Esso Norge) kommet til at personopplysningsloven § 12 dekker begge former for bruk av et “identifikasjonsmiddel” når bruk av fingeravtrykk til autentisering er en del av et system for sikker identifisering. Personvernnemnda mener at det foreligger et saklig behov for sikker identifisering i forbindelse med timeregistrering. Imidlertid finner nemnda at nødvendighetsvilkåret ikke er oppfylt. Etter nemndas oppfatning kan REMA 1000 benytte seg av “andre og mindre sikre identifikasjonsmidler” som likevel tilfredsstiller butikkjedens behov. Klagen tas derfor ikke til følge.

PVN-2006-10 Esso Norge AS – fingeravtrykk ved adgangskontroll

Klage på Datatilsynets vedtak om at Esso Norge må avslutte bruken av fingeravtrykksleser på tankanlegg.

Dissens. Esso ønsket å benytte fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg, i Fredrikstad, Tønsberg, Trondheim og Bergen. Bruken skulle være basert på en samtykkeerklæring og en “Safety Policy” og skulle sikre at kun autorisert og trenet personell ble gitt adgang til anlegget. Datatilsynet mente at klager har misforstått det første vilkåret i § 12 dit hen at et stort behov for fysisk sikring også gir et stort behov for sikker identifisering. Tilsynet fant at fingeravtrykket ikke benyttes til identifisering, men til autentisering etter at identifiseringen har funnet sted. Datatilsynet mente også at lovens krav til nødvendighet ikke var oppfylt. Etter Datatilsynets oppfatning kan klager oppnå like sikker identifisering ved døgnbemannet adgangskontroll. I følge tilsynet er manuell visuell kontroll opp mot adgangsbevis et godt alternativ til bruk av fingeravtrykk. Personvernnemnda mener at personopplysningsloven § 12 dekker begge former for bruk av fingeravtrykk som et “identifikasjonsmiddel”, det vil si både identifisering og autentisering. Ved bruken av kort og fingeravtrykksleser ved adgangsporten vil (1) personen være identifisert, og (2) personen være autentisert. Personen vil dermed få adgang til tankanlegget. Personvernnemnda er av den oppfatning at det ikke kan pålegges og derfor heller ikke vurderes – andre typer sikring slik som vakthold, gjerder, høye murer etc, idet dette ligger utenfor personopplysningsloven § 12 og midler for sikker identifikasjon ved adgangskontrollen. Nemnda kommer til at det foreligger et saklig behov for bruk av fingeravtrykksleser, og at bruken er nødvendig for å oppnå sikker identifisering. Et medlem kommer til at nødvendighetsvilkåret i § 12 utelukker bruk av samtykke som behandlingsgrunn, og vil avvise klagen.

PVN-2006-09 Oslo trimsenter – fingeravtrykk ved adgangskontroll.

Klage på Datatilsynets vedtak om at Oslo trimsenter må avslutte bruken av fingeravtrykk ved adgangskontroll til treningssenter

Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av “andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-08 Oxigeno Fitness – fingeravtrykk ved adgangskontroll

Klage på Datatilsynets vedtak om at Oxigeno Fitness må avslutte bruken av fingeravtrykk ved adgangskontroll til treningssenter

Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av “andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-07 Tysvær kommune – saksomkostningsvedtak, jf. forvaltningsloven § 36.

I sak PVN-2006-07 omgjorde Personvernnemnda Datatilsynets vedtak. Wiersholm advokatfirma har på vegne av sine klienter Tysvær kommune og Lenovo Technologies BV Norway Branch (heretter “Lenovo”) krevd å få dekket kostnadene med å få omgjort vedtaket. Etter en samlet vurdering kom nemnda til at kravet skal avkortes. En slik avkortning må nødvendigvis være skjønnsmessig. Kun nødvendige kostnader i forbindelse med klagesak PVN-2006-07 dekkes.

PVN-2006-07 Tysvær kommune – fingeravtrykkspålogging.

Klage på Datatilsynets vedtak om at Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem

Spørsmål om Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Tysvær kommune benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen stasjonære maskiner. Datatilsynet forbød bruken fordi den ikke var tillatt etter personopplysnings­loven § 12. Datatilsynet mente at selv om det foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet kommer på avveie, var ikke bruk av fingeravtrykksløsning nødvendig for å oppnå sikker identifisering. Etter Datatilsynets syn kunne kommunen i stedet bruke for eksempel smartkort kombinert med passord. Personvernnemnda omgjorde vedtaket. Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. Etter en konkret avveining kom Personvernnemnda til at kommunens bruk er tillatt, jf. personopplysningsloven § 12.

PVN-2006-06 Dopingprøver

Klage på Datatilsynets vedtak om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre

Datatilsynet fattet vedtak om at om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre. Antidoping-programmet består av en frivillig egenerklæring som medlemmer ved senteret kan undertegne. Medlemmer som har samtykket kan bli utsatt for uanmeldte dopingprøver. Datatilsynet mente at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Tiltaket vil ikke være tilstrekkelig og relevant, herunder forholdsmessig, i forhold til formålene som begrunner tiltaket. Personvernnemnda omgjorde Datatilsynets vedtak. Etter Personvernnemndas syn er antidoping-programmet vurdert under ett ikke et uforholdsmessig tiltak. Nemnda legger blant annet vekt på at samtykke er frivillig og at antidoping-programmet bidrar til holdningsskapende arbeid blant ungdom.

PVN-2006-05 Spørsmål om identitetsmisbruk.

Klage på Datatilsynets avvisningsvedtak

Spørsmål om identitetsmisbruk. Klager hevdet at det fantes en “falsk navnebror” ved søk på ulike telefonkataloger på Internettet. Klager henviste blant annet til søketjenesten “sesam.no”. Klager mente at den falske navnebroren skulle være registrert med fiktiv adresse i nærheten av klager og anmodet Datatilsynet om å avklare grunnlaget for dobbeltoppføringen med Telenor. Personvernnemnda kunne ikke finne at det var opplyst eller dokumentert feilaktige opplysninger per i dag som kunne kreves rettet etter personopplysningsloven § 27. Når det ikke kan påvises feilaktige opplysninger, faller forholdet utenfor personopplysningsloven og dermed utenfor Personvernnemndas kompetanse.

PVN-2006-04 Microsoft Windows XP

Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven med forskrift

Saken gjelder klage på Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon. Klager mener at automatiske oppgraderinger er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin

Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven. Klager mente at Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin. Klagen førte ikke frem. Personvernnemnda finner at ingen personopplysninger behandles i forbindelse med bruk av funksjonen automatiske oppdateringer. Saken faller derfor utenfor personopplysningsloven.

PVN-2006-03 Kredittvurdering av potensielle leietakere

Klage på Datatilsynets pålegg om opphør av KLPs praksis vedrørende kredittvurdering av potensielle leietakere

Dissens 4-3. Saken gjelder hvorvidt det foreligger et saklig behov for å kredittvurdere potensielle boligleietagere, jf. personopplysningsforskriften § 4-3, når husleien betales forskuddsvis. Datatilsynet vedtok pålegg om opphør av KLP Eiendom Trondheim AS’ praksis med å foreta kredittvurdering av potensielle leietakere. Datatilsynet tolket saklighetskravet i personopplysningsforskriftens § 4-3 slik at det må foreligge et kredittelement før innhenting av kredittopplysninger og slikt element av kreditt forelå ikke når husleien betales forskuddsvis. Personvernnemnda er enig med Datatilsynet i at det som hovedregel vil være i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt at man innhenter kredittopplysninger. Personvernnemnda delte seg imidlertid i et flertall og et mindretall ved vurderingen av om det forelå saklig behov for kredittvurdering i denne saken. Flertallet la avgjørende vekt på at det i normaltilfellene ikke ytes kreditt ved boligutleie, utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode og det finnes gode alternativer, slik som referanser og bankgaranti.

PVN-2006-02 Sletting av leserinnlegg på et nettbasert debattforum

Klage på Datatilsynets vedtak om å ikke pålegge sletting av leserinnlegg på et nettbasert debattforum tilhørende en regionavis

Klager ønsket sine leserinnlegg på et nettbasert debattforum tilhørende en regionavis slettet, samt krevde sletting av alle registreringer som er relatert til vedkommendes navn gjennom søkemotoren Google. Personvernnemnda kom til, i likhet med Datatilsynet, at ytringer på slike debattsider faller inn under personopplysningsloven § 7 og kan derfor ikke kreves slettet. Når det gjelder det forhold at klagers debattinnlegg også kan gjenfinnes på Google, påpekte nemnda at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internettet. Regionavisen kan neppe påvirke eller hindre slik indeksering.

PVN-2006-01 Avslutting av sak om publisering av personopplysninger på Internett

Klage på Datatilsynets vedtak om å avslutte en sak om publisering av personopplysninger på Internett

Publisering av personopplysninger på Internett. Svært personlige karakteristikker og vurderinger av klager og klagers familie, også avdøde personer, ble lagt ut på Internett i ca. to uker. Datatilsynet besluttet å avslutte saken idet opplysningene var fjernet fra nettstedet da tilsynet kontaktet den behandlingsansvarlige. Klager mener at saken ble avsluttet for tidlig idet personopplysningene lå ute tilstrekkelig lenge til å volde skade for de omtalte og den behandlingsansvarlige burde ha blitt stilt til ansvar samt blitt pålagt å besvare Datatilsynets spørsmål om forholdet til lovverket på en tilfredsstillende måte. Personvernnemnda viser til at opplysninger om avdøde personer bare faller innenfor personopplysningsloven såfremt opplysningene også kan knyttes til en levende person. For så vidt gjaldt opplysningene om levende personer var disse publisert i strid med personopplysningsloven, men ingen sanksjoner mot den behandlingsansvarlige var anvendelige i denne saken. Uttalt at det finnes andre bestemmelser i lovverket som kan være mer anvendelige i en slik sak. Saksbehandlingsfeil at Datatilsynet ikke opplyste om klageadgangen.

PVN-2005-17 Trygdeetaten

Klage vedrørende sletting av personopplysninger i Trygdeetaten i sak vedrørende uførepensjon

Sletting av personopplysninger i Trygdeetaten. Klager ba om at en legeerklæring og et legenotat i sak om uførepensjon skulle slettes. Datatilsynet la Fylkestrygdekontoret i Oslos vurdering om at dokumentene fortsatt var nødvendige til grunn og påla ikke sletting. Personvernnemnda tilskrev Fylkestrygdekontoret og ba om å få vite klagers nåværende alder. Det følger av personopplysningsloven § 28 at man ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Fylkestrygdekontoret svarte at etter en ny vurdering har de kommet til at dokumentene kunne slettes, blant annet under henvisning til at klager har gått over på alderspensjon.

PVN-2005-16 Norsk Pasientregister (NPR)

Klage på Datatilsynets avslag på søknad om utvidelse av konsesjon til Norsk pasientregister – skade- og ulykkesdata

Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.

PVN-2005-15 Tannum Tekstil AS

Klage på Datatilsynets manglende bruk av sanksjoner mot selskap som sendte ut direktereklame uten å undersøke det sentrale reservasjonsregisteret mot adressert reklame. Spørsmål om brudd på forvaltningsloven

Tannum Tekstil AS sendte ut direktereklame til klager til tross for at klager hadde reservert seg mot direkte markedsføring i det sentrale reservasjonsregisteret. Klager fikk ikke svar fra Tannum Tekstil AS da vedkommende klaget på dette. Videre gikk det mer enn tre måneder over svarfristen fra Datatilsynet før Tannum AS besvarte henvendelsen. Tannum AS vedgikk senere feilen, slettet klager fra sine registre og erkjente sin plikt til å følge reglene i personopplysningsloven § 26. Klager fikk ikke medhold i at Datatilsynet burde ha brukt sanksjoner mot Tannum Tekstil AS. Det forelå heller ikke brudd på forvaltningsloven.

PVN-2005-14 SKAN

Klage på Datatilsynets vedtak om pålegg om sletting av personopplysninger på internettside

Saken gjelder Datatilsynets pålegg om å slette personopplysninger på hjemmesiden til karatestilartsorganisasjonen Shorin Ryu Karate Association Norway (SKAN). Personvernnemnda kom til at klubbens hjemmeside var omfattet av personopplysningslovens § 7 og denne bestemmelsens begrep "journalistisk formål"; og dermed vernet av ytringsfriheten. Klager kunne derfor ikke kreve at personopplysningene skulle slettes. Et motsatt resultat ville medført at en person kan "redigere" historien og gjøre den ufullstendig.

PVN-2005-13 NSB – saksomkostningsvedtak, jf forvaltningsloven § 36.

Krav om dekning av saksomkostninger, jf forvaltningsloven § 36

I sak PVN-2005-13 NSB omgjorde Personvernnemnda Datatilsynets vedtak. NSB har krevd å få dekket vesentlige kostnader som har vært nødvendige for å få omgjort vedtaket. Det rettslige grunnlaget er forvaltningsloven § 36, 1. ledd. Nemnda kom til at NSB skal få dekket de utgifter som har vært nødvendige for å få endret vedtaket i samsvar med forvaltningsloven § 36.

PVN-2005-13 NSB

Klage på Datatilsynets vedtak om begrensninger i adgangen til fjernsynsovervåking av publikumsområder i tog

NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

PVN-2005-12 Sporveisbussene

Klage på vedtak om begrensninger i adgangen til kameraovervåking av bussenes publikumsområder

Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

PVN-2005-11 Konsesjonsplikt for helautomatiske bomstasjoner

Klage på vedtak om pålegg om konsesjonsplikt for helautomatiske bomstasjoner

Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.

Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.

PVN-2005-10 Kundeopplysninger

Klage på vedtak om pålegg om sletting av kundeopplysninger

Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.

PVN-2005-09 Fjernsynsovervåking

Klage på vedtak vedrørende fjernsynsovervåking ved Det Mosaiske Trossamfund

Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.

  1. Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
  2. Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.

I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.

PVN-2005-08 Kreftregisteret

Klage på Datatilsynets vedtak om delvis avslag på søknad fra Kreftregisteret om konsesjon for to forskningsprosjekter: "Kreftrisiko blant ansatte i mineralullindustrien" og "Kreftrisiko blant ansatte i aluminiumsindustrien"

Kreftregistret søkte om forlenget konsesjon bl a for to prosjekter som tok sikte på å klarlegge kreftrisiko blant ansatte i mineralullindustrien og aluminiumsindustrien. Datatilsynet avslo konsesjon under henvisning til at det ikke forelå samtykke, og at interesseavveining i personopplysningsloven § 9, 1.ledd litra h ikke klart oversteg den enkeltes interesse i personvern. Personvernnemnda presiserte at samtykke fra den registrerte er hovedregelen, og at denne regelen bare kan avvikes når det foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I dette tilfellet anså Personvernnemnda at risikoen for frafall av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven § 8 litra d. Personvernnemnda anså også at samfunnets interesse i bedre å forstå og kunne forebygge kreft klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble sendt tilbake til Datatilsynet, som har kompetanse til å gi konsesjon for prosjektene.

PVN-2005-07 Tilleggsvedtak – FHI

Klage på vedtak om delvis avslag på konsesjon til å behandle helseopplysninger

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.

Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-07 Statens folkehelseinstitutt (FHI)

Klage på vedtak om delvis avslag på konsesjon til å behandle helseopplysninger

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget. Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-06 Securitas

Klage på vedtak om pålegg i forbindelse med tilsyn hos Securitas, samt begjæring om at deler av vedtaket gis oppsettende virkning

Securitas ønsket å innføre testing for rusmisbruk av alle sine ansatte, og å oppbevare vandelsattest innhentet i forbindelse med ansettelse i sitt personalsystem.

Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven, som i kapittel 9 regulerer kontrolltiltak, herunder medisinske undersøkelser (jfr arbeidsmiljøloven § 9-4). Hjemmelen for å gjøre det nødvendige inngrep måtte finnes i arbeidsmiljøloven, mens vurderingen av hvorvidt de resulterende, sensitive personopplysninger kan behandles, følger personopplysningslovens bestemmelser, jfr arbeidsmiljøloven § 9-1 nr 2. Forholdet til biobankloven påpekes.

Personvernnemnda finner at det ikke er adgang til å gjennomføre behandling av opplysninger innhentet ved testing av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter ansettelse ikke kan tillates under henvisning til både personopplysningsloven og lov om strafferegistrering.

PVN-2005-05 Utlevering av fakturamottakers e-postadresse

Klage på Datatilsynets avgjørelse om å trekke tilbake en tidligere uttalelse om at fakturautstedere skal kunne få utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved inngåelse av tjenesteavtale om e-faktura

Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank i forbindelse med avtale om e-faktura. Personvernnemnda kom til at banken var behandlingsansvarlig, og derfor ikke kunne utlevere opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at saken fortoner seg "mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet". Klagen førte ikke frem.

PVN-2005-04 HUNT

Klage på vedtak om avslag på søknad om konsesjon for tidsbegrenset oppbevaring av koblingsbro

HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det – rent teoretisk – for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.

PVN-2005-03 Barnevernsaker

Klage på Datatilsynets vedtak om avvisning

Saken gjelder nettsted som inneholder kritiske kommentarer til behandlingen av barnevernsaker og relaterte spørsmål. Personvernnemnda kommer til at nettstedet behandler personopplysninger, men faller innenfor personopplysningsloven § 7, som begrenser lovens anvendelse for "journalistiske, herunder opinionsdannende, formål". Det vises til forarbeidenes diskusjon av forholdet til Grunnloven § 100 og Den europeiske menneskerettighetskonvensjon, jf Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven), særlig pkt 11.6. Personvernnemnda presiserer at nettstedene må, i likhet med andre media, overholde og respektere bestemmelser som gjelder omtale av enkeltpersoner.

PVN-2005-02 Innsyn i innbetalt forsikringspremie

Klage på Datatilsynets vedtak om å avvise sak med krav om innsyn i innbetalt forsikringspremie

Saken gjaldt spørsmål om innsyn i to typer opplysninger i forbindelse med en ytelsesbasert, kollektiv personforsikringsavtale mellom et forsikringsselskap og tidligere arbeidsgiver. Opplysningene utgjorde konkrete tallstørrelser, men var resultatet av en beregning og da derfor "ingen anvendelig informasjon om hvilken innbetaling som forsikringstaker reelt sett har gjort for det enkelte medlem". Personvernnemnda kom til at det var personopplysninger, og derfor gjenstand for innsyn.

Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsavtaleloven § 17-2. Under henvisning til klare uttalelser i forarbeidene kom man til at innsynsretten kunne gjøres gjeldende.

Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til at opplysningene ikke angikk "andres forretningsmessige forhold". Personvernnemnda uttaler også at taushetsplikten i forsiktingsvirksomhetsloven § 1-3 vil stå tilbake for innsynsretten etter personopplysningsloven.

PVN-2005-01 Sletting lydbåndopptak

Klage på Datatilsynets avvisning av å pålegge Wiersholm, Mellbye & Bech advokatfirma å slette lydbåndopptak.

En advokat hadde gjort opptak av samtaler med den annen part i en sak som sto for retten. Opptakene var gjort uten å informere den annen part. Den annen part krevde opptakene slettet. Personvernnemnda kom til at lydopptakene ikke representerte noe personregister under henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og derfor ikke falt inn under personopplysningslovens saklige virkeområde etter personopplysningsloven § 3, 1.ledd litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd litra a vil også behandling av personopplysninger med "elektroniske hjelpemidler" falle inn under lovens saklige virkeområde. Personvernnemnda kom til at dette kriteriet måtte forstås slik at behandlingen skjedde automatisk, dvs uten at mennesker styrte opptaket. Henvisning til forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om tilfellet ikke faller inn under personopplysningslovens saklige virkeområde, kan det ha betydning for den enkeltes personvern, og viser i den aktuelle sak til karakteristikk av opptak av telefonsamtaler uten å informere den annen part i Rt-1997-795.

PVN-2004-09 Bakehuset Kafé AS

Klage på Datatilsynets vedtak om at Bakehuset Kafé AS ikke får opprettholde fjernsynsovervåking av butikklokalene i det eksisterende omfang.

En kafé overvåket arbeidsplassen ved hjelp av videokamera. Etter diskusjon mellom Datatilsynet var det enighet om bruk av slike kamera. I ettertid ble ytterligere to kamera montert. Det var enighet om at en viss overvåking kan tillates etter nødvendighetsgrunnen i personopplysningsloven § 8 litra b jfr personopplysningsloven § 37, 1. ledd. Personvernnemnda sluttet seg til Datatilsynet i at det må finnes en grense for hvor intensiv overvåking som kan tillates på en arbeidsplass, og opprettholdt vedtaket som gikk ut på at de to siste kameraene måtte fjernes.

PVN-2004-08 Finansnæringens Hovedorganisasjon

Klage på konsesjonsvilkår om behandling av personopplysninger i forsikringsbransjen

Saken gjelder en klage på konsesjon for forsikringsselskapenes behandling av personopplysninger fra Finansnæringens Hovedorganisasjon på vegne av organisasjonens medlemmer. En rekke forhold ved konsesjonen ble behandlet. Personvernnemnda ga delvis medhold i to forhold. Ett av disse var av mer administrativ karakter, og gjaldt fristen for fullføring av arbeidet med nye samtykkeerklæringer.

Når det gjaldt krav til skriftlighet ved innhenting av sensitive personopplysninger, fastholdt nemnda “som klar hovedregel” krav til skriftlighet, men ga klager medhold i en “sikkerhetsventil” for situasjoner hvor den registrerte er i stand til å samtykke muntlig, men ikke i stand til å bekrefte samtykket muntlig. Personvernnemnda tok ikke stilling til hva som må til for at skriftlighetskravet anses oppfylt etter konsesjonsvilkårene.

Datatilsynets vedtak om bruk av fødselsnummer ble stadfestet. Dette henger bl a sammen med bruk av kredittopplysninger ved risikovurdering. Personvernnemnda uttalte at det “uansett en mulig statistisk sammenheng” mellom betalingsudyktighet og skadehyppighet, kan ikke kredittopplysninger “benyttes ved vurdering av det enkelte tilfellet”.

PVN-2004-07 Telenor Mobil

Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder.

Telenor Mobil ønsket å lagre enkelte opplysninger (navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med også etter at kundeforholdet var avsluttet. Erfaringsmessig vil en del av disse senere ønske å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn for å bistå kunden. Opplysningene ble ikke brukt til andre formål. Personvernnemnda mente at et var nærliggende at kunder qua forbrukere forutsatte at den tidligere leverandør “husket” telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant at lagringen av opplysningene i liten grad svekker den registrertes personvern, og at Telenor Mobil hadde en berettiget interesse i lagringen, jfr personopplysningsloven § 8 litra f. Klagen ble tatt til følge.

PVN-2004-06 Ullevål Universitetssykehus (UUS)

Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.

Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for “Etterundersøkelse av pasienter innlagt for selvpåført forgiftning”. Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.

PVN-2004-05 Norske Kredittopplysningsbyråers Forening (NKF)

Klage på Datatilsynets vedtak om konsesjon for behandling av personopplysninger i kredittopplysningsvirksomhet – Norske Kredittopplysningsbyråers Forening (NKF)

Personvernnemnda drøfter spørsmålet om hvilket tidspunkt som skal legges til grunn for registrering av inkassopplysninger. Her deler nemnda seg i et flertall og et mindretall. Flertallet anser at en fordring først kan tillates registrert når det er tatt rettslige skritt for inndrivning av fordringen, og slutter seg slik til det syn som ligger til grunn for Datatilsynets vedtak.

Når det gjelder slettefrist for fordringer som er gjort opp, anser Personvernnemnda at de skal slettes straks de er gjort opp, og opprettholder også her Datatilsynets vedtak.

Når det gjelder behandling av personopplysninger ved beregning av nyetablerte foretak i tiden frem til første regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold i at man skal kunne basere rangeringen på kredittverdigheten på opplysninger om de nøkkelpersoner som står bak foretaket.

Når det gjelder frist for sletting av opplysninger om misligholdte fordringer når foreldelsen avbrytes ved at det tas rettslig skritt, gis klager medhold på ett punkt, nemlig at det ikke innføres noen beløpsgrense. Dermed tillates registrering av fordringer som ikke kan resultere i tvangsforretninger registrert for nye fire år når det treffes nye rettslige skritt innenfor den første fireårsfristen.

PVN-2004-04 “Suicidal atferd i Bergensområdet”

Klage på Datatilsynets vedtak om å nekte konsesjon for ferdigstillelse av forskningsprosjektet "Suicidal atferd i Bergensområdet"

Klager har på grunnlag av en konsesjon fra 1983 fulgt en gruppe på 470 personer som alle var innlagt for selvpåførte skader. Ved en ny konsesjon fra 1997 ble det tillatt kobling til Dødsårsaksregistret. Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremmet søknad om ny konsesjon etter utløpet av overgangsordningen i personopplysningsloven. På denne bakgrunn unnlot Datatilsynet å behandle søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valgte å behandle klagen som søknad om ny konsesjon, og fant at prosjektet kan bygge på nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette ble klagen tatt til følge. Uttalelse om at opplysninger om avdøde personer faller utenfor lovens område.

PVN-2004-03 Posten Norge AS

Klage på Datatilsynets vedtak om at Postens utleie av adresselister ikke kan forankres i personopplysningsloven § 8 f) – Posten Norge AS

Posten har et register over de fleste privatpersoner boende i Norge (PMS). Posten ønsker å leie ut adresselister fra dette registeret. Det ble foreslått tiltak, særlig et eget reservasjonsregister, for å dempe ulempene for den registrertes personvern. Personvernnemnda fant at taushetspliktbestemmelsen i postloven § 13 ikke var til hinder for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne hjemles i personopplysningsloven § 11, 1. ledd litra c fordi formålet ved utleie av adresselistene var uforenlig med registrering av opplysningene for formidling av postsendinger. Slikt gjenbruk krevde derfor samtykke. Personvernnemnda tolket personopplysningsloven slik at det i en slik situasjon ikke skal legges strengere krav til gjenbruk enn til første gangs bruk, og vurderte derfor om bruken kunne hjemles i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessen til Posten var berettiget etter denne bestemmelsen, men fant under henvisning til forarbeidene at denne forretningsmessige interessen ikke kunne veie tyngre enn den registrertes interesse i privatlivets fred og personvern.

PVN-2004-02 NTNU

Klage på Datatilsynets vedtak om vilkår om samtykke for fortsatt lagring av opplysninger fra prosjektet «Helse- og stressreaksjoner hos oljearbeidere i Nordsjøen» - NTN

Etter Alexander Kielland-ulykken i 1980 ble det 1984-85 gjennomført en undersøkelse blant de overlevende basert på muntlig samtykke fra de overlevende og skriftlig samtykke fra en kontrollgruppe. Det er flere ganger søkt om konsesjon for videre lagring med sikte på en oppfølgningsundersøkelse, den siste konsesjonen (gitt etter personregisterloven) utløp 2002. Ny søknad ble fremmet januar 2004. Datatilsynet ga delvis avslag, og krevde innhenting av skriftlig samtykke fra de registrerte innen 1.6.2004. Klager ønsket først å innhente samtykke i forbindelse med igangsettelse av oppfølgingsstudien, og lagring for et lengre tidsrom. Personvernnemnda ga klager tillatelse til fortsatt lagring inntil vedtak i nemnda forelå. Klagen ble tatt til følge. Personvernnemnda tillater lagring inntil seks måneder fra vedtakets dato. Før oppfølgingsprosjektet blir igangsatt, må tilfredsstillende samtykke innhentes. Personvernnemnda fant at nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d her kunne benyttes, og at samfunnets interesser klart oversteg ulempene for den enkelte i dette tilfellet, jfr personopplysningsloven § 9 litra h. Saken ble sendt tilbake til Datatilsynet, som har kompetanse etter personopplysningsloven § 33 til å gi konsesjon.

PVN-2004-01 Statens Arbeidsmiljøinstitutt – STAMI

Klage på Datatilsynets vedtak om vilkår om samtykke for konsesjon for delstudie 1 og 2 – Statens Arbeidsmiljøinstitutt – STAMI

Saken gjelder en klage fra Statens arbeidsmiljøinstitutt (STAMI) i forbindelse med en oppfølgingsstudie om kreft og lungesykdommer blant ansatte i norsk silisiumkarbidindustri. Hovedspørsmålet er hvorvidt det skal kreves informert samtykke for å tillate oppfølgingsstudien, eller om denne kan baseres på en av nødvendighetsbegrunnelsene, jfr personopplysningsloven § 11 jfr §§ 8 og 9. Med utgangspunkt i personopplysningsloven § 11, peker Personvernnemnda på at for sensitive opplysninger må både betingelsene i personopplysningsloven § 8 og § 9 være oppfylt. Av de tre alternative begrunnelsene i personopplysningsloven § 8 slutter Personvernnemnda seg til Datatilsynets tolkning av loven, som gir samtykke prioritet. Men Personvernnemnda tolker loven slik at hvis det foreligger tilstrekkelig begrunnelse for å avvike fra hovedregelen, kan dette gjøres. En slik begrunnelse finner Personvernnemnda i den konkrete saken i hensynet til undersøkelsens kvalitet. Når personopplysningsloven § 8 er tilfredsstilt, må man så bestemme om også vilkårene etter personopplysningsloven § 9 er til stede. Personvernnemnda foretar en konkret vurdering av saken, og finner at i dette tilfellet vil samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte, jfr 9, 1.ledd litra h. Etter dette blir klagen å ta til følge.

PVN-2003-07 Nasjonalt folkehelseinstitutt

Klage på Datatilsynets vedtak om nektelse av konsesjon for regelmessige overføringer av data fra UDI til Tuberkuloseregisteret – Nasjonalt folkehelseinstitutt

Spørsmål om Tuberkuloseregisteret regelmessig skal påføres opplysninger fra UDI for å sikre kvaliteten på opplysningene. Tuberkuloseregisteret er et sentralt register opprettet i medhold av lov. Personvernnemnda anser at vurderingen om innhenting av opplysninger må foretas i henhold til denne loven, og at det er et prinsipielt spørsmål som Helsedepartementet må vurdere, og eventuelt hjemle ved endringer i forskriften for registeret. Datatilsynets vedtak opprettholdt.

PVN-2003-06 Norsk Rikstoto AS

Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer – Norsk Rikstoto AS

Norsk Rikstoto ønsket å bruke fødselsnummer for identifikasjon av spillere. Etter personopplysningsloven § 12 kan fødselsnummer bare brukes ”når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering” I likhet med Datatilsynet fant Personvernnemnda at det forelå saklig grunn for sikker identifisering, men – også i likhet med Datatilsynet – at det den metoden som ble benyttet ikke ga sikker identifisering. Jf klagesak 07/2002. Klagen ble ikke tatt til følge.

PVN-2003-05 Gjensidige Nor Sparebank ASA

Klage på Datatilsynets vedtak om at det ikke gis konsesjon til at konsernkunderegister skal kunne innholde opplysninger om produkttype – Gjensidige Nor Sparebank ASA

Spørsmål om konsernkunderegister skal kunne inneholder opplysninger om produkttype. Datatilsynet tillater at registeret inneholder opplysninger om produktkategori (betalingsformidling, spare- og innskuddsprodukter, lån og kredittgivning), men ikke produkttype (f eks at lånet er et fastrente lån). Personvernnemnda peker på at en endring i gjeldende praksis vil ha store praktiske konsekvenser, ettersom registrene da må endres. Spørsmålet vil bli lovregulert på grunnlag av NOU 2001:23 (Finansforetakenes virksomhet), og lovproposisjon ventes i løpet av våren 2004. På denne bakgrunn omgjør Personvernnemnda Datatilsynets vedtak og tillater inntil videre fortsatt registrering av produkttype i konsernkunderegisteret.

PVN-2003-04 Barnevernjournal

Krav om sletting av personopplysninger i barnevernjournal

Klager ønsket slettet opplysninger om seg selv i en journal ført i forbindelse med en barnevernjournal. Klager var ikke selv part i saken, men opptrådte av og til på vegne av parten, som var klagers barn. Selve barnevernsaken gjaldt klagers barnebarn. Journalen var omfattende (nær 400 dokumenter) og klager påpekte en rekke opplysninger som ble hevdet å være uriktige, f eks hvordan klagers adferd ble oppfattet på møter, tidspunkter for møter og telefoner mv. Personvernnemnda manglet grunnlag for å vurdere hva som var uriktige opplysninger, og gjennomføringen av sletting ved overstrykning i papirdokumenter ville være praktisk vanskelig. Dokumentene var også relevante i en barnevernssak som på vedtakstidspunktet ikke var avsluttet, jf personopplysningsloven § 27, 2 ledd. Personvernnemnda opprettholdt Datatilsynets vedtak om at klagers anførsler skulle supplere journalen, slik at vedkommende som ser journalen, vil kunne gjøre seg kjent med klagers fremstilling. Nemnda presiserte vedtaket dit hen at to brev til Nemnda med kommentarer også skulle supplere journalen, forutsatt at klager samtykket i dette.

PVN-2003-03 Stavanger kommune

Klage på Datatilsynets vedtak om opphør av behandling av opplysninger samt sletting av registre – Stavanger kommune

I forbindelse med boligadresseringsprosjektet innførte Statens kartverk et attributt i registeret over grunneiendom, adresse og bygning (GAB) kalt ”boligtype”. Dette ble innført fordi et annet attributt i registeret, ”bygningstype”, i sin definisjon anga hvor mange boliger bygningen hadde. Særlig for boliger oppført før 1983 var det en viss inkonsistens mellom denne definisjonen og det antall boliger som faktisk fantes i bygningen. Boligadresseringsprosjektet hadde bl a som formål å tildele en unik adresse til hver bolig, og det var derfor nødvendig at GAB reflekterte det antall boliger som bygningen faktisk inneholdt. Av praktiske og tekniske årsaker, innførte derfor Statens kartverk et nytt attributt i GAB (uten samtidig å endre GAB-forskriften tilsvarende). Stavanger kommune utnyttet disse opplysningene ved samkjøring med andre registre for å identifisere ulovlige boliger. Personvernnemnda finner at opplysningene avgitt til boligadresseprosjektet med formål å utarbeide statistikk og forbedre kvaliteten på enkelte registre, bl a GAB, ikke kan benyttes til slike kontrollformål, jfr personopplysningsloven § 11. 1.ledd litra c. Datatilsynets vedtak om å forby slik bruk av opplysningene, opprettholdes.

PVN-2003-02 “Psykoseregisteret”

Krav om sletting i Sentralkartoteket for alvorlig sinnslidende – «Psykoseregisteret»

Klager var registrert i Sentralkartoteket for alvorlig sinnslidende (“Psykoseregisteret”) med Riksarkivaren som behandlingsansvarlig. Bakgrunnen for registreringen var en frivillig innleggelse med diagnosen “depressiv nevrose”. Personvernnemnda kom til at klagen måtte behandles etter personopplysningsloven, ikke helseregisterloven. Personvernnemnda fant at registreringen var å betegne som sterkt belastende for den registrerte etter personopplysningsloven § 28. Etter en vurdering av forholdet til samfunnsmessige interesser kom Personvernnemnda til at hele innførselen i registeret angående den registrerte måtte slettes. Dissens.

PVN-2003-01 Sentralt låneregister

Klage på Datatilsynets vedtak i sak om avslag på konsesjonssøknad for opprettelse av sentralt låneregister

Personvernnemnda sluttet seg til Datatilsynets vurdering at hvis man baserte et sentral låneregister på samtykke av de registrerte, ville registeret knapt møte kravet til datakvalitet i personregisterloven § 11, 1.ledd litra d og e. Personvernnemnda mente at å gjøre samtykke til en forutsetning for å få lån, ville gjøre at samtykket ikke ville møtet kravet i personregisterloven § 2 nr 7 om bl a frivillighet. Personvernnemnda antok at etablering av et slikt sentralt register vanskelig kan etableres uten hjemmel i lov.

PVN-2002-08 Ullevål sykehus

Klage på Datatilsynets vedtak om overføring av biologisk materiale fra Ullevål sykehus til forskeren.

Datatilsynet hadde pålagt klager (et sykehus) å slette biologisk materiale med tilhørende personopplysninger som var blitt "gjenglemt" ved sykehuset da den forsker som hadde konsesjon fra Datatilsynet til å behandle opplysningene, forlot sykehuset ved skifte av stilling. Nemndas flertall kom til at biologisk materiale ikke i seg selv representerer personopplysninger. Nemnda sluttet seg til Datatilsynet i synet på at klager ikke hadde rett til fortsatt å oppbevare eller behandle de tilknyttede opplysninger. Nemnda fant imidlertid at personopplysningsloven § 46 ikke ga hjemmel til å påby overføring av opplysninger til forskeren som hadde konsesjon til å utnytte dem, og påbød derfor sletting av opplysningene. (dissens).

PVN-2002-07 Norskespill.no AS

Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer

PVN finner det ikke nødvendig for identifikasjon av spillere å benytte fødselsnummer. Datatilsynets vedtak opprettholdes.

PVN-2002-06 Statens institutt for rusmiddelforskning

Klage på Datatilsynets vedtak i sak om delvis avslag på konsesjonssøknad fra Statens institutt for rusmiddelforskning (SIRUS)

Dissens 4-3. Saken gjaldt gjenbruk av opplysninger etter forskningsprosjektet "Injiserende narkotikamisbruk i Oslo" i et oppfølgingsprosjekt "Narkotikadødsfall blant sprøytemisbrukere - en oppfølgingsstudie av personer rekruttert ved sprøytebussen". Datatilsynet ga delvis avslag for så vidt det gjaldt kobling av opplysninger mot enkelte registre hvor respondentene ikke i mellomtiden var avgått ved døden. Personvernnemndas flertall fant at samfunnets interesse i behandlingen klart ville overstiger ulempene den kunne medføre for den enkelte, og at Datatilsynet derfor sto fritt til å gi konsesjon, jfr personopplysningsloven § 33 sml §§ 8.9 og 11. Nemnda fant også at det kunne gjøres unntak fra informasjonsplikten i personopplysningsloven § 20.

PVN-2002-05  Raddison SAS Plaza Hotell

Klage på pålegg om opphør av fjernsynsovervåkning m.v.

Fjernsynsovervåkning av bar vil lett kunne bli ansett som krenkende i forhold til gjestenes ønske om diskresjon. Det nødvendige sikkerhetsbehov skulle være ivaretatt ved at baren er betjent. Monitorering av svømmebasseng/treningsrom ble funnet akseptabelt, men ikke opptak. Klagen ble derfor ikke tatt til følge.

PVN-2002-04 Opplysninger i styreprotokoll

Klage på vedtak om ikke å rette eller slette opplysninger i styreprotokoll

Spørsmål om det forelå saksbehandlingsfeil, forholdet til personregisterbegrepet, om uriktige eller ufullstendige opplysninger var registrert var tema. Nemnda sluttet seg til Datatilsynets vurderinger.

PVN-2002-03 Den norske Bank ASA

Anmodning om at Personvernnemnda skal gi pålegg til Datatilsynet i sak om innsyn i Den norske Bank ASA

PVN slutter seg til Datatilsynets lovforståelse og vurdering om at det er rett til fullt innsyn i bankens datamaskinbaserte registre. Datatilsynets vedtak opprettholdt.

PVN-2002-02 Posten Norge BA

Klage på Datatilsynets avslag om forlenget lagring av billedopptak

Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert direkte utenfor banklokaler. Avslaget omgjort, blant annet under henvisning til at overvåkingen også representerte økt sikkerhet for brukerne av minibanken.

PVN-2002-01 A-møbler AS

Klage på Datatilsynets avslag om forlenget lagring av billedopptak

Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - A-møbler AS. Spørsmål om lagring av videoopptak ved kasse med sikte på sikring av bevis ved misbruk av kredittkort mv. Avslaget opprettholdt.

PVN-2001-01 Sletting av personopplysninger

Klage på Datatilsynets vedtak om ikke å pålegge sletting av personopplysninger.

Spørsmål om tilsynet skal pålegge sletting av personopplysninger som er et resultat av en avtale mellom klager og tidligere arbeidsgiver om tidligpensjon. Personvernnemnda slutter seg til Datatilsynets vurdering at det tema som tolkning av avtalen representerer, er uegnet for en prejudisiell avgjørelse av Personvernnemnda. Personvernnemnda kommer derfor til at den ikke vil nedlegge noe påbud om sletting eller retting av de opplysninger som er innført i tidligere arbeidsgivers system for adgangskontroll. Datatilsynets vedtak opprettholdes.