Home

Vedtak 2019

PVN-2019-16 Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 7. mai 2019 der tilsynet avslo kravet om sletting av opplysninger i As personalmappe.

Opplysningene var knyttet til en hendelse i mai 2009 hvor A ble gitt en skriftlig tilrettevisning av arbeidsgiver. Nemnda la til grunn at det aktuelle behandlingsgrunnlaget for lagringen er personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda skal ikke vurdere grunnlaget for at tilrettevisningen opprinnelig ble gitt, men skal vurdere nødvendigheten av fortsatt lagring etter at den registrerte har protestert, jf. personvernforordningen artikkel 21 nr. 1. Nemnda la til grunn at det er arbeidsgiver som har bevisbyrden for at fortsatt lagring er nødvendig og at det i dette ligger at arbeidsgiver må påvise konkrete og reelle forhold som tilsier at det foreligger «tvingende berettigede grunner», jf. også PVN-2018-11. Alvorlighetsgraden av den aktuelle hendelsen som har resultert i tilrettevisningen er da av betydning for arbeidsgivers behov for fortsatt lagring. Det samme er tiden som har gått siden den aktuelle hendelsen fant sted, og om det har vært nye hendelser senere. Nemnda konkluderte med at det ikke forelå tvingende berettigede grunner for fortsatt lagring. Det var registrert én ny tilrettevisning etter den tilrettevisningen saken gjaldt, men den gjaldt et helt annet type forhold enn hendelsen i 2009, som hadde sammenheng med en stor personlig krise. Arbeidsgiver ble pålagt å slette alle personopplysninger fra As personalmappe knyttet til den aktuelle tilrettevisningen.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2019-15 Kredittvurdering uten saklig behov - overtredelsesgebyr

Klage fra X Advokatfirma på Datatilsynets vedtak 6. mai 2019 om ileggelse av overtredelsesgebyr på 75 000 kroner for å ha foretatt kredittvurdering av et enkeltpersonforetak uten saklig behov.

A kontaktet Datatilsynet 6. juni 2017 etter å ha mottatt flere brev fra kredittopplysningsbyrået Bisnode om at X Advokatfirma hadde kredittvurdert hans enkeltpersonforetak, Y Advokatkontor. A mente X ikke hadde saklig behov for slik kredittsjekk. X bestred at advokatfirmaet har kredittvurdert enkeltpersonforetaket og viste til at de heller ikke hadde saklig grunn for det. X mente kredittvurderingene skyltes en systemsvikt hos Bisnode. Datatilsynet kom fram til at det var klar sannsynlighetsovervekt for at X foretok kredittvurderingene av As enkeltpersonforetak og ila et overtredelsesgebyr på 75 000 kroner. X Advokatfirma klaget vedtaket inn for nemnda. Nemnda fant det klart sannsynliggjort at det var foretatt kredittvurdering uten saklig behov og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 4.

PVN-2019-14 Arbeidsgivers innsyn i e-post

Klage fra A og B på Datatilsynets vedtak 11. februar 2019 der tilsynet konkluderte med at det ikke var foretatt ulovlig innsyn i As og Bs e-poster og at Bs Teamviewer-konto ikke var benyttet i strid med regelverket.

A var ansatt og B var innleid konsulent i selskapet X AS. A og B ble utleid fra X AS for å utføre oppdrag for Y AS. Ved en fisjon av selskapet Y AS ble den delen som A og B var utleid til lagt til X AS. Etter at A sa opp sin stilling og B avsluttet sitt oppdragsforhold, foretok X AS innsyn i A og Bs e-poster både med X og Ys domenenavn. Nemnda kom til at X AS hadde rettslig adgang til å foreta innsyn i A og B's e-postkasser og at innsynene i e-postkassene var nødvendig for å ivareta virksomhetens berettigede interesser. Videre mente nemnda at C, som deltok under innsynsforretningene på vegne av X AS da han var daglig leder i et tredje selskap, hadde fullmakt til å foreta innsynene i e-postkassene på vegne av X AS. Nemnda var også enig med tilsynet i at det ikke var grunnlag for å si at Teamviewer-kontoen ble benyttet i strid med regelverket. Nemnda opprettholdt Datatilsynets vedtak om at det ikke hadde skjedd brudd på personopplysningsloven.

PVN-2019-12 Klage på Datatilsynets avslutning av sak uten å gjøre nærmere undersøkelser eller gi ytterligere sanksjoner

Klage fra A på Datatilsynets vedtak 24. september 2019 der tilsynet besluttet å avslutte saken uten å gjøre nærmere undersøkelser eller gi pålegg overfor universitetet X.

Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila universitetet X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger om at en students (As) skikkethet til psykologistudiet var til behandling i Skikkethetsnemnda. A henvendte seg til Datatilsynet på nytt i 2018 og mente at X var skyldig i ytterligere brudd på personopplysningsloven som ikke var omfattet av det tidligere ilagte overtredelsesgebyret, at universitetet hadde gitt uriktige opplysninger til Datatilsynet, samt at reaksjonen i 2016 ikke var streng nok. Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser. Nemnda kom til at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven. Nemnda viste til at et gebyr for et lovbrudd i 2014 nå i 2019 var foreldet etter personopplysningsloven § 28, jf. § 33. I likhet med tilsynet la nemnda til grunn at X hadde gjennomført tiltak for å unngå at slike konfidensialitetsbrudd skjer igjen. Nemnda bemerket at A uansett ikke er klageberettiget når det gjelder Datatilsynets valg av reaksjon for å ha overtrådt personopplysningsloven.

PVN-2019-11 Påstand om urettmessig oppslag i pasientjournal - klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets avgjørelse 27. mars 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A kontaktet Datatilsynet fordi hun mistenkte at noen urettmessig hadde gjort oppslag i hennes pasientjournal ved et sykehus. Datatilsynet veiledet A i hvordan hun skulle få innsyn i hvilket helsepersonell som hadde gjort oppslag journalen, samt informerte henne om at Fylkesmannen var rett klageinstans dersom hun mente det var gjort urettmessige oppslag. Datatilsynet fant ikke konkrete holdepunkter for at det var foretatt oppslag som ikke var begrunnet i tjenstlig behov, eller at det var generelle mangler ved tilgangsstyringen ved sykehuset. Nemnda var enig med tilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling hvem som har tjenstlig behov for oppslag i pasientjournal etter helsepersonelloven. Nemnda konkluderte med at Datatilsynet hadde etterkommet As anmodning og oppfylt sine forpliktelser etter personvernforordningen artikkel 57 og forvaltningsloven § 17. Datatilsynets avslutning av saken var forsvarlig og i tråd med loven.

 

PVN-2019-09 Publisering av bilde fra overvåkingskamera på Facebook - overtredelsesgebyr

Klage fra gullsmedforretningen A på Datatilsynets vedtak 21. januar 2019 om ileggelse av overtredelsesgebyr på 50 000 kroner for publisering på Facebook av et bilde gjort ved kameraovervåking.

En gullsmedforretning, A, publiserte et bilde på Facebook fra et overvåkingskamera. Bildet viste en identifiserbar person og var tatt i forbindelse med et tyveri av julepynten utenfor forretningen i desember 2017. Nemnda kom til at saken skulle behandles etter personopplysningsloven 2018. Personopplysningsloven 2018 og GDPR åpner for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000 § 39 og må derfor anses som gunstigere, jf. personopplysningsloven § 33. Nemnda vurderte om A hadde behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse), og konkluderte etter en interesseavveining, med at den registrertes interesse gikk foran og krevde vern av opplysningene. Ved utmålingen av gebyr etter GDPR artikkel 83 var det i denne saken nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen var begått i desember 2017 (dvs. før personopplysningsloven 2018 og GDPR trådte i kraft). Nemnda opprettholdt Datatilsynets vedtak om å ilegge A et overtredelsesgebyr på 50 000.

PVN-2019-08 Innsyn i personopplysninger i mobilabonnement etter ID-tyveri

Klage fra A på Datatilsynets vedtak 23. januar 2019 om ikke å gi telefonselskapet B pålegg om å gi han innsyn etter GDPR artikkel 15.

A ble kjent med at en ukjent person urettmessig hadde brukt hans fødselsnummer til å opprette et kontantkortabonnement. A sperret telefonnummeret umiddelbart og anmeldte forholdet til politiet, men politiet henla saken. A ba om innsyn i opplysninger som var knyttet til abonnementet (bl.a. datatrafikk, samtalelogg, sms’er). Mobilselskapet avslo begjæringen. A klaget til Datatilsynet som avsluttet saken uten ytterligere tiltak med henvisning til at A ikke hadde krav på innsyn i etter GDPR artikkel 15. Nemnda var enig med tilsynet i at GDPR artikkel 15 ikke ga A rett til innsyn. Selv om et fødselsnummer entydig er knyttet til en person, var det i dette tilfellet på det rene at As fødselsnummer var misbrukt av noen andre og at de personopplysningene som eventuelt fremkom i tilknytning til det opprettede abonnementet hos mobilselskapet ikke var personopplysninger om A, men personopplysninger om den som hadde opprettet mobilabonnementet. Nemnda opprettholdt Datatilsynets vedtak om ikke å gi pålegg om innsyn.

PVN-2019-07 Retting og sletting av personopplysninger i personalmappe

Klage fra A på Datatilsynets vedtak 11. juli 2018 om ikke å pålegge retting eller sletting av personopplysninger i hennes personalmappe hos arbeidsgiver.

Klageren i saken, A, er involvert i en arbeidskonflikt med ledelsen som har vart over flere år. I likhet med Datatilsynet fant nemnda at det ikke var grunnlag for å pålegge å slette eller rette personopplysningene i As personalmappe. Nemnda sluttet seg til tilsynets vurdering om at det adekvate alternativet er supplering, noe det var gitt anledning til. Videre la nemnda til grunn at arbeidsgivers behandling av As personopplysninger var nødvendig for å ivareta arbeidsgivers berettigede interesse i å håndtere og dokumentere sakshistorikken i arbeidsforholdet og den pågående arbeidskonflikten, jf. GDPR artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet. Nemnda la også til grunn at arbeidsgiverens oppbevaring av personopplysningene var forsvarlig, og at det ikke forelå brudd på reglene om personopplysningssikkerhet, jf. GDPR artikkel 32.

PVN-2019-06 Utlevering av personopplysninger

Klage fra A på Datatilsynets vedtak 21. desember 2018 om å avslutte behandlingen av en sak om X kommunes behandling av personopplysninger, uten å gi pålegg.

Saken har sin opprinnelse i en bekymringsmelding som ble sendt fra en skole til barneverntjenesten i kommunen. Skolen var bekymret over foreldrenes konfliktfylte forhold til skole og lokalmiljø. Barnevernet avsluttet saken uten å iverksette tiltak. Foreldrene kontaktet Datatilsynet og klaget over kommunens/skolens behandling og utlevering av opplysninger. Nemnda la til grunn at kommunen/skolen hadde behandlingsgrunnlag for å behandle personopplysninger i anledning bekymringsmeldingen, og var enig med Datatilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling til grunnlaget for bekymringsmeldingen. Nemnda la videre til grunn at kommunen/skolen ikke brøt personopplysningsloven i sin interne og eksterne kommunikasjon rundt bekymringsmeldingen, samt at Datatilsynet hadde foretatt tilstrekkelige undersøkelser i saken og oppfylt sin plikt etter GDPR artikkel 57.

PVN-2019-05 Innsyn i personalmappe

Klage fra A på Datatilsynets vedtak 22. januar 2019 om å avslutte behandlingen av en innsynssak uten å gi pålegg.

En tidligere ansatt (A) i en fylkeskommune ba om innsyn i opplysninger i egen personalmappe. Han ba også om informasjon om en rekke forhold knyttet til behandlingen av hans personopplysninger. Datatilsynet undersøkte saken og fant at A hadde fått det innsynet og den informasjonen han har krav på etter GDPR artikkel 15. I tillegg informerte og veiledet Datatilsynet A om hans rett til å be om innsyn hos fylkesmannen i anledning en klagesak som var sendt dit. En samlet nemnd var enig med Datatilsynet i at fylkeskommunen hadde etterkommet As anmodning og gitt ham innsyn. Nemnda la videre til grunn at Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg var forsvarlig og innenfor lovens rammer, jf. GDPR artikkel 57 nr. 1 bokstav f.

PVN-2019-04 Feilsending av eksamensbesvarelse - klage på Datatilsynets avslutning av sak etter begrensede undersøkelser

Klage fra A på Datatilsynets vedtak 10. januar 2019 om å avslutte behandlingen av en sak vedrørende Høgskolen i X sin håndtering av en avviksmelding om en eksamensbesvarelse som ble sendt til feil person.

En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. GDPR artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.

PVN-2019-03 Innsyn i personopplysninger i et dødsbo under offentlig skifte – klage over Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 12. oktober 2018 om å avslutte behandlingen av en sak vedrørende begjæring om innsyn i personopplysninger i et dødsbo under offentlig skifte.

Saken gjelder spørsmål om rett til innsyn i personopplysninger i et dødsbo under offentlig skifte, og rekkevidden av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b.

I forbindelse med offentlig skifte av dødsboet til As foreldre, henvendte A seg til bobestyreren å ba om innsyn i sakens dokumenter og en komplett dokumentliste, samt om innsyn i opplysninger om seg selv. Bobestyreren henviste A til Oslo byfogdembete (OBYF), som sendte A en utskrift av sakens dokumentliste, og ba A opplyse hvilke dokumenter han ønsket kopi av. Byfogden opplyste samtidig at begjæring om innsyn etter personopplysningsloven måtte sendes i egen henvendelse til byfogdembete. A klaget til Datatilsynet, som konkluderte med at skifteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at tilsynet derfor ikke har kompetanse til å forfølge saken. Tilsynet avsluttet sin saksbehandling og la til grunn at As innsynsrettigheter ville bli ivaretatt av OBYF. A klaget vedtaket inn for nemnda. Nemnda kom til at domstolens behandling av personopplysninger i et dødsbo under offentlig skiftebehandling er omfattet av personopplysningsloven og ikke omfattet av rettspleielovunntaket i § 2 andre ledd bokstav b. Det var likevel forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at As innsynsrettigheter ville bli ivaretatt av Oslo byfogdembete ved henvendelse dit.

PVN-2019-02 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 3. oktober 2017 der tilsynet avslo anmodningen om å pålegge sletting av søketreff i søkemotoren Google.

Klage på Datatilsynets avslag på anmodning om å pålegge Google å slette søketreff ved søk på As navn. Søketreffene ledet til flere nyhetsartikler som omtalte en straffesak mot A i 2013/2014 der han, mens han praktiserte som advokat, ble domfelt for flere grove bedragerier. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i GDPR artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom nemnda til at As rett til personvern veide tyngst. Nemnda la vekt på at det hadde gått lang tid siden de straffbare handlingene ble begått (8–14 år siden), og at det var lenge siden domfellelsen (seks år). A praktiserer ikke lenger som advokat og han ble vurdert å ha en mindre rolle i bedrageriene. Det ble videre vektlagt at A opplever søketreff til de publiserte opplysningene svært belastende, samt at det dreier seg om opplysninger som er omfattet av GDPR artikkel 10.

PVN-2019-01 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Legelisten.no, jf. forvaltningsloven § 36.

Saken gjelder Legelistens krav på dekning av sakskostnader etter at Personvernnemnda i vedtak 21. januar 2019 i sak PVN-2018-14 ga Legelisten delvis medhold i sin klage på Datatilsynets vedtak, ved at tilsynets vedtak ble omgjort på to punkter. Omgjøringen var samsvar med Legelistens subsidiære anførsel i klagen. Det totale kravet på kroner 248 972,80 omfattet salærutgifter til prosessfullmektig for 80 timers arbeid utført i perioden 9. mars 2017 til 24. januar 2019, totalt kroner 173 972,80, samt et skjønnsmessig fastsatt beløp på kroner 75 000 for Legelistens eget arbeid med saken. Nemnda la til grunn at vedtaket i sak PVN-2018-14 ble endret til gunst for Legelisten og at det var forståelig at Legelisten pådro seg vesentlige utgifter ved å engasjere juridisk bistand i forbindelse med klagen over Datatilsynets vedtak i en så omfattende og prinsipiell sak. Nemnda anså 50 000 kroner til prosessfullmektigens bistand som nødvendig for å få endret vedtaket, men øvrig arbeid ikke var nødvendig, jf. forvaltningsloven § 36. Legelistens godtgjørelse for eget arbeid ble ikke dekket.

Personvernnemndas vedtak ble påklaget til Kommunal- og moderniseringsdepartementet. Departementets vedtak finner du her: Endelig vedtak om delvis dekning av sakskostnader fra KMD.