Innhold
Leders beretning
Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.
Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.
Året 2021 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2021 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.
Personvernnemndas vedtak 21. januar 2019 i PVN-2018-14 (Behandling av personopplysninger på nettstedet legelisten.no) ble behandlet av Høyesterett i november 2021. Det var Legeforeningen som i 2019 brakte vedtaket inn for domstolene med påstand om at nemndas vedtak var ugyldig. Staten v/Personvernnemnda ble frifunnet i tingretten (TOSLO-2019-98312), anken forkastet av lagmannsretten (LB-2020-18230) og anken forkastet av Høyesterett (HR-2021-2403-A). Høyesterett kom, som Personvernnemnda, til at nettstedet legelisten.no har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f for å registrere og publisere subjektive brukervurderinger av helsepersonell.
Koronavirus-pandemien påvirket nemndas arbeidsform også i 2021. Smittevernhensyn har gjort at fysiske møter og kurs ikke har latt seg gjennomføre som planlagt. Ingen møter ble imidlertid avlyst på grunn av pandemien. Av totalt 9 gjennomførte møter, ble sju møter gjennomført digitalt. Nemnda fikk god erfaring med digitale møter i 2020, og det har også fungert godt i 2021, selv om fysiske møter med samtaler og diskusjoner ansikt til ansikt er å foretrekke. Høsten 2021, da smittesituasjonen var bedre, arrangerte nemnda et nyttig internseminar med nemndas medlemmer, varamedlemmer og representanter fra Datatilsynet. Aktuelle problemstillinger knyttet til samhandling ble tatt opp.
Nemnda har behandlet et stort antall saker i 2021 og er tilfreds med egen saksavvikling. Nemnda behandlet 26 saker mot 17 saker i 2020. Sakstypene dekker alle samfunnsområder og viser at personvern står sentralt og får økende aktualitet. Nemnda har fortsatt som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker.
Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte. Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser fram til fortsatt spennende diskusjoner i 2022.
Oslo, 15. februar 2022
Mari Bø Haugstad
Leder
Administrative forhold, styring og kontroll i nemnda
Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og distriktsdepartementet (KDD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av personopplysningsloven 2018, regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.
Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der departementet klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.
Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.
Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.
Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.
Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.
Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.
Regnskap og budsjett for 2021
Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet. Nemnda ble opprinnelig tildelt et budsjett på 2 699 000 kroner i 2021, men grunnet et betydelig underforbruk ble Personvernnemndas bevilgning i 2021 redusert med 500 000 kroner, jf. Stortingets behandling av Prop. 24 S (2021-2022) for Kommunal- og moderniseringsdepartementet, jf. Innst. 72 S (2021-2022). Disponibel bevilgning for Personvernnemnda i 2021 ble etter dette 2 118 000 kroner. Totalt forbruk i 2021 var 2 083 000 kroner. Personvernnemnda disponerte sin bevilgning primært til arbeidsgodtgjørelse og, lønn til sekretariat, utgifter til internseminar med nemndas medlemmer, varamedlemmer og Datatilsynet, innkjøp av litteratur, tjenester samt deltakelse på kurs.
Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KDD. Alle utbetalinger godkjennes av departementet.
Nemndas underforbruk i 2021 skyldes hovedsakelig at nemnda, på grunn av pandemien, har gjennomført de fleste møtene digitalt og dermed har hatt reduserte kostnader til dekning av reiseutgifter for nemndas medlemmer. Nemnda hadde også avsatt en del midler til kurs og konferanser som ikke ble noe av i 2021, også grunnet korona-situasjonen.
Nemndas medlemmer
Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas medlemmer og deres vararepresentanter er oppnevnt av Kongen.
Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.
Personvernnemnda besto i 2021 av følgende personer:
Leder:
Sorenskriver Mari Bø Haugstad, Hamar
Personlig vara: Riksmekler og lagdommer Mats Wilhelm Ruland, Oslo
Nestleder:
Professor Bjørnar Borvik, Bergen
Personlig vara: Tingrettsdommer Gunn Elin Lode, Sandnes
Medlemmer:
Advokat Line Coll, Oslo
Personlig vara: Rådgiver Eirik Løkke, Oslo
Overlege Ellen Økland Blinkenberg, Bergen
Personlig vara: Seniorrådgiver Heidi Talsethagen, Tromsø
Professor Morten Goodwin, Kristiansand
Personlig vara: Teknologidirektør Simen Sommerfeldt, Nordre Follo
Advokat Hans Marius Graasvold, Skien
Personlig vara: Fagdirektør personvern Maryke Silalahi Nuth, Oslo
Sivilingeniør Hans Marius Tessem, Gjøvik
Personlig vara: Seniorforsker Petter Bae Brandtzæg, Oslo
Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no finnes mer informasjon om nemndas medlemmer.
Nemndas sekretariat
Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KDD. Sekretariatsfunksjonen utføres av juridisk seniorrådgiver/sekretariatsleder Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet, men har i 2021 i stor grad utført arbeidet fra hjemmekontor.
Årets aktiviteter
Personvernnemnda holder vanligvis sine møter i Oslo. I 2021 ble ni møter gjennomført, de fleste digitalt. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.
I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretariatsleder er gjennomført.
Nemnda deltok ikke på internasjonale konferanser i 2021.
Saksbehandlingen i Personvernnemnda
Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.
I 2021 har nemnda hatt 31 saker til behandling. Nemnda mottok 22 nye saker fra Datatilsynet og ni saker ble overført fra 2020.
Nemnda holdt ni møter i 2021. På disse møtene ble 26 saker ferdigbehandlet. To vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i sju saker. Én klage ble avvist. I én sak tilkjente nemnda delvis dekning av sakskostnader. Saksbehandlingstiden var på 3,0 måneder. Fem saker ble overført fra 2021 til behandling i 2022.
De fleste sakene ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene, i et samarbeid mellom leder og sekretariat og de øvrige medlemmene i nemnda.
Sakene Personvernnemnda har behandlet i 2021 har reist varierte problemstillinger. En sakstype som jevnlig dukker opp, er saker knyttet til kameraovervåking. I 2021 behandlet nemnda dette saksfeltet i fire saker: PVN-2020-20 Kameraovervåking fra privat bolig, PVN-2021-01 Kameraovervåking av fellesområder i et boligsameie, PVN-2021-09 Utlevering av personopplysninger innsamlet ved kameraovervåking - overtredelsesgebyr og PVN-2021-13 Kameraovervåking av restaurantlokaler - overtredelsesgebyr. I tillegg mottok nemnda to saker fra Datatilsynet 20. desember 2021 som nemnda skal behandle i 2022. Den ene saken, PVN-2021-20 gjelder kameraovervåking i virksomhet og spørsmål om overtredelsesgebyr. Den andre saken, PVN-2021-22 gjelder privat kameraovervåking og klage på tilsynets avslutning av sak.
Saker knyttet til arbeidsgivers behandling av personopplysninger og saker som gjelder innhenting av kredittopplysninger er også temaer som går igjen i klagesakene nemnda får oversendt fra Datatilsynet. I 2021 har nemnda behandlet PVN-2021-03 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag – overtredelsesgebyr, PVN-2020-19 Innhenting og publisering av kredittopplysninger i en artikkel i Bergens Tidende, PVN-2020-21 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr og PVN-2021-04 Partsrettigheter i klagesak for oppløst aksjeselskap (saken gjaldt opprinnelig spørsmål om ulovlig innhenting av kredittopplysninger).
I tillegg er sletting av søketreff i søkemotoren Google en sakstype som dukker opp jevnlig, blant annet i PVN-2021-05, PVN-2021-17 og PVN-2021-18. Selv om sakstypen er lik foretar nemnda en konkret vurdering i den enkelte sak. De to førstnevnte sakene ble behandlet av nemnda i 2021.
Nemnda vil også trekke fram en viktig sak, PVN-2021-16 som gjaldt brudd på personopplysningssikkerheten ved Sykehuset Østfold HF, der sykehuset ble ilagt et overtredelsesgebyr etter at 118 ansatte i en periode på ca. fire år hadde hatt tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for.
Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.
Nemnda hadde fem uavsluttede saker ved årets slutt.
Tabellen nedenfor viser saksavviklingen de seks siste årene.
Tabellen nedenfor viser saksavviklingen de seks siste årene.
2016 | 2017 | 2018 | 2019 | 2020 | 2021 | |
---|---|---|---|---|---|---|
Innkomne saker | 18 | 19 | 20 | 16 | 24 | 22 |
Avgjorte saker (realitetsbehandlet) | 27 | 19 | 15 | 20 | 17 | 26 |
DTs vedtak opprettholdt | 16 | 11 | 6 | 14 | 8 | 17 |
DTs vedtak endret eller opphevet | 10 | 7 | 8 | 5 | 8 | 7 |
Vedtaksendring i % | 40 % | 37 % | 53 % | 25 % | 47 % | 27 % |
Saksbehandlingstid i gj.snitt (mndr) | 6,5 | 3,2 | 4,3 | 5,6 | 2,3 | 3,0 |
Saker som ble behandlet i 2021
PVN-2020-16 Behandling av personopplysninger på helsestasjonen
Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at helsestasjonen i X kommunes behandling av personopplysninger var lovlig.
Saken gjelder utlevering av personopplysninger fra helsestasjonen i X kommune sendt til kommunens barneverntjeneste i forbindelse med en undersøkelsessak knyttet til klagernes datter C og hennes barn. De utleverte opplysningene inneholdt blant annet et over 20 år gammelt notat om C og omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om utlevering av personopplysninger fra helsestasjonen til barneverntjenesten, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at kommunes utlevering av opplysninger til barneverntjenesten var lovlig og i tråd med personvernforordningen. A og B har ikke rett til innsyn, og de registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-17 Behandling av personopplysninger i barneverntjenesten
Klage fra X Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at barneverntjenesten i Ys behandling av personopplysninger var lovlig.
Saken gjelder barneverntjenestens innhenting og utlevering av personopplysninger i to forskjellige undersøkelsessaker knyttet til to av klagernes barn, C og D. Da C flyttet til Z sendte barneverntjenesten i Y en bekymringsmelding til Z, og oversendte samtidig et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. I et familieråd vedrørende D og hennes barn la barnevernet i Y fram opplysninger i et skriftlig innlegg, hvor det framkom at D hadde opplevd omsorgssvikt og vold fra egne foreldre. Opplysningene ble gjort tilgjengelig for alle deltakerne i møtet. Det er spørsmål om behandlingsgrunnlag, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved barneverntjenesten i Y er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter personvernforordningen artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-18 Behandling av personopplysninger i barneverntjenesten
Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at Z barneverns behandling av personopplysninger var lovlig
Saken gjelder barnevernet i Z kommunes behandling av personopplysninger da det ble åpnet barnevernsak etter bekymringsmelding fra Y kommune vedrørende klagernes datter C og hennes barn. Sammen med bekymringsmeldingen mottok Z barneverntjeneste blant annet et brev fra helsestasjonen i X som barneverntjenesten i Y hadde hentet inn og et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om behandlingsgrunnlag og krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at Z kommunes behandling av personopplysninger er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-19 Innhenting og publisering av kredittopplysninger i en artikkel i Bergens Tidende
Klage fra A på Datatilsynets vedtak 18. februar 2020 om at innhenting og publisering av kredittopplysninger om ham i en avisartikkel i Bergens Tidende sommeren 2019 er gjort utelukkende for journalistiske formål og dermed ikke er i strid med personopplysningsloven, jf. personopplysningsloven § 3.
Nemnda redegjør for sin forståelse av journalistunntaket i § 3 og uttaler at bestemmelsen ikke kan forstås så absolutt som ordlyden tilsier. I vurderingen av hvor langt unntaket rekker, må det i noen tilfeller foretas en avveining av hensynet til ytringsfrihet og hensynet til personvernet til den personen som omtales. Slik loven i dag lyder må dette gjøres ved en mulig innskrenkende tolkning av «utelukkende journalistisk virksomhet». Innsamlingen og publiseringen av personopplysninger i denne saken skjedde i forbindelse med en nyhetsartikkel i Bergens Tidende. Bergens Tidende er en mediebedrift med en sentral redaktørfunksjon, tilsluttet en pressefaglig selvdømmeordning. Avisens innsamling og publisering av personopplysninger i forbindelse med en nyhetsartikkel representerer kjerneområdet for journalistisk virksomhet. I en slik situasjon gir ikke personopplysningsloven § 3 rom for å foreta noen interesseavveining mellom ytringsfriheten og personvernet. Det er ikke personvernmyndighetenes oppgave å overprøve redaksjonens vurdering av denne typen nyhetsartikler, herunder hvilken informasjon som bør formidles til publikum, og hvorvidt den aktuelle informasjonen har generell samfunnsmessig interesse eller ikke. Dette gjelder uavhengig av om opplysningene som publiseres er korrekte eller ikke. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-20 Kameraovervåking fra privat bolig
Klage fra A på Datatilsynets vedtak 12. mai 2020 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var ulovlig etter personopplysningsloven fordi overvåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a.
A klaget på kameraovervåking fra en privat bolig i området han bor, der eier av eiendommen hadde montert to kameraer under takmønet på boligens fasade. Boligen ligger rett ut mot offentlig vei der parkeringsmulighetene langs veien er allmenn og tilgjengelig for alle. Nemnda la til grunn at personer som går langs veien, og passerer boligen der kameraene er montert, kan fanges opp av kameraene. Det samme gjelder de som parkerer langs veien utenfor boligen. Nemnda la til grunn at kameraovervåking montert på private hus ikke omfattes av unntaket for «rent personlige eller familiemessige aktiviteter», dersom overvåkingen også dekker deler av et offentlig område, jf. EU-domstolen sak C-212/13 (Ryneš). Nemnda konkluderte videre med at huseieren ikke hadde lovlig behandlingsgrunnlag idet han ikke hadde noen berettiget interesse i vedvarende overvåking av et område åpent for alminnelig ferdsel, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda omgjorde Datatilsynets vedtak
PVN-2020-21 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr
Klage fra Flisleggingsfirma AS på Datatilsynets vedtak 25. september 2020 om ileggelse av overtredelsesgebyr på 150 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag, samt pålegg om å utbedre sine systemer for internkontroll vedrørende bruk av kredittsjekk.
A kontaktet kredittopplysningsbyrået Bisnode da hun mottok et gjenpartsbrev om at Flisleggingsfirma AS, som hun ikke hadde noe kundeforhold til, hadde kredittvurdert hennes enkeltpersonforetak. Daglig leder i flisleggingsfirmaet, som også var As nabo, hadde foretatt kredittsjekken som privatperson fordi han var bekymret for at iverksatte byggearbeider på As tomt, og ville finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene medførte problemer for han som nabo. Datatilsynet ila Flisleggingsfirmaet AS et overtredelsesgebyr på 150 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet ble også pålagt å utarbeide rutiner for innhenting av kredittvurderinger for å sikre etterlevelse av forordningen og bedre selskapets system for internkontroll. Selskapet klaget vedtaket inn for nemnda. Nemnda kom til at selskapet åpenbart ikke hadde noen berettiget interesse i å foreta en kredittvurdering av A, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er åpenbart i strid med loven og en grunnleggende krenkelse av As personvernrettigheter at daglig leder bruker firmaets onlinetilgang til Bisnode for private formål. Nemnda, som har begrenset adgang til å sette tilsynets gebyr høyere, jf. forvaltningsloven § 34 tredje ledd, mente at et gebyr på 150 000 i alle fall ikke er for høyt. Nemnda opprettholdt Datatilsynets vedtak om ileggelse av gebyr, samt pålegg om å utarbeide rutiner for bedre internkontroll ved innhenting av kredittvurderinger.
PVN-2020-22 Behandling av personopplysninger i barneverntjenesten
Klage fra A og B på Datatilsynets vedtak 8. september 2020 der Datatilsynet kom til at Æ barneverntjenestes behandling av personopplysninger var lovlig.
I forbindelse med en undersøkelsessak etter barnevernloven i barneverntjenesten i Y knyttet til klagernes datter, D, og hennes barn, utleverte Æ barneverntjeneste opplysninger til barneverntjenesten i Y, herunder en uttalelse fra Æ barneverntjeneste der det framkommer opplysninger om oppveksten til D og barnevernets vurdering av omsorgssituasjonen i foreldrehjemmet og bakgrunnen for omsorgsovertakelsessaken den gangen. Det er spørsmål om behandlingsgrunnlag for utlevering av personopplysninger fra én barneverntjeneste til en annen, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om retting og sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved Æ barnevern er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningen artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-23 Krav om retting av registrerte passeringsdata hos bompengeselskap
Klage fra A på Datatilsynets vedtak 20. desember 2018 der Datatilsynet avsluttet en sak mot bompengeselskapet Vegfinans AS om uriktige passeringsdata, uten å gi pålegg om retting.
Bomstasjonen på Bommestad på E18 ved Larvik ble satt i drift 9. mai 2018. Etter åpning ble det oppdaget at klokka på bomstasjonen gikk ca. 7 minutter feil, noe som ga tilsvarende uriktig tidsregistrering på passerende biler. Feilen ble rettet i begynnelsen av juni 2018 med virkning for nye passeringer. A klaget Vegfinans AS inn for Datatilsynet etter å ha mottatt en faktura der passeringene i mai 2018 var oppgitt med uriktig tidsregistrering. A ville ha feilen slettet eller rettet, og klaget også på manglende overholdelse av informasjonsplikten. Datatilsynet kom til at personopplysningsloven var overholdt og avsluttet saken uten å ilegge pålegg. A klaget på vedtaket. Nemnda la til grunn at retten til å kreve retting etter personvernforordningen artikkel 16 må vurderes i lys av formålet opplysningene behandles for, jf. artikkel 5 nr. 1 bokstav d. Dette har betydning for hvor langt retteplikten strekker seg, og for hvor omfattende tiltak som kreves for at den behandlingsansvarlige skal rette uriktige opplysninger. Nemnda var enig med tilsynet i at Vegfinans AS ikke skulle pålegges å rette eller slette de registrerte opplysningene. Nemnda var også enig med Datatilsynet i at den uriktige tidsregistreringen åpenbart ikke medførte noen høy risiko for As rettigheter og friheter, og at Vegfinans AS ikke brøt personopplysningsloven ved ikke å gi A informasjon om de uriktige opplysningene. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-24 Behandling av helseopplysninger - klage på Datatilsynets avslutning av sak uten å gi pålegg eller konstatere brudd på personopplysningsloven
Klage fra A på Datatilsynets avgjørelse 20. januar 2020 om å opprettholde sin tidligere vurdering om å avslutte behandlingen av saken uten å gi pålegg eller konstatere brudd på personopplysningsloven.
Etter Personvernforordningen artikkel 57 nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Datatilsynets undersøkelsesplikt etter forordningen gjelder «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Nemnda kom til at Datatilsynet hadde oppfylt sine forpliktelser etter personvernforordningen artikkel 57, samt oppfylt sin utrednings- og informasjonsplikt, jf. forvaltningsloven § 17. Nemnda var enig med Datatilsynet i at det, basert på sakens dokumenter, ikke var hensiktsmessig å undersøke saken nærmere, og at det ikke var framkommet opplysninger som tilsa at personopplysningsloven er brutt. Datatilsynets avgjørelse om å avslutte saken var etter nemndas vurdering forsvarlig og innenfor lovens rammer.
PVN-2021-01 Kameraovervåking av fellesområder i et boligsameie
Klage fra et boligsameie på Datatilsynets vedtak 31. august 2020 der tilsynet påla sameiet å avslutte kameraovervåking av sameiets fellesarealer.
Nemnda kom til at sameiet hadde en berettiget interesse i å iverksette tiltak som hindrer forsøpling av sameiets egne lokaler ved at gjenstander og søppel hensettes og samles opp i fellesarealene. Nemnda fant det tilstrekkelig sannsynliggjort at dette hadde vært et problem i mange år og at flere tiltak for løse utfordringene var forsøkt uten at det hadde hjulpet. Nemnda kom til at kameraovervåking på deler av sameiets fellesarealer var et egnet, hensiktsmessig og nødvendig tiltak. Under interesseavveiningen etter artikkel 6 nr. 1 bokstav f, la nemnda til grunn at kameraovervåking av fellesarealene representerte et inngrep i personvernet til alle beboerne i sameiet. Overvåkingen skjedde i rom som er nødvendig for beboerne å oppsøke og oppholde seg i (søppelrom og i gangen utenfor beboernes boder). Personvernulempen var likevel redusert ved at overvåkingen kun skjedde i avlåste rom uten gjennomgangstrafikk og hvor beboerne ikke ville oppholde seg over tid. Overvåkingen rammet ikke allmenheten og deres bevegelse og opphold i offentlige rom. Flertallet la videre vekt på at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Nemnda konkluderte med at kameraovervåkingen var lovlig og omgjorde Datatilsynets vedtak. Dissens 6:1.
PVN-2021-02 Krav om innsyn i etterlysnings- og utleveringssak
Klage fra A på Datatilsynets avgjørelse 15. februar 2021 om avslag på krav om innsyn i internasjonal etterlysnings- og utleveringssak, jf. personopplysningsloven § 16 første ledd bokstav a og bokstav b.
A ba om innsyn i sine personopplysninger hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om A og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avslo innsynskravet. A klaget til Datatilsynet som ikke ga han medhold. Nemnda viste til at personvernforordningen artikkel 15 i utgangspunktet gir den registrerte rett til innsyn i personopplysninger som behandles om seg, men at personopplysningsloven § 16 første ledd gjør unntak fra innsynsretten i noen tilfeller. I likhet med Datatilsynet er nemnda varsom med å overprøve fagmyndighetens vurdering av hvilke opplysninger det kan gis innsyn i. Nemnda fant ikke grunn til å foreta en annerledes vurdering av det faglige skjønnet som er gjort av politi- og/eller utlendingsmyndighet. Nemnda opprettholdt Datatilsynets vedtak om å avslå As innsynskrav, jf. personopplysningsloven § 16 første ledd bokstav a og b.
PVN-2021-03 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag - overtredelsesgebyr
Klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21, og for manglende informasjon, jf. artikkel 13.
Nemnda la til grunn at arbeidsgivers handlinger var å anse som en grov overtredelse av reglene, og at et overtredelsesgebyr i størrelsesorden 400 000 kroner i alle fall ikke var for strengt. Med henvisning til grunnleggende strafferettslige og forvaltningsrettslige prinsipper kom nemnda til at gebyret måtte reduseres skjønnsmessig med 150 000 kroner på grunn av tilsynets lange saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k. Etter at arbeidsgiver, på Datatilsynets anmodning, hadde redegjort for saken, tok det nærmere 16 måneder før tilsynet sendte selskapet varsel om pålegg og overtredelsesgebyr. Lang saksbehandlingstid ble av tilsynet begrunnet med begrensede ressurser. Saken var verken faktisk eller rettslig særlig kompleks, og det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn. Nemnda påpekte Datatilsynets plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet i slike saker. Nemnda opprettholdt Datatilsynets vedtak om å ilegge arbeidsgiver overtredelsesgebyr med den endring at gebyret ble satt til 250 000 kroner.
PVN-2021-04 Partsrettigheter i klagesak for oppløst aksjeselskap
Saken gjelder spørsmål om et oppløst aksjeselskap, [Firma 2] AS, eller representanter for det oppløste aksjeselskapet kan utøve partsrettigheter knyttet til klage over vedtak fra Datatilsynet 3. desember 2020 om å ilegge aksjeselskapet et overtredelsesgebyr på 100 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.
Etter at Datatilsynet oversendte klagesaken til nemnda, er aksjeselskapet oppløst og slettet fra enhetsregisteret i Brønnøysund. Nemnda la til grunn at et aksjeselskap etter oppløsning og sletting ikke lenger eksisterer som selvstendig rettssubjekt, og det har da i utgangspunktet heller ikke partsevne, jf. forvaltningsloven § 2 første ledd bokstav e. Nemnda fant ingen forhold som tilsa en annen vurdering. Heller ikke eier og styreleder av selskapet kunne i dette tilfellet kreve å få opptre som part. Avgjørelsen rettet seg ikke mot ham og ble heller ikke ansett direkte å gjelde ham. Det var heller ikke noe ved Datatilsynets vedtak som tilsa en ny behandling av de materielle spørsmålene i saken. Klagen ble derfor ikke tatt til behandling på grunn av manglende partsrettigheter. Det innebærer at Datatilsynets vedtak blir stående.
PVN-2021-05 Sletting av søketreff i søkemotoren Google
Klage fra A på Datatilsynets vedtak 22. oktober 2020 om avslag på krav om sletting av søketreff i søkemotoren Google.
A krevde slettet et søketreff på sitt navn hos Google. Søketreffet leder til et publisert intervju fra tv-programmet «TV2 hjelper deg». I intervjuet uttaler A, som er serviceleder hos en bobilforhandler, seg om en sak hvor kjøper av en bobil krever kjøpet hevet. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.
PVN-2021-06 Innsyn i personopplysninger knyttet til IP-adresser
Saken gjelder klage fra A på Datatilsynets vedtak 23. mars 2021 om ikke å gi innsyn i personopplysninger knyttet til IP-adresser.
A ønsket bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som hadde logget seg på hans Microsoft hotmail-konto fra utlandet. Han ønsket også informasjon om all aktivitet på e-postkontoen for å avdekke om han var utsatt for identitetstyveri og om det var sendt ukjente e-poster i hans navn som han ikke var kjent med. Nemnda la til grunn at IP-adresser etter omstendighetene vil være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at Microsofts behandling av IP-adressene representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen. A har rett til innsyn i registrerte aktiviteter på sin e-postkonto og han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Nemnda var enig med Datatilsynet i at personvernforordningen artikkel 15 ikke gir A rett til å kreve innsyn og utlevering av andre personers personopplysninger (identiteten til personene bak IP-adressene som er knyttet til de ulike aktivitetene). Nemnda anså dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 var oppfylt, og ikke et spørsmål om Datatilsynets kompetanse.
PVN-2021-07 Klage over Datatilsynets avgjørelse om å avslutte saken uten realitetsavgjørelse
Saken gjelder klage fra A på Datatilsynets vedtak 1. mars 2021 der tilsynet avviste hennes klage på grunn av manglende klagerett.
A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.
PVN-2021-08 Behandling av opplysninger om etnisk opprinnelse i helsejournal
Klage fra A på Datatilsynets avgjørelse 29. september 2020 om at X distriktspsykiatriske senters behandling av opplysninger om hans etniske opprinnelse var lovlig etter personvernforordningen.
A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2021-09 Utlevering av personopplysninger innsamlet ved kameraovervåking – overtredelsesgebyr
Klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha utlevert personopplysninger innsamlet ved kameraovervåking i strid med personvernforordningen artikkel 6 og artikkel 5 nr. 1 bokstav a.
Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.
PVN-2021-10 Klage over Datatilsynets avgjørelse om at treningssenterets kameraovervåking av inngangspartiet ikke innebar behandling av biometriske opplysninger
Saken gjelder spørsmål om lovligheten av et treningssenters bruk av kameraovervåking av inngangspartiet til treningssenteret, herunder spørsmål om kameraovervåkingen medfører behandling av biometriske opplysninger, jf. personvernforordningen artikkel 4 nr. 14.
Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.
PVN-2021-11 Innhenting av opplysninger om stedsposisjon ved elektronisk signering ved levering av fisk til fiskemottak, jf. landingsforskriften §§ 8 og 8a
Saken gjelder klage fra A på Datatilsynets vedtak 24. april 2021 om at Fiskeridirektoratet har behandlingsgrunnlag for å innhente opplysninger om stedsposisjon ved elektronisk signering av landings- og sluttseddel, jf. landingsforskriften §§ 8 og 8a.
Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2021-12 Avvisning av klage på grunn av oversittet klagefrist
Klage fra A på Datatilsynets vedtak 28. april 2021 der Datatilsynet avviste As klage fra 12. mars 2021 over Datatilsynets avgjørelse 13. januar 2021 om at fastlegen ikke hadde behandlet personopplysninger om han ulovlig, på grunn av oversittet klagefrist.
Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.
PVN-2021-13 Kameraovervåking av restaurantlokaler - overtredelsesgebyr
Klage fra Basaren Drift AS på Datatilsynets vedtak 6. april 2021 der Datatilsynet ila selskapet et overtredelsesgebyr på 200 000 kroner for å ha kameraovervåket virksomhetens restaurantlokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1, for manglende informasjon til de registrerte, jf. artikkel 13, og for manglende skriftlige rutiner for kameraovervåkingen, jf. artikkel 24 nr. 2.
Nemnda la til grunn at selskapet i utgangspunktet hadde en berettiget interesse i å overvåke restaurantens lokaler. Nemnda var imidlertid i tvil om utfallet av den skjønnsmessige vurderingen av behandlingsgrunnlaget for kameraovervåkingen, jf. artikkel 6 nr. 1 bokstav f. Nemnda påpekte at utfallet av en interesseavveining etter denne bestemmelsen kan bli ulik avhengig av om framgangsmåten i arbeidsmiljøloven § 9-2 er fulgt (ettersom overvåkingen innebærer et kontrolltiltak overfor ansatte), samt om den behandlingsansvarlige kan dokumentere tilstrekkelig tekniske og organisatoriske tiltak etter artikkel 24. Selskapet erkjente at informasjonsplikten etter artikkel 13 ikke var overholdt, og at dokumentasjon av organisatoriske tiltak etter artikkel 24 ikke var på plass. Nemnda fant at bruddene på artikkel 13 og artikkel 24 var kritikkverdige, og som det var grunn til å sanksjonere, men i motsetning til Datatilsynet la nemnda til grunn at det ikke var et alvorlig brudd på personvernforordningen. Nemnda mente at gebyret for overtredelsene i denne saken burde ligge rundt 100 000 kroner. Ved den endelige fastsettelsen av gebyret la nemnda vekt på lang saksbehandlingstid hos Datatilsynet (nær tre år) med lange perioder uten framdrift, jf. PVN-2021-03. Nemnda mente at sakens omfang og kompleksitet ikke tilsa en så lang saksbehandlingstid. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda kom enstemmig til at gebyret skulle falle bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.
PVN-2021-14 Klage på Datatilsynets avgjørelse om at det ikke var tilstrekkelig sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen
Klage fra A på Datatilsynets vedtak 27. januar 2021 om at det ikke var sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen.
A kontaktet Datatilsynet 22. september 2019 fordi han mener at hans tidligere arbeidsgiver, X kommune foretok uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Arbeidsgiver opplyste til Datatilsynet at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, og at dokumenter som er lagret der ikke kan gjenopprettes. Arbeidsgiver framla samtidig en ekstern og uavhengig ekspertvurdering som var innhentet i forbindelse med denne saken. Datatilsynet konkluderte med at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet saken. Nemnda sluttet seg til Datatilsynets vurdering om at det ikke er tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2021-15 Dekning av sakskostnader, jf. forvaltningsloven § 36
Saken gjelder krav om dekning av sakskostnader fra Coop i sak PVN-2021-09, jf. forvaltningsloven § 36.
Saken gjelder krav fra Coop om dekning av sakskostnader etter at Personvernnemnda i sak PVN-2021-09 ga Coop medhold i klagen på Datatilsynets vedtak og ikke ila gebyr. I vurderingen la nemnda vekt på at vedtaket i sak PVN-2021-09 ble endret til gunst for Coop og at det var forståelig at Coop pådro seg utgifter ved å søke juridisk bistand i klageomgangen. Nemnda anså timeantallet som rimelig sett hen til sakens art og vanskelighetsgrad, og tilkjente 69 000 kroner til dekning av sakskostnader, jf. forvaltningsloven § 36. En ½ time gjaldt gjennomgang av nemndas vedtak, og ble ikke dekket fordi kostnader pådratt etter nemndas vedtak ikke var nødvendige for endringen av tilsynets vedtak.
PVN-2021-16 Brudd på personopplysningssikkerheten ved Sykehuset Østfold HF – overtredelsesgebyr
Klage fra Sykehuset Østfold HF på Datatilsynets vedtak 22. oktober 2020 der sykehuset ble ilagt et overtredelsesgebyr på 750 000 kroner for brudd på personopplysningssikkerheten. I klageomgangen nedjusterte Datatilsynet gebyret til 500 000 kroner.
Sykehuset Østfold HF sendte en avviksmelding Datatilsynet i januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Avviket omfattet uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ) i årene 2015-2019. Uttrekkene fra EPJ var lister over utskrivningsklare pasienter og omfattet også særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Nemnda fastslo at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24. I likhet med Datatilsynet la nemnda til grunn i at sykehuset hadde brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for, og at sykehuset skulle ilegges et overtredelsesgebyr for bruddet. Nemnda mente at gebyret i utgangspunktet burde ligge på rundt 500 000 kroner, men reduserte dette til 400 000 kroner på grunn av den lange saksbehandlingstiden.
PVN-2021-17 Sletting av søketreff i søkemotoren Google
Klage fra Google LLC (Google) på Datatilsynets vedtak 14. juni 2021 om sletting av søketreff i søkemotoren Google.
A, som søketreffene gjelder, ble i 2018 dømt til fengsel i ett år og åtte måneder for blant annet anskaffelse, oppbevaring, samt tilgjengeliggjøring av bilder, film og blader som omhandlet seksuelle overgrep mot barn. A hadde en yrkesbakgrunn som psykiater og sakkyndig i barnevernssaker og foreldretvister og fikk sin autorisasjon som psykiater tilbakekalt som følge av dommen. A krevde å få slettet enkelte søketreff på sitt navn som omtalte domfellelsen. Søketreffene som ble vurdert av Personvernnemnda ledet til private nettsteder som hovedsakelig publiserer kritiske artikler knyttet til barnevernet. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda la til grunn at retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering kom nemnda til at hensynet til As personvern veide tyngre enn allmenhetens rett til informasjon knyttet til de aktuelle søketreffene ved søk på As navn i søkemotoren. Nemnda la særlig vekt på hensynet til A og skadevirkningene søketreffene har for ham og særlig hans barn. Google ble pålagt å slette søketreffene. Nemnda opprettholdt Datatilsynets vedtak.
Vurdering av framtidsutsikter
Et stadig mer digitalisert samfunn, hvor teknologien utvikles med stor hastighet innenfor stadig nye områder, setter personvernet til enkeltpersoner under press. Året 2021 har belyst viktigheten av god data- og personopplysningssikkerhet. Flere store norske virksomheter har vært utsatt for datainnbrudd med potensielt store konsekvenser for personvernet. Samfunnets ivaretagelse og sikring av personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.
Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt for tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det lite sannsynlig at saksmengden vil gå ned. Med økt digitalisering på alle samfunnsområder er det etter nemndas vurdering sannsynlig at sakene blir mer komplekse.
Et moment som kan tilsi økt saksmengde, og som også tidligere er påpekt av nemnda, er at nye regler medfører økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. Det samme gjelder fastsettelse av nivå for ileggelse av overtredelsesgebyr. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop.56 LS (2017-2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.
Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.