Hjem

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser

PVN-2020-18 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at Z barneverns behandling av personopplysninger var lovlig.

Saken gjelder barnevernet i Z kommunes behandling av personopplysninger da det ble åpnet barnevernsak etter bekymringsmelding fra Y kommune vedrørende klagernes datter C og hennes barn. Sammen med bekymringsmeldingen mottok Z barneverntjeneste blant annet et brev fra helsestasjonen i X som barneverntjenesten i Y hadde hentet inn og et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om behandlingsgrunnlag og krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at Z kommunes behandling av personopplysninger er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-17 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at barneverntjenesten i Ys behandling av personopplysninger var lovlig.

Saken gjelder barneverntjenestens innhenting og utlevering av personopplysninger i to forskjellige undersøkelsessaker knyttet til to av klagernes barn, C og D. Da C flyttet til Z sendte barneverntjenesten i Y en bekymringsmelding til Z, og oversendte samtidig et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. I et familieråd vedrørende D og hennes barn la barnevernet i Y fram opplysninger i et skriftlig innlegg, hvor det framkom at D hadde opplevd omsorgssvikt og vold fra egne foreldre. Opplysningene ble gjort tilgjengelig for alle deltakerne i møtet. Det er spørsmål om behandlingsgrunnlag, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved barneverntjenesten i Y er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter personvernforordningen artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-16 Behandling av personopplysninger på helsestasjonen

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at helsestasjonen i X kommunes behandling av personopplysninger var lovlig.

Saken gjelder utlevering av personopplysninger fra helsestasjonen i X kommune sendt til kommunens barneverntjeneste i forbindelse med en undersøkelsessak knyttet til klagernes datter C og hennes barn. De utleverte opplysningene inneholdt blant annet et over 20 år gammelt notat om C og omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om utlevering av personopplysninger fra helsestasjonen til barneverntjenesten, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at kommunes utlevering av opplysninger til barneverntjenesten var lovlig og i tråd med personvernforordningen. A og B har ikke rett til innsyn, og de registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-15 Skrivemåte for personnavn

Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.

Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter personvernforordningen artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.

PVN-2020-14 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.

Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.

PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter

Klage fra Arendal kommune på Datatilsynets vedtak 23. oktober 2019 der tilsynet nedla forbud mot behandling av personopplysninger innhentet ved bruk av kartleggingsverktøyet Spekter, og påla kommunen å slette de innhentede personopplysningene.

Datatilsynet konkluderte blant annet med at opplæringslova kapittel 9 A ikke ga tilstrekkelig supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 3. Nemnda kom til at Arendal kommune har behandlingsgrunnlag for behandlingen av personopplysninger i Spekter i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A. Nemnda la til grunn at kartleggingen i Spekter i utgangspunktet ikke etterspør særlige kategorier av personopplysninger, og skolen må derfor ikke ha behandlingsgrunnlag for innsamling av opplysningene i artikkel 9. Nemnda konkluderte videre med at kommunen ikke oppfylte de øvrige reglene i personvernforordningen, herunder prinsippene for behandling av personopplysninger i artikkel 5 nr. 1, og reglene om de registrertes rettigheter etter forordningen kapittel III. For å benytte Spekter i fremtiden må kommunen etablere internkontrolldokumentasjon og rutiner som sikrere etterlevelse av personvernforordningen, blant annet når det gjaldt informasjon til elevene og retten til innsyn.

PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse

Klage fra X Misjonsforsamling på Datatilsynets avgjørelse 19. mars 2020 hvor tilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysninger fra kameraopptak ulovlig, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.

I forbindelse med en nabokonflikt mellom A og hennes tidligere nabo B, mente begge seg trakassert av hverandre. B varslet misjonsforsamlingens styre, hvor A var styremedlem, om det hun oppfattet som trakasserende oppførsel fra A. Hun oversendte også private kameraopptak som hun mente viste As trakasserende oppførsel til ett styremedlem C. C og forsamlingens styreformann, D, så på og lagret opptakene, samt foreviste disse til A og hennes ektemann. Opptakene ble senere slettet. På bakgrunn av det opptakene viste, stilte C og D spørsmål ved As egnethet til styrevervet og det endte med at A trakk seg fra styret. A kontaktet Datatilsynet og ba om hjelp for det hun oppfattet som svært urettferdig behandling av henne fra misjonsforsamlingen. Datatilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysningene uten gyldig behandlingsgrunnlag. Nemnda la til grunn at tilsynets irettesettelse overfor den behandlingsansvarlige, jf. artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. Misjonsforsamlingens formål med å bruke opptakene var å avklare riktigheten av innholdet i varselet de hadde mottatt om A, og undersøke de faktiske forholdene, før de tok saken opp med A. Dette var en berettiget interesse. I den konkrete interesseavveiningen etter artikkel 6 nr. 1 bokstav f, delte nemnda seg i et flertall og et mindretall (6:1). Etter flertallets syn var misjonsforsamlingens lagring og bruk av de mottatte filmopptakene nødvendig for å ivareta den berettigede interessen hos misjonsforsamlingen og hensynet til As personvern gikk etter en avveining av de ulike interessene ikke foran. Mindretallet var enig med Datatilsynet i at misjonsforsamlingen kunne oppnådd det samme formålet på en mindre inngripende måte, og at en irettesettelse var en passende reaksjon.

PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven

Klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.

Datatilsynet påla annonseselskapet OpenX å redegjøre for selskapets behandling av personopplysninger knyttet til mobiltelefonapplikasjonen Grindr, jf. personvernforordningen artikkel 58 nr. 1. Kravet om redegjørelse ble sendt etter at Forbrukerrådet, i forbindelse med lansering av rapporten «Out of Control» klaget både Grindr LLC og flere annonseselskaper Grindr bruker, inn til Datatilsynet for det de mente var ulovlig behandling av personopplysninger. OpenX klaget over pålegget, jf. forvaltningsloven § 14 og anførte at Datatilsynet ikke har hjemmel for å gi et slikt pålegg. Selskapet viste til at behandlingen uttømmende er regulert av ekomloven § 2-7b og at rett tilsynsmyndighet for den behandlingen Forbrukerrådet har klaget på er Nasjonal kommunikasjonsmyndighet (Nkom). Nemnda la til grunn at selv om ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av hva en eventuell innsendt klage over virksomheten gjelder. Nemnda konkluderte med at OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt.

PVN-2020-09 Behandling av personopplysninger i AutoPASS

Klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven.

A klaget over at bompengeselskapet får lagre passeringsdata i fem år, samt at selskapet kan kreve at kundene registrerer sitt mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte tjenesten «Min side». Datatilsynet hadde i sitt vedtak lagt til grunn at det i utgangspunktet var Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med personvernforordningen. Personvernnemnda var uenig i dette og påpeker at det er Datatilsynets oppgave, som uavhengig tilsynsorgan, å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Nemnda la til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) gir behandlingsgrunnlag for å lagre opplysningene i denne tiden. Nemnda var uenig med tilsynet i at det forelå gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle en avtale) for å kreve registrering av As telefonnummer for å inngå avtale om AutoPASS-brikke eller for å benytte tjenestene på «Min side». Selv om manglende telefonnummer vil kunne gi en noe dårligere kundebehandling, må det være opp til kunden selv å velge dette. Nemnda la også vekt på at kundeforholdet med et bompengeselskap, for alle som kjører bil, skiller seg fra andre kundeforhold hvor det i langt større grad er frivillig om man ønsker å bli kunde eller ikke.

PVN-2020-10 Sletting av personopplysninger i barnevernssak

Klage fra A og B på Datatilsynets vedtak 20. desember 2019 der Datatilsynet blant annet avslo anmodningen om å få slettet personopplysninger i en barnevernssak i X kommune.

Etter en bekymringsmelding åpnet barneverntjenesten undersøkelsessak, innhentet opplysninger om barnas mor fra DPS uten samtykke fra henne og traff et akuttvedtak om å plassere barna midlertidig utenfor hjemmet med samtykke fra foreldrene. I vedtaket, der foreldrenes personnummer framkommer, gjengis blant annet barnas beskrivelser av voldshendelser i hjemmet. Barneverntjenesten utleverte vedtaket til beredskapshjemmet. Foreldrene klaget på barneverntjenestens behandling av deres personopplysninger. Nemnda kom til at barneverntjenesten hadde behandlingsgrunnlag for utleveringen av opplysningene i vedtaket (med unntak av personnummeret) til beredskapshjemmet i artikkel 6 nr. 1 bokstav e, sammenholdt med barnevernloven og forvaltningslovens regler om taushetsplikt, opplysningsplikt og opplysningsrett. Datatilsynets avgjørelse om ikke å ilegge noen reaksjon for ulovlig utlevering av personnummeret var ikke en avgjørelse som kunne påklages, jf. PVN-2020-07. Videre hadde barneverntjenesten behandlingsgrunnlag for å innhente helseopplysninger uten samtykke i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav b, jf. barnevernloven § 4-3 og § 6-4. Foreldrenes krav om at opplysningene i barnevernssaken skulle slettes førte ikke fram. Kommunen kunne ikke pålegges å slette disse opplysningene. Det følger både av personvernforordningen § 17 nr. 3 bokstav b (rettslig forpliktelse), jf. arkivlova § 9 bokstav d, og av personvernforordningen artikkel 17 nr. 3 bokstav d (arkivformål i allmennhetens interesse).