Datatilsynet mente at Utleiemegleren ikke har et “saklig behov” for å innhente kredittopplysninger om interessenter, jf. personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.

Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en “bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf. hovedregelen i personopplysningsloven § 8.

Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf. personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf. domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc. var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med “utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har “reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

Datatilsynet mener at Budstikkas tjeneste er et journalistisk produkt som faller innenfor personopplysningsloven § 7, og begrunnelsen for avvisningen er dermed at personopplysningslovens grunnkrav ikke kommer til anvendelse på forholdet. Tjenesten er med andre ord ikke i strid med personopplysningsloven.

Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de “tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf. personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for “Arvelighetsregisteret”, herunder “Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en “arbeidskonsesjon” eller “brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.

Saken gjelder klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager. Klager underskrev en fullmakt til Vesta

Erklæring om fritak for taushetsplikt. Legen tok likevel med informasjon om andre enn klager i sin spesialisterklæring, blant annet utleverte den personopplysninger om klagers nærmeste familie. Saken ble først klaget inn for Helsetilsynet i Vestfold, som konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte reaksjonskapittelet i helsepersonelloven, men fant at det ikke dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55. Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen, og når Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning. Personvernnemnda mener at utlevering av personopplysninger om andre enn den som har samtykket, sannsynligvis er et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Slik nemnda ser det, har Helsetilsynet i Vestfold funnet at utleveringen er et taushetspliktsbrudd etter helsepersonelloven, men Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes. Personvernnemnda må derfor legge dette til grunn. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven.

Datatilsynet mottok klage fra en advokat fordi opplysning fra Tilsynsrådet for advokatvirksomhet om at det var besluttet bokettersyn hos advokaten var blitt offentliggjort. Datatilsynet vedtok at slik opplysning om en advokat ikke er en personopplysning i personopplysningslovens forstand. Personvernnemnda vurderte hvorvidt det å offentliggjøre en liste over advokater som er underlagt bokettersyn er i strid med taushetspliktsbestemmelsen i forvaltningsloven fordi dette er “noens personlige forhold”, jf. forvaltningsloven § 13, 1.ledd nr 1. Nemnda kom til at slike virksomhetsrelaterte opplysninger, herunder bokettersyn hos advokat, faller utenfor taushetsplikten om personlige forhold. Opplysningen er derfor offentlig. Personopplysningsloven § 6 angir at innsynsretten etter forvaltningsloven eller offentlighetsloven ikke begrenses. Klagen ble derfor ikke tatt til følge.