NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.

Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.

Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.

Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.

1. Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
2. Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.

I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.

Kreftregistret søkte om forlenget konsesjon bl a for to prosjekter som tok sikte på å klarlegge kreftrisiko blant ansatte i mineralullindustrien og aluminiumsindustrien. Datatilsynet avslo konsesjon under henvisning til at det ikke forelå samtykke, og at interesseavveining i personopplysningsloven § 9, 1.ledd litra h ikke klart oversteg den enkeltes interesse i personvern. Personvernnemnda presiserte at samtykke fra den registrerte er hovedregelen, og at denne regelen bare kan avvikes når det foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I dette tilfellet anså Personvernnemnda at risikoen for frafall av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven § 8 litra d. Personvernnemnda anså også at samfunnets interesse i bedre å forstå og kunne forebygge kreft klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble sendt tilbake til Datatilsynet, som har kompetanse til å gi konsesjon for prosjektene.

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.

Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget. Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

Securitas ønsket å innføre testing for rusmisbruk av alle sine ansatte, og å oppbevare vandelsattest innhentet i forbindelse med ansettelse i sitt personalsystem.

Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven, som i kapittel 9 regulerer kontrolltiltak, herunder medisinske undersøkelser (jfr arbeidsmiljøloven § 9-4). Hjemmelen for å gjøre det nødvendige inngrep måtte finnes i arbeidsmiljøloven, mens vurderingen av hvorvidt de resulterende, sensitive personopplysninger kan behandles, følger personopplysningslovens bestemmelser, jfr arbeidsmiljøloven § 9-1 nr 2. Forholdet til biobankloven påpekes.

Personvernnemnda finner at det ikke er adgang til å gjennomføre behandling av opplysninger innhentet ved testing av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter ansettelse ikke kan tillates under henvisning til både personopplysningsloven og lov om strafferegistrering.

Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank i forbindelse med avtale om e-faktura. Personvernnemnda kom til at banken var behandlingsansvarlig, og derfor ikke kunne utlevere opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at saken fortoner seg "mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet". Klagen førte ikke frem.