Personvernnemnda kom til at klager har behov for ytterligere veiledning, begrepsavklaring og utredning. Av hensyn til klager, er nemnda derfor kommet til at saken sendes tilbake til Datatilsynet slik at saken eventuelt kan bli gjenstand for en reell toinstansbehandling i forvaltningsapparatet.

Saken gjelder en tolkning av standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2, som sier at en fordring som ikke kan resultere i slik tvangsforretning, kan benyttes i kredittopplysningsøyemed i ytterligere fire år, dersom det tas nye rettslige skritt. Klager mener at det dermed ikke finnes noen maksimal oppbevaringstid, slik at bemerkningen ikke behøver å slettes før det er gått fire år siden siste rettslige skritt. Datatilsynet har tolket inn en øvre grense på maksimalt to fireårsperioder. Etter nemndas syn blir det å trekke den naturlige språklig forståelsen av ordlyden for langt. Datatilsynet kan eventuelt sette en øvre grense ved å endre konsesjonen. Klager gis medhold.

Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering. En særbemerkning på dette punkt. Mindretallet var enig i Datatilsynets vedtak. Mindretallet fremhever at den aktuelle registrering vil ha personvernmessige virkninger som kan “volde ulemper”. Mindretallet mener at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Mindretallet mener at saken berører vesentlige prinsipielle personvernspørsmål, så som påregnelig feilregistrering, privat overvåkning, bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.

Klagen gjaldt behandling hos NAV og ulike personer innen helsevesenet. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

Klagen ble delvis tatt til følge. Nemnda konkluderte med at den behandlingen det her var tale om kunne skje på grunnlag av samtykke fra den registrerte, så fremt det var etablert en alternativ behandlingsmåte for de som velger å ikke gi samtykke. For at dette skal være tilfelle må søker få anledning og tilstrekkelig informasjon til selv å kunne fremskaffe de relevante opplysninger. Personvernnemnda vurderte samtykkeskjemaet og kom til at erklæringen måtte konkretiseres nærmere og de ulike opplysninger som skulle innhentes i samsvar med vilkårene i yrkestransportloven og forskriften måtte spesifiseres. Nemnda kom derfor til at samtykkeerklæringen ikke var utformet slik at den tilfredsstilte kravene til en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf. personopplysningsloven § 2 nr 7.

Datatilsynet viste til at bestemmelsen i personopplysningsloven § 12 er strengt utformet og sikker identifisering kan oppnås ved bruk av navn, adresse og fødselsdato i denne saken. Personvernnemnda kom etter en konkret vurdering til at det var “saklig behov” for sikker identifisering og at metoden var “nødvendig” for å oppnå slik identifisering. Bruken av personnummer i denne saken var derfor i samsvar med personopplysningsloven § 12.

Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.

Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf. personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.

Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep “allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har “allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor “ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.