Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.

Tannum Tekstil AS sendte ut direktereklame til klager til tross for at klager hadde reservert seg mot direkte markedsføring i det sentrale reservasjonsregisteret. Klager fikk ikke svar fra Tannum Tekstil AS da vedkommende klaget på dette. Videre gikk det mer enn tre måneder over svarfristen fra Datatilsynet før Tannum AS besvarte henvendelsen. Tannum AS vedgikk senere feilen, slettet klager fra sine registre og erkjente sin plikt til å følge reglene i personopplysningsloven § 26. Klager fikk ikke medhold i at Datatilsynet burde ha brukt sanksjoner mot Tannum Tekstil AS. Det forelå heller ikke brudd på forvaltningsloven.

Saken gjelder Datatilsynets pålegg om å slette personopplysninger på hjemmesiden til karatestilartsorganisasjonen Shorin Ryu Karate Association Norway (SKAN). Personvernnemnda kom til at klubbens hjemmeside var omfattet av personopplysningslovens § 7 og denne bestemmelsens begrep "journalistisk formål"; og dermed vernet av ytringsfriheten. Klager kunne derfor ikke kreve at personopplysningene skulle slettes. Et motsatt resultat ville medført at en person kan "redigere" historien og gjøre den ufullstendig.

NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.

Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.

Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.

Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.

1. Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
2. Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.

I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.

Kreftregistret søkte om forlenget konsesjon bl a for to prosjekter som tok sikte på å klarlegge kreftrisiko blant ansatte i mineralullindustrien og aluminiumsindustrien. Datatilsynet avslo konsesjon under henvisning til at det ikke forelå samtykke, og at interesseavveining i personopplysningsloven § 9, 1.ledd litra h ikke klart oversteg den enkeltes interesse i personvern. Personvernnemnda presiserte at samtykke fra den registrerte er hovedregelen, og at denne regelen bare kan avvikes når det foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I dette tilfellet anså Personvernnemnda at risikoen for frafall av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven § 8 litra d. Personvernnemnda anså også at samfunnets interesse i bedre å forstå og kunne forebygge kreft klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble sendt tilbake til Datatilsynet, som har kompetanse til å gi konsesjon for prosjektene.

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.

Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.