Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.

Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

En barnehageansatt tok videopptak av et barn under et sinneutbrudd i barnehagen. Formålet med opptaket var å vise det til kommunepsykologen for å gjøre de barnehageansatte bedre rustet til å møte barnet. Opptaket ble lagret på en kommunal tjenestetelefon og fremvist til de ansatte, enhetslederen og kommunepsykologen, og slettet etter 10 dager. I motsetning til Datatilsynet kom nemnda til at kommunen hadde behandlingsgrunnlag for å ta videoopptaket i artikkel 6 nr. 1 bokstav c, jf. barnehageloven og forskrift om rammeplan for barnehager. Nemnda la videre til grunn at foreldrenes samtykke dekket utleveringen av opptaket til kommunepsykologen. Nemnda var imidlertid enig med tilsynet i at kommunen ikke hadde overholdt sin informasjonsplikt overfor foreldrene, jf. artikkel 13, men at bruddet på informasjonsplikten ikke var så alvorlig at det var grunnlag for å gi kommunen en irettesettelse. Datatilsynets vedtak ble omgjort.

Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.

Personvernnemnda var enig med Datatilsynet i at det på bakgrunn av opplysningene i saken ikke var sannsynliggjort at det hadde skjedd noen utlevering av opplysninger fra klientmappene til Veiledningstjenesten som var deponert hos Arkivverket. Nemnda la til grunn at klientmappene befant seg i et låst skap og ble oppbevart et annet sted enn tidligere avlevert arkivmateriale fra Stiftelsen romanifolkets/taternes kulturfond og Stiftelsen til Romanifolkets/taternes senter. Nemnda opprettholdt Datatilsynets vedtak.

Personvernlovgivningen gir verken Datatilsynet eller nemnda kompetanse til å pålegge endring av innholdet i en pasientjournal. Dette gjelder både helsefaglige vurderinger og journalnotater som representerer legens referat av hva som ble sagt i en samtale med pasienten. Riktigheten av slike journalføringer må vurderes av helseforetaket, eventuelt av statsforvalteren ved klage på avslag om retting. Ved uklarhet eller uenighet om hva som ble sagt, vil supplering være aktuelt. Hvilke opplysninger som hører hjemme i en journal og hva som skal arkiveres andre steder reguleres ikke av personvernlovgivningen og kan ikke bestemmes av tilsynet eller nemnda. Nemnda viste til at sykehuset hadde lagret As innvendinger i sykehusets systemer, og at det ikke et krav at opplysningene skal suppleres direkte i journalen. A hadde dermed fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Nemnda opprettholdt Datatilsynets vedtak.