Personvernnemnda kom til at når adresse er klassifisert under “kontaktopplysninger”, må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Mindretallet finner også at bare aktuelle adresser kan registreres, men mener at den aktuelle adressen kan brukes som variabel i kredittvurdering.

Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge. ontor i denne saken. Klagen ble tatt til følge.

Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf. ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf. personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er “nødvendig for å gjennomføre formålet med behandlingen”, jf. personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.

Datatilsynet mente at Utleiemegleren ikke har et “saklig behov” for å innhente kredittopplysninger om interessenter, jf. personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.

Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en “bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf. hovedregelen i personopplysningsloven § 8.

Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf. personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf. domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc. var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med “utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har “reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

Datatilsynet mener at Budstikkas tjeneste er et journalistisk produkt som faller innenfor personopplysningsloven § 7, og begrunnelsen for avvisningen er dermed at personopplysningslovens grunnkrav ikke kommer til anvendelse på forholdet. Tjenesten er med andre ord ikke i strid med personopplysningsloven.

Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de “tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf. personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.