Telenor Mobil ønsket å lagre enkelte opplysninger (navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med også etter at kundeforholdet var avsluttet. Erfaringsmessig vil en del av disse senere ønske å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn for å bistå kunden. Opplysningene ble ikke brukt til andre formål. Personvernnemnda mente at et var nærliggende at kunder qua forbrukere forutsatte at den tidligere leverandør “husket” telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant at lagringen av opplysningene i liten grad svekker den registrertes personvern, og at Telenor Mobil hadde en berettiget interesse i lagringen, jfr personopplysningsloven § 8 litra f. Klagen ble tatt til følge.

Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for “Etterundersøkelse av pasienter innlagt for selvpåført forgiftning”. Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.

Personvernnemnda drøfter spørsmålet om hvilket tidspunkt som skal legges til grunn for registrering av inkassopplysninger. Her deler nemnda seg i et flertall og et mindretall. Flertallet anser at en fordring først kan tillates registrert når det er tatt rettslige skritt for inndrivning av fordringen, og slutter seg slik til det syn som ligger til grunn for Datatilsynets vedtak.

Når det gjelder slettefrist for fordringer som er gjort opp, anser Personvernnemnda at de skal slettes straks de er gjort opp, og opprettholder også her Datatilsynets vedtak.

Når det gjelder behandling av personopplysninger ved beregning av nyetablerte foretak i tiden frem til første regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold i at man skal kunne basere rangeringen på kredittverdigheten på opplysninger om de nøkkelpersoner som står bak foretaket.

Når det gjelder frist for sletting av opplysninger om misligholdte fordringer når foreldelsen avbrytes ved at det tas rettslig skritt, gis klager medhold på ett punkt, nemlig at det ikke innføres noen beløpsgrense. Dermed tillates registrering av fordringer som ikke kan resultere i tvangsforretninger registrert for nye fire år når det treffes nye rettslige skritt innenfor den første fireårsfristen.

Klager har på grunnlag av en konsesjon fra 1983 fulgt en gruppe på 470 personer som alle var innlagt for selvpåførte skader. Ved en ny konsesjon fra 1997 ble det tillatt kobling til Dødsårsaksregistret. Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremmet søknad om ny konsesjon etter utløpet av overgangsordningen i personopplysningsloven. På denne bakgrunn unnlot Datatilsynet å behandle søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valgte å behandle klagen som søknad om ny konsesjon, og fant at prosjektet kan bygge på nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette ble klagen tatt til følge. Uttalelse om at opplysninger om avdøde personer faller utenfor lovens område.

Posten har et register over de fleste privatpersoner boende i Norge (PMS). Posten ønsker å leie ut adresselister fra dette registeret. Det ble foreslått tiltak, særlig et eget reservasjonsregister, for å dempe ulempene for den registrertes personvern. Personvernnemnda fant at taushetspliktbestemmelsen i postloven § 13 ikke var til hinder for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne hjemles i personopplysningsloven § 11, 1. ledd litra c fordi formålet ved utleie av adresselistene var uforenlig med registrering av opplysningene for formidling av postsendinger. Slikt gjenbruk krevde derfor samtykke. Personvernnemnda tolket personopplysningsloven slik at det i en slik situasjon ikke skal legges strengere krav til gjenbruk enn til første gangs bruk, og vurderte derfor om bruken kunne hjemles i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessen til Posten var berettiget etter denne bestemmelsen, men fant under henvisning til forarbeidene at denne forretningsmessige interessen ikke kunne veie tyngre enn den registrertes interesse i privatlivets fred og personvern.

Etter Alexander Kielland-ulykken i 1980 ble det 1984-85 gjennomført en undersøkelse blant de overlevende basert på muntlig samtykke fra de overlevende og skriftlig samtykke fra en kontrollgruppe. Det er flere ganger søkt om konsesjon for videre lagring med sikte på en oppfølgningsundersøkelse, den siste konsesjonen (gitt etter personregisterloven) utløp 2002. Ny søknad ble fremmet januar 2004. Datatilsynet ga delvis avslag, og krevde innhenting av skriftlig samtykke fra de registrerte innen 1.6.2004. Klager ønsket først å innhente samtykke i forbindelse med igangsettelse av oppfølgingsstudien, og lagring for et lengre tidsrom. Personvernnemnda ga klager tillatelse til fortsatt lagring inntil vedtak i nemnda forelå. Klagen ble tatt til følge. Personvernnemnda tillater lagring inntil seks måneder fra vedtakets dato. Før oppfølgingsprosjektet blir igangsatt, må tilfredsstillende samtykke innhentes. Personvernnemnda fant at nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d her kunne benyttes, og at samfunnets interesser klart oversteg ulempene for den enkelte i dette tilfellet, jfr personopplysningsloven § 9 litra h. Saken ble sendt tilbake til Datatilsynet, som har kompetanse etter personopplysningsloven § 33 til å gi konsesjon.

Saken gjelder en klage fra Statens arbeidsmiljøinstitutt (STAMI) i forbindelse med en oppfølgingsstudie om kreft og lungesykdommer blant ansatte i norsk silisiumkarbidindustri. Hovedspørsmålet er hvorvidt det skal kreves informert samtykke for å tillate oppfølgingsstudien, eller om denne kan baseres på en av nødvendighetsbegrunnelsene, jfr personopplysningsloven § 11 jfr §§ 8 og 9. Med utgangspunkt i personopplysningsloven § 11, peker Personvernnemnda på at for sensitive opplysninger må både betingelsene i personopplysningsloven § 8 og § 9 være oppfylt. Av de tre alternative begrunnelsene i personopplysningsloven § 8 slutter Personvernnemnda seg til Datatilsynets tolkning av loven, som gir samtykke prioritet. Men Personvernnemnda tolker loven slik at hvis det foreligger tilstrekkelig begrunnelse for å avvike fra hovedregelen, kan dette gjøres. En slik begrunnelse finner Personvernnemnda i den konkrete saken i hensynet til undersøkelsens kvalitet. Når personopplysningsloven § 8 er tilfredsstilt, må man så bestemme om også vilkårene etter personopplysningsloven § 9 er til stede. Personvernnemnda foretar en konkret vurdering av saken, og finner at i dette tilfellet vil samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte, jfr 9, 1.ledd litra h. Etter dette blir klagen å ta til følge.

Spørsmål om Tuberkuloseregisteret regelmessig skal påføres opplysninger fra UDI for å sikre kvaliteten på opplysningene. Tuberkuloseregisteret er et sentralt register opprettet i medhold av lov. Personvernnemnda anser at vurderingen om innhenting av opplysninger må foretas i henhold til denne loven, og at det er et prinsipielt spørsmål som Helsedepartementet må vurdere, og eventuelt hjemle ved endringer i forskriften for registeret. Datatilsynets vedtak opprettholdt.

Norsk Rikstoto ønsket å bruke fødselsnummer for identifikasjon av spillere. Etter personopplysningsloven § 12 kan fødselsnummer bare brukes ”når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering” I likhet med Datatilsynet fant Personvernnemnda at det forelå saklig grunn for sikker identifisering, men – også i likhet med Datatilsynet – at det den metoden som ble benyttet ikke ga sikker identifisering. Jf klagesak 07/2002. Klagen ble ikke tatt til følge.