Nabobil foretok en kredittvurdering av A da han ønsket å leie bil via Nabobils digitale plattform. Han fikk ikke inngått en leieavtale på grunn av en betalingsanmerkning. Nemnda var enig med Datatilsynet i at Nabobils økonomiske interesse i å beskytte seg mot tap i forbindelse med utleie av bil utgjør en berettiget interesse og at det er nødvendig for Nabobil å kredittvurdere sine leietakere for å redusere selskapets økonomiske risiko. Nemnda sluttet seg også til Datatilsynets interesseavveining og la til grunn at Nabobils berettigede interesser i denne saken veide tyngre enn hensynet til As ønske om å verne opplysningene. Nabobils innhenting av kredittopplysninger om A i forbindelse med forespørselen om leie av bil via Nabobils digitale plattform var lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Datatilsynets vedtak ble opprettholdt.

Nemnda kom til at klagen skulle tas til behandling til tross for fristoversittelsen fordi A ikke kunne lastes for å ha oversittet klagefristen. Datatilsynet hadde ikke gitt A orientering om klagefristen, jf. fvl. § 27. A hadde også endt opp med å bli henvist fram og tilbake mellom Datatilsynet og statsforvalteren fordi det var uenighet om hvilken offentlig myndighet som var rett klageorgan i saken. Videre kom nemnda til at brevet til A der Datatilsynet avsluttet saken må anses som et avvisningsvedtak som gir klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter artikkel 17 nr. 1. Datatilsynet skal blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. Nemnda konkluderte med at arkivlova § 6, sammenholdt med bestemmelsene i arkivforskriftens kapittel 2, pålegger NAV å arkivere alle saksdokumenter i saker om sosialhjelp. A fikk ikke medhold i sitt krav om sletting av opplysninger i NAVs arkiv, jf. artikkel 17 nr. 3 bokstav b og d.

Nemnda kom til at Datatilsynets avgjørelse om å avslutte saken uten å gjøre nærmere undersøkelser eller treffe tiltak overfor NAV og kommunen er et enkeltvedtak som gir klagerett til nemnda, jf. forvaltningsloven §§ 2 og 28. Datatilsynet skulle derfor ikke avvist klagen fra A. Nemnda viste til Datatilsynets plikt til å føre tilsyn med og håndheve anvendelsen av personvernforordningen, jf. artikkel 57 nr. 1 bokstav a, og plikt til å undersøke klagens gjenstand «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Selv om tilsynet i noen grad har myndighet til å vurdere om det i det enkelte tilfellet er nødvendig å foreta nærmere undersøkelser og hvilke undersøkelser som er hensiktsmessige, kan ikke Datatilsynet fritt velge ikke å behandle innkomne klager. Nemnda uttalte at en slik begrensning i de registrertes mulighet for et effektivt rettsmiddel mot det de opplever som en ulovlig behandling av deres personopplysninger i så fall bøs utredes og reguleres nærmere i loven og viste bl.a. til Graver, Alminnelig forvaltningsrett, 5. utgave, 2019 side 389. I denne saken la nemnda til grunn at Datatilsynet hadde tatt stilling også til sakens realitet. Nemnda sluttet seg til tilsynets vurdering om at NAV og kommunens behandling av personopplysninger om A ikke var i strid med personopplysningsloven. Nemnda opprettholdt Datatilsynets vurdering av sakens realitet.

Nemnda la til grunn at Datatilsynets omgjøring av et tidligere vedtak som påla sletting av opplysninger var et nytt vedtak som ga A klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter personvernforordningen artikkel 17 nr. 1. Det innebærer at Datatilsynet blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. At den offentlige myndighetens egen vurdering av om opplysningene er nødvendig for arkivformål skal tillegges stor vekt, endrer ikke på at Datatilsynet er rette myndighet for å ta imot og behandle slettekrav etter artikkel 17. I dette tilfellet hadde statsforvalteren behandlingsgrunnlag for fortsatt lagring av personopplysningene i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3, jf. personopplysningsloven § 8 og personvernforordningen artikkel 9 nr. 2 bokstav j. Når de aktuelle personopplysningene representerer materiale som er underlagt bevaringsplikt etter arkivlova, har statsforvalteren også en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

Nemnda konkluderte med at nettselskapene har lovlig behandlingsgrunnlag for å behandle helseopplysninger ved søknad fra kunder om fritak for installasjon av AMS, jf. artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav g. Selv om avregningsforskriften § 4-1 andre ledd bokstav b kunne vært klarere formulert, gir den etter omstendighetene et tilstrekkelig nasjonalt rettsgrunnlag for behandlingen. Nemnda påpekte at kravene til utformingen av det nasjonale rettsgrunnlaget etter artikkel 9 nr. 2 bokstav g varierer etter formålet med behandlingen og avhengig av blant annet hvilket inngrep som gjøres i de registrertes rettigheter. Forskriften fastslår at nettselskapene ikke plikter til å installere AMS dersom «installasjonen er til vesentlig og dokumenterbar ulempe for sluttbruker». Nemnda kunne vanskelig se hvilke andre dokumenterbare ulemper enn helseplager som skulle gi grunnlag for fritak, og når forskriften forutsetter en konkret vurdering av helsesituasjonen av den enkelte nettkunde kan ikke det gjøres uten helseopplysninger. NVEs overordnede målsetting med innføring av AMS ivaretar viktige allmenne interesser. Nemnda vurderte helseopplysningene som behandles som relevante og nødvendige for at nettselskapene skal oppfylle sin plikt etter forskriften, og at kravet om legeerklæring ikke er et urimelig inngrep sett i forhold til det målet som søkes oppnådd, jf. artikkel 9 nr. 2. Datatilsynets vedtak ble opprettholdt.

Datatilsynet vurderte As klage mot Equinors behandling av personopplysninger i rekrutteringsprosesser som en grenseoverskridende sak, og behandlet saken etter personvernforordningen artikkel 56 og kapittel VII. Nemnda har ikke kompetanse til å behandle klager på Datatilsynets vedtak i slike grenseoverskridende saker, jf. personopplysningsloven § 22 andre ledd. Nemnda opprettholdt Datatilsynets avvisning av klagen.

Opplysningen var gitt av A selv og framkommer i et journalnotat hvor barneverntjenesten redegjør for en samtale med A som oppfølging etter en bekymringsmelding. Den aktuelle barnevernssaken er avsluttet og fortsatt oppbevaring av opplysningene er nå begrunnet i arkivformål i allmennhetens interesse, jf. bestemmelsene om arkivverdig materiale i arkivlova. Riksarkivarens forskrift 19. desember 2017 nr. 2286 til arkivlova, § 7-28 niende ledd bokstav a bestemmer at «Prosedyrer, rutiner og saksbehandlingsprosesser for barnevernstjenesten, herunder håndtering av bekymringsmeldinger» skal bevares for ettertiden og ikke gjøres til gjenstand for kassasjon. Selve journalnotatet kunne derfor ikke slettes, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Nemnda kom til at heller ikke opplysningen (om at far er tater) isolert sett kunne kreves slettet. Nemnda viste til barneverntjenestens begrunnelse for å avslå retting og konkluderte med at opplysningen var nødvendig for å forstå barneverntjenestens behandling av bekymringsmeldingen. Datatilsynets vedtak ble opprettholdt.

Nemnda la til grunn at statsforvalteren kan behandle opplysninger i tilsynssaken med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e, samt artikkel 9 nr. 2 bokstav f og at supplerende rettsgrunnlag, jf. artikkel 6 nr. 3, følger av lov om statlig tilsyn med helse- og omsorgstjenester §§ 2 og 3, samt lov om pasient- og brukerrettigheter § 7-4. Nemnda fant det klart at Datatilsynet ikke har kompetanse til å vurdere om statsforvalteren har framstilt faktum (herunder personopplysningene) korrekt eller fullstendig i sin avgjørelse i tilsynssaken, og kan heller ikke pålegge statsforvalteren å endre utformingen av denne. Det var derfor korrekt av tilsynet å avvise kravet om retting og avslutte saken uten ytterligere undersøkelser. Nemnda opprettholdt Datatilsynets avvisning av As krav om retting.

Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.