Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av Kolbotn Bil AS selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75.000 til kr. 50 000.

Dissens.
Nemnda fant at det var behandlingsgrunnlag i personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6, for journalføring av en talemelding en privatperson hadde lagt igjen på rådmannens telefonsvarer. Nemnda fant videre at den fortsatte lagringen av talemeldingen var i overensstemmelse med personopplysningsloven § 28. Nemnda vurderte klagers innsynsrett etter personopplysningsloven § 18. Nemnda fant det åpenbart at klager ikke kunne få innsyn i kommunikasjonen mellom Datatilsynet og kommunen, i og med at denne kommunikasjonen hadde skjedd muntlig. Når det gjaldt klagers krav om innsyn i loggen i kommunens saksbehandlingssystem var nemnda enig med Datatilsynet i at personopplysningsloven § 18 ikke ga hjemmel for slikt innsyn.

Når det gjaldt den videre forståelsen av hva klagen gjaldt, delte nemnda seg i et flertall og et mindretall. Nemndas flertall mente at verken faktum eller den innsendte klagen, ga grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14. Mindretallet vurderte klagen også etter disse bestemmelsene og fant at det forelå brudd på personopplysningsloven. Nemndas flertall konkluderte med at klagen over Datatilsynets avgjørelse ikke tas til følge. En samlet nemnd avviste klagen over saksbehandlingstiden.

Saken gjelder klage over avslag på innsyn etter personopplysningsloven i opplysninger registrert i saksdokumenter hos barneverntjenesten. Nemnda påpeker at det er misvisende å kalle vedtaket avvisning, jf. nemndas tilsvarende vurdering i PVN- 2017-09. Datatilsynet har foretatt en materiell vurdering av fosterforeldrenes rett til innsyn i registrerte opplysninger om dem selv, jf. personopplysningsloven § 18, og kommet til at det innsynet fosterforeldrene er gitt med hjemmel i forvaltningsloven er mer vidtrekkende enn hva personopplysningsloven i dette tilfellet ville gi dem. Nemnda påpeker at personopplysningsloven ikke gir hjemmel for å kreve innsyn i saksdokumenter. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet. Personvernnemda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn.

Klagen gjaldt hvorvidt det skal stilles vilkår om innhenting av nye samtykker fra de registrerte ved en forlengelse av NORCCAP-prosjektet til 31. desember 2036. Nemnda fant at man først måtte ta stilling til det rettslige grunnlaget for behandling av personopplysninger i NORCCAP-prosjektet. Det er tre alternative regelverk som kan regulere behandling av helseopplysninger i NORCCAP-prosjektet: helseforskningsloven, kreftregisterforskriften (helseregisterloven § 8 jf. kreftregisterforskriften § 1-9, jf. § 1-2 tredje ledd) eller konsesjon gitt av Datatilsynet (helseregisterloven § 5, jf. personopplysningsloven § 33). Nemnda kom til at NORCCAP er regulert av helseforskningsloven etter en gjennomgang av det saklige virkeområdet i helseregisterloven og helseforskningsloven og forarbeidenes uttalelser. Nemnda la vekt på at forskningsprosjektet faller inn under ordlyden i helseforskningsloven, at det dreier seg om et tidsbegrenset forskningsprosjekt i motsetning til et permanent helseregister og at NORCCAP er mer enn et typisk helseregister, idet det også omfatter opplysninger om en kontrollgruppe som blir sammenlignet med intervensjonsgruppen ved koblinger mot Kreftregisteret og Dødsårsaksregisteret. Datatilsynet har ikke kompetanse til å treffe vedtak om utvidet konsesjon, eller stille vilkår i den forbindelse, idet denne kompetansen i henhold til helseforskningsloven er lagt til REK.

Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkningen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f) jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Det tas utgangspunkt i kriminalitetsbildet i Brumunddal noen år tilbake, nedgangen i straffesaker etter at overvåkingen ble iverksatt, politiets opplysninger om antall straffesaker som er oppklart som følge av opptakene, samt den utrygghetsfølelsen befolkningen hadde. Disse interessene ble veid opp mot ulempene ved overvåking av det offentlige rom. Nemnda la vekt på at det var forsøkt andre, mindre personverninngripende tiltak først, samt at personverninngrepet var avdempet noe ved begrenset lagringstid, begrensninger i hvem som hadde tilgang til opptakene og ved at det ikke dreide seg om en kontinuerlig overvåking i den forstand at noen kontinuerlig fulgte opptakene i sanntid. Nemnda viste til PVN-2005-12 (Sporveibussene) og PVN-2005-13 (NSB). Uttalelser om betydningen og vektingen av politifaglige vurderinger som Datatilsynet og nemnda bør være forsiktige med å overprøve.

Saken gjelder profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda vurderte først behandlingsgrunnlaget for å innhente kredittopplysninger, og kom til at rett behandlingsgrunnlag i saken er personopplysningsloven § 8 bokstav a. Deretter tolket nemnda kravet til «saklig behov» i personopplysningsforskriften § 4-3 første ledd. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebærer en endring av praksis, særlig PVN-2006-03 KLP og PVN-2008-01 Utleiemegleren. Nemnda fant at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig og at det er sannsynlig at en kredittvurdering av potensielle leietakere bidrar til å redusere utleiers økonomiske risiko. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist. Nemnda uttaler at kriteriet «saklig grunn» i personopplysningsforskriften § 4-3 ikke åpner for en bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko.

Problemstillingen var om personopplysningslovens bestemmelser om innsyn kom til anvendelse, jf. personopplysningsloven § 18 første ledd. Klager hadde anført at personopplysningsloven kommer til anvendelse uavhengig av hvem som er behandlingsansvarlig og uavhengig av hvor den behandlingsansvarlige er etablert, jf. åndsverkloven § 56b siste ledd. Personvernnemnda var enig med Datatilsynet i at åndsverklovens bestemmelser §§ 56a og b ikke kan forstås slik at de utvider personopplysningslovens geografiske anvendelsesområde. For å ta stilling til om personopplysningsloven kommer til anvendelse må man derfor først ta stilling til hvem som er behandlingsansvarlig. Personvernnemnda fant ikke saken tilstrekkelig utredet til at det var mulig å treffe noen avgjørelse, jf. forvaltningsloven § 17. Det var ikke grunnlag for å ta stilling til hvem som var behandlingsansvarlig før sakens faktum var bedre redegjort for, og før Njord Law Firm, som det er krevet innsyn hos, var varslet om saken og gitt anledning til å uttale seg, jf. fvl § 16. Vedtaket ble derfor opphevet og sendt tilbake til Datatilsynet.

Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet har foretatt en realitetsvurdering av klagen og kommet til at behandlingen er lovlig. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Bergen kommune å slette et dokument om tilrettevisning fra klagers personalmappe. Klager har anført personopplysningsloven § 28 første ledd som grunnlag for sitt krav om sletting. Hvor lenge det er nødvendig å oppbevare en tilrettevisning må vurderes konkret i hvert individuelle tilfelle. I denne saken har kommunen vurdert behovet for oppbevaring, og konkludert med at det er tilstrekkelig å oppbevare dokumentet ut skoleåret 2016/17. Nemnda har vært varsom med å overprøve arbeidsgivers skjønn i tidligere saker vedrørende sletting av dokumenter i personalmapper. Kommunen har definert formålet og behovet for oppbevaringen, og legger slik nemnda forstår det stor vekt på behovet for veiledning av A. Nemnda la til grunn at dokumentet vil bli slettet i samsvar med det arbeidsgiver har skissert. Nemnda kom til at klagen ikke tas til følge.

Personvernnemnda tok stilling til om Feiring Bruk skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet har ilagt Feiring Bruk et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen, som besto i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag for å kontrollere en ansatt, representerer forholdsvis grove brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at Feiring Bruk bør ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen.