Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf. personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

I denne saken valgte Datatilsynet, etter at EU-domstolens dom forelå, å veilede naboen om rettstilstanden. Etter nemndas syn innebærer dette ikke en omgjøring til gunst for klager. Når omformuleringen ikke har hatt noen betydning for klagers rettsstilling har ikke klager krav på å få dekket sakskostnader etter forvaltningsloven § 36.

Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf. personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

Personvernnemnda var enig med Datatilsynet i at personopplysningsloven kom til anvendelse. Etter nemndas syn ble det behandlet sensitive personopplysninger. Det innebærer at det må foreligge et behandlingsgrunnlag etter personopplysningsloven § 9. Datatilsynet syntes å ha avgjort saken med hjemmel i § 8. Nemnda opphevet Datatilsynets vedtak.

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.