Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak

PVN-2008-03 OBOS-megleren

Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler

Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge. ontor i denne saken. Klagen ble tatt til følge.

PVN-2008-02 SSP

Klage på Datatilsynets vedtak om at Kripos skal slette opplysninger om en person i det sentrale straffe- og politiopplysningsregisteret (SSP)

Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf. ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf. personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er “nødvendig for å gjennomføre formålet med behandlingen”, jf. personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.

PVN-2008-01 Utleiemegleren

Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger

Datatilsynet mente at Utleiemegleren ikke har et “saklig behov” for å innhente kredittopplysninger om interessenter, jf. personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.

PVN-2007-07 ung1881.no

Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin opplysningstjeneste

Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en “bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf. hovedregelen i personopplysningsloven § 8.

PVN-2007-06 OBOS

Klage på Datatilsynets avvisningsvedtak. Begjæring om innsyn i dokumenter, advokaters taushetsplikt og spørsmål om hvor langt Datatilsynets utredningsplikt går

Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf. personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf. domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

PVN-2007-05 Fosterforeldre

Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål

Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc. var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med “utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

PVN-2007-04 Kolumbuskortet

Klage på Datatilsynets vedtak om at Rogaland Kollektivtrafikk FKF må endre løsning for etablering av elektronisk billettering for passasjerer

Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har “reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

PVN-2007-03 Budstikka

Klage på Datatilsynets vedtak om å avvise en henvendelse fra Norsk Eiendomsinformasjon AS om å vurdere lovligheten av Asker og Bærum Budstikkes (heretter Budstikka) internettbaserte eiendomsbase i henhold til personopplysningslovens grunnkrav

Datatilsynet mener at Budstikkas tjeneste er et journalistisk produkt som faller innenfor personopplysningsloven § 7, og begrunnelsen for avvisningen er dermed at personopplysningslovens grunnkrav ikke kommer til anvendelse på forholdet. Tjenesten er med andre ord ikke i strid med personopplysningsloven.

Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de “tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

PVN-2007-02 Bibliotek-Systemer

Klage på Datatilsynets avslag hvoretter Bibliotek-Systemer AS ikke får utvikle bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike låntakerne låner – såkalt korrelasjonsdatabase

Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf. personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

PVN-2007-01 Arvelighetsregisteret

Klage på Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret” hos Universitetet i Oslo. Avgjørelsen innebærer samtidig et avslag på klagers konsesjonssøknad for det aktuelle materialet

Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for “Arvelighetsregisteret”, herunder “Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en “arbeidskonsesjon” eller “brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.