A mottok dagpenger under arbeidsløshet fra NAV. Da A søkte om støtte til etablering av egen virksomhet og opplyste at han holdt på med en masterutdanning, fattet NAV vedtak om stans i dagpengene da han ikke oppfylte vilkårene. Det viste seg senere at dagpengene ikke skulle ha vært stanset og NAV omgjorde vedtaket om stans og fattet et nytt vedtak som innvilget A dagpenger i stansingsperioden. Nemnda viste til at stansingsvedtaket ga korrekt uttrykk for det faktum NAV la til grunn på tidspunktet da vedtaket ble fattet. I de påfølgende vedtakene omgjorde NAV sin vurdering av de faktiske forholdene. Nemnda mente at det av vedtakene lest i sammenheng framkommer at A på søknadstidspunktet for dagpenger ikke var aktiv student, og at NAVs stans av dagpenger var urettmessig. Nemnda konkluderte med at dette samlet sett medfører at det ikke er registret uriktige opplysninger om A. Vilkåret for retting etter artikkel 16 var derfor ikke oppfylt og NAV kunne ikke pålegges å rette eller supplere opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda tok stilling til om rettspleielovunntaket omfatter forsikringsselskapets oversendelse av saksdokumenter med helseopplysninger til en privat engasjert sakkyndig i forbindelse med behandlingen av en sivil sak for lagmannsretten. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, og at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Datatilsynet har i sin praksis lagt til grunn at unntaket også omfatter aktørenes behandling av personopplysninger i saker som behandles eller avgjøres i medhold av rettspleielovene, noe nemnda også la til grunn i sak PVN-2022-16. Det forelå ikke personvernhensyn som tilsier en innstramming av denne etablerte forvaltningspraksisen. Skulle rettspleielovunntaket bare gjelde for domstolene, og ikke aktørene som enten er parter eller representerer parter i saker for domstolen, vil unntaket ikke ha en reell betydning. Domstolen behandler ingen personopplysninger innenfor sin dømmende myndighet som ikke behandles av sakens parter. At behandlingen av en sak for domstolen er avsluttet, endrer ikke på vurderingen. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Nabobil foretok en kredittvurdering av A da han ønsket å leie bil via Nabobils digitale plattform. Han fikk ikke inngått en leieavtale på grunn av en betalingsanmerkning. Nemnda var enig med Datatilsynet i at Nabobils økonomiske interesse i å beskytte seg mot tap i forbindelse med utleie av bil utgjør en berettiget interesse og at det er nødvendig for Nabobil å kredittvurdere sine leietakere for å redusere selskapets økonomiske risiko. Nemnda sluttet seg også til Datatilsynets interesseavveining og la til grunn at Nabobils berettigede interesser i denne saken veide tyngre enn hensynet til As ønske om å verne opplysningene. Nabobils innhenting av kredittopplysninger om A i forbindelse med forespørselen om leie av bil via Nabobils digitale plattform var lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Datatilsynets vedtak ble opprettholdt.

Nemnda kom til at klagen skulle tas til behandling til tross for fristoversittelsen fordi A ikke kunne lastes for å ha oversittet klagefristen. Datatilsynet hadde ikke gitt A orientering om klagefristen, jf. fvl. § 27. A hadde også endt opp med å bli henvist fram og tilbake mellom Datatilsynet og statsforvalteren fordi det var uenighet om hvilken offentlig myndighet som var rett klageorgan i saken. Videre kom nemnda til at brevet til A der Datatilsynet avsluttet saken må anses som et avvisningsvedtak som gir klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter artikkel 17 nr. 1. Datatilsynet skal blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. Nemnda konkluderte med at arkivlova § 6, sammenholdt med bestemmelsene i arkivforskriftens kapittel 2, pålegger NAV å arkivere alle saksdokumenter i saker om sosialhjelp. A fikk ikke medhold i sitt krav om sletting av opplysninger i NAVs arkiv, jf. artikkel 17 nr. 3 bokstav b og d.

Nemnda kom til at Datatilsynets avgjørelse om å avslutte saken uten å gjøre nærmere undersøkelser eller treffe tiltak overfor NAV og kommunen er et enkeltvedtak som gir klagerett til nemnda, jf. forvaltningsloven §§ 2 og 28. Datatilsynet skulle derfor ikke avvist klagen fra A. Nemnda viste til Datatilsynets plikt til å føre tilsyn med og håndheve anvendelsen av personvernforordningen, jf. artikkel 57 nr. 1 bokstav a, og plikt til å undersøke klagens gjenstand «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Selv om tilsynet i noen grad har myndighet til å vurdere om det i det enkelte tilfellet er nødvendig å foreta nærmere undersøkelser og hvilke undersøkelser som er hensiktsmessige, kan ikke Datatilsynet fritt velge ikke å behandle innkomne klager. Nemnda uttalte at en slik begrensning i de registrertes mulighet for et effektivt rettsmiddel mot det de opplever som en ulovlig behandling av deres personopplysninger i så fall bøs utredes og reguleres nærmere i loven og viste bl.a. til Graver, Alminnelig forvaltningsrett, 5. utgave, 2019 side 389. I denne saken la nemnda til grunn at Datatilsynet hadde tatt stilling også til sakens realitet. Nemnda sluttet seg til tilsynets vurdering om at NAV og kommunens behandling av personopplysninger om A ikke var i strid med personopplysningsloven. Nemnda opprettholdt Datatilsynets vurdering av sakens realitet.

Nemnda la til grunn at Datatilsynets omgjøring av et tidligere vedtak som påla sletting av opplysninger var et nytt vedtak som ga A klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter personvernforordningen artikkel 17 nr. 1. Det innebærer at Datatilsynet blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. At den offentlige myndighetens egen vurdering av om opplysningene er nødvendig for arkivformål skal tillegges stor vekt, endrer ikke på at Datatilsynet er rette myndighet for å ta imot og behandle slettekrav etter artikkel 17. I dette tilfellet hadde statsforvalteren behandlingsgrunnlag for fortsatt lagring av personopplysningene i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3, jf. personopplysningsloven § 8 og personvernforordningen artikkel 9 nr. 2 bokstav j. Når de aktuelle personopplysningene representerer materiale som er underlagt bevaringsplikt etter arkivlova, har statsforvalteren også en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

Nemnda konkluderte med at nettselskapene har lovlig behandlingsgrunnlag for å behandle helseopplysninger ved søknad fra kunder om fritak for installasjon av AMS, jf. artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav g. Selv om avregningsforskriften § 4-1 andre ledd bokstav b kunne vært klarere formulert, gir den etter omstendighetene et tilstrekkelig nasjonalt rettsgrunnlag for behandlingen. Nemnda påpekte at kravene til utformingen av det nasjonale rettsgrunnlaget etter artikkel 9 nr. 2 bokstav g varierer etter formålet med behandlingen og avhengig av blant annet hvilket inngrep som gjøres i de registrertes rettigheter. Forskriften fastslår at nettselskapene ikke plikter til å installere AMS dersom «installasjonen er til vesentlig og dokumenterbar ulempe for sluttbruker». Nemnda kunne vanskelig se hvilke andre dokumenterbare ulemper enn helseplager som skulle gi grunnlag for fritak, og når forskriften forutsetter en konkret vurdering av helsesituasjonen av den enkelte nettkunde kan ikke det gjøres uten helseopplysninger. NVEs overordnede målsetting med innføring av AMS ivaretar viktige allmenne interesser. Nemnda vurderte helseopplysningene som behandles som relevante og nødvendige for at nettselskapene skal oppfylle sin plikt etter forskriften, og at kravet om legeerklæring ikke er et urimelig inngrep sett i forhold til det målet som søkes oppnådd, jf. artikkel 9 nr. 2. Datatilsynets vedtak ble opprettholdt.

Datatilsynet vurderte As klage mot Equinors behandling av personopplysninger i rekrutteringsprosesser som en grenseoverskridende sak, og behandlet saken etter personvernforordningen artikkel 56 og kapittel VII. Nemnda har ikke kompetanse til å behandle klager på Datatilsynets vedtak i slike grenseoverskridende saker, jf. personopplysningsloven § 22 andre ledd. Nemnda opprettholdt Datatilsynets avvisning av klagen.

Opplysningen var gitt av A selv og framkommer i et journalnotat hvor barneverntjenesten redegjør for en samtale med A som oppfølging etter en bekymringsmelding. Den aktuelle barnevernssaken er avsluttet og fortsatt oppbevaring av opplysningene er nå begrunnet i arkivformål i allmennhetens interesse, jf. bestemmelsene om arkivverdig materiale i arkivlova. Riksarkivarens forskrift 19. desember 2017 nr. 2286 til arkivlova, § 7-28 niende ledd bokstav a bestemmer at «Prosedyrer, rutiner og saksbehandlingsprosesser for barnevernstjenesten, herunder håndtering av bekymringsmeldinger» skal bevares for ettertiden og ikke gjøres til gjenstand for kassasjon. Selve journalnotatet kunne derfor ikke slettes, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Nemnda kom til at heller ikke opplysningen (om at far er tater) isolert sett kunne kreves slettet. Nemnda viste til barneverntjenestens begrunnelse for å avslå retting og konkluderte med at opplysningen var nødvendig for å forstå barneverntjenestens behandling av bekymringsmeldingen. Datatilsynets vedtak ble opprettholdt.