Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune - overtredelsesgebyr

Klage fra Østre Toten kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 4 000 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24.


Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.

PVN-2022-16 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak der tilsynet avviste saken under henvisning til personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13. Klagen gjelder også Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.

Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale.

PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter

Klage fra A på Datatilsynets vedtak om avvisning av klage på grunn av manglende klagerettigheter.

Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning - personvernforordningen artikkel 57 nr. 4

Klage fra A på Datatilsynets avgjørelse om å avvise en klage fordi anmodningen om bistand åpenbart er overdreven eller grunnløs.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.


Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-10 Sletting av uriktige personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak 15. november 2021 om avslag på krav om sletting av personopplysninger hos NAV.

Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

​​​​​​​PVN-2022-08 Innsyn i elevmappe - klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn

Klage fra A på Datatilsynets vedtak 1. mars 2022 om at A ikke hadde krav på ytterligere innsyn etter personopplysningsloven, jf. personopplysningsloven § 16 første ledd bokstav e.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

PVN-2022-02 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 30. april 2021 om sletting av tre søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.