Vedtak 2007

PVN-2007-07

ung1881.no. Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin nummeropplysningstjeneste. Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en ”bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf hovedregelen i personopplysningsloven § 8.

PVN-2007-06

OBOS. Klage på Datatilsynets avvisningsvedtak. Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

PVN-2007-05

Fosterforeldre. Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål. Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med ”utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

PVN-2007-04

Kolumbuskortet. Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har ”reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

PVN-2007-03

Budstikka. Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de ”tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

PVN-2007-02

Bibliotek-Systemer. Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

PVN-2007-01

Arvelighetsregisteret. Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret”, herunder ”Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en ”arbeidskonsesjon” eller ”brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.