Vedtak 2011

PVN-2011-13

Brilleland. Klage på Datatilsynets saksbehandling. Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

PVN-2011-12

Fitness24Seven. Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll. Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

PVN-2011-11

Visma Retail. Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

PVN-2011-10

Simonsen. Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

PVN-2011-09

Toll. Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre. Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.

PVN-2011-08

Klage på Datatilsynets kontroll vedrørende opplysninger og karakteristikker om klager registrert i kommunalt register. Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre, at klager ikke hadde fått tilstrekkelig innsyn i dokumentene, at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager. Personvernnemnda sendte saken tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen. Tilsyn (stedlig kontroll) ble gjennomført. Klager har påklaget kontrollen. Personvernnemnda er av den oppfatning at tilsynet har avdekket at tilgangskontrollen er i samsvar med regelverk, samt at opplysninger og karakteristikker av klageren er blitt rettet ved supplering på adekvat måte. Personvernnemnda er kommet til at Datatilsynets behandling har vært utført i samsvar med forvaltningsloven § 17.

PVN-2011-07

Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

PVN-2011-06

Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

PVN-2011-05

Antidopingprogram – konsesjon. Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen er begrunnet i at konsesjonen i praksis godkjenner avtalevilkårene om dopingtest, som er vurdert av Markedsrådet/Forbrukerombudet til å være i strid med markedsføringsloven og at en slik vurdering av vilkårene faller utenfor Datatilsynets ansvarsområde. Klager anfører videre at han som fastlege kan komme i den situasjon at han må skrive legeerklæringer vedrørende medikamentbruk for at pasienten skal kunne opprettholde sitt kundeforhold til treningssenteret. Personvernnemnda kommenterte at selve avtalevilkårenes rimelighet hører under Forbrukerombudet og Markedsrådet, og kan eventuelt påklages dit. Etter Personvernnemndas oppfatning var dette ikke sakens tvistepunkt. Saken gjaldt en klage på Datatilsynets standardkonsesjon utstedt med hjemmel i personopplysningsloven § 46 fjerde ledd, jf § 9 tredje ledd. Personvernnemnda var etter en totalvurdering av saken enig i Datatilsynets vurdering og vedtak. Personvernnemnda la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter. Klager hadde anført ulike klagegrunner, men nemnda fant ikke at disse veide tyngre enn de samfunnsinteressene som gjør seg gjeldende i denne saken.

PVN-2011-04

Avfallsservice. Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag. Personvernnemnda var enig i Datatilsynets resonnement og konklusjon, nemnda kunne derfor tiltre Datatilsynets vurderinger og begrunnelse. Dette sammenfalt også med lagmannsrettens vurdering av spørsmålet. Personvernnemnda stadfestet Datatilsynets vedtak. Nemnda støttet også Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike tilfeller.

PVN-2011-03

Arbeidsgivers attest. Saken dreier seg om et åtte år gammelt skjema i en personalmappe hos Nordea kalt ”Grunnlag for utarbeidelse av attest”. Notatet inneholder negative karakteristikker av klager. Klager ønsker notatet slettet. Nordea ønsker å beholde notatet hele ansettelsestiden, jf attestplikten i arbeidsmiljøloven § 15-15. Personvernnemnda bemerket at skjemaet ikke skal oppbevares lenger enn formålet for innsamlingen tilsier. Formålet er attestgrunnlag. Stillingen er fratrådt og klager har åpenbart en annen stilling i samme konsern. Personvernnemnda er av den oppfatning at åtte år gamle opplysninger fra en fratrådt stilling neppe er relevante opplysninger nå i relasjon til den påberopte attestplikten etter arbeidsmiljøloven § 15-15. Nemnda var enig med Datatilsynet i at dokumentet skal slettes.

PVN-2011-02

BP Norge. Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land. Datatilsynet la opprinnelig til grunn at det ikke var nødvendig med kontinuerlig overføring av lyd og bilder for å oppnå de angitte formålene. Etter befaringen på Forus finner tilsynet det imidlertid godtgjort at lyd og bildeoverføringen er egnet til å optimalisere driften og sikkerheten. Det legges til grunn at det må være en fordel at støttefunksjoner på land lettere vil kunne bistå med sin ekspertise. Det legges også vekt på at tiltaket så langt har hatt en positiv effekt og Datatilsynet konkluderte med at for å oppnå full integrering av kontrollrommene, slik hensikten er, må bildeoverføringen være kontinuerlig. Personvernnemnda var enig med Datatilsynet. Begrunnelsen for kameraovervåkningen er sikkerhet. Ved at to uavhengige miljøer kan se det samme, vil en hendelse som oppstår bli enklere å jobbe med for de to uavhengige miljøene. Nemnda har også oppfattet at de som arbeider på de to kontrollrommene er komplementære kompetansemessig, men likestilte kolleger. Etter nemndas syn vil det være mindre krenkende med kameraovervåkning som går begge veier, altså at offshore også ser kontrollrommet på land, enn enveis overvåkning. Nemnda kan forstå at de ansatte kan oppleve også toveis overvåkning stressende og ubehagelig. Nemnda finner imidlertid at de hensyn som er anført ikke er tungtveiende.

PVN-2011-01

Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr. Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Etter nemndas syn har ikke Datatilsynet særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf § 46 annet ledd. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette ”skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Tilsynets vurdering er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak. Saken sendes tilbake til Datatilsynet som mangelfullt begrunnet.