Vedtak 2012

Personvernnemndas-Śrsmelding

Vedlagt ligger Personvernnemndas årsmelding for 2012.

PVN-2012-15

Kameraovervåkning av privat grunn. Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvernnemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no. 

PVN-2012-14

Klage på Datatilsynets avvisningsvedtak. Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.

PVN-2012-13

Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe hos arbeidsgiver. Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf forvaltningslovens regler om partsoffentlighet.

PVN-2012-12

Livmorhalsprogram. Klage på Datatilsynets omgjøringsvedtak. Datatilsynet fattet i april 2010 vedtak om at Kreftregisteret må hente inn samtykke fra de registrerte med negative funn i Cervixcancerprogrammet. Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

PVN-2012-11

Mammografiprogram. Klage på Datatilsynets avvisning av å behandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte. Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

PVN-2012-10

SUSS-telefonen. Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS. Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

PVN-2012-09

Elektroniske pasientkurver. Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra elektroniske pasientkurver. Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

PVN-2012-08

Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe. Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2012-07

Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet. Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

PVN-2012-06

Teletopia. Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis. Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

PVN-2012-05

Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre. Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf personopplysningsloven § 27, 2. ledd.

PVN-2012-04

Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post. Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

PVN-2012-03

Nettby. Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby. Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

PVN-2012-02

Rekruttering AS. Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS. Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

PVN-2012-01

Klage på Datatilsynets saksbehandling. Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.