Personvernnemndas årsmelding 2012

1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2012 var dermed nemndas tolvte driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser dette som en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger ofte kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler noen «personvernprinsipper» som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak (jf forvaltningsloven § 35), og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999-2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).
    
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
    
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
    
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.

2 Sammendrag og tendenser

I løpet av året er det innkommet 15 klager. Totalt 22 saker er ferdigbehandlet i 2012; syv saker fra 2011 og 15 saker fra 2012. Datatilsynets vedtak er omgjort i ti av de 22 sakene.
    
Saksmengden har vært normal sammenlignet med tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda kan bare ta stilling til spørsmål i de foreliggende konkrete saker, men ser at klagesakene viser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt.
    
Nemnda reagerer spesielt på at det, dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram, ble fremmet et forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet. Forslaget synes å ha som formål å oppheve rettsvirkningene av nemndas vedtak. Av høringsbrevet 20.12.2012 fremgår:

Forslag til endringer i kreftregisterforskriften har tidligere vært på høring (desember 2011- mars 2012). Opplysninger fremkommet etter denne høringen har synliggjort nødvendigheten av at de tidligere forslagene gis virkning også for personopplysninger innsamlet før disse endringene trer i kraft. Etter departementets oppfatning er dette en endring av en karakter som forutsetter en ny høring.  Helse- og omsorgsdepartementet sender derfor nå på høring et forslag om å endre kreftregisterforskriften for behandling av opplysninger om personer som har deltatt i program for kreftscreening (tidligere registrerte personopplysninger knyttet til negative funn). Kreftregisterforskriften krever i dag ikke samtykke ved permanent lagring av positive funn, kun for lagring av personopplysninger ved negative funn dersom de skal oppbevares mer enn seks måneder.

Nemnda har forståelse for at det kan være ønskelig å endre forskriften for fremtiden, men reagerer sterkt på at forskriftsendringene skal gis tilbakevirkende kraft. I realiteten opphever departementet nemndas vedtak.
    
Personvernnemndas uavhengighet utfordres dersom et departement på denne måten overstyrer rettsvirkningene av nemndas vedtak. 
    
Saken gjaldt en klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte. Personvernnemnda er ikke i tvil om hvordan dagens rettstilstand er å forstå. Registrering av negative funn krever eksplisitt samtykke. Nemnda kan tiltre Helse- og omsorgsdepartementets ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn. Problemet er at dette ikke er tillatt med dagens lovgivning.
    
Det er svært betenkelig at departementet, dagen etter at Personvernnemnda avsa sitt vedtak, foreslår forskriftsendringer med tilbakevirkende kraft. En slik forvaltningspraksis bidrar til å undergrave tilliten til at gjeldende lovgivning som er gitt av Stortinget blir respektert av forvaltningen selv.
    
Generelt sett synes det som om spørsmål om personvern er særlig aktuelle i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak. På basis av Datatilsynets fokusområder, er det grunn til å anta at tilsvarende problemstillinger vil bli aktuelle fremover. Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette. Imidlertid ønsker nemnda å presisere at legalitetsprisnippet er gradert og at hjemmelskravet er relativt. Det vises til videre diskusjon om dette i PVN-2011-09 Toll.
    
En annen tendens er at ny teknologi i enkelte tilfeller har gitt en rettsutvikling. Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter. Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering. Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering. Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt. Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje.

Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer. For 2012 var dette et tema i PVN-2012-10 SUSS. Utfordringen er at regelverket om personvern gjelder for personopplysninger, men ikke for opplysninger som ikke kan knyttes til en person – anonyme opplysninger. Begrepet anonym er ikke definert i personopplysningsloven. Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og Personvernnemnda av hva ”anonym” innebærer. Dette fører til problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde. Spesielt finner man ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder, gjør at enkeltopplysningene anses som personopplysninger. Det er mulig det bør legges mer vekt på å kommunisere hva ”anonym” innebærer.

I øvrig bemerker Personvernnemnda at det i flere saker er fokus på manglende bruk av regelverkets sanksjonsapparat. Det vises til PVN-2011-13 Sletting fra Brillelands kunderegister og PVN-2012-04 Arbeidsgivers innsyn i e-post. Dette er saker der klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat. Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46

Samtidig vises til saken om Avfallsservice, PVN-2011-04. I denne saken var Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på personopplysningsregelverket. Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover. Personvernnemnda ser ikke bort fra at det vil bli mer fokus på både bruk og ikke-bruk av sanksjoner. Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført.
    
Personvernnemnda har merket seg at Datatilsynet har en stor arbeidsbelastning og begrensede ressurser. Dette var tema i PVN-2012-15 Kamera på privat grunn. Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge. Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger. Da personvernspørsmål synes å få en stadig større aktualitet i samfunnet, antar Personvernnemnda at lignende problemstillinger kan bli aktuelle fremover.

3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.
    
Personvernnemnda besto i 2012 av følgende personer:

Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Tom Bolstad
Leikny Øgrim
Jostein Halgunset
Ørnulf Rasmussen
Ann Rudinow Sætnan

Alle medlemmer har personlige vararepresentanter:

Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Gry Nergård
Lars Erik Fjørtoft
Svein Erik Ekeid
Michal Wiik Johansen
Gisle Hannemyr

4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i Fornyingsdepartementet. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

5 Møter og konferanser 2012

Personvernnemnda har i 2012 hatt i alt 11 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.
    
I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.
    
Personvernnemnda valgte å ikke delta på den internasjonale konferansen i 2012, men deltok i stedet på den tredje årlige "European Data Protection & Privacy Conference" som ble avholdt i Brussel 4. desember.
    
Personvernnemnda ytet økonomisk støtte til ”Personvernkonferansen 2012”, som ble arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo, 7. desember 2012, med tema «Fra lov til innbygget personvern - hvordan kan personvernet styres?». Konferansen var fulltegnet.

6 Saksbehandlingstid – restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire til seks måneder. De mest komplekse sakene, blant annet PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i både 2011 og 2012.

Nemnda har i 2012 hatt fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte.

Personvernnemnda hadde ingen restanser ved årets slutt.

7 Rådgivende uttalelser

Personvernnemnda har tradisjonelt ikke avgitt rådgivende uttalelser. I saken PVN-2011-11 Visma Retail, ble Datatilsynets vurdering av rettstilstanden påklaget til nemnda. Personvernnemnda måtte derfor gi en slags rådgivende uttalelse. Nemnda foretok en avvikende tolkning i forhold til tidligere biometri-saker og vurderte bruken av fingeravtrykk i denne saken annerledes enn Datatilsynet.

8 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 22 sakene nemnda avgjorde i 2012 var det syv klager fra privatpersoner, resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak).

9 Klagesaksbehandling – statistikk og viktige saker

Personvernnemnda mottok i 2012 totalt 15 klagesaker. Samtlige av disse var ferdigbehandlet ved utgangen av året. I tillegg ble syv saker fra 2011 ferdigbehandlet i 2012. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.
    
Saksmengden har vært normal. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2012 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte.

Personvernnemnda vil særlig fremheve følgende prinsipielle saker i kronologisk rekkefølge:

  • PVN-2011-06 ConocoPhillips. Selskapet er et norskregistrert utenlandsk foretak (NUF). Personvernnemnda la til grunn at det amerikanske selskapet og NUF’et er samme juridiske enhet. I Norge har ConocoPhillips Norge (NUF) registre med opplysninger om ansatte, kunder og leverandører. Disse opplysningene er lovlig innsamlet her. Det rettslige spørsmålet var om overføringen av de legalt innsamlede opplysninger til USA hadde rettslig grunnlag. Overføringen måtte vurderes i henhold til § 30. Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon. Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale. Behandlingen er også nødvendig for å ivareta selskapets interesser i kontrakter med leverandører og kunder, samt arbeidsavtaler med de ansatte.
  • PVN-2011-09 Toll. I denne saken konkluderte Personvernnemnda med at tollmyndighetene kan be om opplysninger fra privatperson. Når det gjelder å be om opplysninger, hadde Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til. Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf legalitetsprinsippet. Nemnda delte ikke denne rettslige forståelse. Nemnda fremhever at legalitetsprinsippet er gradert og hjemmelskravet relativt. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet. Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret. Legalitetsprinsippet vil beskytte registereier mot et annet forvaltningsorgans inntrengning i registeret. Ordlyden i valutaregisterloven § 6 vil klart oppfylle legalitetsprinsippets krav til hjemmel i en slik situasjon. Personvernnemnda knyttet også noen bemerkninger til fordeling av den personelle kompetansen mellom toll og politi, som Datatilsynet hadde problematisert i saken.
  • PVN-2011-10 Simonsen. Personvernnemnda delte seg i et flertall og et mindretall i denne saken. Personvernnemndas flertall (Eva Jarbekk, Gisle Hannemyr, Leikny Øgrim, Ørnulf Rasmussen og Tom Bolstad) kom til at man må legge avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig. Simonsen hevdet at det er de som «bestemmer eller detaljerer formålet». Etter flertallets syn er det mulig at Simonsen «detaljerer» hvordan opplysningene behandles, men det må være rettighetshaverne som innledningsvis har bestemt og definert formålet. Videre var flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen som utreder. Det er Simonsen som operativt utfører oppdraget, bearbeider funn og opplysninger, legger data inn, sikrer bevis etc. Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene. De nevnte forhold påberopt av Simonsen, var dermed helt typiske situasjoner for mange databehandlere. Slik flertallet så det, kan en behandlingsansvarlig gjerne knytte til seg en rekke forskjellige eksperter – altså databehandlere – innen ulike områder. Dette står det behandlingsansvarlig fritt å gjøre og da må behandlingsansvarlig inngå databehandleravtaler som definerer de ulike ansvarsområdene. Hele nemnda var enig i vurderingen av Datatilsynets saksbehandling i saken. Datatilsynets konklusjon om at Simonsen ikke var behandlingsansvarlig må bygge på at behandlingsansvaret påhviler et annet subjekt, og at Simonsen er å anse som databehandler.
  • PVN-2011-11 Visma Retail. I denne saken foretok nemnda en avvikende tolkning i forhold til tidligere biometri-saker og kritiserte forarbeidenes omtale av biometri. Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel». Bruken begrenses til å framskaffe et sannferdig svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare? Det er altså kun tale om autentisering, ikke identifisering. Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver. Det var videre nemndas oppfatning at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering. Slik systemet skal fungere i denne saken skal det ikke være mulig med bakveisidentifikasjon. Saken var således ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon.
  • PVN-2012-01 Barn med påførte dødelige skader. Personvernnemnda så annerledes på saken enn Datatilsynet. Nemnda la til grunn at kun aggregerte data, ikke kasuistikk, ville bli publisert. Dette vil igjen gjøre det forutsetningsvis umulig å gjenkjenne enkelttilfeller. Nemnda la til grunn at en forskningsrapport vil evaluere politiets handlemåter under etterforskning, men at taushetsplikten vil bli respektert hva gjelder omtale av den enkelte sak. Når det gjelder behandlingsgrunnlaget, fant nemnda at dette fantes i personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda var enig med REK at personvernulempene var små i dette prosjektet og at samfunnsnytten klart oversteg de eventuelle ulempene. Etter nemndas syn kan man ikke i denne saken legge avgjørende vekt på den mulige personvernulempe for de registrerte som foreligger ved at noen kan koble til virkelige personer ut fra publisering av en forskningsrapport med opplysninger fra medieomtale. Nemnda mente at denne faren måtte tillegges liten vekt i forhold til samfunnets interesse i at det blir forsket på dette temaet. Nemnda konkluderte med at samfunnsnytten er betydelig og overstiger klart personvernulempene for de registrerte. Vilkårene i personopplysningsloven § 8 bokstav f, jf § 9 bokstav h, er oppfylt når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.
  • PVN-2012-03 Nettby. Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet. Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten måtte oppfylles og deretter måtte materialet slettes av utgiver (VG).
    • PVN-2012-10 SUSS. Klagen ble ikke gitt medhold og nemnda var enig i Datatilsynets vurderinger. Nemnda kom til at SUSS må ha to registre – et journalsystem og en logg. Loggen kan føres i samme database som journalen. I loggen vil man da ikke fylle ut persondatafelt og andre felt som kan være personidentifiserbare, mens i journalen vil disse felter være utfylt. Personvernnemnda konkluderte med at SUSS må rydde opp i de allerede registrerte opplysninger, ved enten å anonymisere eller å slette alle personopplysninger som er registrert i forbindelse med at SUSS har gitt veiledning eller råd til personer som ønsker å være anonyme. Det foreligger ingen sletteplikt for anonyme data idet en anonym logg vil falle utenfor personopplysningsloven. SUSS er således ikke pålagt å slette loggen dersom den anonymiseres ved at forbindelsen mellom opplysningen og personen slettes. For journalføring og loggføring i fremtiden må SUSS innrette seg etter dette skillet. Nemnda mente også at teksten på nettsiden var misvisende. Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg "flere ganger", men hvor man blir registrert allerede ved første gangs henvendelse. Nemnda kom til at etter at de nødvendige omformuleringer er gjort, må de fremlegges Datatilsynet for godkjennelse. Nemnda kom også til at SUSS må skrive om internkontrollsystemet sitt. Personvernnemnda satte en frist på to måneder fra vedtaksdato til å implementere nemndas avgjørelse i virksomheten. Saken reiste viktigheten av at en behandlingsansvarlig har en riktig oppfatning av hva «anonym» er og hva «anonymisering» innebærer.

    10 Fullstendig oversikt over saker som ble behandlet i 2012

    Følgende saker ble ferdigbehandlet i 2012:

    PVN-2011-06 ConocoPhillips  
    Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening innen ConocoPhillips-konsernet
    Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

    PVN-2011-07 Tilgang til fellesregister Gerica
    Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre
    Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om at helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

    PVN-2011-09 Tollvesenets kontroll av vareførsel
    Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre
    Toll. Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre. Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.

    PVN-2011-10 Simonsen – antipiratarbeid
    Klage på Datatilsynets avslag på forlengelse av konsesjon
    Simonsen. Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

    PVN-2011-11 Visma Retail
    Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri
    Visma Retail. Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

    PVN-2011-12 Adgangskontroll ubetjent treningssenter
    Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll
    Fitness24Seven. Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll. Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

    PVN-2011-13 Sletting fra Brillelands kunderegister
    Klage på Datatilsynets saksbehandling i forbindelse med klage på manglende sletting i kunderegister
    Brilleland. Klage på Datatilsynets saksbehandling. Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

    PVN-2012-01 Barn med påførte dødelige skader
    Klage på Datatilsynets avslag på søknad om konsesjon til å behandle personopplysninger i forskning i forbindelse med hovedoppgave om "Barn med påførte dødelige skader – hva gjør helsevesenet og rettsvesenet"
    Klage på Datatilsynets saksbehandling. Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.

    PVN-2012-02 Rekruttering AS
    Klage på Datatilsynets planlagte kontroll mot Rekruttering AS
    Rekruttering AS. Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS. Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

    PVN-2012-03 Nettby
    Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby
    Nettby. Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby. Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

    PVN-2012-04 Arbeidsgivers innsyn i e-post
    Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post
    Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post. Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

    PVN-2012-05 Opplysninger om fosterforeldre
    Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre
    Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre. Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf personopplysningsloven § 27, 2. ledd.

    PVN-2012-06 Teletopia
    Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis
    Teletopia. Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis. Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

    PVN-2012-07 Konsesjon kredittopplysningsvirksomhet
    Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet
    Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet. Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

    PVN-2012-08 Sletting av elevmappe
    Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe
    Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe. Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

    PVN-2012-09 Elektroniske pasientkurver
    Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra pasientkurver
    Elektroniske pasientkurver. Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra elektroniske pasientkurver. Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

    PVN-2012-10 SUSS-telefonen
    Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS
    SUSS-telefonen. Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS. Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

    PVN-2012-11 Mammografiprogram
    Klage på Datatilsynets avvisning av å realitetsbehandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte
    Mammografiprogram. Klage på Datatilsynets avvisning av å behandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte. Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

    PVN-2012-12 Livmorhalsprogram
    Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte
    Livmorhalsprogram. Klage på Datatilsynets omgjøringsvedtak. Datatilsynet fattet i april 2010 vedtak om at Kreftregisteret må hente inn samtykke fra de registrerte med negative funn i Cervixcancerprogrammet. Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

    PVN-2012-13 Innsyn i personalmappe
    Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe
    Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe hos arbeidsgiver. Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf forvaltningslovens regler om partsoffentlighet.

    PVN-2012-14 Klage på avvisning av sak
    Klage på Datatilsynets avvisning av sak
    Klage på Datatilsynets avvisningsvedtak. Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.

    PVN-2012-15 Kamera på privat eiendom
    Klage på Datatilsynets beslutning om å ikke realitetsbehandle en sak
    Kameraovervåkning av privat grunn. Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvernnemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no. 

    11 Regnskap og budsjett for 2012

    Personvernnemnda hadde i 2012 en budsjettramme på kr 1 773 000, og fremkommer under kapittel 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2012.
        
    Totalt forbruk: kr 1 615 143.

    Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar og EUs personvernkonferanse, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

    12 Avslutning

    Etter 12 års eksistens må vi kunne konstatere at Personvernnemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

     

    Oslo, 11. februar 2013

    for Personvernnemnda



    Eva I E Jarbekk
    Leder