Vedtak 2015

Personvernnemndas Śrsmelding 2015

Vedlagt ligger Personvernnemndas årsmelding for 2015.

PVN-2015-17

Bisnode Norge. Nemnda vurderte om saken skulle sendes tilbake til Datatilsynet for realitetsbehandling. I Personvernnemndas vedtak PVN-2012-07 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Det var ikke dokumentert forhold som endret denne vurderingen. Nemnda behøvde ikke å ta stilling til den subsidiære anførselen. Klagen ble ikke tatt til følge.

PVN-2015-16

Walhalla. Nemnda vurderte de usladdede videoene som ble lagt ut på Facebook og fant at opptakene hadde god nok oppløsning til at de er egnet til å identifisere enkeltpersoner. Opptakene viser personer som stjeler varer og er således sensitive personopplysninger. Publiseringen har ikke grunnlag i personopplysningsloven § 39. Personvernnemnda viste til Datatilsynets vurdering av personopplysningsloven § 46 a) til h) og tiltrådte denne. Klagen ble ikke tatt til følge.

PVN-2015-15

Mona Lisa Huset. Ileggelse av overtredelsesgebyr for skjult kameraovervåking. Klagen ble ikke tatt til følge. Personvernnemnda var enig i Datatilsynets resonnement.  

PVN-2015-14

Viken Økonomi. Innsyn i ansattes – og tidligere ansattes – epostkasse. Klagen førte ikke frem. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-13

Trønder Taxi. Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

PVN-2015-12

Universitetet i Oslo. Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

PVN-2015-11

Vardø kommune. Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

PVN-2015-10

Sykehuset i Østfold. Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

PVN-2015-09

Dekning sakskostnader, jf forvaltningsloven § 36. I denne saken valgte Datatilsynet, etter at EU-domstolens dom forelå, å veilede naboen om rettstilstanden. Etter nemndas syn innebærer dette ikke en omgjøring til gunst for klager. Når omformuleringen ikke har hatt noen betydning for klagers rettsstilling har ikke klager krav på å få dekket sakskostnader etter forvaltningsloven § 36.

PVN-2015-08

Windsor Door. Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

PVN-2015-07

Tromsø kommune. Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

PVN-2015-06

Google. Personvernnemnda var enig med Datatilsynet i at personopplysningsloven kom til anvendelse. Etter nemndas syn ble det behandlet sensitive personopplysninger. Det innebærer at det må foreligge et behandlingsgrunnlag etter personopplysningsloven § 9. Datatilsynet syntes å ha avgjort saken med hjemmel i § 8. Nemnda opphevet Datatilsynets vedtak.

PVN-2015-05

Skan-kontroll II. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

PVN-2015-04

FaVer. Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-03

Innsyn i skoles aktivitetslogg. Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.  

PVN-2015-02

SmerteReg. Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

PVN-2015-01

Konsesjon kjønnsdysfori. Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.