Personvernnemndas årsmelding 2015

1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2015 var dermed nemndas femtende driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger ofte kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler noen «personvernprinsipper» som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak (jf forvaltningsloven § 35), og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999-2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).
    
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
    
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.

2 Sammendrag og tendenser

I løpet av 2015 kom det inn tilsammen 17 klagesaker. Totalt 4 av de 17 sakene var ferdigbehandlet ved utgangen av 2015. I tillegg ble 12 saker innkommet i 2014 ferdigbehandlet i 2015. Personvernnemnda avgjorde således totalt 16 saker i 2015. Klager er gitt helt eller delvis medhold i 9 av de 16 sakene. Fire av sakene ble avsagt med dissens (de såkalte GE-sakene, PVN-2014-22, -23 og -24, samt PVN-2014-03 Husbanken).
    
Saksmengden har vært konstant i forhold til tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda tar bare stilling til spørsmål i de foreliggende konkrete saker, men ser at personvernet griper inn i stadig flere samfunnsområder og at problemstillingene som reises av lovverket er komplekse og har stor betydning for både privatliv og kommersiell samt offentlig virksomhet.

Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Dette gjelder særlig forholdet til forvaltningsretten, men også andre rettsområder og ikke minst privatrettslige regler og avtaler.

Ett tema som har fått økt aktualitet, er ileggelse av overtredelsesgebyr. Flere av sakene som kom inn i 2015 hadde overtredelsesgebyr som tema. Denne utviklingen vil antakelig fortsette. Sakene vil bli avgjort i 2016.

Saker vedrørende plassering av behandlingsansvar er økende, for eksempel PVN-2014-19 Bergen Bydrift. Et annet prinsipielt forhold er bruken av loggdata som var oppe i både PVN-2015-03 og bruk av logg til sikkerhetsformål i PVN-2014-10.

3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.
    
Personvernnemnda besto i 2015 av følgende personer:

Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Ørnulf Rasmussen
Ann Rudinow Sætnan
Gisle Hannemyr
Marta Ebbing
Nina Melsom

Alle medlemmer har personlige vararepresentanter:

Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Michal Wiik Johansen
Audhild Gregoriusdotter Rotevatn
Torgeir Waterhouse
Anne Forus
Hans Marius Graasvold

4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

5 Møter og konferanser 2015

Personvernnemnda har i 2015 hatt i alt 13 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.
    
I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.
    
Personvernnemnda yter ikke lenger økonomisk støtte til «Personvernkonferansen», som blir arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo.

Deltakere fra Personvernnemnda skulle delta på en internasjonal personvernkonferanse i Brussel i desember 2015, men konferansen ble avlyst av sikkerhetsårsaker.

6 Saksbehandlingstid – restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire-fem måneder. De mest komplekse sakene, blant andre PVN-2014-10 Telenor, PVN-2014-03 Husbanken og PVN-2014-19 Bergen Bydrift, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i 2014 og 2015.

Personvernnemnda hadde 13 uferdige saker ved årets slutt.

7 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 16 sakene nemnda avgjorde i 2015 var det to klager fra bedrift, seks klager fra privatpersoner, fem klager fra ulike helseforetak og tre klager fra øvrige kommunale eller statlige organer.

8 Klagesaksbehandling – statistikk

Personvernnemnda mottok i 2015 totalt 17 klagesaker. Av disse var 4 ferdigbehandlet ved utgangen av året. I tillegg avgjorde nemnda 12 saker fra 2014. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.
    
Saksmengden har vært stor. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2015 har omfangsrike saker medført ekstra arbeid for medlemmene. Møtene er blitt utvidet til seks timer. Videre har nemnda avholdt et ekstramøte i februar og et ekstramøte i desember for å ferdigstille saker.

9 Fullstendig oversikt over saker som ble behandlet i 2015

Følgende saker ble ferdigbehandlet i 2015:

PVN-2014-03 Husbanken
Klage på Datatilsynets avslag om å gi konsesjon til kontrollformål
Nemnda vurderte hvorvidt samtykke til innhenting av opplysninger er en betingelse for å få behandlet en bostøttesøknad, jf bostøttelovens § 8. I dette spørsmålet delte nemnda i et flertall og et mindretall. Flertallet konkluderte med at man har krav på å få behandlet søknad om bostøtte uten å ha avgitt samtykke som omtalt i bostøtteloven § 8 annet ledd. Nemnda vurderte deretter hvorvidt Husbanken trenger konsesjon til å gjennomføre etterfølgende kontroll av hvorvidt vilkårene for bostøtte var oppfylt. Nemnda konkluderte med at det er hjemmel i bostøtteloven og at det ikke kreves konsesjon, jf personopplysningsloven § 33 femte ledd. Når det gjelder innhenting av informasjon fra en tredjepart uten søkers samtykke, er nemndas flertall kommet til at Husbanken ikke har adgang til dette. Dissens 4-3. Klagen ble tatt delvis til følge.

PVN-2014-10 Telenor
Klage på Datatilsynets vedtak om opphør av lagring av destinasjons-IP hos Telenor
Personvernnemnda konkluderte med at Telenor kan fortsette med å lagre destinasjons-IP for mobil som et sikkerhetstiltak som er nødvendig og hensiktsmessig for å sørge for tilfredsstillende sikkerhet i mobilnettet. Lagringsplikten er minst tre måneder.

PVN-2014-14 Kjennemerkegjenkjenningssystemer
Klage på Datatilsynets vedtak om at Statens vegvesen må gi informasjon om behandlingen til fører og eventuelle passasjerer i kjøretøyet ved bruk av skilting
Personvernnemnda forsto det slik at fører og passasjer ikke avbildes eller gjenkjennes av bildet som tas av kjøretøyets kjennemerke. Så lenge bilfører (og passasjer) ikke identifiseres, skjer det kun en behandling av informasjon om registrert bileier. Personvernnemnda kan derfor ikke se at personopplysningsloven § 19 er anvendelig i denne situasjonen. Det er dermed ikke påkrevet med informasjon så lenge det ikke behandles personopplysninger om fører eller passasjer. Nemnda konkluderte med at skilt 558 uten underskilt er tilstrekkelig markering av de faste installasjonene.

PVN-2014-15 Trondheim kommune
Klage på Datatilsynets beslutning om ikke å fatte vedtak om sletting av en tilrettevisning i personalmappen
Datatilsynet hadde veiledet kommunen om pliktene som følger av personopplysningsloven § 28 og vist til at arkivloven ikke inneholder et pålegg om at arbeidsgivere skal arkivere enhver tilrettevisning i ubegrenset tid. Tilsynet avsto imidlertid fra å fatte vedtak om sletting, med henvisning til at det er den behandlingsansvarlige som selv skal foreta en nødvendighetsvurdering etter personopplysningsloven § 28 og det er virksomheten selv som har best forutsetninger for å vurdere dette. Personvernnemnda kom til at sakens prinsipielle karakter tilsa at Datatilsynet bør realitetsbehandle saken.

PVN-2014-18 Sletting av personopplysninger i personalmappe
Klage på Datatilsynets avslag om sletting av dokumenter i personalmappe
Personvernnemnda vurderte om dokumentene skulle slettes etter personopplysningsloven § 28 første ledd. Nemnda kom til at dokumentene fortsatt kunne lagres i samsvar med det opprinnelige formålet. Videre vurderte nemnda § 28 tredje ledd. Nemnda fant at opplysningene kunne være belastende, konkluderte med at man ikke behøvde å ta stilling til om de er «sterkt belastende» da slettingsvilkårene uansett ikke var oppfylt. Sletting ville ikke være forsvarlig ut fra kommunens behov som arbeidsgiver og tjenesteyter.

PVN-2014-19 Bergen Bydrift
Klage på Datatilsynets vedtak om behandlingsansvar
Problemstillingen i saken var plassering av behandlingsansvar for opplysninger i Mipps og Mowic. Nemnda viste til forarbeider og juridisk teori som begge legger til grunn at den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Nemnda viste også til tidligere avgjørelser i nemnda, herunder PVN-2007-01. Nemnda la til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Nemnda konkluderte med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic. 

PVN-2014-20 Anmodning om gjenåpning av saker
Begjæring om gjenåpning av saker
Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.

PVN-2014-21 Norsk brannskaderegister
Klage på Datatilsynets vilkår i konsesjon
I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

PVN-2014-22 Vestre Viken HF
Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-23 Sørlandet sykehus
Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

PVN-2014-24 Unilabs Norge AS
Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang
Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-25 Tilgang på tvers av virksomhetsgrenser
Klage på Datatilsynets vedtak om at direktetilgang til helseopplysninger må avsluttes, jf helseregisterloven § 13
Nemnda vurderte tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen måtte vurderes etter det lovverk som gjaldt da klagen kom inn. Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Personvernnemnda er enig i denne vurderingen. Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende. Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

PVN-2015-02 SmerteReg
Klage på Datatilsynets vilkår i konsesjon gitt til Nasjonalt kvalitetsregister for smertebehandling («SmerteReg»)
Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

PVN-2015-03 Innsyn i skoles aktivitetslogg
Klage på Datatilsynets avslag på innsyn i skoles aktivitetslogg
Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.  

PVN-2015-06 Google
Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google
Personvernnemnda var enig med Datatilsynet i at personopplysningsloven kom til anvendelse. Etter nemndas syn ble det behandlet sensitive personopplysninger. Det innebærer at det må foreligge et behandlingsgrunnlag etter personopplysningsloven § 9. Datatilsynet syntes å ha avgjort saken med hjemmel i § 8. Nemnda opphevet Datatilsynets vedtak.

PVN-2015-09 Dekning av sakskostnader
Klage over avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36
Dekning sakskostnader, jf forvaltningsloven § 36. I denne saken valgte Datatilsynet, etter at EU-domstolens dom forelå, å veilede naboen om rettstilstanden. Etter nemndas syn innebærer dette ikke en omgjøring til gunst for klager. Når omformuleringen ikke har hatt noen betydning for klagers rettsstilling har ikke klager krav på å få dekket sakskostnader etter forvaltningsloven § 36. 

10 Regnskap og budsjett for 2015

Personvernnemnda hadde i 2015 en budsjettramme på kr 1 898 000, og fremkommer under kapittel 546 Personvernnemnda for 2015.
    
Totalt forbruk: kr 1 711 045.

Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler. Kostnadene øker på grunn av den store saksmengden som nødvendiggjør avholdelse av ekstra møter for å holde en forsvarlig saksbehandlingstid.

11 Avslutning

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

 

Oslo, 19. februar 2016
For Personvernnemnda

 

Eva I E Jarbekk
Leder