Hjem

Vedtak 2017

PVN-2017-15 Innsyn i personopplysninger hos barneverntjenesten

Klage på Datatilsynets avvisningsvedtak

Saken gjelder klage over avslag på innsyn etter personopplysningsloven i opplysninger registrert i saksdokumenter hos barneverntjenesten. Nemnda påpeker at det er misvisende å kalle vedtaket avvisning, jf. nemndas tilsvarende vurdering i PVN- 2017-09. Datatilsynet har foretatt en materiell vurdering av fosterforeldrenes rett til innsyn i registrerte opplysninger om dem selv, jf. personopplysningsloven § 18, og kommet til at det innsynet fosterforeldrene er gitt med hjemmel i forvaltningsloven er mer vidtrekkende enn hva personopplysningsloven i dette tilfellet ville gi dem. Nemnda påpeker at personopplysningsloven ikke gir hjemmel for å kreve innsyn i saksdokumenter. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet. Personvernnemda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn.

PVN-2017-13 NORCCAP Helseforskningsloven og helseregisterlovens anvendelsesområder

Klage på Datatilsynets vedtak om forlengelse av konsesjon på vilkår om nye samtykker i NORCCAP-prosjektet

Klagen gjaldt hvorvidt det skal stilles vilkår om innhenting av nye samtykker fra de registrerte ved en forlengelse av NORCCAP-prosjektet til 31. desember 2036. Nemnda fant at man først måtte ta stilling til det rettslige grunnlaget for behandling av personopplysninger i NORCCAP-prosjektet. Det er tre alternative regelverk som kan regulere behandling av helseopplysninger i NORCCAP-prosjektet: helseforskningsloven, kreftregisterforskriften (helseregisterloven § 8 jf. kreftregisterforskriften § 1-9, jf. § 1-2 tredje ledd) eller konsesjon gitt av Datatilsynet (helseregisterloven § 5, jf. personopplysningsloven § 33). Nemnda kom til at NORCCAP er regulert av helseforskningsloven etter en gjennomgang av det saklige virkeområdet i helseregisterloven og helseforskningsloven og forarbeidenes uttalelser. Nemnda la vekt på at forskningsprosjektet faller inn under ordlyden i helseforskningsloven, at det dreier seg om et tidsbegrenset forskningsprosjekt i motsetning til et permanent helseregister og at NORCCAP er mer enn et typisk helseregister, idet det også omfatter opplysninger om en kontrollgruppe som blir sammenlignet med intervensjonsgruppen ved koblinger mot Kreftregisteret og Dødsårsaksregisteret. Datatilsynet har ikke kompetanse til å treffe vedtak om utvidet konsesjon, eller stille vilkår i den forbindelse, idet denne kompetansen i henhold til helseforskningsloven er lagt til REK.

PVN-2017-12 Fredensborg – kredittvurdering av leietakere

Klage på Datatilsynets vedtak om overtredelsesgebyr for å ha innhentet kredittvurdering uten saklig behov

Saken gjelder profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda vurderte først behandlingsgrunnlaget for å innhente kredittopplysninger, og kom til at rett behandlingsgrunnlag i saken er personopplysningsloven § 8 bokstav a. Deretter tolket nemnda kravet til «saklig behov» i personopplysningsforskriften § 4-3 første ledd. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebærer en endring av praksis, særlig PVN-2006-03 KLP og PVN-2008-01 Utleiemegleren. Nemnda fant at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig og at det er sannsynlig at en kredittvurdering av potensielle leietakere bidrar til å redusere utleiers økonomiske risiko. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist. Nemnda uttaler at kriteriet «saklig grunn» i personopplysningsforskriften § 4-3 ikke åpner for en bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko.

PVN-2017-11 Begjæring om innsyn hos det danske advokatfirmaet Njord Law Firm

Klage på Datatilsynets vedtak om ikke å pålegge et dansk advokatfirma å gi en privatperson innsyn etter personopplysningsloven § 18 første ledd

Problemstillingen var om personopplysningslovens bestemmelser om innsyn kom til anvendelse, jf. personopplysningsloven § 18 første ledd. Klager hadde anført at personopplysningsloven kommer til anvendelse uavhengig av hvem som er behandlingsansvarlig og uavhengig av hvor den behandlingsansvarlige er etablert, jf. åndsverkloven § 56b siste ledd. Personvernnemnda var enig med Datatilsynet i at åndsverklovens bestemmelser §§ 56a og b ikke kan forstås slik at de utvider personopplysningslovens geografiske anvendelsesområde. For å ta stilling til om personopplysningsloven kommer til anvendelse må man derfor først ta stilling til hvem som er behandlingsansvarlig. Personvernnemnda fant ikke saken tilstrekkelig utredet til at det var mulig å treffe noen avgjørelse, jf. forvaltningsloven § 17. Det var ikke grunnlag for å ta stilling til hvem som var behandlingsansvarlig før sakens faktum var bedre redegjort for, og før Njord Law Firm, som det er krevet innsyn hos, var varslet om saken og gitt anledning til å uttale seg, jf. fvl § 16. Vedtaket ble derfor opphevet og sendt tilbake til Datatilsynet.

PVN-2017-10 Kameraovervåkning Brumunddal

Klage på Datatilsynets vedtak om pålegg – opphør av politiets kameraovervåking i Brumunddal

Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkningen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f) jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Det tas utgangspunkt i kriminalitetsbildet i Brumunddal noen år tilbake, nedgangen i straffesaker etter at overvåkingen ble iverksatt, politiets opplysninger om antall straffesaker som er oppklart som følge av opptakene, samt den utrygghetsfølelsen befolkningen hadde. Disse interessene ble veid opp mot ulempene ved overvåking av det offentlige rom. Nemnda la vekt på at det var forsøkt andre, mindre personverninngripende tiltak først, samt at personverninngrepet var avdempet noe ved begrenset lagringstid, begrensninger i hvem som hadde tilgang til opptakene og ved at det ikke dreide seg om en kontinuerlig overvåking i den forstand at noen kontinuerlig fulgte opptakene i sanntid. Nemnda viste til PVN-2005-12 (Sporveibussene) og PVN-2005-13 (NSB). Uttalelser om betydningen og vektingen av politifaglige vurderinger som Datatilsynet og nemnda bør være forsiktige med å overprøve.

PVN-2017-09 Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet – Datatilsynets avvisning av sak

Klage på Datatilsynets vedtak om å avvise en sak på grunn av prioriteringshensyn

Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet har foretatt en realitetsvurdering av klagen og kommet til at behandlingen er lovlig. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.

PVN-2017-08 Personalmappe på skole

Klage på Datatilsynets avslag på krav om sletting av et dokument i en personalmappe ved en skole i Bergen kommune

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Bergen kommune å slette et dokument om tilrettevisning fra klagers personalmappe. Klager har anført personopplysningsloven § 28 første ledd som grunnlag for sitt krav om sletting. Hvor lenge det er nødvendig å oppbevare en tilrettevisning må vurderes konkret i hvert individuelle tilfelle. I denne saken har kommunen vurdert behovet for oppbevaring, og konkludert med at det er tilstrekkelig å oppbevare dokumentet ut skoleåret 2016/17. Nemnda har vært varsom med å overprøve arbeidsgivers skjønn i tidligere saker vedrørende sletting av dokumenter i personalmapper. Kommunen har definert formålet og behovet for oppbevaringen, og legger slik nemnda forstår det stor vekt på behovet for veiledning av A. Nemnda la til grunn at dokumentet vil bli slettet i samsvar med det arbeidsgiver har skissert. Nemnda kom til at klagen ikke tas til følge.

PVN-2017-07 Feiring Bruk

Klage på Datatilsynets vedtak om overtredelsesgebyr for kobling av GPS-logg mot timelister

Personvernnemnda tok stilling til om Feiring Bruk skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet har ilagt Feiring Bruk et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen, som besto i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag for å kontrollere en ansatt, representerer forholdsvis grove brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at Feiring Bruk bør ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen.

PVN-2017-06 Kollega.info

Klage på Datatilsynets vedtak om publisering av personopplysninger på internett uten behandlingsgrunnlag

Problemstillingen for nemnda var om klager kunne pålegges å fjerne publiserte politianmeldelser og nedsettende kommentarer fra ulike nettsider på grunn av manglende behandlingsgrunnlag eller om publiseringene var omfattet av personopplysningsloven § 7.

Personopplysningsloven § 7 regulerer forholdet til ytringsfriheten. Etter denne bestemmelsen gjelder blant annet ikke kravet til behandlingsgrunn §§ 8 og 9 for behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske formål.

Nemnda fant at enkeltvedtaket var utformet og begrunnet på en måte som ikke oppfyller forvaltningslovens krav til enkeltvedtak. Etter nemndas syn kan ikke tilsynet pålegge en person helt generelt å slette «politianmeldelser og nedsettende kommentarer» fra «nettsider» uten at det samtidig konkretiseres hvilke opplysninger som må fjernes og hvorfra de må slettes. Nemnda kom til at vedtaket måtte oppheves og sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 34 siste ledd. Nemnda mente videre at Datatilsynet må vurdere på nytt om As publiseringer omfattes av personopplysningsloven § 7, slik at det ikke er krav om behandlingsgrunnlag etter personopplysningsloven § 8 eller § 9. Nemnda mente at Datatilsynet hadde lagt til grunn en for snever forståelse av hva som skal regnes som «journalistiske formål», jf. personopplysningsloven § 7. Nemnda viste også til en svensk høyesterettsavgjørelse i den såkalte «Ramsbro-dommen», NJA 2001 s 409. Nemnda fant at vedtaket led av lovanvendelsesfeil, i tillegg til saksbehandlingsfeil knyttet til vedtakets utforming og begrunnelse. Nemnda fant også at Datatilsynets lovtolkning av begrepet "mistenkt" i § 2 nr. 8 bokstav b var uriktig. Klager hadde også bedt om Personvernnemndas bistand til å få legejournaler utlevert/overlevert, men nemnda har ikke kompetanse til å overprøve tingrettens beslutning.

PVN-2017-05 Krav om retting av personopplysninger

Klage på Datatilsynets vedtak om å avvise krav om retting av opplysninger i dataregister

Problemstillingen var om opplysningene klager ønsker korrigert omfattes av personopplysningsloven § 7, slik at bestemmelsene om retting av mangelfulle personopplysninger i § 27 ikke kommer til anvendelse. Datatilsynet har avvist saken, med begrunnelse at det gjelder en publikasjon som ikke er omfattet av personopplysningsloven, jf. § 7, og at dette er en konflikt om plagiat eller faglig uenighet som ikke egner seg for retting etter personopplysningslovens regler om retting, jf. § 27. Nemnda fant det klart at opplysningene i publikasjon som klager ønsker fjernet er omfattet av personopplysningsloven § 7. Bestemmelsene i § 27 kom derfor ikke til anvendelse.

PVN-2017-04 Petroleumsinstituttet

Klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner

Saken gjaldt klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner, jf. personopplysningsforskriften § 8-4 siste ledd hvor det fremgår at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, kan Datatilsynet gjøre unntak, det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering. Personvernnemnda bemerket at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. En utvidet lagringstid er personverninngripende og nemnda la vekt på minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn fant nemnda at det ikke forelå et «særlig behov» som tilsa at lagringstiden bør utvides.

PVN-2017-03 Axactor

Klage på Datatilsynets vedtak om overtredelsesgebyr – kredittopplysningsvirksomhet uten konsesjon

Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr.

Saken gjaldt hvorvidt Axactor har drevet med kredittopplysningsvirksomhet i forskriftens forstand, jf. personopplysningsforskriften § 4-2. Nemnda fant at anførselen om videreformidling ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak.
Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling, jf. forvaltningsloven §§ 17 og 25, jf. forvaltningsloven § 34 siste ledd.

PVN-2017-02 Bertram Bil

Klage på Datatilsynets vedtak om overtredelsesgebyr for kredittvurdering uten saklig behov

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda la vekt på at daglig leder og medeier i Bertram Bil AS brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og Bertram Bil AS. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

PVN-2017-01 Hereid Hus

Klage på vedtak om overtredelsesgebyr – innsyn i arbeidstakers epostkasse

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelsen av overtredelsesgebyr for innsyn i ansatts epostkasse, jf. personopplysningsloven § 46. Hereid Hus har brutt personopplysningsforskriften § 9-2. Nemnda fant at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Hereid Hus har brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.