Vedtak

Vedtak 2017

PVN-2017-07

Feiring Bruk. Personvernnemnda tok stilling til om Feiring Bruk skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet har ilagt Feiring Bruk et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen, som besto i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag for å kontrollere en ansatt, representerer forholdsvis grove brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at Feiring Bruk bør ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen.

PVN-2017-04

Petroleumsinstituttet. Saken gjaldt klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner, jf personopplysningsforskriften § 8-4 siste ledd hvor det fremgår at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, kan Datatilsynet gjøre unntak, det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering. Personvernnemnda bemerket at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. En utvidet lagringstid er personverninngripende og nemnda la vekt på minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn fant nemnda at det ikke forelå et «særlig behov» som tilsa at lagringstiden bør utvides.

PVN-2017-03

Axactor. Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr.
Saken gjaldt hvorvidt Axactor har drevet med kredittopplysningsvirksomhet i forskriftens forstand, jf personopplysningsforskriften § 4-2. Nemnda fant at anførselen om videreformidling ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak.
Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling, jf forvaltningsloven §§ 17 og 25, jf forvaltningsloven § 34 siste ledd.

PVN-2017-02

Bertram Bil. Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda la vekt på at daglig leder og medeier i Bertram Bil AS brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og Bertram Bil AS. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

PVN-2017-01

Hereid Hus. Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelsen av overtredelsesgebyr for innsyn i ansatts epostkasse, jf personopplysningsloven § 46. Hereid Hus har brutt personopplysningsforskriften § 9-2. Nemnda fant at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Hereid Hus har brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.

Vedtak 2016

PVN-2016-18

NAV. Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medfører ikke dette at NAV underkjenner hans faglige kompetanse. Nemnda kan ikke se at det er dokumentert at NAV behandler opplysninger som er utilstrekkelige eller irrelevante, jf personopplysningsloven § 11 bokstav d), eller at NAV bruker uriktige eller ufullstendige personopplysninger som må rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Nemnda konkluderte med at klagen ikke tas til følge.

PVN-2016-17

AA-registeret. Sak vedrørende retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt "uten grunn". Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

PVN-2016-16

Gastronet. Saken gjelder overprøving av enkelte av vilkårene for konsesjon til Gastronet. Nemnda vurderte tidsbegrensningen av konsesjonen. Nemnda fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det gir Datatilsynet en viktig mulighet for kontroll med registerets premisser og at Gastronet etterlever konsesjonsvilkårene. Nemnda la vekt på at tilsynet har både utvidet og forlenget konsesjonen flere ganger tidligere, og har uttalt at Gastronet kan påregne å få forlenget konsesjonen ut over 30. juni 2018. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda mener kravet til informasjon er grunnleggende for at pasientene skal kunne ivareta sine rettigheter. Dersom pasienter skal registreres uten samtykke, men med reservasjonsadgang, bør pasientene motta informasjon om dette. Nemnda fant at det er forskjell på pasienter som registreres i koloskopidelen og ERCP-delen av Gastronet. For pasienter som omfattes av koloskopidelen mener nemnda det ikke er nødvendig å gi ytterligere informasjon i etterkant av samtykket til registreringen, med mindre registeret har endret seg vesentlig siden samtykket ble gitt. Nemnda legger derfor til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mener nemnda at pasientene i ERCP-delen må få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda kan imidlertid ikke se at det er påkrevet at informasjonen gjentas innen en viss periode etter at undersøkelsene har funnet sted. Nemnda er enig i Datatilsynets vurdering av personvernulempene.

PVN-2016-15 omgjøring

Tromsø kommune II. Begjæring om omgjøring.
Nemnda tok begjæring om omgjøring av vedtak i nemndas sak PVN 2016-15 til følge da nemnda har overskredet sin kompetanse. Nemnda fant at flertallet i nemnda i vedtak fattet 30. desember 2016 gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven.
Nemnda konkluderte med at vedtak fattet 30. desember 2016 er ugyldig på grunn av manglende kompetanse og at A ikke med hjemmel i personopplysningsloven har rett til innsyn i samtalereferat og underlagsmateriale. Det har skjedd feil som tilsier at vedtaket må anses ugyldig, jf. forvaltningsloven § 35. Nemnda fattet nytt vedtak der A ikke gis rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

PVN-2016-15

Tromsø kommune II. Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf § 18 a), jf c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

PVN-2016-14

Årdal kommune – sensitive personopplysninger i offentlig postjournal. Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

PVN-2016-13

Avvisningsvedtak – sletting av journalopplysninger
Klage over Datatilsynets avvisning av å realitetsbehandle klagers krav om sletting av klagers journalopplysninger samt krav om tilsyn. Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

PVN-2016-12

Stange kommune – sletting av personalmappe. Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

PVN-2016-11

Saken er trukket av klager.

PVN-2016-09

Codex advokat – videresending av epost. Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

PVN-2016-08

Trondheim kommune II. Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

PVN-2016-07

Synkron Media. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf PVN-2015-14 Viken Økonomi.

PVN-2016-06

Vaktmester Andersen. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf PVN-2015-08 Windsor Door.

PVN-2016-05

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

PVN-2016-04

Legelisten.no. Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2016-03

Klage over avvisning i sak vedrørende kameraovervåkning. Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf § 2 tredje ledd. Enkeltvedtak er påklagbare, jf forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

PVN-2016-02

Hovedredningssentralen Nord-Norge. Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf personopplysningsloven §§ 8 og 9, jf § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

PVN-2016-01

Bank i butikk II. Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.

Vedtak 2015

PVN-2015-17

Bisnode Norge. Nemnda vurderte om saken skulle sendes tilbake til Datatilsynet for realitetsbehandling. I Personvernnemndas vedtak PVN-2012-07 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Det var ikke dokumentert forhold som endret denne vurderingen. Nemnda behøvde ikke å ta stilling til den subsidiære anførselen. Klagen ble ikke tatt til følge.

PVN-2015-16

Walhalla. Nemnda vurderte de usladdede videoene som ble lagt ut på Facebook og fant at opptakene hadde god nok oppløsning til at de er egnet til å identifisere enkeltpersoner. Opptakene viser personer som stjeler varer og er således sensitive personopplysninger. Publiseringen har ikke grunnlag i personopplysningsloven § 39. Personvernnemnda viste til Datatilsynets vurdering av personopplysningsloven § 46 a) til h) og tiltrådte denne. Klagen ble ikke tatt til følge.

PVN-2015-15

Mona Lisa Huset. Ileggelse av overtredelsesgebyr for skjult kameraovervåking. Klagen ble ikke tatt til følge. Personvernnemnda var enig i Datatilsynets resonnement.  

PVN-2015-14

Viken Økonomi. Innsyn i ansattes – og tidligere ansattes – epostkasse. Klagen førte ikke frem. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-13

Trønder Taxi. Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

PVN-2015-12

Universitetet i Oslo. Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

PVN-2015-11

Vardø kommune. Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

PVN-2015-10

Sykehuset i Østfold. Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

PVN-2015-09

Dekning sakskostnader, jf forvaltningsloven § 36. I denne saken valgte Datatilsynet, etter at EU-domstolens dom forelå, å veilede naboen om rettstilstanden. Etter nemndas syn innebærer dette ikke en omgjøring til gunst for klager. Når omformuleringen ikke har hatt noen betydning for klagers rettsstilling har ikke klager krav på å få dekket sakskostnader etter forvaltningsloven § 36.

PVN-2015-08

Windsor Door. Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

PVN-2015-07

Tromsø kommune. Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

PVN-2015-06

Google. Personvernnemnda var enig med Datatilsynet i at personopplysningsloven kom til anvendelse. Etter nemndas syn ble det behandlet sensitive personopplysninger. Det innebærer at det må foreligge et behandlingsgrunnlag etter personopplysningsloven § 9. Datatilsynet syntes å ha avgjort saken med hjemmel i § 8. Nemnda opphevet Datatilsynets vedtak.

PVN-2015-05

Skan-kontroll II. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

PVN-2015-04

FaVer. Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-03

Innsyn i skoles aktivitetslogg. Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.  

PVN-2015-02

SmerteReg. Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

PVN-2015-01

Konsesjon kjønnsdysfori. Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

Vedtak 2014

PVN-2014-25

Tilgang på tvers av virksomhetsgrenser. Nemnda vurderte tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen måtte vurderes etter det lovverk som gjaldt da klagen kom inn. Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Personvernnemnda er enig i denne vurderingen. Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende. Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

PVN-2014-24

Unilabs Norge AS. Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-23

Sørlandet sykehus. Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

PVN-2014-22

Vestre Viken HF. Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-21

Norsk brannskaderegister. I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

PVN-2014-20

Anmodning om gjenåpning av saker. Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.

PVN-2014-19

Bergen Bydrift. Problemstillingen i saken var plassering av behandlingsansvar for opplysninger i Mipps og Mowic. Nemnda viste til forarbeider og juridisk teori som begge legger til grunn at den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Nemnda viste også til tidligere avgjørelser i nemnda, herunder PVN-2007-01. Nemnda la til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Nemnda konkluderte med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic. 

PVN-2014-18

Personalmappe i kommune. Personvernnemnda vurderte om dokumentene skulle slettes etter personopplysningsloven § 28 første ledd. Nemnda kom til at dokumentene fortsatt kunne lagres i samsvar med det opprinnelige formålet. Videre vurderte nemnda § 28 tredje ledd. Nemnda fant at opplysningene kunne være belastende, konkluderte med at man ikke behøvde å ta stilling til om de er «sterkt belastende» da slettingsvilkårene uansett ikke var oppfylt. Sletting ville ikke være forsvarlig ut fra kommunens behov som arbeidsgiver og tjenesteyter.

PVN-2014-17

Sletting av avisartikler. Nemnda hadde forståelse for at det kan være belastende å bli omtalt i avisen, samt oppleves som urettferdig at den frifinnende dom ikke omtales, men nemnda kom til at slike artikler må sies å ligge innenfor «journalistisk formål”. Personvernnemnda konkluderte med at avisartikler og nettartikler faller inn under avgrensningen i personopplysningsloven § 7 slik at blant annet personopplysningsloven kapittel II ikke kommer til anvendelse. Datatilsynets vedtak ble opprettholdt.

PVN-2014-15

Trondheim kommune. Datatilsynet hadde veiledet kommunen om pliktene som følger av personopplysningsloven § 28 og vist til at arkivloven ikke inneholder et pålegg om at arbeidsgivere skal arkivere enhver tilrettevisning i ubegrenset tid. Tilsynet avsto imidlertid fra å fatte vedtak om sletting, med henvisning til at det er den behandlingsansvarlige som selv skal foreta en nødvendighetsvurdering etter personopplysningsloven § 28 og det er virksomheten selv som har best forutsetninger for å vurdere dette. Personvernnemnda kom til at sakens prinsipielle karakter tilsa at Datatilsynet bør realitetsbehandle saken.

PVN-2014-14

Kjennemerkegjenkjenningssystemer. Personvernnemnda forsto det slik at fører og passasjer ikke avbildes eller gjenkjennes av bildet som tas av kjøretøyets kjennemerke. Så lenge bilfører (og passasjer) ikke identifiseres, skjer det kun en behandling av informasjon om registrert bileier. Personvernnemnda kan derfor ikke se at personopplysningsloven § 19 er anvendelig i denne situasjonen. Det er dermed ikke påkrevet med informasjon så lenge det ikke behandles personopplysninger om fører eller passasjer. Nemnda konkluderte med at skilt 558 uten underskilt er tilstrekkelig markering av de faste installasjonene.

PVN-2014-13

Sandnes taxi. Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-12

Stavanger taxi. Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-11

Gjensidige. Personvernnemnda vurderte det slik at rapport fra skjult observasjon og skjult filming alltid må vurderes konkret og individuelt i den enkelte sak, og kom til at dette var forholdsmessige tiltak i den aktuelle saksutredningen og ble ikke utført på utilbørlig måte. Etter en konkret helhetsvurdering forelå det behandlingsgrunnlag etter personopplysningsloven § 8 f) og § 9 e). Overtredelsesgebyr bortfalt.

PVN-2014-10

Telenor. Personvernnemnda konkluderte med at Telenor kan fortsette med å lagre destinasjons-IP for mobil som et sikkerhetstiltak som er nødvendig og hensiktsmessig for å sørge for tilfredsstillende sikkerhet i mobilnettet. Lagringsplikten er minst tre måneder.

PVN-2014-09

Kanvas. Personvernnemnda vurderte innsyn, jf personopplysningsloven § § 23, l. ledd bokstav f) som gjør unntak i retten til innsyn som «det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv». Nemnda kom til at Kanvas hadde tilrettelagt for innsyn og faktisk oppfylt innsynsretten, så langt det går uten å røpe avsenders identitet.

PVN-2014-08

Fjell kommune. Personvernnemnda kom til at det skal ilegges overtredelsesgebyr i saken, jf personopplysningsloven § 46. Datatilsynet kom til at det ikke skulle ilegges overtredelsesgebyr til tross for at tilsynet konkluderte med at spredningen av personopplysningene var et brudd på personopplysningsloven. Personvernnemnda vurderte lovbruddets alvorlighetsgrad annerledes enn Datatilsynet. Regelbruddet bar preg av grov systemsvikt og fremsto som forsettlig eller grov uaktsom. Overtredelsen krenket grunnleggende personverninteresser for en større krets av personer og krenkelsen har medført utlevering av følsomme personopplysninger. Saken ble sendt tilbake til Datatilsynet for utmåling av gebyr.

PVN-2014-07

Schibsted Payment. Klager påklaget Datatilsynets behandling av sak vedrørende personopplysninger behandlet av Schibsted Payment (som driver betalings- og påloggingstjenesten SPiD) i forbindelse med elektronisk abonnement på Stavanger Aftenblad. Personvernnemnda kom til at Datatilsynets behandling av saken hadde vært tilstrekkelig og forsvarlig i samsvar med forvaltningsloven.

PVN-2014-06

Kameraovervåkning. Personvernnemnda vurderte om Datatilsynets behandling av saken var tilstrekkelig og forsvarlig i samsvar med forvaltningsloven. Nemnda kom til at tilsynet har veiledet klager om dette temaet i tilstrekkelig grad til å kunne fastslå at saken var forsvarlig behandlet og for klager til å forstå reglene på området. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11.

PVN-2014-05

Innsynsrett for foreldre i skolens aktivitetslogg uten barnets medvirkning. Personvernnemnda kom til at saken må sendes tilbake til Datatilsynet slik at tilsynet kan fatte et realitetsvedtak i samsvar med det tilsynet i realiteten har konkludert med.

PVN-2014-04

Post i butikk. For så vidt gjaldt spørsmålet om behandlingsansvar for finansielle tjenester i PIB, ga nemnda klager medhold i at butikken er behandlingsansvarlig. For så vidt gjaldt vurderingen etter personopplysningsforskriften § 8-4 annet og tredje ledd av om butikk med PIB-tjenester anses som postlokale, ble klagen ikke tatt til følge. Det ble vist til resonnementet i PVN-2013-21. Særlige behov etter § 8-4 sjette ledd ble ikke vurdert.

PVN-2014-03

Husbanken. Nemnda vurderte hvorvidt samtykke til innhenting av opplysninger er en betingelse for å få behandlet en bostøttesøknad, jf bostøttelovens § 8. I dette spørsmålet delte nemnda i et flertall og et mindretall. Flertallet konkluderte med at man har krav på å få behandlet søknad om bostøtte uten å ha avgitt samtykke som omtalt i bostøtteloven § 8 annet ledd. Nemnda vurderte deretter hvorvidt Husbanken trenger konsesjon til å gjennomføre etterfølgende kontroll av hvorvidt vilkårene for bostøtte var oppfylt. Nemnda konkluderte med at det er hjemmel i bostøtteloven og at det ikke kreves konsesjon, jf personopplysningsloven § 33 femte ledd. Når det gjelder innhenting av informasjon fra en tredjepart uten søkers samtykke, er nemndas flertall kommet til at Husbanken ikke har adgang til dette. Dissens 4-3. Klagen ble tatt delvis til følge.

PVN-2014-02

NORHIV. Personvernnemnda viste til PVN-2013-28 NOKBIL og påpekte at landsomfattende helseregistre med mange opplysninger om den enkelte registrerte er spesialregulert i helseregisterloven § 8. Man kan derfor ikke omgå denne bestemmelsen ved å bruke helseregisterloven § 5 om konsesjon. Det fremgår av forarbeidene at det har vært lovgivers intensjon at slike registre skal opprettes i henhold til forskrift, noe som gir høringsprosess og transparens i behandlingen. Klagen førte ikke frem.

PVN-2014-01

Skan-Kontroll. SK påklaget avslag på konsesjon for analyse- og varslingstjeneste, samt vedtakspunktene 1, 2, 5, 6 og 7 i Datatilsynets vedtak. Personvernnemnda kom til at konsesjon ikke kunne innvilges på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak 1, 2 og 5. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

Vedtak 2013

PVN-2013-28

NOKBIL. Nemnda var enig med Datatilsynet. Rettslig grunnlag for slik landsomfattende, internasjonalt og permanent forskningsprosjekt er forskrift, jf helseregisterloven § 8. Sentrale landsomfattende helseregistre er spesialregulert i § 8 og da kan man ikke omgå denne bestemmelsen ved å bruke § 5 om konsesjon. Det vises til forarbeidene.

PVN-2013-27

Gjensidige Forsikring. Nemnda kom til at vedtakspunktene ikke hadde et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Saken sendes tilbake til Datatilsynet slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b) til fornyet behandling.

PVN-2013-26

Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2013-25

Kameraovervåking hytteområde. Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

PVN-2013-24

Saksmappe hos barnevernstjenesten. Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

PVN-2013-23

Informasjon etter helseforskningsloven. Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.

PVN-2013-22

Sletting av rettspsykiatrisk erklæring. Nemnda var enig i Datatilsynets resonnement i denne saken. Datatilsynet har ikke kompetanse til å beslutte sletting av personopplysninger i en straffesak som straffeprosessuelt ikke er ferdigbehandlet. Nemnda var enig med Datatilsynet i at klagers angrep på tingrettsbeslutningen naturlig hører hjemme ved en fornyet behandling i tingretten.

PVN-2013-21

Bank i butikk. Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

PVN-2013-20

Teletopia. Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf personopplysningsloven § 46.

PVN-2013-19

Innsynsrett i lydopptak. Det var ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Nemnda kunne ikke se at det var noen beskyttelsesverdig interesse for virksomheten og dens ansatte i denne saken. Lydfilene gjengir profesjonelle telefonsamtaler om transaksjoner mellom en privatperson og en selger. Begge parter er kjent med at det gjøres opptak. Klagen ble ikke tatt til følge. Innsyn kan kreves skriftlig (transkripsjon), jf § 24, hos den behandlingsansvarlige eller hos dennes databehandler, eller i form av kopi av lydfil.

PVN-2013-18

Kameraovervåking i sameie. En beboer i et sameie har montert et skilt med «videoovervåking» på fellesarealet. Beboerens advokat har opplyst at det kun er satt opp et skilt og at beboeren håper at dette skal være tilstrekkelig for å skremme eventuelle gjerningspersoner. Datatilsynet korresponderte med partene, men prioriterte ikke stedlig tilsyn av hensyn til Datatilsynets begrensede ressurser. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets prioritering. 

PVN-2013-17

Tvillingregisteret. Personvernnemnda kom til at det må innhentes nye samtykker fra deltakerne i noen av prosjektene. Nemnda kan ikke se at deltakere i de opprinnelige tidsbegrensede og formålsbestemte tvillingprosjektene har avgitt samtykke, opprinnelig eller senere, til å bli registrert i Nasjonalt tvillingregister. Konsesjonen kan således ikke anses gyldig ved bare å hevde at opprinnelige samtykker dekker sammenslåingen. Det foreligger heller ikke hjemmel i personopplysningsloven §§ 8 bokstav d) og 9 bokstav h). Videre kom nemnda til at det som er beskrevet i samtykkeerklæringene og prosjektbeskrivelsene i informasjonsbrevene til deltakere vil være førende for hvilken adgang det er til å tilføre registeret nye opplysninger.

PVN-2013-16

Folkeregisteret. Klager pålagde Datatilsynets avslutning av saken. Klager opplevde at sønnens nasjonalitet ble uriktig registrert, at sønnen ikke fikk registrert bostedsadresse, samt manglende innsyn. Personvernnemnda kom til samme konklusjon som Datatilsynet. Personvernnemnda er enig med Datatilsynet i at problemstillingen reguleres av folkeregisterloven og folkeregisterforskriften. Folkeregisterloven er lex specialis. Klager ble veiledet og oppfordret til å klage sin sak til de rette myndigheter. Det har klager også gjort. Personvernnemnda finner at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt etter forvaltningsloven i denne saken.

PVN-2013-15

Oslo universitetssykehus. SPCG-7/SFUO-3 studien – langtidsoppfølging ved registerkobling. I samtykkeskjemaet har pasientene samtykket til gjennomgang av pasientjournalen, men klager ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret. Det er imidlertid et forbud mot samtidig tilgang i reseptregisterforskriften § 4-1. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til slik kobling, med mindre koblingen er pseudonymisert eller den registrerte samtykker. Personvernnemnda slutter seg til Datatilsynets vedtak i denne saken.

PVN-2013-14

Farmers’ biobank. Personvernnemnda kom til at det opprinnelige samtykket også omfatter slik forskning som det nå søkes om. Den foreliggende informasjon og samtykkegrunnlaget dekker imidlertid ikke en overføring til utlandet.

PVN-2013-13

Gjenåpning av OBOS-sak. Nemnda konkluderte med at en lagmannsrettsdom av 11.2.2013 ga klageren en legitim interesse i å få bragt på det rene hvorvidt de aktuelle dokumenter foreligger hos OBOS eller hos Advokatkontoret i OBOS. Nemnda kom til at klagers sak ikke ble tilfredsstillende utredet av Datatilsynet. Saken sendes tilbake til Datatilsynet for ny behandling, jf forvaltningsloven § 35, jf § 41.

PVN-2013-12

Curato Røntgen. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-11

Oslo universitetssykehus. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-10

Helse Stavanger. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-09

Helse Bergen. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-08

Haraldsplass Diakonale Sykehus. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-07

Nyrebiopsiregisteret. Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger. Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.

PVN-2013-06

Klage på Datatilsynets avslutning av sak angående krav om sletting av personopplysninger. Nemnda var enig med tilsynet i at opplysningene ikke skal rettes etter personopplysningsloven § 27. Videre fremstår opplysningene som nødvendige for formålet og kan ikke slettes etter personopplysningsloven § 28, 1. ledd. Endelig kom nemnda til at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2013-05

Diakonhjemmet sykehus. Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla Diakonhjemmet sykehus å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf helseregisterloven § 23 nr 3 og 5, jf personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-04

HUNT. Klage på Datatilsynets delvise avslag på forlengelse av konsesjon. Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.

PVN-2013-03

GullAdam. Klage på Datatilsynets vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre. Personvernnemnda vurderte om kameraovervåkningen var i samsvar med personopplysningsloven § 38 som krever «særskilt behov». Butikken er delt i tre soner, et kundeareal, et midtareal og et pauseareal. Det er kun de to førstnevnte arealene som er kameraovervåket. Formålet med overvåkningen er å hindre eller enklere oppklare innbrudd og ran, samt å overvåke verdiene i lokalet. Nemnda kom etter en helhetsvurdering til at den beskrevne overvåking var i samsvar med personopplysningsloven § 38 og la vekt på at det dreier det seg om mindre gjenstander av stor verdi, pauserommet blir ikke overvåket og de ansatte ble informert om kameraovervåkingen før ansettelsen.

PVN-2013-02

Tysnes kommune. Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat. Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.

PVN-2013-01

RMI internkontroll og informasjonssikkerhet. Klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten. Nemnda var enig med Datatilsynet og opprettholdt påleggene. Folkehelseinstituttet må ha databehandleravtaler og må bringe til opphør behandlinger av personopplysninger som går ut over hva instituttet har rettslig grunnlag for i straffeprosessloven.

Vedtak 2012

PVN-2012-15

Kameraovervåkning av privat grunn. Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvernnemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no. 

PVN-2012-14

Klage på Datatilsynets avvisningsvedtak. Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.

PVN-2012-13

Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe hos arbeidsgiver. Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf forvaltningslovens regler om partsoffentlighet.

PVN-2012-12

Livmorhalsprogram. Klage på Datatilsynets omgjøringsvedtak. Datatilsynet fattet i april 2010 vedtak om at Kreftregisteret må hente inn samtykke fra de registrerte med negative funn i Cervixcancerprogrammet. Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

PVN-2012-11

Mammografiprogram. Klage på Datatilsynets avvisning av å behandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte. Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

PVN-2012-10

SUSS-telefonen. Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS. Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

PVN-2012-09

Elektroniske pasientkurver. Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra elektroniske pasientkurver. Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

PVN-2012-08

Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe. Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2012-07

Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet. Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

PVN-2012-06

Teletopia. Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis. Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

PVN-2012-05

Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre. Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf personopplysningsloven § 27, 2. ledd.

PVN-2012-04

Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post. Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

PVN-2012-03

Nettby. Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby. Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

PVN-2012-02

Rekruttering AS. Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS. Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

PVN-2012-01

Klage på Datatilsynets saksbehandling. Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.

Vedtak 2011

PVN-2011-13

Brilleland. Klage på Datatilsynets saksbehandling. Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

PVN-2011-12

Fitness24Seven. Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll. Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

PVN-2011-11

Visma Retail. Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

PVN-2011-10

Simonsen. Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

PVN-2011-09

Toll. Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre. Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.

PVN-2011-08

Klage på Datatilsynets kontroll vedrørende opplysninger og karakteristikker om klager registrert i kommunalt register. Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre, at klager ikke hadde fått tilstrekkelig innsyn i dokumentene, at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager. Personvernnemnda sendte saken tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen. Tilsyn (stedlig kontroll) ble gjennomført. Klager har påklaget kontrollen. Personvernnemnda er av den oppfatning at tilsynet har avdekket at tilgangskontrollen er i samsvar med regelverk, samt at opplysninger og karakteristikker av klageren er blitt rettet ved supplering på adekvat måte. Personvernnemnda er kommet til at Datatilsynets behandling har vært utført i samsvar med forvaltningsloven § 17.

PVN-2011-07

Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

PVN-2011-06

Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

PVN-2011-05

Antidopingprogram – konsesjon. Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen er begrunnet i at konsesjonen i praksis godkjenner avtalevilkårene om dopingtest, som er vurdert av Markedsrådet/Forbrukerombudet til å være i strid med markedsføringsloven og at en slik vurdering av vilkårene faller utenfor Datatilsynets ansvarsområde. Klager anfører videre at han som fastlege kan komme i den situasjon at han må skrive legeerklæringer vedrørende medikamentbruk for at pasienten skal kunne opprettholde sitt kundeforhold til treningssenteret. Personvernnemnda kommenterte at selve avtalevilkårenes rimelighet hører under Forbrukerombudet og Markedsrådet, og kan eventuelt påklages dit. Etter Personvernnemndas oppfatning var dette ikke sakens tvistepunkt. Saken gjaldt en klage på Datatilsynets standardkonsesjon utstedt med hjemmel i personopplysningsloven § 46 fjerde ledd, jf § 9 tredje ledd. Personvernnemnda var etter en totalvurdering av saken enig i Datatilsynets vurdering og vedtak. Personvernnemnda la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter. Klager hadde anført ulike klagegrunner, men nemnda fant ikke at disse veide tyngre enn de samfunnsinteressene som gjør seg gjeldende i denne saken.

PVN-2011-04

Avfallsservice. Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag. Personvernnemnda var enig i Datatilsynets resonnement og konklusjon, nemnda kunne derfor tiltre Datatilsynets vurderinger og begrunnelse. Dette sammenfalt også med lagmannsrettens vurdering av spørsmålet. Personvernnemnda stadfestet Datatilsynets vedtak. Nemnda støttet også Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike tilfeller.

PVN-2011-03

Arbeidsgivers attest. Saken dreier seg om et åtte år gammelt skjema i en personalmappe hos Nordea kalt ”Grunnlag for utarbeidelse av attest”. Notatet inneholder negative karakteristikker av klager. Klager ønsker notatet slettet. Nordea ønsker å beholde notatet hele ansettelsestiden, jf attestplikten i arbeidsmiljøloven § 15-15. Personvernnemnda bemerket at skjemaet ikke skal oppbevares lenger enn formålet for innsamlingen tilsier. Formålet er attestgrunnlag. Stillingen er fratrådt og klager har åpenbart en annen stilling i samme konsern. Personvernnemnda er av den oppfatning at åtte år gamle opplysninger fra en fratrådt stilling neppe er relevante opplysninger nå i relasjon til den påberopte attestplikten etter arbeidsmiljøloven § 15-15. Nemnda var enig med Datatilsynet i at dokumentet skal slettes.

PVN-2011-02

BP Norge. Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land. Datatilsynet la opprinnelig til grunn at det ikke var nødvendig med kontinuerlig overføring av lyd og bilder for å oppnå de angitte formålene. Etter befaringen på Forus finner tilsynet det imidlertid godtgjort at lyd og bildeoverføringen er egnet til å optimalisere driften og sikkerheten. Det legges til grunn at det må være en fordel at støttefunksjoner på land lettere vil kunne bistå med sin ekspertise. Det legges også vekt på at tiltaket så langt har hatt en positiv effekt og Datatilsynet konkluderte med at for å oppnå full integrering av kontrollrommene, slik hensikten er, må bildeoverføringen være kontinuerlig. Personvernnemnda var enig med Datatilsynet. Begrunnelsen for kameraovervåkningen er sikkerhet. Ved at to uavhengige miljøer kan se det samme, vil en hendelse som oppstår bli enklere å jobbe med for de to uavhengige miljøene. Nemnda har også oppfattet at de som arbeider på de to kontrollrommene er komplementære kompetansemessig, men likestilte kolleger. Etter nemndas syn vil det være mindre krenkende med kameraovervåkning som går begge veier, altså at offshore også ser kontrollrommet på land, enn enveis overvåkning. Nemnda kan forstå at de ansatte kan oppleve også toveis overvåkning stressende og ubehagelig. Nemnda finner imidlertid at de hensyn som er anført ikke er tungtveiende.

PVN-2011-01

Arbeidsgivers innsyn i e-post. Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr. Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Etter nemndas syn har ikke Datatilsynet særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf § 46 annet ledd. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette ”skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Tilsynets vurdering er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak. Saken sendes tilbake til Datatilsynet som mangelfullt begrunnet.

Vedtak 2010

PVN-2010-11

Klage vedrørende sletting av informasjon om beredskapshjem. Saken dreier seg om et internettforum med diskusjon av og informasjon om ulike barnevernssaker. En av innleggerne har oppgitt kontaktopplysninger om såkalt skjermet beredskapshjem (med sperret adresse). Datatilsynet fant at man er utenfor vernet ytringsfriheten gir når man legger ut opplysninger om et beredskapshjem, som er ment å være en skjermet adresse av hensyn til de som befinner seg der. Personvernnemnda kom til klager må gis medhold fordi ytringene på nettstedet omfattes av ytringsfriheten slik som angitt i Grunnloven § 100 og personopplysningsloven § 7.

PVN-2010-10

SATK. Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll (SATK). Personvernnemnda måtte vurdere behandlingsgrunnlag og kom til at SATK har hjemmel i lov, jf vegtrafikkloven § 5, tredje ledd, jf § 10. Nemnda kom til at registreringen som foretas i den løsningen som er valgt synes saklig begrunnet og formålstjenlig. Valget av løsning ligger innenfor handlingsrommet til behandlingsansvarlig. Nemnda konkluderte med at klager har rettslig grunnlag for fotografering av biler som passerer punkt A og B, men at lagring og videre behandling av data kun skjer for kjøretøy som kjører for fort.

PVN-2010-09

Ung i Norden. Klage på Datatilsynets delvise avslag på søknad om konsesjon i forbindelse med prosjektet ”Nordisk omfangsundersøkelse – Ung i Norden 2009”. Datatilsynet har satt som vilkår at foreldrene må samtykke til ungdommenes deltakelse i prosjektet og dessuten har Datatilsynet vurdert at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om, jf personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Personvernnemnda mener at det ikke foreligger hjemmel for en 15 årings egensamtykke til behandling av sensitive personopplysninger i personopplysningsloven, og heller ikke i barneloven. Det kreves derfor samtykke fra foresatte for å delta i en slik undersøkelse som ikke er anonym. Foreldresamtykket må være aktivt. Når kravet til samtykke er at det skal være ”utrykkelig” er det bare det aktive samtykket som kan godtas, jf personopplysningsloven § 2 nr 7. Personvernnemnda har også vurdert informasjonssikkerhetsspørsmålet, og finner ikke grunnlag for å endre på Datatilsynets vedtak.

PVN-2010-08

Fjellinjen. Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som med etterskuddsbasert fakturering. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

PVN-2010-07

E-18 Vestfold. Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.

PVN-2010-06

Anmodning om omgjøring av konsesjonsvilkår som er omhandlet i PVN-2004-08 pkt 6.4, som gjelder for behandling av personopplysninger i forsikringsvirksomhet, slik at det blir tillatt å foreta kredittvurdering som ledd i risikovurderingen. Etter en grundig analyse av aktuarrapporten er nemnda ikke enig i at dette beviser selskapenes påstand om at data om betalingsanmerkninger ville gi signifikant bedring av risikomodellen til selskapene. Klagernes påstand viser dessuten en misforståelse av KLP- og Utleiermegleren-sakene. Personvernnemnda kan ikke se at rettstilstanden er endret slik klager anfører. Etter nemndas syn er dette dessuten en annen bruk av kredittopplysninger – ikke for kredittvurdering som i KLP-saken og Utleiemegleren-saken, men for å prise en tjeneste. Nemnda har tatt saken til vurdering, men kan ikke se at det gjør seg gjeldende hensyn som burde tilsi en omgjøring av vedtaket.

PVN-2010-05

Klage på Datatilsynets avvisningsvedtak vedrørende saklig behov for kredittvurdering. Klager mente at det ikke vil være saklig behov for kredittvurdering ved opprettelse av inkassosak på lave beløp. Nemnda var enig med Datatilsynet. Det avgjørende for nemnda var at det foreligger en bransjenorm som fastslår at man som hovedregel kan kredittvurdere ved registrering av nytt inkassokrav. Årsaken til kredittvurderingen på dette punktet er at man skal vurdere om kreditor kan/bør velge å ikke fortsette saken. Etter nemndas syn foreligger det da saklig behov nærmest uavhengig av beløpets størrelse.

PVN-2010-04

Klage på Datatilsynets vedtak om saklig behov ved kredittvurdering. Klager anførte at det påståtte erstatningskravet ikke var den reelle grunnen til at advokaten foretok kredittvurdering av ham. Klager mente at kredittvurderingen ble foretatt for å bruke opplysningene om hans økonomi i en pågående tvist mellom advokatens klient og klagers kone. Nemnda var enig i Datatilsynets vurdering. Det forelå saklig behov for kredittvurderingen av klager idet det nærmet seg foreldelse for giftsaken mot klager og det fremsto ikke unaturlig å vurdere sivilrettslige skritt. Etter nemndas syn bør terskelen for å kredittvurdere i slike forhold være lave. Nemnda kom også til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2010-03

Klage på Datatilsynets avvisningsvedtak vedrørende feilaktige opplysninger i kommunalt register. Det ligger dokumenter i kommunens sakssystem hvor klager er betegnet som ”psykisk syk” og med ”unormale personlighetstrekk”. Kommunen er dømt til å betale erstatning til klager i lagmannsretten og lagmannsretten la til grunn at klagers sykdom og uføretrygding var et resultat av kommunens håndtering av denne saken. Nemnda kom til at når det er blitt avsagt dom med et slikt innhold så bør Datatilsynet, for å sikre forsvarlig saksbehandling og resultat, undersøke hva som har skjedd og hva kommunen har gjort. Unnlatt tilsyn var således en saksbehandlingsfeil i denne saken. Klagen ble tatt til følge.

PVN-2010-01

Klage på Datatilsynets avvisningsvedtak. Datatilsynet har avvist saken fordi tilsynet er av den oppfatning at kredittvurderingen omfattes av unntaket i personopplysningsloven § 7. Klager anfører at han ikke skulle vært kredittvurdert av Mastiff TV. Det stemmer at han har vært daglig leder i firmaet, men det var på et tidligere tidspunkt. Personvernnemnda var enig med Datatilsynet i at journalister kan innhente kredittopplysninger i forbindelse med journalistisk arbeid. Etter nemndas syn kan det være høyst relevant for en journalist som gjør research til et tv-program å innhente opplysninger ikke bare om nåværende ledelse i et foretak. Klagen ble ikke tatt til følge.

Vedtak 2009

PVN-2009-25

Klage på Datatilsynets vedtak om at dokumenter som inneholder personopplysninger om arbeidstaker, skal utleveres til Datatilsynet for gjennomsyn, jf personopplysningsloven § 44. Klager anfører personopplysningsloven § 23 f som grunnlag for å frita klager fra å utlevere dokumenter i saken til andre enn de en ser seg tjent med. Personvernnemnda er enig med Datatilsynet i at Datatilsynets rett reguleres av § 44 og dette er en rett til å kreve opplysninger som gjelder uten unntak og uten hinder av taushetsplikt. Klagen ble ikke tatt til følge.

PVN-2009-24

CoCa-banken II. I sak PVN-2009-08 CoCa-banken, behandlet Personvernnemnda spørsmålet om avslag på søknad om konsesjon til å behandle personopplysninger til forskning, samt varsel om vedtak om sletting/anonymisering. Personvernnemnda kom til at Datatilsynets vedtak skulle opprettholdes. Datatilsynet fattet deretter endelig vedtak om at UiO skal ”slette eller anonymisere” opplysningene. Datatilsynet henstilte om at opplysningene ble slettet og ikke anonymisert. UiO påklaget dette vedtaket. Personvernnemnda fant at Datatilsynets siktemål med vedtaket oppfylles ved at dataene anonymiseres. En anonymisering kan skje ved at nøkkelen mellom person og prøver slettes, slik at det ikke beholdes noen kobling som åpner for å finne tilbake til fødselsnummeret eller person. Anonymisering vil tillate at pågående doktorgradsstudier kan fullføres. Klagen ble ikke tatt til følge.

PVN-2009-23

Klage på Datatilsynets avvisningsvedtak. Saken gjelder en påstand om at det er registrert feilaktige opplysninger om klager i politiets strafferegister og at klager ikke har fått innsyn i samtlige opplysninger som er registrert om vedkommende. Nemnda kom til at saken ble tilstrekkelig opplyst og Datatilsynet har oppfylt sin utredningsplikt etter forvaltningsloven § 17 og sin veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-22

Klage på Datatilsynets vedtak hvor Datatilsynet slår fast at informasjonsplikten i personopplysningsloven § 20 første ledd gjelder ved innhenting av pasientjournaler i kontrolløyemed. Datatilsynet og NAV er uenige om rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a. Klager mener at personopplysningsloven § 20 annet ledd bokstav a, sammenholdt med folketrygdloven § 21-4, jf § 21-4 bokstav c hjemler unntak fra informasjonsplikten som følger av personopplysningsloven § 20 første ledd. Personvernnemnda kom til at en naturlig forståelse av ordlyden i folketrygdloven § 21-4c 4.ledd tilsier at hovedregelen om informasjonsplikt skal gjelde her. Det er uttrykkelig henvist til informasjonsplikten i personopplysningsloven i § 21-4c 4. ledd, og det er bare gjort unntak for de forhold som er regulert i folketrygdlovens § 21-4b.

PVN-2009-21

Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt forhold knyttet til klagers advokat, blant annet manglende og mangelfull bistand. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

PVN-2009-20

Klage på Datatilsynets avslag på søknad om konsesjon for behandling av personopplysninger i IMDis kompetanseteam mot tvangsekteskap. Personvernnemnda kom til at klager har behov for ytterligere veiledning, begrepsavklaring og utredning. Av hensyn til klager, er nemnda derfor kommet til at saken sendes tilbake til Datatilsynet slik at saken eventuelt kan bli gjenstand for en reell toinstansbehandling i forvaltningsapparatet.

PVN-2009-19

Klage på Datatilsynets vedtak om sletting av betalingsanmerkninger eldre enn åtte år og omlegging av kredittopplysningsbyråenes praktisering av sletting i samsvar med pålegget. Saken gjelder en tolkning av standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2, som sier at en fordring som ikke kan resultere i slik tvangsforretning, kan benyttes i kredittopplysningsøyemed i ytterligere fire år, dersom det tas nye rettslige skritt. Klager mener at det dermed ikke finnes noen maksimal oppbevaringstid, slik at bemerkningen ikke behøver å slettes før det er gått fire år siden siste rettslige skritt. Datatilsynet har tolket inn en øvre grense på maksimalt to fireårsperioder. Etter nemndas syn blir det å trekke den naturlige språklig forståelsen av ordlyden for langt. Datatilsynet kan eventuelt sette en øvre grense ved å endre konsesjonen. Klager gis medhold.

PVN-2009-18

Klage på Datatilsynets vedtak hvor Datatilsynet ga avslag på søknad fra Simonsen Advokatfirma DA om forlengelse av konsesjon til å behandle personopplysninger. Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering. En særbemerkning på dette punkt. Mindretallet var enig i Datatilsynets vedtak. Mindretallet fremhever at den aktuelle registrering vil ha personvernmessige virkninger som kan ”volde ulemper”. Mindretallet mener at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Mindretallet mener at saken berører vesentlige prinsipielle personvernspørsmål, så som påregnelig feilregistrering, privat overvåkning, bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.

PVN-2009-17

Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt behandling hos NAV og ulike personer innen helsevesenet. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.

PVN-2009-16

Klage på Datatilsynets vedtak om at Oslo kommune ved tildeling av drosjeløyver ikke kan innhente vandelsopplysninger og andre opplysninger på grunnlag av samtykke fra løyvesøker. Klagen ble delvis tatt til følge. Nemnda konkluderte med at den behandlingen det her var tale om kunne skje på grunnlag av samtykke fra den registrerte, så fremt det var etablert en alternativ behandlingsmåte for de som velger å ikke gi samtykke. For at dette skal være tilfelle må søker få anledning og tilstrekkelig informasjon til selv å kunne fremskaffe de relevante opplysninger. Personvernnemnda vurderte samtykkeskjemaet og kom til at erklæringen måtte konkretiseres nærmere og de ulike opplysninger som skulle innhentes i samsvar med vilkårene i yrkestransportloven og forskriften måtte spesifiseres. Nemnda kom derfor til at samtykkeerklæringen ikke var utformet slik at den tilfredsstilte kravene til en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf personopplysningsloven § 2 nr 7.

PVN-2009-15

Klage på Datatilsynets vedtak om at Rogaland fylkeskommune ikke kan bruke fødselsnummer for administrering av skoleskyss. Datatilsynet viste til at bestemmelsen i personopplysningsloven § 12 er strengt utformet og sikker identifisering kan oppnås ved bruk av navn, adresse og fødselsdato i denne saken. Personvernnemnda kom etter en konkret vurdering til at det var ”saklig behov” for sikker identifisering og at metoden var ”nødvendig” for å oppnå slik identifisering. Bruken av personnummer i denne saken var derfor i samsvar med personopplysningsloven § 12.

PVN-2009-14

Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse. Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.

PVN-2009-13

Klage på Datatilsynets avvisningsvedtak. Klager mener å stå oppført med feil ektefelle i folkeregisteret. Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-12

Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt. Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-11

Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep ”allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har ”allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor ”ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.

PVN-2009-10

Klage på Datatilsynets vedtak der Ila fengsel nektes fullt innsyn i den underliggende klage og det innvilges kun delvis innsyn med rettslig grunnlag i forvaltningsloven § 19, 2. ledd bokstav b. Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.

PVN-2009-09

Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon til å behandle helseopplysninger i forbindelse med forskning. Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.

PVN-2009-08

Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon angående Colon Cancer banken (CoCa-banken) til å behandle helseopplysninger. Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.

PVN-2009-07

Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med ”Gjennombruddsprosjekt keisersnitt”. Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.

PVN-2009-06

Klage på Datatilsynets vedtak om at Kreftregisteret skal slette eller anonymisere opplysninger om negativt funn som er eldre enn seks måneder. Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.

PVN-2009-05

Kobling av helseregistre. Klage på Datatilsynets vedtak om at konsesjon for å gjennomføre en kobling mot Kreftregisteret krever at det blir innhentet nye samtykker fra alle registrerte pasienter i Norsk levertransplantasjonsregister. Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.

PVN-2009-04

Kobling av helseregistre. Det ble søkt om konsesjon til å foreta en kobling mot Dødsårsaksregisteret uten å informere utvalget. Datatilsynet ga delvis avslag på søknaden. Klager fikk konsesjon, men Datatilsynet satte som krav at utvalget ble informert om koblingen. Personvernnemnda vurderte hvorvidt informasjon til pasientene om at det skal foretas en kobling mot Dødsårsaksregisteret er ”utilrådelig”. Nemnda bemerket at denne saken er annerledes enn de to sakene hvor Datatilsynet brukte unntaksregelen i helseregisterloven § 25, 2. ledd nr 3. Tolkning av begrepet ”utilrådelig” skal ta utgangspunkt i et faglig skjønn, men dette er ikke avgjørende selv om det er av betydning. Nemnda kom til at kravet om informasjon etter helseregisterlovens §§ 20, 23 og 24 må opprettholdes.

PVN-2009-03

Klage på Datatilsynets saksbehandling vedrørende påberopte brudd på personvernlovgivningen i forskningsprosjekter. Klager mente at Datatilsynet skulle ha foretatt seg mer i denne saken. Datatilsynet svarte at det har fulgt opp saken på en adekvat måte, blant annet med både brevlig og stedlig kontroll – uten at det ble funnet noen behandling som var ulovlig. Personvernnemnda var enig med tilsynet og konkluderte med at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-02

Klage på Datatilsynets vedtak om at tilsynet ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har lovlig adgang til å innhente. Nemnda var enig med tilsynet om at de ikke har myndighet til å overprøve Lindorffs valg av metoder. Heller ikke påstandene om retting etter personopplysningsloven § 27 eller sletting etter personopplysningsloven § 28 førte frem.

PVN-2009-01

Klage på vedtak fra Datatilsynet hvor Datatilsynet påla tre kredittopplysningsforetak å endre sine gjenpartsbrev slik at også ”score” fremkommer av gjenparten. Klager anfører at det ikke er rettslig grunnlag for å gi pålegg om at selve kredittvurderingen skal fremgå av gjenparten. Formålet med gjenpartsplikten er oppfylt når den registrerte får informasjon om hvilke opplysninger som er utlevert til spørrer eller lagt til grunn for kredittvurderingen. Datatilsynet mener at en score sier noe om en persons kredittverdighet og er følgelig å anse som en personopplysning. Personvernnemnda er enig med Datatilsynet og mener at når personopplysninger er definert som både fakta og vurderinger, blir det uriktig å skille mellom opplysningene og scoren. Personvernnemnda er derfor av den oppfatning at også scoren skal fremgå av gjenparten.

Vedtak 2008

PVN-2008-06

Klage på Datatilsynets avvisningsvedtak. Klager mener at Datatilsynet skulle ha foretatt tilsyn hos en fysioterapeut som klager har vært pasient hos. Klager hadde klaget fysioterapeuten inn for Helsetilsynet for feilbehandling. Helsetilsynet fikk ikke pasientjournal som det ba om fordi fysioterapeuten hadde fått virus på datamaskinen og ødelagt harddisk. Fysioterapeuten sendte harddisken til IBAS, men IBAS klarte ikke å gjenopprette eller rekonstruere innholdet. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften. Etter Personvernnemndas syn, har Datatilsynet gjort det som kan gjøres i denne saken. Klager har fått innsyn i IBAS-rapporten. Når IBAS ikke klarer å gjenopprette eller rekonstruere innholdet på harddisken, er det ikke sannsynlig at andre vil klare det.

PVN-2008-05

Creditinform. Klage på Datatilsynets vedtak om at Creditinform må stoppe salg av ”bransjeanalyser” inntil konsesjon for slik bruk av kredittopplysningsdatabasen foreligger. Klagen ble tatt til følge. Personvernnemnda mener at bransjeanalyser er omfattet av gjeldende konsesjon. Etter nemndas mening må Datatilsynet av eget tiltak trekke konsesjonen tilbake og regulere salg av tjenesten ”bransjeanalyse” i en ny og endret konsesjon dersom tilsynet mener at dette er nødvendig. Det vil ha den konsekvens at alle kredittopplysningsforetak vil bli behandlet likt, i og med at dette er en standardkonsesjon.

PVN-2008-04

Lindorff. Klage på Datatilsynets pålegg om at Lindorff ikke kan benytte historiske adresser som variabel i kredittvurdering av en privatperson. Personvernnemnda kom til at når adresse er klassifisert under ”kontaktopplysninger”, må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Mindretallet finner også at bare aktuelle adresser kan registreres, men mener at den aktuelle adressen kan brukes som variabel i kredittvurdering.

PVN-2008-03

OBOS-megleren. Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler, slik at meglerne kun har tilgang til opplysninger knyttet til sitt eget kontor. Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge. ontor i denne saken. Klagen ble tatt til følge.

PVN-2008-02

SSP. Klage på Datatilsynets vedtak om at Kripos skulle slette opplysninger om en person i det sentrale straffe- og politiopplysningsregisteret (SSP). Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er ”nødvendig for å gjennomføre formålet med behandlingen”, jf personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.

PVN-2008-01

Utleiemegleren. Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger. Datatilsynet mente at Utleiemegleren ikke har et ”saklig behov” for å innhente kredittopplysninger om interessenter, jf personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.

Vedtak 2007

PVN-2007-07

ung1881.no. Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin nummeropplysningstjeneste. Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en ”bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf hovedregelen i personopplysningsloven § 8.

PVN-2007-06

OBOS. Klage på Datatilsynets avvisningsvedtak. Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

PVN-2007-05

Fosterforeldre. Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål. Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med ”utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

PVN-2007-04

Kolumbuskortet. Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har ”reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

PVN-2007-03

Budstikka. Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de ”tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

PVN-2007-02

Bibliotek-Systemer. Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

PVN-2007-01

Arvelighetsregisteret. Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret”, herunder ”Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en ”arbeidskonsesjon” eller ”brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.

Vedtak 2006

PVN-2006-13

Personopplysninger i forsikringssak. Saken gjelder klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager. Klager underskrev en fullmakt til Vesta – Erklæring om fritak for taushetsplikt. Legen tok likevel med informasjon om andre enn klager i sin spesialisterklæring, blant annet utleverte den personopplysninger om klagers nærmeste familie. Saken ble først klaget inn for Helsetilsynet i Vestfold, som konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte reaksjonskapittelet i helsepersonelloven, men fant at det ikke dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55. Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen, og når Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning. Personvernnemnda mener at utlevering av personopplysninger om andre enn den som har samtykket, sannsynligvis er et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Slik nemnda ser det, har Helsetilsynet i Vestfold funnet at utleveringen er et taushetspliktsbrudd etter helsepersonelloven, men Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes. Personvernnemnda må derfor legge dette til grunn. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven.

PVN-2006-12

Bokettersyn hos advokat. Datatilsynet mottok klage fra en advokat fordi opplysning fra Tilsynsrådet for advokatvirksomhet om at det var besluttet bokettersyn hos advokaten var blitt offentliggjort. Datatilsynet vedtok at slik opplysning om en advokat ikke er en personopplysning i personopplysningslovens forstand. Personvernnemnda vurderte hvorvidt det å offentliggjøre en liste over advokater som er underlagt bokettersyn er i strid med taushetspliktsbestemmelsen i forvaltningsloven fordi dette er ”noens personlige forhold”, jf forvaltningsloven § 13, 1.ledd nr 1. Nemnda kom til at slike virksomhetsrelaterte opplysninger, herunder bokettersyn hos advokat, faller utenfor taushetsplikten om personlige forhold. Opplysningen er derfor offentlig. Personopplysningsloven § 6 angir at innsynsretten etter forvaltningsloven eller offentlighetsloven ikke begrenses. Klagen ble derfor ikke tatt til følge.

PVN-2006-11

REMA 1000. Fingeravtrykkspålogging. REMA 1000 har påklaget Datatilsynets vedtak om at REMA 1000 må avslutte bruken av fingeravtrykk i forbindelse med timeregistrering for de ansatte. Registrering i terminalen skjer ved at den ansatte taster sitt ansattnummer eller ID-nummer. Deretter blir vedkommende bedt om å legge en finger på leseplaten eller sensoren for å verifisere at det er tastet riktig nummer. Datatilsynet er ikke uenig i at REMA 1000 har et saklig behov for å sikre at lønn føres korrekt. Tilsynet er imidlertid av den oppfatning at fingeravtrykket ikke benyttes for sikker identifisering slik dette er formulert i § 12. Identifisering skjer ved hjelp av ansattkoden, mens fingeravtrykket brukes til autentisering, noe som faller utenfor § 12. Datatilsynet mener at lovens krav til nødvendighet heller ikke er oppfylt. Personvernnemnda har i sak PVN-2006-10 (Esso Norge) kommet til at personopplysningsloven § 12 dekker begge former for bruk av et ”identifikasjonsmiddel” når bruk av fingeravtrykk til autentisering er en del av et system for sikker identifisering. Personvernnemnda mener at det foreligger et saklig behov for sikker identifisering i forbindelse med timeregistrering. Imidlertid finner nemnda at nødvendighetsvilkåret ikke er oppfylt. Etter nemndas oppfatning kan REMA 1000 benytte seg av ”andre og mindre sikre identifikasjonsmidler” som likevel tilfredsstiller butikkjedens behov. Klagen tas derfor ikke til følge.

PVN-2006-10

Esso Norge. Fingeravtrykkspålogging. Dissens. Klage på Datatilsynets vedtak om at Esso Norge må avslutte bruken av fingeravtrykksleser på tankanlegg. Esso ønsket å benytte fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg, i Fredrikstad, Tønsberg, Trondheim og Bergen. Bruken skulle være basert på en samtykkeerklæring og en ”Safety Policy” og skulle sikre at kun autorisert og trenet personell ble gitt adgang til anlegget. Datatilsynet mente at klager har misforstått det første vilkåret i § 12 dit hen at et stort behov for fysisk sikring også gir et stort behov for sikker identifisering. Tilsynet fant at fingeravtrykket ikke benyttes til identifisering, men til autentisering etter at identifiseringen har funnet sted. Datatilsynet mente også at lovens krav til nødvendighet ikke var oppfylt. Etter Datatilsynets oppfatning kan klager oppnå like sikker identifisering ved døgnbemannet adgangskontroll. I følge tilsynet er manuell visuell kontroll opp mot adgangsbevis et godt alternativ til bruk av fingeravtrykk. Personvernnemnda mener at personopplysningsloven § 12 dekker begge former for bruk av fingeravtrykk som et ”identifikasjonsmiddel”, det vil si både identifisering og autentisering. Ved bruken av kort og fingeravtrykksleser ved adgangsporten vil (1) personen være identifisert, og (2) personen være autentisert. Personen vil dermed få adgang til tankanlegget. Personvernnemnda er av den oppfatning at det ikke kan pålegges – og derfor heller ikke vurderes – andre typer sikring slik som vakthold, gjerder, høye murer etc, idet dette ligger utenfor personopplysningsloven § 12 og midler for sikker identifikasjon ved adgangskontrollen. Nemnda kommer til at det foreligger et saklig behov for bruk av fingeravtrykksleser, og at bruken er nødvendig for å oppnå sikker identifisering. Et medlem kommer til at nødvendighetsvilkåret i § 12 utelukker bruk av samtykke som behandlingsgrunn, og vil avvise klagen.

PVN-2006-09

Oslo trimsenter – fingeravtrykkspålogging. Klage over at Datatilsynet stanset bruk av fingeravtrykksleser i adgangskontrollen ved treningssenteret Oslo trimsenter. Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av ”andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-08

Oxigeno Fitness – fingeravtrykkspålogging. Klage over at Datatilsynet stanset bruk av fingeravtrykksleser i adgangskontrollen ved treningssenteret Oxigeno Fitness i Oslo. Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av ”andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-7 saksomk

Tysvær kommune - saksomkostningsvedtak, jf forvaltningsloven § 36

PVN-2006-7

Tysvær kommune – fingeravtrykkspålogging. Spørsmål om Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Tysvær kommune benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen stasjonære maskiner. Datatilsynet forbød bruken fordi den ikke var tillatt etter personopplysningsloven § 12. Datatilsynet mente at selv om det foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet kommer på avveie, var ikke bruk av fingeravtrykksløsning nødvendig for å oppnå sikker identifisering. Etter Datatilsynets syn kunne kommunen i stedet bruke for eksempel smartkort kombinert med passord. Personvernnemnda omgjorde vedtaket. Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. Etter en konkret avveining kom Personvernnemnda til at kommunens bruk er tillatt, jf personopplysningsloven § 12.

PVN-2006-6

Datatilsynet fattet vedtak om at om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre. Antidoping-programmet består av en frivillig egenerklæring som medlemmer ved senteret kan undertegne. Medlemmer som har samtykket kan bli utsatt for uanmeldte dopingprøver. Datatilsynet mente at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Tiltaket vil ikke være tilstrekkelig og relevant, herunder forholdsmessig, i forhold til formålene som begrunner tiltaket. Personvernnemnda omgjorde Datatilsynets vedtak. Etter Personvernnemndas syn er antidoping-programmet vurdert under ett ikke et uforholdsmessig tiltak. Nemnda legger blant annet vekt på at samtykke er frivillig og at antidoping-programmet bidrar til holdningsskapende arbeid blant ungdom.

PVN-2006-5

Spørsmål om identitetsmisbruk. Klager hevdet at det fantes en ”falsk navnebror” ved søk på ulike telefonkataloger på Internettet. Klager henviste blant annet til søketjenesten ”sesam.no”. Klager mente at den falske navnebroren skulle være registrert med fiktiv adresse i nærheten av klager og anmodet Datatilsynet om å avklare grunnlaget for dobbeltoppføringen med Telenor. Personvernnemnda kunne ikke finne at det var opplyst eller dokumentert feilaktige opplysninger per i dag som kunne kreves rettet etter personopplysningsloven § 27. Når det ikke kan påvises feilaktige opplysninger, faller forholdet utenfor personopplysningsloven og dermed utenfor Personvernnemndas kompetanse.

PVN-2006-4

Microsoft Windows XP. Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven. Klager mente at Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin. Klagen førte ikke frem. Personvernnemnda finner at ingen personopplysninger behandles i forbindelse med bruk av funksjonen automatiske oppdateringer. Saken faller derfor utenfor personopplysningsloven.

PVN-2006-3

KLP. Dissens 4-3. Saken gjelder hvorvidt det foreligger et saklig behov for å kredittvurdere potensielle boligleietagere, jf personopplysningsforskriften § 4-3, når husleien betales forskuddsvis. Datatilsynet vedtok pålegg om opphør av KLP Eiendom Trondheim AS’ praksis med å foreta kredittvurdering av potensielle leietakere. Datatilsynet tolket saklighetskravet i personopplysningsforskriftens § 4-3 slik at det må foreligge et kredittelement før innhenting av kredittopplysninger og slikt element av kreditt forelå ikke når husleien betales forskuddsvis. Personvernnemnda er enig med Datatilsynet i at det som hovedregel vil være i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt at man innhenter kredittopplysninger. Personvernnemnda delte seg imidlertid i et flertall og et mindretall ved vurderingen av om det forelå saklig behov for kredittvurdering i denne saken. Flertallet la avgjørende vekt på at det i normaltilfellene ikke ytes kreditt ved boligutleie, utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode og det finnes gode alternativer, slik som referanser og bankgaranti.

PVN-2006-2

Nettbasert debattforum. Klager ønsket sine leserinnlegg på et nettbasert debattforum tilhørende en regionavis slettet, samt krevde sletting av alle registreringer som er relatert til vedkommendes navn gjennom søkemotoren Google. Personvernnemnda kom til, i likhet med Datatilsynet, at ytringer på slike debattsider faller inn under personopplysningsloven § 7 og kan derfor ikke kreves slettet. Når det gjelder det forhold at klagers debattinnlegg også kan gjenfinnes på Google, påpekte nemnda at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internettet. Regionavisen kan neppe påvirke eller hindre slik indeksering.

PVN-2006-1

Publisering av personopplysninger på Internett. Svært personlige karakteristikker og vurderinger av klager og klagers familie, også avdøde personer, ble lagt ut på Internett i ca to uker. Datatilsynet besluttet å avslutte saken idet opplysningene var fjernet fra nettstedet da tilsynet kontaktet den behandlingsansvarlige. Klager mener at saken ble avsluttet for tidlig idet personopplysningene lå ute tilstrekkelig lenge til å volde skade for de omtalte og den behandlingsansvarlige burde ha blitt stilt til ansvar samt blitt pålagt å besvare Datatilsynets spørsmål om forholdet til lovverket på en tilfredsstillende måte. Personvernnemnda viser til at opplysninger om avdøde personer bare faller innenfor personopplysningsloven såfremt opplysningene også kan knyttes til en levende person. For så vidt gjaldt opplysningene om levende personer var disse publisert i strid med personopplysningsloven, men ingen sanksjoner mot den behandlingsansvarlige var anvendelige i denne saken. Uttalt at det finnes andre bestemmelser i lovverket som kan være mer anvendelige i en slik sak. Saksbehandlingsfeil at Datatilsynet ikke opplyste om klageadgangen.


Vedtak 2005

PVN-2005-17

Sletting av personopplysninger i Trygdeetaten. Klager ba om at en legeerklæring og et legenotat i sak om uførepensjon skulle slettes. Datatilsynet la Fylkestrygdekontoret i Oslos vurdering om at dokumentene fortsatt var nødvendige til grunn og påla ikke sletting. Personvernnemnda tilskrev Fylkestrygdekontoret og ba om å få vite klagers nåværende alder. Det følger av personopplysningsloven § 28 at man ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Fylkestrygdekontoret svarte at etter en ny vurdering har de kommet til at dokumentene kunne slettes, blant annet under henvisning til at klager har gått over på alderspensjon.

PVN-2005-16

Norsk Pasientregister (NPR). Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.

PVN-2005-15

Tannum Tekstil AS sendte ut direktereklame til klager til tross for at klager hadde reservert seg mot direkte markedsføring i det sentrale reservasjonsregisteret. Klager fikk ikke svar fra Tannum Tekstil AS da vedkommende klaget på dette. Videre gikk det mer enn tre måneder over svarfristen fra Datatilsynet før Tannum AS besvarte henvendelsen. Tannum AS vedgikk senere feilen, slettet klager fra sine registre og erkjente sin plikt til å følge reglene i personopplysningsloven § 26. Klager fikk ikke medhold i at Datatilsynet burde ha brukt sanksjoner mot Tannum Tekstil AS. Det forelå heller ikke brudd på forvaltningsloven.

PVN-2005-14

SKAN. Saken gjelder Datatilsynets pålegg om å slette personopplysninger på hjemmesiden til karatestilartsorganisasjonen Shorin Ryu Karate Association Norway. Personvernnemnda kom til at klubbens hjemmeside var omfattet av personopplysningslovens § 7 og denne bestemmelsens begrep "journalistisk formål"; og dermed vernet av ytringsfriheten. Klager kunne derfor ikke kreve at personopplysningene skulle slettes. Et motsatt resultat ville medført at en person kan "redigere" historien og gjøre den ufullstendig.

PVN-2005-13 saksomk

NSB - saksomkostningsvedtak, jf forvaltningsloven § 36.

PVN-2005-13

NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

PVN-2005-12

Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

PVN-2005-11

PVN-2005-11. Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.

Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.

PVN-2005-10

Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.

PVN-2005-9

Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.

  1. Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.


  2. Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.

I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.

PVN-2005-8

Klage på Datatilsynets vedtak om delvis avslag på søknad fra Kreftregisteret om konsesjon for to forskningsprosjekter: "Kreftrisiko blant ansatte i mineralullindustrien" og "Kreftrisiko blant ansatte i aluminiumsindustrien"
Kreftregistret søkte om forlenget konsesjon bl a for to prosjekter som tok sikte på å klarlegge kreftrisiko blant ansatte i mineralullindustrien og aluminiumsindustrien. Datatilsynet avslo konsesjon under henvisning til at det ikke forelå samtykke, og at interesseavveining i personopplysningsloven § 9, 1.ledd litra h ikke klart oversteg den enkeltes interesse i personvern. Personvernnemnda presiserte at samtykke fra den registrerte er hovedregelen, og at denne regelen bare kan avvikes når det foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I dette tilfellet anså Personvernnemnda at risikoen for frafall av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven § 8 litra d. Personvernnemnda anså også at samfunnets interesse i bedre å forstå og kunne forebygge kreft klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble sendt tilbake til Datatilsynet, som har kompetanse til å gi konsesjon for prosjektene.

PVN-2005-7

Klage på vedtak om delvis avslag på konsesjon til å behandle helseopplysninger
Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.
Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-7 - Tilleggsvedtak

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.

Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-6

Securitas ønsket å innføre testing for rusmisbruk av alle sine ansatte, og å oppbevare vandelsattest innhentet i forbindelse med ansettelse i sitt personalsystem.
Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven, som i kapittel 9 regulerer kontrolltiltak, herunder medisinske undersøkelser (jfr arbeidsmiljøloven § 9-4). Hjemmelen for å gjøre det nødvendige inngrep måtte finnes i arbeidsmiljøloven, mens vurderingen av hvorvidt de resulterende, sensitive personopplysninger kan behandles, følger personopplysningslovens bestemmelser, jfr arbeidsmiljøloven § 9-1 nr 2. Forholdet til biobankloven påpekes.
Personvernnemnda finner at det ikke er adgang til å gjennomføre behandling av opplysninger innhentet ved testing av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter ansettelse ikke kan tillates under henvisning til både personopplysningsloven og lov om strafferegistrering.

PVN-2005-5

Klage på Datatilsynets avgjørelse om å trekke tilbake en tidligere uttalelse om at fakturautstedere skal kunne få utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved inngåelse av tjenesteavtale om e-faktura
Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank i forbindelse med avtale om e-faktura. Personvernnemnda kom til at banken var behandlingsansvarlig, og derfor ikke kunne utlevere opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at saken fortoner seg "mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet". Klagen førte ikke frem.

PVN-2005-4

HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det - rent teoretisk- for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.

PVN-2005-3

Klage på Datatilsynets vedtak om avvisning
Saken gjelder nettsted som inneholder kritiske kommentarer til behandlingen av barnevernsaker og relaterte spørsmål. Personvernnemnda kommer til at nettstedet behandler personopplysninger, men faller innenfor personopplysningsloven § 7, som begrenser lovens anvendelse for "journalistiske, herunder opinionsdannende, formål". Det vises til forarbeidenes diskusjon av forholdet til Grunnloven § 100 og Den europeiske menneskerettighetskonvensjon, jf Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven), særlig pkt 11.6. Personvernnemnda presiserer at nettstedene må, i likhet med andre media, overholde og respektere bestemmelser som gjelder omtale av enkeltpersoner.

PVN-2005-2

Klage på Datatilsynets vedtak om å avvise sak med krav om innsyn i innbetalt forsikringspremie
Saken gjaldt spørsmål om innsyn i to typer opplysninger i forbindelse med en ytelsesbasert, kollektiv personforsikringsavtale mellom et forsikringsselskap og tidligere arbeidsgiver. Opplysningene utgjorde konkrete tallstørrelser, men var resultatet av en beregning og da derfor "ingen anvendelig informasjon om hvilken innbetaling som forsikringstaker reelt sett har gjort for det enkelte medlem". Personvernnemnda kom til at det var personopplysninger, og derfor gjenstand for innsyn.

Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsavtaleloven § 17-2. Under henvisning til klare uttalelser i forarbeidene kom man til at innsynsretten kunne gjøres gjeldende.

Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til at opplysningene ikke angikk "andres forretningsmessige forhold". Personvernnemnda uttaler også at taushetsplikten i forsiktingsvirksomhetsloven § 1-3 vil stå tilbake for innsynsretten etter personopplysningsloven.

PVN-2005-1

Klage på Datatilsynets avvisning av å pålegge Wiersholm, Mellbye & Bech advokatfirma å slette lydbåndopptak
En advokat hadde gjort opptak av samtaler med den annen part i en sak som sto for retten. Opptakene var gjort uten å informere den annen part. Den annen part krevde opptakene slettet. Personvernnemnda kom til at lydopptakene ikke representerte noe personregister under henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og derfor ikke falt inn under personopplysningslovens saklige virkeområde etter personopplysningsloven § 3, 1.ledd litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd litra a vil også behandling av personopplysninger med "elektroniske hjelpemidler" falle inn under lovens saklige virkeområde. Personvernnemnda kom til at dette kriteriet måtte forstås slik at behandlingen skjedde automatisk, dvs uten at mennesker styrte opptaket. Henvisning til forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om tilfellet ikke faller inn under personopplysningslovens saklige virkeområde, kan det ha betydning for den enkeltes personvern, og viser i den aktuelle sak til karakteristikk av opptak av telefonsamtaler uten å informere den annen part i Rt-1997-795.


Vedtak 2004

PVN-2004-9

Klage på Datatilsynets vedtak om at Bakehuset Kafé AS ikke får opprettholde fjernsynsovervåking av butikklokalene i det eksisterende omfang
En kafé overvåket arbeidsplassen ved hjelp av videokamera. Etter diskusjon mellom Datatilsynet var det enighet om bruk av slike kamera. I ettertid ble ytterligere to kamera montert. Det var enighet om at en viss overvåking kan tillates etter nødvendighetsgrunnen i personopplysningsloven § 8 litra b jfr personopplysningsloven § 37, 1.ledd. Personvernnemnda sluttet seg til Datatilsynet i at det må finnes en grense for hvor intensiv overvåking som kan tillates på en arbeidsplass, og opprettholdt vedtaket som gikk ut på at de to siste kameraene måtte fjernes.

PVN-2004-8

Klage på konsesjonsvilkår om behandling av personopplysninger i forsikringsbransjen
Saken gjelder en klage på konsesjon for forsikringsselskapenes behandling av personopplysninger fra Finansnæringens Hovedorganisasjon på vegne av organisasjonens medlemmer. En rekke forhold ved konsesjonen ble behandlet. Personvernnemnda ga delvis medhold i to forhold. Ett av disse var av mer administrativ karakter, og gjaldt fristen for fullføring av arbeidet med nye samtykkeerklæringer.
Når det gjaldt krav til skriftlighet ved innhenting av sensitive personopplysninger, fastholdt nemnda ”som klar hovedregel” krav til skriftlighet, men ga klager medhold i en ”sikkerhetsventil” for situasjoner hvor den registrerte er i stand til å samtykke muntlig, men ikke i stand til å bekrefte samtykket muntlig. Personvernnemnda tok ikke stilling til hva som må til for at skriftlighetskravet anses oppfylt etter konsesjonsvilkårene.
Datatilsynets vedtak om bruk av fødselsnummer ble stadfestet. Dette henger bl a sammen med bruk av kredittopplysninger ved risikovurdering. Personvernnemnda uttalte at det ”uansett en mulig statistisk sammenheng” mellom betalingsudyktighet og skadehyppighet, kan ikke kredittopplysninger ”benyttes ved vurdering av det enkelte tilfellet”.

PVN-2004-7

Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder
Telenor Mobil ønsket å lagre enkelte opplysninger (navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med også etter at kundeforholdet var avsluttet. Erfaringsmessig vil en del av disse senere ønske å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn for å bistå kunden. Opplysningene ble ikke brukt til andre formål. Personvernnemnda mente at et var nærliggende at kunder qua forbrukere forutsatte at den tidligere leverandør "husket" telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant at lagringen av opplysningene i liten grad svekker den registrertes personvern, og at Telenor Mobil hadde en berettiget interesse i lagringen, jfr personopplysningsloven § 8 litra f. Klagen ble tatt til følge.

PVN-2004-6

Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter
Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for "Etterundersøkelse av pasienter innlagt for selvpåført forgiftning". Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.

PVN-2004-5

Klage på Datatilsynets vedtak om konsesjon for behandling av personopplysninger i kredittopplysningsvirksomhet - Norske Kredittopplysningsbyråers Forening (NKF)
Klage på konsesjon fra Norske Kredittopplysningsbyråers Forening (NKF). Klagen knyttet seg til flere punkter i konsesjonen.

Personvernnemnda drøfter spørsmålet om hvilket tidspunkt som skal legges til grunn for registrering av inkassopplysninger. Her deler nemnda seg i et flertall og et mindretall. Flertallet anser at en fordring først kan tillates registrert når det er tatt rettslige skritt for inndrivning av fordringen, og slutter seg slik til det syn som ligger til grunn for Datatilsynets vedtak.

Når det gjelder slettefrist for fordringer som er gjort opp, anser Personvernnemnda at de skal slettes straks de er gjort opp, og opprettholder også her Datatilsynets vedtak.

Når det gjelder behandling av personopplysninger ved beregning av nyetablerte foretak i tiden frem til første regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold i at man skal kunne basere rangeringen på kredittverdigheten på opplysninger om de nøkkelpersoner som står bak foretaket.

Når det gjelder frist for sletting av opplysninger om misligholdte fordringer når foreldelsen avbrytes ved at det tas rettslig skritt, gis klager medhold på ett punkt, nemlig at det ikke innføres noen beløpsgrense. Dermed tillates registrering av fordringer som ikke kan resultere i tvangsforretninger registrert for nye fire år når det treffes nye rettslige skritt innenfor den første fireårsfristen.

PVN-2004-4

Klage på Datatilsynets vedtak om å nekte konsesjon for ferdigstillelse av forskningsprosjektet "Suicidal atferd i Bergensområdet"
Klager har på grunnlag av en konsesjon fra1983 fulgt en gruppe på 470 personer som alle var innlagt for selvpåførte skader. Ved en ny konsesjon fra 1997 ble det tillatt kobling til Dødsårsaksregistret. Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremmet søknad om ny konsesjon etter utløpet av overgangsordningen i personopplysningsloven. På denne bakgrunn unnlot Datatilsynet å behandle søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valgte å behandle klagen som søknad om ny konsesjon, og fant at prosjektet kan bygge på nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette ble klagen tatt til følge. Uttalelse om at opplysninger om avdøde personer faller utenfor lovens område.

PVN-2004-3

Klage på Datatilsynets vedtak om at Postens utleie av adresselister ikke kan forankres i personopplysningsloven § 8 f) – Posten Norge AS
Posten har et register over de fleste privatpersoner boende i Norge (PMS). Posten ønsker å leie ut adresselister fra dette registeret. Det ble foreslått tiltak, særlig et eget reservasjonsregister, for å dempe ulempene for den registrertes personvern. Personvernnemnda fant at taushetspliktbestemmelsen i postloven § 13 ikke var til hinder for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne hjemles i personopplysningsloven § 11, 1.ledd litra c fordi formålet ved utleie av adresselistene var uforenlig med registrering av opplysningene for formidling av postsendinger. Slikt gjenbruk krevde derfor samtykke. Personvernnemnda tolket personopplysningsloven slik at det i en slik situasjon ikke skal legges strengere krav til gjenbruk enn til første gangs bruk, og vurderte derfor om bruken kunne hjemles i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessen til Posten var berettiget etter denne bestemmelsen, men fant under henvisning til forarbeidene at denne forretningsmessige interessen ikke kunne veie tyngre enn den registrertes interesse i privatlivets fred og personvern.

PVN-2004-2

Klage på Datatilsynets vedtak om vilkår om samtykke for fortsatt lagring av opplysninger fra prosjektet ”Helse- og stressreaksjoner hos oljearbeidere i Nordsjøen” - NTNU
Etter Alexander Kielland-ulykken i 1980 ble det 1984-85 gjennomført en undersøkelse blant de overlevende basert på muntlig samtykke fra de overlevende og skriftlig samtykke fra en kontrollgruppe. Det er flere ganger søkt om konsesjon for videre lagring med sikte på en oppfølgningsundersøkelse, den siste konsesjonen (gitt etter personregisterloven) utløp 2002. Ny søknad ble fremmet januar 2004. Datatilsynet ga delvis avslag, og krevde innhenting av skriftlig samtykke fra de registrerte innen 1.6.2004. Klager ønsket først å innhente samtykke i forbindelse med igangsettelse av oppfølgingsstudien, og lagring for et lengre tidsrom. Personvernnemnda ga klager tillatelse til fortsatt lagring inntil vedtak i nemnda forelå. Klagen ble tatt til følge. Personvernnemnda tillater lagring inntil seks måneder fra vedtakets dato. Før oppfølgingsprosjektet blir igangsatt, må tilfredsstillende samtykke innhentes. Personvernnemnda fant at nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d her kunne benyttes, og at samfunnets interesser klart oversteg ulempene for den enkelte i dette tilfellet, jfr personopplysningsloven § 9 litra h. Saken ble sendt tilbake til Datatilsynet, som har kompetanse etter personopplysningsloven § 33 til å gi konsesjon.

PVN-2004-1

Klage på Datatilsynets vedtak om vilkår om samtykke for konsesjon for delstudie 1 og 2 - Statens Arbeidsmiljøinstitutt - STAMI
Saken gjelder en klage fra Statens arbeidsmiljøinstitutt (STAMI) i forbindelse med en oppfølgingsstudie om kreft og lungesykdommer blant ansatte i norsk silisiumkarbidindustri. Hovedspørsmålet er hvorvidt det skal kreves informert samtykke for å tillate oppfølgingsstudien, eller om denne kan baseres på en av nødvendighetsbegrunnelsene, jfr personopplysningsloven § 11 jfr §§ 8 og 9. Med utgangspunkt i personopplysningsloven § 11, peker Personvernnemnda på at for sensitive opplysninger må både betingelsene i personopplysningsloven § 8 og § 9 være oppfylt. Av de tre alternative begrunnelsene i personopplysningsloven § 8 slutter Personvernnemnda seg til Datatilsynets tolkning av loven, som gir samtykke prioritet. Men Personvernnemnda tolker loven slik at hvis det foreligger tilstrekkelig begrunnelse for å avvike fra hovedregelen, kan dette gjøres. En slik begrunnelse finner Personvernnemnda i den konkrete saken i hensynet til undersøkelsens kvalitet. Når personopplysningsloven § 8 er tilfredsstilt, må man så bestemme om også vilkårene etter personopplysningsloven § 9 er til stede. Personvernnemnda foretar en konkret vurdering av saken, og finner at i dette tilfellet vil samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte, jfr 9, 1.ledd litra h. Etter dette blir klagen å ta til følge.


Vedtak 2003

PVN-2003-7

Klage på Datatilsynets vedtak om nektelse av konsesjon for regelmessige overføringer av data fra UDI til Tuberkuloseregisteret - Nasjonalt folkehelseinstitutt
Spørsmål om Tuberkuloseregisteret regelmessig skal påføres opplysninger fra UDI for å sikre kvaliteten på opplysningene. Tuberkuloseregisteret er et sentralt register opprettet i medhold av lov. Personvernnemnda anser at vurderingen om innhenting av opplysninger må foretas i henhold til denne loven, og at det er et prinsipielt spørsmål som Helsedepartementet må vurdere, og eventuelt hjemle ved endringer i forskriften for registeret. Datatilsynets vedtak opprettholdt.

PVN-2003-6

Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer – Norsk Rikstoto AS
Sak nr. 2003/06: Norsk Rikstoto ønsket å bruke fødselsnummer for identifikasjon av spillere. Etter personopplysningsloven § 12 kan fødselsnummer bare brukes ”når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering” I likhet med Datatilsynet fant Personvernnemnda at det forelå saklig grunn for sikker identifisering, men – også i likhet med Datatilsynet – at det den metoden som ble benyttet ikke ga sikker identifisering. Jf klagesak 07/2002. Klagen ble ikke tatt til følge.

PVN-2003-5

Klage på Datatilsynets vedtak om at det ikke gis konsesjon til at konsernkunderegister skal kunne innholde opplysninger om produkttype - Gjensidige Nor Sparebank ASA
Spørsmål om konsernkunderegister skal kunne inneholder opplysninger om produkttype. Datatilsynet tillater at registeret inneholder opplysninger om produktkategori (betalingsformidling, spare- og innskuddsprodukter, lån og kredittgivning), men ikke produkttype (f eks at lånet er et fastrente lån). Personvernnemnda peker på at en endring i gjeldende praksis vil ha store praktiske konsekvenser, ettersom registrene da må endres. Spørsmålet vil bli lovregulert på grunnlag av NOU 2001:23 (Finansforetakenes virksomhet), og lovproposisjon ventes i løpet av våren 2004. På denne bakgrunn omgjør Personvernnemnda Datatilsynets vedtak og tillater inntil videre fortsatt registrering av produkttype i konsernkunderegisteret.

PVN-2003-4

Krav om sletting av personopplysninger i barnevernjournal
Klager ønsket slettet opplysninger om seg selv i en journal ført i forbindelse med en barnevernjournal. Klager var ikke selv part i saken, men opptrådte av og til på vegne av parten, som var klagers barn. Selve barnevernsaken gjaldt klagers barnebarn. Journalen var omfattende (nær 400 dokumenter) og klager påpekte en rekke opplysninger som ble hevdet å være uriktige, f eks hvordan klagers adferd ble oppfattet på møter, tidspunkter for møter og telefoner mv. Personvernnemnda manglet grunnlag for å vurdere hva som var uriktige opplysninger, og gjennomføringen av sletting ved overstrykning i papirdokumenter ville være praktisk vanskelig. Dokumentene var også relevante i en barnevernssak som på vedtakstidspunktet ikke var avsluttet, jf personopplysningsloven § 27, 2 ledd. Personvernnemnda opprettholdt Datatilsynets vedtak om at klagers anførsler skulle supplere journalen, slik at vedkommende som ser journalen, vil kunne gjøre seg kjent med klagers fremstilling. Nemnda presiserte vedtaket dit hen at to brev til Nemnda med kommentarer også skulle supplere journalen, forutsatt at klager samtykket i dette.

PVN-2003-3

Klage på Datatilsynets vedtak om opphør av behandling av opplysninger samt sletting av registre – Stavanger kommune
I forbindelse med boligadresseringsprosjektet innførte Statens kartverk et attributt i registeret over grunneiendom, adresse og bygning (GAB) kalt ”boligtype”. Dette ble innført fordi et annet attributt i registeret, ”bygningstype”, i sin definisjon anga hvor mange boliger bygningen hadde. Særlig for boliger oppført før 1983 var det en viss inkonsistens mellom denne definisjonen og det antall boliger som faktisk fantes i bygningen. Boligadresseringsprosjektet hadde bl a som formål å tildele en unik adresse til hver bolig, og det var derfor nødvendig at GAB reflekterte det antall boliger som bygningen faktisk inneholdt. Av praktiske og tekniske årsaker, innførte derfor Statens kartverk et nytt attributt i GAB (uten samtidig å endre GAB-forskriften tilsvarende). Stavanger kommune utnyttet disse opplysningene ved samkjøring med andre registre for å identifisere ulovlige boliger. Personvernnemnda finner at opplysningene avgitt til boligadresseprosjektet med formål å utarbeide statistikk og forbedre kvaliteten på enkelte registre, bl a GAB, ikke kan benyttes til slike kontrollformål, jfr personopplysningsloven § 11. 1.ledd litra c. Datatilsynets vedtak om å forby slik bruk av opplysningene, opprettholdes.

PVN-2003-2

Krav om sletting i Sentralkartoteket for alvorlig sinnslidende – ”Psykoseregisteret”
Klager var registrert i Sentralkartoteket for alvorlig sinnslidende (”Psykoseregisteret”) med Riksarkivaren som behandlingsansvarlig. Bakgrunnen for registreringen var en frivillig innleggelse med diagnosen ”depressiv nevrose”. Personvernnemnda kom til at klagen måtte behandles etter personopplysningsloven, ikke helseregisterloven.
Personvernnemnda fant at registreringen var å betegne som sterkt belastende for den registrerte etter personopplysningsloven § 28. Etter en vurdering av forholdet til samfunnsmessige interesser kom Personvernnemnda til at hele innførselen i registeret angående den registrerte måtte slettes. Dissens.

PVN-2003-1

Klage på Datatilsynets vedtak i sak om avslag på konsesjonssøknad for opprettelse av sentralt låneregister
Personvernnemnda sluttet seg til Datatilsynets vurdering at hvis man baserte et sentral låneregister på samtykke av de registrerte, ville registeret knapt møte kravet til datakvalitet i personregisterloven § 11, 1.ledd litra d og e. Personvernnemnda mente at å gjøre samtykke til en forutsetning for å få lån, ville gjøre at samtykket ikke ville møtet kravet i personregisterloven § 2 nr 7 om bl a frivillighet. Personvernnemnda antok at etablering av et slikt sentralt register vanskelig kan etableres uten hjemmel i lov.


Vedtak 2002

PVN-2002-8

Klage på Datatilsynets vedtak om overføring av biologisk materiale fra Ullevål sykehus til forskeren
Datatilsynet hadde pålagt klager (et sykehus) å slette biologisk materiale med tilhørende personopplysninger som var blitt "gjenglemt" ved sykehuset da den forsker som hadde konsesjon fra Datatilsynet til å behandle opplysningene, forlot sykehuset ved skifte av stilling. Nemndas flertall kom til at biologisk materiale ikke i seg selv representerer personopplysninger. Nemnda sluttet seg til Datatilsynet i synet på at klager ikke hadde rett til fortsatt å oppbevare eller behandle de tilknyttede opplysninger. Nemnda fant imidlertid at personopplysningsloven § 46 ikke ga hjemmel til å påby overføring av opplysninger til forskeren som hadde konsesjon til å utnytte dem, og påbød derfor sletting av opplysningene. (dissens).

PVN-2002-7

Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer
Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer - Norskespill.no AS. PVN finner det ikke nødvendig for identifikasjon av spillere å benytte fødselsnummer, Datatilsynets vedtak opprettholdes.

PVN-2002-6

Klage på Datatilsynets vedtak i sak om delvis avslag på konsesjonssøknad fra Statens institutt for rusmiddelforskning (SIRUS)
Klage på Datatilsynets vedtak i sak om delvis avslag på konsesjonssøknad fra Statens institutt for rusmiddelforskning (SIRUS) - Dissens 4-3Saken gjaldt gjenbruk av opplysninger etter forskningsprosjektet "Injiserende narkotikamisbruk i Oslo" i et oppfølgingsprosjekt "Narkotikadødsfall blant sprøytemisbrukere - en oppfølgingsstudie av personer rekruttert ved sprøytebussen". Datatilsynet ga delvis avslag for så vidt det gjaldt kobling av opplysninger mot enkelte registre hvor respondentene ikke i mellomtiden var avgått ved døden. Personvernnemndas flertall fant at samfunnets interesse i behandlingen klart ville overstiger ulempene den kunne medføre for den enkelte, og at Datatilsynet derfor sto fritt til å gi konsesjon, jfr personopplysningsloven § 33 sml §§ 8.9 og 11. Nemnda fant også at det kunne gjøres unntak fra informasjonsplikten i personopplysningsloven § 20.

PVN-2002-5

Klage på pålegg om opphør av fjernsynsovervåkning m.v.
Klage på pålegg om opphør av fjernsynsovervåkning m.v. - Raddison SAS Plaza Hotell. Fjernsynsovervåkning av bar vil lett kunne bli ansett som krenkende i forhold til gjestenes ønske om diskresjon. Det nødvendige sikkerhetsbehov skulle være ivaretatt ved at baren er betjent. Monitorering av svømmebasseng/treningsrom ble funnet akseptabelt, men ikke opptak. Klagen ble derfor ikke tatt til følge.

PVN-2002-4

Klage på vedtak om ikke å rette eller slette opplysninger i styreprotokoll
Klage på vedtak om ikke å rette eller slette opplysning i styreprotokoll. Spørsmål om det forelå saksbehandlingsfeil, forholdet til personregisterbegrepet, om uriktige eller ufullstendige opplysninger var registrert var tema. Nemnda sluttet seg til Datatilsynets vurderinger.

PVN-2002-3

Anmodning om atPersonvernnemnda skal gi pålegg til Datatilsynet i sak om innsyn i Den norske Bank ASA
Anmodning om at Personvernnemnda skal gi pålegg til Datatilsynet i sak om innsyn i Den norske Bank ASA. PVN slutter seg til Datatilsynets lovforståelse og vurdering om at det er rett til fullt innsyn i bankens datamaskinbaserte registre. Datatilsynets vedtak opprettholdt.

PVN-2002-2

Klage på Datatilsynets avslag om forlenget lagring av billedopptak
Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert direkte utenfor banklokaler. Avslaget omgjort, blant annet under henvisning til at overvåkingen også representerte økt sikkerhet for brukerne av minibanken.

PVN-2002-1

Klage på Datatilsynets avslag om forlenget lagring av billedopptak
Avslag på søknad om dispensasjon om forlenget lagring av billedopptak - A-møbler AS. Spørsmål om lagring av videoopptak ved kasse med sikte på sikring av bevis ved misbruk av kredittkort mv. Avslaget opprettholdt.


Vedtak 2001

PVN-2001-1

Sletting avpersonopplysninger