Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.

A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.

A ønsket bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som hadde logget seg på hans Microsoft hotmail-konto fra utlandet. Han ønsket også informasjon om all aktivitet på e-postkontoen for å avdekke om han var utsatt for identitetstyveri og om det var sendt ukjente e-poster i hans navn som han ikke var kjent med. Nemnda la til grunn at IP-adresser etter omstendighetene vil være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at Microsofts behandling av IP-adressene representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen. A har rett til innsyn i registrerte aktiviteter på sin e-postkonto og han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Nemnda var enig med Datatilsynet i at personvernforordningen artikkel 15 ikke gir A rett til å kreve innsyn og utlevering av andre personers personopplysninger (identiteten til personene bak IP-adressene som er knyttet til de ulike aktivitetene). Nemnda anså dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 var oppfylt, og ikke et spørsmål om Datatilsynets kompetanse.

Nemnda la til grunn at arbeidsgivers handlinger var å anse som en grov overtredelse av reglene, og at et overtredelsesgebyr i størrelsesorden 400 000 kroner i alle fall ikke var for strengt. Med henvisning til grunnleggende strafferettslige og forvaltningsrettslige prinsipper kom nemnda til at gebyret måtte reduseres skjønnsmessig med 150 000 kroner på grunn av tilsynets lange saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k. Etter at arbeidsgiver, på Datatilsynets anmodning, hadde redegjort for saken, tok det nærmere 16 måneder før tilsynet sendte selskapet varsel om pålegg og overtredelsesgebyr. Lang saksbehandlingstid ble av tilsynet begrunnet med begrensede ressurser. Saken var verken faktisk eller rettslig særlig kompleks, og det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn. Nemnda påpekte Datatilsynets plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet i slike saker. Nemnda opprettholdt Datatilsynets vedtak om å ilegge arbeidsgiver overtredelsesgebyr med den endring at gebyret ble satt til 250 000 kroner.

A krevde slettet et søketreff på sitt navn hos Google. Søketreffet leder til et publisert intervju fra tv-programmet «TV2 hjelper deg». I intervjuet uttaler A, som er serviceleder hos en bobilforhandler, seg om en sak hvor kjøper av en bobil krever kjøpet hevet. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

Etter at Datatilsynet oversendte klagesaken til nemnda er aksjeselskapet oppløst og slettet fra enhetsregisteret i Brønnøysund. Nemnda la til grunn at et aksjeselskap etter oppløsning og sletting ikke lenger eksisterer som selvstendig rettssubjekt, og det har da i utgangspunktet heller ikke partsevne, jf. forvaltningsloven § 2 første ledd bokstav e. Nemnda fant ingen forhold som tilsa en annen vurdering. Heller ikke eier og styreleder av selskapet kunne i dette tilfellet kreve å få opptre som part. Avgjørelsen rettet seg ikke mot ham og ble heller ikke ansett direkte å gjelde ham. Det var heller ikke noe ved Datatilsynets vedtak som tilsa en ny behandling av de materielle spørsmålene i saken. Klagen ble derfor ikke tatt til behandling på grunn av manglende partsrettigheter. Det innebærer at Datatilsynets vedtak blir stående.

A ba om innsyn i sine personopplysninger hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om A og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avslo innsynskravet. A klaget til Datatilsynet som ikke ga han medhold. Nemnda viste til at personvernforordningen artikkel 15 i utgangspunktet gir den registrerte rett til innsyn i personopplysninger som behandles om seg, men at personopplysningsloven § 16 første ledd gjør unntak fra innsynsretten i noen tilfeller. I likhet med Datatilsynet er nemnda varsom med å overprøve fagmyndighetens vurdering av hvilke opplysninger det kan gis innsyn i. Nemnda fant ikke grunn til å foreta en annerledes vurdering av det faglige skjønnet som er gjort av politi- og/eller utlendingsmyndighet. Nemnda opprettholdt Datatilsynets vedtak om å avslå As innsynskrav, jf. personopplysningsloven § 16 første ledd bokstav a og b.

Nemnda kom til at sameiet hadde en berettiget interesse i å iverksette tiltak som hindrer forsøpling av sameiets egne lokaler ved at gjenstander og søppel hensettes og samles opp i fellesarealene. Nemnda fant det tilstrekkelig sannsynliggjort at dette hadde vært et problem i mange år og at flere tiltak for løse utfordringene var forsøkt uten at det hadde hjulpet. Nemnda kom til at kameraovervåking på deler av sameiets fellesarealer var et egnet, hensiktsmessig og nødvendig tiltak. Under interesseavveiningen etter artikkel 6 nr. 1 bokstav f, la nemnda til grunn at kameraovervåking av fellesarealene representerte et inngrep i personvernet til alle beboerne i sameiet. Overvåkingen skjedde i rom som er nødvendig for beboerne å oppsøke og oppholde seg i (søppelrom og i gangen utenfor beboernes boder). Personvernulempen var likevel redusert ved at overvåkingen kun skjedde i avlåste rom uten gjennomgangstrafikk og hvor beboerne ikke ville oppholde seg over tid. Overvåkingen rammet ikke allmenheten og deres bevegelse og opphold i offentlige rom. Flertallet la videre vekt på at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Nemnda konkluderte med at kameraovervåkingen var lovlig og omgjorde Datatilsynets vedtak. Dissens 6:1.

Etter Personvernforordningen artikkel 57 nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Datatilsynets undersøkelsesplikt etter forordningen gjelder «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Nemnda kom til at Datatilsynet hadde oppfylt sine forpliktelser etter personvernforordningen artikkel 57, samt oppfylt sin utrednings- og informasjonsplikt, jf. forvaltningsloven § 17. Nemnda var enig med Datatilsynet i at det, basert på sakens dokumenter, ikke var hensiktsmessig å undersøke saken nærmere, og at det ikke var framkommet opplysninger som tilsa at personopplysningsloven er brutt. Datatilsynets avgjørelse om å avslutte saken var etter nemndas vurdering forsvarlig og innenfor lovens rammer.