Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2024-09 Avslag på krav om elektronisk tilgang til tannlegejournal

Klage fra A på Datatilsynets vedtak om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.

Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-08 Klage på Datatilsynets avvisning av en henvendelse fordi den ikke representerer en klage etter artikkel 77 nr. 1

Klage fra A på Datatilsynets avvisning av hans henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.

Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A den aktuelle appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå var først og fremt knyttet til at saken etter hans syn har allmenn interesse i og med at appen brukes av mange personer over hele landet. Han ba blant annet Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2024-07 Klage over Datatilsynets avslutning av sak om innsyn i logg og brudd på personopplysningssikkerheten hos Helseklage

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om innsyn i logg og brudd på personopplysningssikkerheten hos Nasjonalt klageorgan for helsetjenesten (Helseklage) uten å gi pålegg.

Nemnda var enig med Datatilsynet i at personvernforordningen ikke krever logging av hvor lenge hvert nemndsmedlem bruker på å lese dokumenter i en sak. Nemnda la videre til grunn at artikkel 77 nr. 1 må forsås slik at forordningen oppstiller et krav til en viss konkretisering av den påståtte ulovlige behandlingen av personopplysninger for at Datatilsynets plikt til å gjøre undersøkelser etter artikkel 57 nr. 1 bokstav f utløses. En generell oppfordring om å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan ikke regnes som en klage som utløser en slik plikt. Når det gjaldt anmodning om innsyn viste nemnda vil at A hadde fått innsyn i loggdata om når oppslag ble gjort og formålet med dem, og konkluderte med at innsynsretten etter artikkel 15 ikke gir rett til å vite hvem som gjorde oppslag eller varigheten av dem, jf. EU-domstolens uttalelser i C-578/21. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-05 Klage over Datatilsynets avgjørelse om å avslutte sak - retting/sletting av helseopplysninger i pasientjournal

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av helseopplysninger hos Sykehuset X, uten å treffe vedtak.

Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.

PVN-2024-03 Klage over Datatilsynets avvisning av klage på valg av reaksjon ved konstatert brudd på personvernforordningen

Klage fra Human-Etisk Forbund, på vegne av fem av sine medlemmer, samt likelydende klager fra tre enkeltpersoner som ikke er medlemmer av Human-Etisk forbund; A, B og C. Klagen gjelder Datatilsynets vedtak der tilsynet avviste klage over tilsynets vedtak om irettesettelse av Den norske kirke for overtredelse av personvernforordningen.

Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. I saken fastholder nemnda at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av klagen på valg av reaksjon mot Den norske kirke.

PVN-2024-02 Klage over Datatilsynets avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36

Klage fra A på Datatilsynets vedtak om avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36.

A framsatte krav om dekning av sakskostnader etter at Datatilsynet hadde fattet et nytt endret vedtak i en sak som gjaldt klage fra A på arbeidsgivers innsyn i As e-postkasse. A var i forvaltningssaken til Datatilsynet og klagen til Personvernnemnda representert ved sin ektefelle. Det er flere vilkår i forvaltningsloven § 36 som må være oppfylt for at en part skal få dekket sine kostnader. Nemnda avslo As krav på dekning av sakskostnader da det ikke var sannsynliggjort reelle utgifter som gir rett til dekning etter forvaltningsloven § 36. Nemnda fant det derfor ikke nødvendig å vurdere de øvrige vilkårene. Nemnda opprettholdt Datatilsynets vedtak om avslag på dekning av sakskostnader.

PVN-2023-30 Klage over Datatilsynets valg av reaksjon ved konstatert brudd på personopplysningssikkerheten i en kommune

Klage fra A på Datatilsynets avvisning av hennes klage over Datatilsynets vedtak om irettesettelse mot en kommune for brudd på personopplysningssikkerheten. Det er også truffet andre vedtak i saken som gjelder innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

PVN-2023-29 Klage på Datatilsynets avslutning av sak om politiets behandling av personopplysninger

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om politiets innhenting og utlevering av opplysninger i en straffesak.

A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

PVN-2023-28 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet avsluttet sak med krav om innsyn i, informasjon om og sletting av personopplysninger hos NAV uten å gi pålegg.

Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.

PVN-2023-31 og PVN-2024-04 Klage fra Meta Ireland og Facebook Norway på Datatilsynets vedtak om tvangsmulkt

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 7. august 2023. I vedtaket ila Datatilsynet selskapene en tvangsmulkt på én million kroner per dag, i inntil tre måneder, for manglende oppfyllelse av et midlertidig forbud mot å behandle personopplysninger for atferdsbasert markedsføring i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester i Norge.

Det midlertidige forbudet ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Tvangsmulktvedtaket ble truffet med hjemmel i personopplysningsloven § 29. Nemnda tolket personopplysningsloven § 29 innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker. Nemnda viste til at det ikke var holdepunkter i forarbeidene til personopplysningsloven for at departementet mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, ville det vært nærliggende å forvente at departementet i forarbeidene hadde avklart spørsmålet om nemndas kompetanse og den behandlingsansvarliges klagerett i slike saker. Også legalitetsprinsippet tilsa at det i loven hadde vært inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Nemnda konkluderte med at tvangsmulktvedtaket ikke hadde hjemmel i lov og opphevet vedtaket.