Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.