A ba om innsyn i sine personopplysninger hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om A og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avslo innsynskravet. A klaget til Datatilsynet som ikke ga han medhold. Nemnda viste til at personvernforordningen artikkel 15 i utgangspunktet gir den registrerte rett til innsyn i personopplysninger som behandles om seg, men at personopplysningsloven § 16 første ledd gjør unntak fra innsynsretten i noen tilfeller. I likhet med Datatilsynet er nemnda varsom med å overprøve fagmyndighetens vurdering av hvilke opplysninger det kan gis innsyn i. Nemnda fant ikke grunn til å foreta en annerledes vurdering av det faglige skjønnet som er gjort av politi- og/eller utlendingsmyndighet. Nemnda opprettholdt Datatilsynets vedtak om å avslå As innsynskrav, jf. personopplysningsloven § 16 første ledd bokstav a og b.

Nemnda kom til at sameiet hadde en berettiget interesse i å iverksette tiltak som hindrer forsøpling av sameiets egne lokaler ved at gjenstander og søppel hensettes og samles opp i fellesarealene. Nemnda fant det tilstrekkelig sannsynliggjort at dette hadde vært et problem i mange år og at flere tiltak for løse utfordringene var forsøkt uten at det hadde hjulpet. Nemnda kom til at kameraovervåking på deler av sameiets fellesarealer var et egnet, hensiktsmessig og nødvendig tiltak. Under interesseavveiningen etter artikkel 6 nr. 1 bokstav f, la nemnda til grunn at kameraovervåking av fellesarealene representerte et inngrep i personvernet til alle beboerne i sameiet. Overvåkingen skjedde i rom som er nødvendig for beboerne å oppsøke og oppholde seg i (søppelrom og i gangen utenfor beboernes boder). Personvernulempen var likevel redusert ved at overvåkingen kun skjedde i avlåste rom uten gjennomgangstrafikk og hvor beboerne ikke ville oppholde seg over tid. Overvåkingen rammet ikke allmenheten og deres bevegelse og opphold i offentlige rom. Flertallet la videre vekt på at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Nemnda konkluderte med at kameraovervåkingen var lovlig og omgjorde Datatilsynets vedtak. Dissens 6:1.

Etter Personvernforordningen artikkel 57 nr. 1 bokstav a skal Datatilsynet blant annet «føre tilsyn med og håndheve anvendelsen av denne forordning». Datatilsynets undersøkelsesplikt etter forordningen gjelder «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Nemnda kom til at Datatilsynet hadde oppfylt sine forpliktelser etter personvernforordningen artikkel 57, samt oppfylt sin utrednings- og informasjonsplikt, jf. forvaltningsloven § 17. Nemnda var enig med Datatilsynet i at det, basert på sakens dokumenter, ikke var hensiktsmessig å undersøke saken nærmere, og at det ikke var framkommet opplysninger som tilsa at personopplysningsloven er brutt. Datatilsynets avgjørelse om å avslutte saken var etter nemndas vurdering forsvarlig og innenfor lovens rammer.

Bomstasjonen på Bommestad på E18 ved Larvik ble satt i drift 9. mai 2018. Etter åpning ble det oppdaget at klokka på bomstasjonen gikk ca. 7 minutter feil, noe som ga tilsvarende uriktig tidsregistrering på passerende biler. Feilen ble rettet i begynnelsen av juni 2018 med virkning for nye passeringer. A klaget Vegfinans AS inn for Datatilsynet etter å ha mottatt en faktura der passeringene i mai 2018 var oppgitt med uriktig tidsregistrering. A ville ha feilen slettet eller rettet, og klaget også på manglende overholdelse av informasjonsplikten. Datatilsynet kom til at personopplysningsloven var overholdt og avsluttet saken uten å ilegge pålegg. A klaget på vedtaket. Nemnda la til grunn at retten til å kreve retting etter personvernforordningen artikkel 16 må vurderes i lys av formålet opplysningene behandles for, jf. artikkel 5 nr. 1 bokstav d. Dette har betydning for hvor langt retteplikten strekker seg, og for hvor omfattende tiltak som kreves for at den behandlingsansvarlige skal rette uriktige opplysninger. Nemnda var enig med tilsynet i at Vegfinans AS ikke skulle pålegges å rette eller slette de registrerte opplysningene. Nemnda var også enig med Datatilsynet i at den uriktige tidsregistreringen åpenbart ikke medførte noen høy risiko for As rettigheter og friheter, og at Vegfinans AS ikke brøt personopplysningsloven ved ikke å gi A informasjon om de uriktige opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

A kontaktet kredittopplysningsbyrået Bisnode da hun mottok et gjenpartsbrev om at Flisleggingsfirma AS, som hun ikke hadde noe kundeforhold til, hadde kredittvurdert hennes enkeltpersonforetak. Daglig leder i flisleggingsfirmaet, som også var As nabo, hadde foretatt kredittsjekken som privatperson fordi han var bekymret for at iverksatte byggearbeider på As tomt, og ville finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene medførte problemer for han som nabo. Datatilsynet ila Flisleggingsfirmaet AS et overtredelsesgebyr på 150 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet ble også pålagt å utarbeide rutiner for innhenting av kredittvurderinger for å sikre etterlevelse av forordningen og bedre selskapets system for internkontroll. Selskapet klaget vedtaket inn for nemnda. Nemnda kom til at selskapet åpenbart ikke hadde noen berettiget interesse i å foreta en kredittvurdering av A, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er åpenbart i strid med loven og en grunnleggende krenkelse av As personvernrettigheter at daglig leder bruker firmaets onlinetilgang til Bisnode for private formål. Nemnda, som har begrenset adgang til å sette tilsynets gebyr høyere, jf. forvaltningsloven § 34 tredje ledd, mente at et gebyr på 150 000 i alle fall ikke er for høyt. Nemnda opprettholdt Datatilsynets vedtak om ileggelse av gebyr, samt pålegg om å utarbeide rutiner for bedre internkontroll ved innhenting av kredittvurderinger.

A klaget på kameraovervåking fra en privat bolig i området han bor, der eier av eiendommen hadde montert to kameraer under takmønet på boligens fasade. Boligen ligger rett ut mot offentlig vei der parkeringsmulighetene langs veien er allmenn og tilgjengelig for alle. Nemnda la til grunn at personer som går langs veien, og passerer boligen der kameraene er montert, kan fanges opp av kameraene. Det samme gjelder de som parkerer langs veien utenfor boligen. Nemnda la til grunn at kameraovervåking montert på private hus ikke omfattes av unntaket for «rent personlige eller familiemessige aktiviteter», dersom overvåkingen også dekker deler av et offentlig område, jf. EU-domstolen sak C-212/13 (Ryneš). Nemnda konkluderte videre med at huseieren ikke hadde lovlig behandlingsgrunnlag idet han ikke hadde noen berettiget interesse i vedvarende overvåking av et område åpent for alminnelig ferdsel, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda omgjorde Datatilsynets vedtak.

I forbindelse med en undersøkelsessak etter barnevernloven i barneverntjenesten i Y knyttet til klagernes datter, D, og hennes barn, utleverte Æ barneverntjeneste opplysninger til barneverntjenesten i Y, herunder en uttalelse fra Æ barneverntjeneste der det framkommer opplysninger om oppveksten til D og barnevernets vurdering av omsorgssituasjonen i foreldrehjemmet og bakgrunnen for omsorgsovertakelsessaken den gangen. Det er spørsmål om behandlingsgrunnlag for utlevering av personopplysninger fra én barneverntjeneste til en annen, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om retting og sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved Æ barnevern er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningen artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda redegjør for sin forståelse av journalistunntaket i § 3 og uttaler at bestemmelsen ikke kan forstås så absolutt som ordlyden tilsier. I vurderingen av hvor langt unntaket rekker, må det i noen tilfeller foretas en avveining av hensynet til ytringsfrihet og hensynet til personvernet til den personen som omtales. Slik loven i dag lyder må dette gjøres ved en mulig innskrenkende tolkning av «utelukkende journalistisk virksomhet». Innsamlingen og publiseringen av personopplysninger i denne saken skjedde i forbindelse med en nyhetsartikkel i Bergens Tidende. Bergens Tidende er en mediebedrift med en sentral redaktørfunksjon, tilsluttet en pressefaglig selvdømmeordning. Avisens innsamling og publisering av personopplysninger i forbindelse med en nyhetsartikkel representerer kjerneområdet for journalistisk virksomhet. I en slik situasjon gir ikke personopplysningsloven § 3 rom for å foreta noen interesseavveining mellom ytringsfriheten og personvernet. Det er ikke personvernmyndighetenes oppgave å overprøve redaksjonens vurdering av denne typen nyhetsartikler, herunder hvilken informasjon som bør formidles til publikum, og hvorvidt den aktuelle informasjonen har generell samfunnsmessig interesse eller ikke. Dette gjelder uavhengig av om opplysningene som publiseres er korrekte eller ikke. Nemnda opprettholdt Datatilsynets vedtak.

Saken gjelder barnevernet i Z kommunes behandling av personopplysninger da det ble åpnet barnevernsak etter bekymringsmelding fra Y kommune vedrørende klagernes datter C og hennes barn. Sammen med bekymringsmeldingen mottok Z barneverntjeneste blant annet et brev fra helsestasjonen i X som barneverntjenesten i Y hadde hentet inn og et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om behandlingsgrunnlag og krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at Z kommunes behandling av personopplysninger er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

Saken gjelder barneverntjenestens innhenting og utlevering av personopplysninger i to forskjellige undersøkelsessaker knyttet til to av klagernes barn, C og D. Da C flyttet til Z sendte barneverntjenesten i Y en bekymringsmelding til Z, og oversendte samtidig et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. I et familieråd vedrørende D og hennes barn la barnevernet i Y fram opplysninger i et skriftlig innlegg, hvor det framkom at D hadde opplevd omsorgssvikt og vold fra egne foreldre. Opplysningene ble gjort tilgjengelig for alle deltakerne i møtet. Det er spørsmål om behandlingsgrunnlag, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved barneverntjenesten i Y er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter personvernforordningen artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.