Hjem

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Saken gjelder klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier

Klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.

Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 4. oktober 2021 om å avslutte sak om ulovlig kameraovervåking hos A nabo fordi den hadde opphørt. Datatilsynet konkluderte med at kameraovervåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a, og dermed var lovlig.

Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.

PVN-2021-20 Kameraovervåking i virksomhet - overtredelsesgebyr

Klage fra en X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.

Salongen benyttet sanntidsmonitorert kameraovervåking i virksomhetens lokaler uten å ha rettslig grunnlag for overvåkingen i perioden fra februar/mars 2019 til kameraet sluttet å virke i august samme år. Kameraet filmet både ansatte og kunder. Nemnda la til grunn at kameraet ble brukt til å overvåke de ansatte og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Kameraovervåkingen var heller ikke tydelig skiltet. Nemnda kom til at den kontinuerlige overtredelsen var alvorlig og kritikkverdig, og at virksomheten skulle ilegges et gebyr for overtredelsen. Datatilsynet hadde ilagt selskapet et gebyr på 100 000 kroner. Nemnda mente at overtredelsens alvor i utgangspunktet tilsa et høyere gebyr. Under henvisning til forvaltningsloven § 34 ble det utmålte gebyret opprettholdt. Lang saksbehandlingstid var da også hensyntatt. Nemnda la til grunn at en samlet saksbehandlingstid på 2 ½ år var for lang sett hen til sakens mangel på kompleksitet. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-18 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 17. august 2021 der Datatilsynet avslo krav om sletting av to søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2012 dømt til fengsel i fire år og seks måneder for blant annet grov korrupsjon. A ble også dømt til å betale erstatning til et annet selskap og fradømt retten til å drive selvstendig næringsvirksomhet på ubestemt tid. De straffbare handlingene foregikk i årene 2003 til 2010 og var knyttet til As rolle som styreleder og daglig leder i selskapet X AS. A krevde å få slettet søketreff i Google som ledet til avisartikler som omtalte straffesaken. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og at allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

Personvernnemndas årsmelding 2021

Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.

Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

Året 2021 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2021 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.

PVN-2021-19 Klage på Datatilsynets vedtak om at NAV ikke har behandlet personopplysninger ulovlig

Klage fra A på Datatilsynets vedtak 14. januar 2021 der Datatilsynet kom til at NAV ikke behandlet As personopplysninger ulovlig.

A kontaktet Datatilsynet fordi han mente at NAV hadde behandlet hans personopplysninger ulovlig i forbindelse med gjennomføringen av prosjektet «Forsøk med ny medisinsk vurdering etter seks måneders sykmelding». Forsøket ble hjemlet i en egen forskrift, med hjemmel i folketrygdloven § 25-13. A, som var en av fastlegene med pasienter som ble omfattet av forsøket, ble i vedtak fra NAV i april 2018 fratatt «retten til å praktisere for trygdens regning», jf. folketrygdloven § 25-7. I vedtaket var det også vist til medisinske journaler til pasienter som hadde deltatt i forsøket. A mente opplysninger innhentet gjennom forsøksprosjektet ikke kunne brukes til kontrollformål. Nemnda konkluderte med at innsamlingen av opplysningene i forbindelse med forsøket, måtte anses som en del av NAVs utøvelse av offentlig myndighet overfor NAVs brukere og at man ikke kunne anse forskning som det eneste formålet for innsamlingen av disse opplysningene. NAV har hjemmel i folketrygdloven til å behandle personopplysninger til kontrollformål, jf. folketrygdloven § 21-4. Selv om opplysningene opprinnelig var samlet inn for å gi pasienter riktig behandling, herunder gi en pasient sykmelding og rett til sykepenger, var en bruk av opplysningene til kontrollformål ikke uforenlig med det opprinnelige formålet. Nemnda sluttet seg til Datatilsynets vurdering om at NAVs behandling av personopplysninger om A var lovlig. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-17 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 14. juni 2021 om sletting av søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2018 dømt til fengsel i ett år og åtte måneder for blant annet anskaffelse, oppbevaring, samt tilgjengeliggjøring av bilder, film og blader som omhandlet seksuelle overgrep mot barn. A hadde en yrkesbakgrunn som psykiater og sakkyndig i barnevernssaker og foreldretvister og fikk sin autorisasjon som psykiater tilbakekalt som følge av dommen. A krevde å få slettet enkelte søketreff på sitt navn som omtalte domfellelsen. Søketreffene som ble vurdert av Personvernnemnda ledet til private nettsteder som hovedsakelig publiserer kritiske artikler knyttet til barnevernet. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda la til grunn at retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering kom nemnda til at hensynet til As personvern veide tyngre enn allmenhetens rett til informasjon knyttet til de aktuelle søketreffene ved søk på As navn i søkemotoren. Nemnda la særlig vekt på hensynet til A og skadevirkningene søketreffene har for ham og særlig hans barn. Google ble pålagt å slette søketreffene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-16 Brudd på personopplysningssikkerheten ved Sykehuset Østfold HF - overtredelsesgebyr

Klage fra Sykehuset Østfold HF på Datatilsynets vedtak 22. oktober 2020 der sykehuset ble ilagt et overtredelsesgebyr på 750 000 kroner for brudd på personopplysningssikkerheten. I klageomgangen nedjusterte Datatilsynet gebyret til 500 000 kroner.

Sykehuset Østfold HF sendte en avviksmelding Datatilsynet i januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Avviket omfattet uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ) i årene 2015-2019. Uttrekkene fra EPJ var lister over utskrivningsklare pasienter og omfattet også særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Nemnda fastslo at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24. I likhet med Datatilsynet la nemnda til grunn i at sykehuset hadde brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for, og at sykehuset skulle ilegges et overtredelsesgebyr for bruddet. Nemnda mente at gebyret i utgangspunktet burde ligge på rundt 500 000 kroner, men reduserte dette til 400 000 kroner på grunn av den lange saksbehandlingstiden.