Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke var å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. As henvendelser var generelle og handlet om misnøye med barneverntjenestens behandling av undersøkelsessaker vedrørende omsorgssituasjonen for hennes barn. Datatilsynet hadde korrekt opplyst at tilsynet ikke har kompetanse til å vurdere barneverntjenestens saksbehandling, og at klage over dette må rettes til Statsforvalteren. Tilsynet hadde også informert om hvordan hun skulle gå fram ved eventuelle rette- eller slettekrav i barneverntjenestens journaler. Henvendelsen til Datatilsynet gjaldt etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og kunne ikke anses som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A den aktuelle appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå var først og fremt knyttet til at saken etter hans syn har allmenn interesse i og med at appen brukes av mange personer over hele landet. Han ba blant annet Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Nemnda var enig med Datatilsynet i at personvernforordningen ikke krever logging av hvor lenge hvert nemndsmedlem bruker på å lese dokumenter i en sak. Nemnda la videre til grunn at artikkel 77 nr. 1 må forsås slik at forordningen oppstiller et krav til en viss konkretisering av den påståtte ulovlige behandlingen av personopplysninger for at Datatilsynets plikt til å gjøre undersøkelser etter artikkel 57 nr. 1 bokstav f utløses. En generell oppfordring om å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan ikke regnes som en klage som utløser en slik plikt. Når det gjaldt anmodning om innsyn viste nemnda vil at A hadde fått innsyn i loggdata om når oppslag ble gjort og formålet med dem, og konkluderte med at innsynsretten etter artikkel 15 ikke gir rett til å vite hvem som gjorde oppslag eller varigheten av dem, jf. EU-domstolens uttalelser i C-578/21. Nemnda opprettholdt Datatilsynets vedtak.

Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.

Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. I saken fastholder nemnda at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av klagen på valg av reaksjon mot Den norske kirke.

A framsatte krav om dekning av sakskostnader etter at Datatilsynet hadde fattet et nytt endret vedtak i en sak som gjaldt klage fra A på arbeidsgivers innsyn i As e-postkasse. A var i forvaltningssaken til Datatilsynet og klagen til Personvernnemnda representert ved sin ektefelle. Det er flere vilkår i forvaltningsloven § 36 som må være oppfylt for at en part skal få dekket sine kostnader. Nemnda avslo As krav på dekning av sakskostnader da det ikke var sannsynliggjort reelle utgifter som gir rett til dekning etter forvaltningsloven § 36. Nemnda fant det derfor ikke nødvendig å vurdere de øvrige vilkårene. Nemnda opprettholdt Datatilsynets vedtak om avslag på dekning av sakskostnader.

Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.