Saken gjaldt en statlig arbeidstaker (A) som hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i personalmappen. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det det behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.

Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.

En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A's begjæring om slette et søketreff fra søkemotoren Google som inneholdt A's navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende.

Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A's navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.

Dissens (5-1).
Saken gjaldt klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.

Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).

Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.

Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.

Anmodning fra Legelisten.no om oppsettende virkning (utsatt iverksettelse) av deler av Datatilsynets vedtak 8. november 2017, jf. forvaltningsloven § 42. Det ene vedtakspunktet gjaldt dispensasjon fra konsesjonsplikten etter personopplysningsloven 2000. Ettersom konsesjonsplikten etter personopplysingsloven 2018 har falt bort, fant nemnda det ikke nødvendig å gi oppsettende virkning for dette vedtakspunktet. Nemnda vil imidlertid ta stilling til om Legelisten.no har behandlingsgrunnlag for sin behandling av personopplysninger ved realitetsbehandling av saken. Når det gjaldt utsatt iverksettelse av Datatilsynets vedtakspunkt om pålegg om sletting av e-postadressen til pasienter som har inngitt vurdering av helsepersonell på nettsiden Legelisten.no, hadde Legelisten.no anført at slettingen ville innebære en uopprettelig skade. Nemnda viste til at dersom Legelisten.no sin klageadgang på Datatilsynets vedtak skal være reell, var det grunnlag for å beslutte utsatt iverksettelse av dette vedtakspunktet i Datatilsynets vedtak.

I Personvernnemndas sak PVN-2017-18 vurderte nemnda klage fra Nobina Norge AS over Datatilsynets vedtak 13. februar 2017, der Datatilsynet konkluderte med å ilegge Nobina et overtredelsesgebyr etter personopplysningsloven § 46. I Personvernnemndas vedtak 20. mars 2018 fikk Nobina Norge AS medhold i sin klage på Datatilsynets vedtak. I foreliggende sak tok nemnda stilling til om Nobina Norge AS skulle tilkjennes dekning av sakskostnader etter forvaltningsloven § 36. Advokaten hadde fremlagt en detaljert timeliste på totalt 14 timer. Nemnda la til grunn at vedtaket var endret til gunst for Nobina Norge AS, og kom frem til at forvaltningslovens lovens vilkår om dekning av sakskostnader var oppfylt. Nemnda konkluderte med at kravet på 14 timer var rimelig, og tilkjente full dekning av sakskostnadene, jf. forvaltningsloven § 36.

En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.

Etter anmodning fra Yrkestrafikkforbundet (YTF) åpnet Datatilsynet tilsynssak mot Keolis Norge AS. Tilsynssaken gjaldt Keolis' bruk av kameraopptak i en oppsigelsessak overfor en ansatt. Parallelt med tilsynssaken skulle oppsigelsessaken mellom den ansatte og Keolis behandles av tingretten, herunder spørsmålet om bruken av kameraopptakene var i henhold til personopp­lysnings­loven. Tingretten konkluderte med at den ansatte måtte fratre sin stilling, og at bruken av de aktuelle kameraopptakene ikke var uforenlig med det opprinnelige formålet med kameraovervåkingen. Dommen ble anket til lagmannsretten, og saken ble senere hevet som forlikt etter rettsmekling. Med henvisning til ressurshensyn og at domstolens avgjørelse var bindende for sakens parter, avsluttet Datatilsynet saken etter at tingretten hadde avsagt dom, men før saken var behandlet i lagmannsretten. YTF klaget tilsynets avgjørelse inn for Personvernnemnda. Nemnda la til grunn at YTF hadde rettslig klageinteresse og at YTF ikke var avskåret fra å be om Datatilsynets vurdering av saken selv om den ansatte valgte å bringe oppsigelsessaken inn for domstolene. Ansettelsessaken for domstolene hadde ikke rettskraftsvirkning for den forvaltningsrettslige tilsynssaken hvor YTF var part. Nemnda viste til Datatilsynets ulike roller som ombud og tilsyn, og kom til at Datatilsynet ikke hadde adgang til å unnlate å ta stilling til den åpnede tilsynssakens realitet. Datatilsynets avgjørelse ble opphevet og saken ble sendt tilbake til tilsynet for realitetsbehandling.