Saken gjelder krav fra Coop om dekning av sakskostnader etter at Personvernnemnda i sak PVN-2021-09 ga Coop medhold i klagen på Datatilsynets vedtak og ikke ila gebyr. I vurderingen la nemnda vekt på at vedtaket i sak PVN-2021-09 ble endret til gunst for Coop og at det var forståelig at Coop pådro seg utgifter ved å søke juridisk bistand i klageomgangen. Nemnda anså timeantallet som rimelig sett hen til sakens art og vanskelighetsgrad, og tilkjente 69 000 kroner til dekning av sakskostnader, jf. forvaltningsloven § 36. En ½ time gjaldt gjennomgang av nemndas vedtak, og ble ikke dekket fordi kostnader pådratt etter nemndas vedtak ikke var nødvendige for endringen av tilsynets vedtak.

A kontaktet Datatilsynet 22. september 2019 fordi han mener at hans tidligere arbeidsgiver, X kommune foretok uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Arbeidsgiver opplyste til Datatilsynet at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, og at dokumenter som er lagret der ikke kan gjenopprettes. Arbeidsgiver framla samtidig en ekstern og uavhengig ekspertvurdering som var innhentet i forbindelse med denne saken. Datatilsynet konkluderte med at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet saken. Nemnda sluttet seg til Datatilsynets vurdering om at det ikke er tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen. Nemnda opprettholdt Datatilsynets vedtak.

Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.

Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.

A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.

A ønsket bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som hadde logget seg på hans Microsoft hotmail-konto fra utlandet. Han ønsket også informasjon om all aktivitet på e-postkontoen for å avdekke om han var utsatt for identitetstyveri og om det var sendt ukjente e-poster i hans navn som han ikke var kjent med. Nemnda la til grunn at IP-adresser etter omstendighetene vil være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at Microsofts behandling av IP-adressene representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen. A har rett til innsyn i registrerte aktiviteter på sin e-postkonto og han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Nemnda var enig med Datatilsynet i at personvernforordningen artikkel 15 ikke gir A rett til å kreve innsyn og utlevering av andre personers personopplysninger (identiteten til personene bak IP-adressene som er knyttet til de ulike aktivitetene). Nemnda anså dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 var oppfylt, og ikke et spørsmål om Datatilsynets kompetanse.

Nemnda la til grunn at arbeidsgivers handlinger var å anse som en grov overtredelse av reglene, og at et overtredelsesgebyr i størrelsesorden 400 000 kroner i alle fall ikke var for strengt. Med henvisning til grunnleggende strafferettslige og forvaltningsrettslige prinsipper kom nemnda til at gebyret måtte reduseres skjønnsmessig med 150 000 kroner på grunn av tilsynets lange saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k. Etter at arbeidsgiver, på Datatilsynets anmodning, hadde redegjort for saken, tok det nærmere 16 måneder før tilsynet sendte selskapet varsel om pålegg og overtredelsesgebyr. Lang saksbehandlingstid ble av tilsynet begrunnet med begrensede ressurser. Saken var verken faktisk eller rettslig særlig kompleks, og det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn. Nemnda påpekte Datatilsynets plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet i slike saker. Nemnda opprettholdt Datatilsynets vedtak om å ilegge arbeidsgiver overtredelsesgebyr med den endring at gebyret ble satt til 250 000 kroner.