A kontaktet Datatilsynet fordi han mente at NAV hadde behandlet hans personopplysninger ulovlig i forbindelse med gjennomføringen av prosjektet «Forsøk med ny medisinsk vurdering etter seks måneders sykmelding». Forsøket ble hjemlet i en egen forskrift, med hjemmel i folketrygdloven § 25-13. A, som var en av fastlegene med pasienter som ble omfattet av forsøket, ble i vedtak fra NAV i april 2018 fratatt «retten til å praktisere for trygdens regning», jf. folketrygdloven § 25-7. I vedtaket var det også vist til medisinske journaler til pasienter som hadde deltatt i forsøket. A mente opplysninger innhentet gjennom forsøksprosjektet ikke kunne brukes til kontrollformål. Nemnda konkluderte med at innsamlingen av opplysningene i forbindelse med forsøket, måtte anses som en del av NAVs utøvelse av offentlig myndighet overfor NAVs brukere og at man ikke kunne anse forskning som det eneste formålet for innsamlingen av disse opplysningene. NAV har hjemmel i folketrygdloven til å behandle personopplysninger til kontrollformål, jf. folketrygdloven § 21-4. Selv om opplysningene opprinnelig var samlet inn for å gi pasienter riktig behandling, herunder gi en pasient sykmelding og rett til sykepenger, var en bruk av opplysningene til kontrollformål ikke uforenlig med det opprinnelige formålet. Nemnda sluttet seg til Datatilsynets vurdering om at NAVs behandling av personopplysninger om A var lovlig. Nemnda opprettholdt Datatilsynets vedtak.

A, som søketreffene gjelder, ble i 2018 dømt til fengsel i ett år og åtte måneder for blant annet anskaffelse, oppbevaring, samt tilgjengeliggjøring av bilder, film og blader som omhandlet seksuelle overgrep mot barn. A hadde en yrkesbakgrunn som psykiater og sakkyndig i barnevernssaker og foreldretvister og fikk sin autorisasjon som psykiater tilbakekalt som følge av dommen. A krevde å få slettet enkelte søketreff på sitt navn som omtalte domfellelsen. Søketreffene som ble vurdert av Personvernnemnda ledet til private nettsteder som hovedsakelig publiserer kritiske artikler knyttet til barnevernet. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda la til grunn at retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering kom nemnda til at hensynet til As personvern veide tyngre enn allmenhetens rett til informasjon knyttet til de aktuelle søketreffene ved søk på As navn i søkemotoren. Nemnda la særlig vekt på hensynet til A og skadevirkningene søketreffene har for ham og særlig hans barn. Google ble pålagt å slette søketreffene. Nemnda opprettholdt Datatilsynets vedtak.

Sykehuset Østfold HF sendte en avviksmelding Datatilsynet i januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Avviket omfattet uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ) i årene 2015-2019. Uttrekkene fra EPJ var lister over utskrivningsklare pasienter og omfattet også særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Nemnda fastslo at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24. I likhet med Datatilsynet la nemnda til grunn i at sykehuset hadde brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for, og at sykehuset skulle ilegges et overtredelsesgebyr for bruddet. Nemnda mente at gebyret i utgangspunktet burde ligge på rundt 500 000 kroner, men reduserte dette til 400 000 kroner på grunn av den lange saksbehandlingstiden.

Nemnda la til grunn at selskapet i utgangspunktet hadde en berettiget interesse i å overvåke restaurantens lokaler. Nemnda var imidlertid i tvil om utfallet av den skjønnsmessige vurderingen av behandlingsgrunnlaget for kameraovervåkingen, jf. artikkel 6 nr. 1 bokstav f. Nemnda påpekte at utfallet av en interesseavveining etter denne bestemmelsen kan bli ulik avhengig av om framgangsmåten i arbeidsmiljøloven § 9-2 er fulgt (ettersom overvåkingen innebærer et kontrolltiltak overfor ansatte), samt om den behandlingsansvarlige kan dokumentere tilstrekkelig tekniske og organisatoriske tiltak etter artikkel 24. Selskapet erkjente at informasjonsplikten etter artikkel 13 ikke var overholdt, og at dokumentasjon av organisatoriske tiltak etter artikkel 24 ikke var på plass. Nemnda fant at bruddene på artikkel 13 og artikkel 24 var kritikkverdige, og som det var grunn til å sanksjonere, men i motsetning til Datatilsynet la nemnda til grunn at det ikke var et alvorlig brudd på personvernforordningen. Nemnda mente at gebyret for overtredelsene i denne saken burde ligge rundt 100 000 kroner. Ved den endelige fastsettelsen av gebyret la nemnda vekt på lang saksbehandlingstid hos Datatilsynet (nær tre år) med lange perioder uten framdrift, jf. PVN-2021-03. Nemnda mente at sakens omfang og kompleksitet ikke tilsa en så lang saksbehandlingstid. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda kom enstemmig til at gebyret skulle falle bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

Saken gjelder krav fra Coop om dekning av sakskostnader etter at Personvernnemnda i sak PVN-2021-09 ga Coop medhold i klagen på Datatilsynets vedtak og ikke ila gebyr. I vurderingen la nemnda vekt på at vedtaket i sak PVN-2021-09 ble endret til gunst for Coop og at det var forståelig at Coop pådro seg utgifter ved å søke juridisk bistand i klageomgangen. Nemnda anså timeantallet som rimelig sett hen til sakens art og vanskelighetsgrad, og tilkjente 69 000 kroner til dekning av sakskostnader, jf. forvaltningsloven § 36. En ½ time gjaldt gjennomgang av nemndas vedtak, og ble ikke dekket fordi kostnader pådratt etter nemndas vedtak ikke var nødvendige for endringen av tilsynets vedtak.

A kontaktet Datatilsynet 22. september 2019 fordi han mener at hans tidligere arbeidsgiver, X kommune foretok uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Arbeidsgiver opplyste til Datatilsynet at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, og at dokumenter som er lagret der ikke kan gjenopprettes. Arbeidsgiver framla samtidig en ekstern og uavhengig ekspertvurdering som var innhentet i forbindelse med denne saken. Datatilsynet konkluderte med at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet saken. Nemnda sluttet seg til Datatilsynets vurdering om at det ikke er tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen. Nemnda opprettholdt Datatilsynets vedtak.

Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.

Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.