En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. GDPR artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.

Saken gjelder spørsmål om rett til innsyn i personopplysninger i et dødsbo under offentlig skifte, og rekkevidden av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b.

I forbindelse med offentlig skifte av dødsboet til As foreldre, henvendte A seg til bobestyreren å ba om innsyn i sakens dokumenter og en komplett dokumentliste, samt om innsyn i opplysninger om seg selv. Bobestyreren henviste A til Oslo byfogdembete (OBYF), som sendte A en utskrift av sakens dokumentliste, og ba A opplyse hvilke dokumenter han ønsket kopi av. Byfogden opplyste samtidig at begjæring om innsyn etter personopplysningsloven måtte sendes i egen henvendelse til byfogdembete. A klaget til Datatilsynet, som konkluderte med at skifteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at tilsynet derfor ikke har kompetanse til å forfølge saken. Tilsynet avsluttet sin saksbehandling og la til grunn at As innsynsrettigheter ville bli ivaretatt av OBYF. A klaget vedtaket inn for nemnda. Nemnda kom til at domstolens behandling av personopplysninger i et dødsbo under offentlig skiftebehandling er omfattet av personopplysningsloven og ikke omfattet av rettspleielovunntaket i § 2 andre ledd bokstav b. Det var likevel forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at As innsynsrettigheter ville bli ivaretatt av Oslo byfogdembete ved henvendelse dit.

Saken gjelder spørsmål om arbeidsgivers innsyn i og sletting av arbeidstakers e-postkonto, jf. personopplysningsforskriften 2000 § 9-2 og § 9-4, og spørsmål om overtredelsesgebyr, jf. personopplysningsloven (2000) § 46.

I oppsigelsestiden innførte arbeidsgiver en fraværsassistent på arbeidstakerens (A) e-postadresse som innebar at e-poster sendt til A ble direkte videresendt til firmaets e-postadresse «[firmapostkasse]». A kontaktet Datatilsynet og klaget på at arbeidsgiveren ikke hadde avsluttet og slettet e-postkassen hans. Datatilsynet ila overtredelsesgebyr på 75 000 kroner. Arbeidsgiveren klaget vedtaket inn for nemnda. Nemnda redegjorde for den bevisvurdering som skal foretas i saker om overtredelsesgebyr. Basert på den fremlagte dokumentasjonen la nemnda, med klar sannsynlighetsovervekt, til grunn at As e-postkasse automatisk ble viderekoblet til virksomhetens e-postkasse i nesten ett år og ni måneder etter at arbeidsforholdet ble avsluttet, og at viderekoblingen var å anse som ulovlig innsyn i As e-postkasse. En samlet nemnd konkluderte med at det var en grov overtredelse av personopplysningsforskriften 2000 §§ 9-2 og 9-4, og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 46.

Saken gjelder spørsmål om enkelte uttalelser om enkeltpersoner på et nettsted er vernet av unntaket for journalistiske, kunstneriske eller litterære ytringer i personopplysningsloven 2018 § 3.

En tidligere avskjediget ansatt (A) i en fylkeskommune, har skrevet negative kommentarer om fylkeskommunen og enkelte ansatte på et nettsted og i fire ulike e-bøker. Han har blant annet publisert ulike offentlige dokumenter knyttet til rettslige prosesser han har vært part i, sammen med egne kommentarer og vurderinger av det som har skjedd. E-bøkene er også utgitt i papirversjon. Datatilsynet påla A å slette/anonymisere enkelte personopplysninger på nettstedet, samt i en av e-bøkene. Den aktuelle e-boka har tilsvarende innhold som nettstedet, i pdf-format. De øvrige tre e-bøkene ble vurdert å være omfattet av unntaket i personopplysningsloven 2000 § 7. Nemnda kom til at også de aktuelle personopplysningene på nettstedet og i den fjerde e-boka var vernet av unntaket i personopplysningsloven 2018 § 3. Nemnda uttaler at man med bakgrunn i § 3 ikke kan foreta en detaljregulering av innholdet og layouten på en nettside, hvor de samme personopplysningene tillates i én kontekst, men ikke i en annen. Nemnda påpeker at personopplysningsloven ikke nødvendigvis er det ideelle rettsgrunnlaget for å forfølge denne typen saker. Samme saksforhold har også vært behandlet av nemnda tidligere i PVN-2017-06.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO).

En privatperson (A) ba om at alle opplysninger om han fra en rettsak i tingretten og lagmannsretten hvor A var fornærmet, ble slettet. Han ba også om at en bekymringsmelding fra et familiemedlem vedrørende As psykiske helse ble slettet, samt opplysninger fra en hendelse på toget hvor politiet ble tilkalt på grunn av en melding om en beruset passasjer. As begjæring om sletting og retting av opplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Den delen av klagen som gjaldt sletting av opplysninger i PO fra straffesaken ble avvist av nemnda fordi Datatilsynets kompetanse i straffesaker er begrenset til eventuelt å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. De øvrige opplysningene ble ansett for å være opplysninger utenfor straffesak. For slike opplysninger har tilsynet påleggskompetanse etter politiregisterloven § 60 første ledd. Nemnda la til grunn at politiregisterloven § 60 må forstås slik at det kun er tilsynets vedtak om pålegg som kan klages inn for nemnda. Når tilsynet hadde funnet at opplysningene om A var behandlet i samsvar med politiregisterloven og konkludert med at behandlingen er lovlig, kan ikke tilsynets vurdering påklages til nemnda etter politiregisterloven § 60. Nemnda aviste saken.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO). Etter en trafikkontroll hvor politiet mistenkte A for ruspåvirket kjøring, ble opplysninger fra hendelsen registrert i PO. As førerkort ble midlertidig beslaglagt, men utlevert senere samme dag. Saken ble senere henlagt av politiet. As begjæring om retting og sletting av personopplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Nemnda viste til at mistanke om ruspåvirket kjøring og midlertidig beslag av førerkort er saker som behandles etter straffeprosessloven og at Datatilsynets kompetanse i slike saker er begrenset til å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi anmerkning eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda aviste saken.

Saken gjelder spørsmål om lærer A, etter avslutning av arbeidsforholdet, kan kreve at tidligere arbeidsgiver (X/Y) sletter dokumenter fra hans personalmappe med opplysninger om en arbeidskonflikt A var involvert i da han arbeidet der. Etter at arbeidsforholdet var avsluttet har A tatt ut søksmål mot X/Y. Datatilsynet avslo As begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR) og redegjorde nærmere for sitt syn på lovvalget. Nemnda fastslo at arbeidsgivers opprinnelige behandlingsgrunnlag for lagringen var personaladministrasjon, jf. GDPR artikkel 6 nr. 1 bokstav f, men etter at A avsluttet arbeidsforholdet var begrunnelsen for fortsatt lagring endret til skolens behov for å dokumentere saksbehandlingshistorikken. Nemnda la til grunn at den nye bruken av opplysningene er forenlig med det opprinnelige formålet, jf. GDPR artikkel 6 nr. 4, jf. artikkel 5 nr. 1 bokstav b og c. Nemnda viste til at A har en pågående klagesak mot X/Y i Diskrimineringsnemnda der A mener seg utsatt for aldersdiskriminering. Nemnda konkluderte med at fortsatt lagring er nødvendig for å ivareta X/Ys berettigede interesser, jf. GDPR artikkel 6 nr. 1 bokstav f, og avslo As krav om sletting.

Saken gjelder spørsmål om en privatperson (A) kunne kreve å få slettet sine personopplysninger fra fylkesmannens arkiv. Dokumentene, som inneholder opplysninger om As helse og innleggelse på psykiatrisk avdeling, er knyttet til en klagesak på en kommunelege som fylkesmannen tidligere hadde behandlet. Datatilsynet, som ikke ga A medhold i kravet om sletting, vurderte saken etter personopplysningsloven 2000. Nemnda redegjorde for lovvalgsspørsmålet, og vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). I likhet med Datatilsynet konkluderte nemnda med at fylkesmannen ikke kunne pålegges å slette dokumentene selv om A hadde protestert mot behandlingen, jf. GDPR artikkel 17 nr. 3 bokstav d. Nemnda la vekt på at Riksarkivaren var hørt og hadde uttalt at fortsatt lagring var nødvendig ut fra rettssikkerhetshensyn, arkivformål og forskningsformål. Nemnda fant at fylkesmannen har behandlingsgrunnlag for fortsatt lagring av opplysningene til arkivformål i allmennhetens interesse, jf. GDPR artikkel 6 nr. 1 bokstav e, jf. personopplysningsloven 2018 § 8 og GDPR artikkel 9 nr. 2 bokstav j.

Saken gjelder spørsmål om bredbåndselskapets NextGenTels behandling, herunder utlevering, av As kundeopplysninger. A står registrert i folkeregisteret med «Sperret adresse -FORTROLIG», som innebærer at hennes adresse og telefonnummer ikke skal legges ut offentlig, heller ikke utleveres til nummeropplysningstjenester. NextGentel avsluttet kundeforholdet til A i 2016 etter å ha blitt ilagt overtredelsesgebyr av Datatilsynet for utlevering av hennes personopplysninger, gjennomgått rettsprosser og inngått flere forlik med A, som også innebar erstatningsutbetaling for urettmessig utlevering av personopplysninger. A brakte saken inn for Datatilsynet igjen og anførte at saken gjaldt spørsmål om hvorvidt NextGenTel hadde solgt hennes personopplysninger. Tilsynet avsluttet saken uten å gi pålegg. Nemnda la som Datatilsynet til grunn at personopplysningsloven 2000 og 2018 ikke skiller mellom salg eller annen utlevering av personopplysninger, men at det avgjørende er om det foreligger behandlingsgrunnlag for den behandlingen av personopplysninger den behandlingsansvarlige foretar. Nemnda konkluderte med at NextGenTels behandling av As personopplysninger da hun var kunde var tilstrekkelig og forsvarlig vurdert av Datatilsynet. Det forelå ingen nye brudd på personopplysningsloven. Det var heller ikke behov for ytterligere undersøkelser fra tilsynets side.

Saken gjelder en kommunes publisering av et saksframlegg til et kommunestyremøte på kommunens nettside som inneholdt opplysninger om mulig personalsak mot tre av kommunens ansatte, som alle hadde sluttet seg til en varslersak knyttet til rådmannens lederstil. De tre ansatte, som var omtalt med navn i saksframlegget, mente publiseringen innebar et brudd på personopplysningsloven og at de publiserte personopplysningene var taushetsbelagte etter forvaltningsloven. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fant i likhet med Datatilsynet at saksframlegget ikke inneholdt sensitive personopplysninger og konkluderte med at det ikke var skjedd en utlevering av personopplysninger som omfattes av bestemmelsene i personopplysningsloven 2018. Nemnda var enig med Datatilsynet i at de ikke hadde kompetanse til å vurdere hvorvidt kommunens tolkning av taushetspliktbestemmelsene i forvaltningsloven var korrekt eller ikke. I vedtaket uttaler nemnda seg om innsyn i offentlige dokumenter og forholdet mellom personopplysningsloven (både 2000-loven og 2018-loven) og offentleglova.