Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.