Innhold

Leders beretning

Administrative forhold, styring og kontroll i nemnda

Regnskap og budsjett for 2022

Nemndas medlemmer

Nemndas sekretariat

Årets aktiviteter

Saksbehandlingen i Personvernnemnda

Saker som ble behandlet i 2022

PVN-2021-18 Sletting av søketreff i søkemotoren Google

PVN-2021-19 Klage på Datatilsynets vedtak om at NAV ikke har behandlet personopplysninger ulovlig

PVN-2021-20 Kameraovervåking i virksomhet – overtredelsesgebyr

PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier

PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

PVN-2022-02 Sletting av søketreff i søkemotoren Google

PVN-2022-03 Kredittvurdering uten rettslig grunnlag – overtredelsesgebyr

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

PVN-2022-08 Innsyn i elevmappe – klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn

PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning – personvernforordningen artikkel 57 nr. 4

PVN-2022-10 Sletting av uriktige personopplysninger hos NAV

PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter

PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag – overtredelsesgebyr

PVN-2022-16 Rekkevidden av rettspleielovunntaket

Vurdering av framtidsutsikter

Leders beretning

Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Personvernforordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Personopplysningsloven og personvernforordningens regulering av hvordan personopplysninger skal behandles, har stor betydning for enkeltpersoner, privat næringsliv og offentlig sektor. Datatilsynet er tilsynsmyndighet etter loven.

Personvernnemnda er klageorgan for Datatilsynets vedtak, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

Året 2022 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2022 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.

Nemnda gjennomførte totalt åtte møter i 2022, hvorav ett av møtene gikk over to dager (juni). Møtene ble hovedsakelig gjennomført ved fysiske møter, med unntak av ett møte i januar 2022 som ble holdt digitalt av smittevernhensyn (koronavirus).

Nemnda behandlet totalt 19 saker i 2022, som er et noe lavere antall enn i 2021. Dette skyldes hovedsakelig at noen saker har vært store og/eller komplekse og at det var nødvendig å behandle sakene over flere møter. Sak PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier, er et eksempel på en stor og krevende sak. To saker som gjaldt spørsmål om sletting av søketreff i søkemotoren Google, PVN-2021-18 og PVN-2022-02 ble behandlet over henholdsvis tre og to nemndsmøter.

Også PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune – overtredelsesgebyr, er et eksempel på en stor og omfattende sak. Saken ble behandlet i tre nemndsmøter og ferdigstilt i januar 2023. Bakgrunnen for saken var at sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger fra kommunens innbyggere kom på avveie. Nemnda opprettholdt Datatilsynets vedtak om å ilegge kommunen et overtredelsesgebyr på 4 000 000 kroner for brudd på personopplysningssikkerheten.

Advokat Line Coll ble i april 2022 løst fra sitt verv som medlem i Personvernnemnda, da hun i statsråd 22. april 2022 ble utnevnt som ny direktør i Datatilsynet. Nytt medlem av nemnda, advokat Malin Tønseth, ble oppnevnt til verv i Personvernnemnda allerede fra 20. mai 2022.

Nemnda er tilfreds med egen saksavvikling i 2022. Sakstypene dekker alle samfunnsområder og viser at personvern står sentralt og får økende aktualitet. Nemnda har fortsatt som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker.

Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte.

Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser fram til fortsatt spennende diskusjoner i 2023.

Oslo, 28. februar 2023

Mari Bø Haugstad
Leder

Administrative forhold, styring og kontroll i nemnda

Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og distriktsdepartementet (KDD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av personopplysningsloven 2018, regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.

Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der departementet klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.

Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig.

Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land (grenseoverskridende behandling) og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.

Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.

Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.

Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, www.personvernnemnda.no, i anonymisert form.

Regnskap og budsjett for 2022

Personvernnemnda finansieres over kap. 546, post 01, Personvernnemnda, i statsbudsjettet. Nemnda ble opprinnelig tildelt et budsjett på 2 634 000 kroner i 2022, men grunnet mindreforbruk ble Personvernnemndas bevilgning i 2022 redusert med 600 000 kroner, jf. Stortingets behandling av Prop. 23 S (2022–2023) for Kommunal- og moderniseringsdepartementet, jf. Innst. 131 S (2022-2023).  Disponibel bevilgning for Personvernnemnda i 2022 ble etter dette 2 034 000 kroner. Totalt forbruk i 2022 var 1 885 732 kroner. Personvernnemnda disponerte sin bevilgning primært til lønns- og driftsutgifter til Personvernnemndas sekretariat, reiseutgifter og godtgjørelse til nemndas medlemmer, innkjøp av litteratur, tjenester (drift av nemndas nettsted og Intranett) samt deltakelse på kurs.

Mindreforbruket skyldes i hovedsak at nemnda avviklet færre møter i 2022 enn planlagt, samt at ett av møtene ble gjennomført digitalt uten reisekostnader. Nemnda hadde dessuten satt av noe midler til internseminar samt kurs og deltakelse på konferanser som ikke ble prioritert av hensyn til saksproduksjon og håndtering av arbeid som tilligger nemnda.

Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KDD. Alle utbetalinger godkjennes av departementet.

Nemndas medlemmer

Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas medlemmer og deres vararepresentanter er oppnevnt av Kongen.

Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid.

Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.

Personvernnemnda besto i 2022 av følgende personer:

Leder:
Sorenskriver Mari Bø Haugstad, Hamar
Personlig vara: Riksmekler og lagdommerMats Wilhelm Ruland, Oslo

Nestleder:
Professor Bjørnar Borvik, Bergen
Personlig vara: Tingrettsdommer Gunn Elin Lode, Sandnes

Medlemmer:
Advokat Line Coll, Oslo (i perioden fra 1. januar til 22. april 2022)
Advokat Malin Tønseth, Oslo (fra 20. mai 2022)
Personlig vara: Rådgiver Eirik Løkke, Oslo

Overlege Ellen Økland Blinkenberg, Bergen
Personlig vara: Seniorrådgiver Heidi Talsethagen, Tromsø

Professor Morten Goodwin, Kristiansand
Personlig vara: Teknologidirektør Simen Sommerfeldt, Nordre Follo

Advokat Hans Marius Graasvold, Skien
Personlig vara: Fagdirektør personvern Maryke Silalahi Nuth, Oslo

Sivilingeniør Hans Marius Tessem, Gjøvik
Personlig vara: Seniorforsker Petter Bae Brandtzæg, Oslo

Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no finnes mer informasjon om nemndas medlemmer.

Nemndas sekretariat

Personvernnemnda har et eget sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda. Sekretariatet, som består av én medarbeider, er administrativt ansatt i KDD.

Sekretariatsfunksjonen utføres av juridisk seniorrådgiver/sekretariatsleder Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet.

Årets aktiviteter

Personvernnemnda holder vanligvis sine møter i Oslo. I 2022 ble åtte møter gjennomført, de fleste fysisk. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.

I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretariatsleder ble holdt 2. mai 2022. Det ble der blant annet orientert om saksavviklingen i nemnda, økonomi/ressurssituasjonen og arbeidet med å utvikle nye nettsider.

Saksbehandlingen i Personvernnemnda

Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.

I 2022 har nemnda hatt 27 saker til behandling. Nemnda mottok 22 nye saker fra Datatilsynet og fem saker ble overført fra 2021.

Nemnda holdt åtte møter i 2022. På disse møtene ble 19 saker ferdigbehandlet. Ett vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i tre saker.

Saksbehandlingstiden var på 4,0 måneder. Åtte saker ble overført fra 2022 til behandling i 2023.

De fleste sakene ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene, i et samarbeid mellom leder og sekretariat og de øvrige medlemmene i nemnda.

Også i 2022 har sakene Personvernnemnda behandlet reist varierte problemstillinger. En sakstype som jevnlig dukker opp, er saker knyttet til kameraovervåking, både i virksomhet og privat. I 2021 behandlet nemnda dette saksfeltet i fire saker. I 2022 ble denne sakstypen behandlet i tre saker, PVN-2021-20, PVN-2021-22 og PVN-2022-06.

Saker knyttet til kredittvurderinger uten rettslig grunnlag og arbeidsgivers overvåking av arbeidstakers e-postkasse uten rettslig grunnlag er også sakstyper som går igjen. I både PVN-2022-03 og PVN-2022-14, tok nemnda stilling til hvorvidt behandlingsansvarlig hadde overtrådt personopplysningsloven, om overtredelsesgebyr skulle ilegges og størrelsen på gebyret.

I tillegg er sletting av søketreff på personnavn i søkemotoren Google en sakstype som dukker opp jevnlig, blant annet i PVN-2021-18 og PVN-2022-02. Nemnda foretar en konkret interesseavveining i hver sak der hensynet til den enkeltes personvern veies opp mot hensynet til informasjons- og ytringsfriheten og allmennhetens interesse i ha tilgang på informasjon ved søk på vedkommendes navn.

Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.

Nemnda hadde åtte uavsluttede saker ved årets slutt.

Tabellen nedenfor viser saksavviklingen de seks siste årene.

Saker som ble behandlet i 2022

PVN-2021-18 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 17. august 2021 der Datatilsynet avslo krav om sletting av to søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2012 dømt til fengsel i fire år og seks måneder for blant annet grov korrupsjon. A ble også dømt til å betale erstatning til et annet selskap og fradømt retten til å drive selvstendig næringsvirksomhet på ubestemt tid. De straffbare handlingene foregikk i årene 2003 til 2010 og var knyttet til As rolle som styreleder og daglig leder i selskapet X AS. A krevde å få slettet søketreff i Google som ledet til avisartikler som omtalte straffesaken. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og at allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

PVN-2021-19 Klage på Datatilsynets vedtak om at NAV ikke har behandlet personopplysninger ulovlig

Klage fra A på Datatilsynets vedtak 14. januar 2021 der Datatilsynet kom til at NAV ikke behandlet As personopplysninger ulovlig.

A kontaktet Datatilsynet fordi han mente at NAV hadde behandlet hans personopplysninger ulovlig i forbindelse med gjennomføringen av prosjektet «Forsøk med ny medisinsk vurdering etter seks måneders sykmelding». Forsøket ble hjemlet i en egen forskrift, med hjemmel i folketrygdloven § 25-13. A, som var en av fastlegene med pasienter som ble omfattet av forsøket, ble i vedtak fra NAV i april 2018 fratatt «retten til å praktisere for trygdens regning», jf. folketrygdloven § 25-7. I vedtaket var det også vist til medisinske journaler til pasienter som hadde deltatt i forsøket. A mente opplysninger innhentet gjennom forsøksprosjektet ikke kunne brukes til kontrollformål. Nemnda konkluderte med at innsamlingen av opplysningene i forbindelse med forsøket, måtte anses som en del av NAVs utøvelse av offentlig myndighet overfor NAVs brukere og at man ikke kunne anse forskning som det eneste formålet for innsamlingen av disse opplysningene. NAV har hjemmel i folketrygdloven til å behandle personopplysninger til kontrollformål, jf. folketrygdloven § 21-4. Selv om opplysningene opprinnelig var samlet inn for å gi pasienter riktig behandling, herunder gi en pasient sykmelding og rett til sykepenger, var en bruk av opplysningene til kontrollformål ikke uforenlig med det opprinnelige formålet. Nemnda sluttet seg til Datatilsynets vurdering om at NAVs behandling av personopplysninger om A var lovlig. Nemnda opprettholdt Datatilsynets vedtak

PVN-2021-20 Kameraovervåking i virksomhet – overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.

Salongen benyttet sanntidsmonitorert kameraovervåking i virksomhetens lokaler uten å ha rettslig grunnlag for overvåkingen i perioden fra februar/mars 2019 til kameraet sluttet å virke i august samme år. Kameraet filmet både ansatte og kunder. Nemnda la til grunn at kameraet ble brukt til å overvåke de ansatte og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Kameraovervåkingen var heller ikke tydelig skiltet. Nemnda kom til at den kontinuerlige overtredelsen var alvorlig og kritikkverdig, og at virksomheten skulle ilegges et gebyr for overtredelsen. Datatilsynet hadde ilagt selskapet et gebyr på 100 000 kroner. Nemnda mente at overtredelsens alvor i utgangspunktet tilsa et høyere gebyr. Under henvisning til forvaltningsloven § 34 ble det utmålte gebyret opprettholdt. Lang saksbehandlingstid var da også hensyntatt. Nemnda la til grunn at en samlet saksbehandlingstid på 2 ½ år var for lang sett hen til sakens mangel på kompleksitet. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier

Klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.

Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.

PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 4. oktober 2021 om å avslutte sak om ulovlig kameraovervåking hos nabo B fordi den hadde opphørt.

Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2022-02 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 30. april 2021 om sletting av tre søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.

PVN-2022-03 Kredittvurdering uten rettslig grunnlag – overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-08 Innsyn i elevmappe – klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn

Klage fra A på Datatilsynets vedtak 1. mars 2022 om at A ikke hadde krav på ytterligere innsyn etter personopplysningsloven, jf. personopplysningsloven § 16 første ledd bokstav e.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning – personvernforordningen artikkel 57 nr. 4

Klage fra A på Datatilsynets avgjørelse om å avvise en klage fordi anmodningen om bistand åpenbart er overdreven eller grunnløs.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-10 Sletting av uriktige personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak 15. november 2021 om avslag på krav om sletting av personopplysninger hos NAV.

Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter

Klage fra A på Datatilsynets vedtak om avvisning av klage på grunn av manglende klagerettigheter.

Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag – overtredelsesgebyr

Klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13. Klagen gjelder også Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.

Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale

PVN-2022-16 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak der tilsynet avviste saken under henvisning til personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak

Vurdering av framtidsutsikter

I NOU 2022:11 Ditt personvern – vårt felles ansvar, tegner Personvernkommisjonen et bilde av en digitaliseringsprosess som preger alle samfunnssektorer. Det tilsier behov for økt oppmerksomhet og økt styrking av personvernet framover.

Viktigheten av god data- og personopplysningssikkerhet har også blitt aktualisert ved at flere store norske virksomheter, både offentlige og private, de siste årene har vært utsatt for datainnbrudd med potensielt store konsekvenser for personvernet. Sak PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune illustrerer hvor alvorlige konsekvenser et dataangrep kan få og hvor viktig det derfor er å ha robust infrastruktur og tilstrekkelig beskyttelse mot angrep utenfra. Samfunnets ivaretagelse og sikring av personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.

Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt for tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det lite sannsynlig at saksmengden vil gå ned. Med økt digitalisering på alle samfunnsområder er det etter nemndas vurdering sannsynlig at sakene vil bli mer komplekse.

Som tidligere påpekt av nemnda vil nye regler også medføre økt behov for rettslige avklaringer, noe som må skje gjennom praksis. Det samme gjelder fastsettelse av nivå for ileggelse av overtredelsesgebyr. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop.56 LS (2017-2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og hva som er nødvendig ressursbruk.

Nemnda mottok 6. desember 2022 en ny klagesak fra Datatilsynet, PVN-2022-22. Saken gjelder klage fra Grindr LLC på Datatilsynets vedtak 13. desember 2021 der tilsynet ila Grindr LLC et overtredelsesgebyr på 65 000 000 kroner for ha utlevert personopplysninger til annonsepartnere uten gyldig rettslig grunnlag og for å ha utlevert særlige kategorier av personopplysninger til annonsepartnere. Saken er stor og omfattende og vil trolig legge vesentlige beslag på sekretariatets og nemndas ressurser i 2023.

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Innhold

Leders beretning
Administrative forhold, styring og kontroll i nemnda
Regnskap og budsjett for 2020
Nemndas medlemmer
Nemndas sekretariat
Årets aktiviteter
Saksbehandlingen i Personvernnemnda
Saker som ble behandlet i 2020
PVN-2019-14 Arbeidsgivers innsyn i e-post
PVN-2019-15 Kredittvurdering uten saklig behov – overtredelsesgebyr
PVN-2019-16 Sletting av personopplysninger i personalmappe
PVN-2020-01 Kameraovervåking på privat eiendom
PVN-2020-02 Sletting av personopplysninger på Tilsynsrådets nettside
PVN-2020-03 Saken er trukket av klager
PVN-2020-04 Påstand om mangelfull informasjon fra energiselskap – klage på Datatilsynets avslutning av sak
PVN-2020-05 Sletting av personopplysninger i elevmappe
PVN-2020-06 Sletting av personopplysninger i kommunal journal
PVN-2020-07 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten – avvisning av klage
PVN-2020-08 Sletting av søketreff i søkemotoren Google
PVN-2020-09 Behandling av personopplysninger i AutoPASS
PVN-2020-10 Sletting av personopplysninger i barnevernssak
PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse
PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven
PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter
PVN-2020-14 Sletting av søketreff i søkemotoren Google
PVN-2020-15 Skrivemåte for personnavn

Vurdering av framtidsutsikter

Leders beretning

Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.

Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

Året 2020 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2020 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.

Koronavirus-pandemien påvirket nemndas arbeid i 2020. Smittevernhensyn og reiserestriksjoner har gjort at fysiske møter, kurs og seminarer ikke har latt seg gjennomføre. To møter ble avlyst på grunn av pandemien, ett i mars og ett i desember. De øvrige møtene ble gjennomført digitalt, noe som fungerte godt. Nemnda har, som mange andre virksomheter rundt i landet, erfart at videomøter er et godt alternativ, samtidig som fysiske møter med samtaler og diskusjoner ansikt til ansikt i noen sammenhenger er å foretrekke.

Nemnda er tilfreds med saksavviklingen i 2020 og har fortsatt som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker.

Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte. Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser fram til fortsatt spennende diskusjoner i 2021.

Oslo, 2. februar 2021

Mari Bø Haugstad
Leder

Administrative forhold, styring og kontroll i nemnda

Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av ny personopplysningslov i 2018 regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.

Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der KMD klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.

Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.

Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.

Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.

Personvernnemndas nettsted, www.personvernnemnda.no , og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.

Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.

Regnskap og budsjett for 2020

Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet. Nemnda hadde et budsjett på 2 683 000 kroner i 2020. Totalt forbruk i 2020 var 1 799 277 kroner. Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester samt deltakelse på digitale kurs.

Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KMD. Alle utbetalinger godkjennes av departementet.

Nemnda har i 2020 et forbruk under budsjett på ca. 880 000 kroner. Underforbruket skyldes hovedsakelig at nemnda, på grunn av pandemien, har avviklet færre møter i 2020 enn planlagt, samt at møtene har vært gjennomført som digitale møter. Nemnda hadde også avsatt en del midler til kurs og konferanser som ikke ble noe av i 2020, også grunnet korona-situasjonen.

Nemndas medlemmer

Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas leder og nestleder og deres vararepresentanter er oppnevnt av Stortinget. Nemndas øvrige fem medlemmer og deres vararepresentanter er oppnevnt av Kongen.

Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.

Personvernnemnda besto i 2020 av følgende personer:

Leder:
Kst. sorenskriver Mari Bø Haugstad, Hamar
Personlig vara: Riksmekler og lagdommer Mats Wilhelm Ruland, Oslo

Nestleder:
Professor Bjørnar Borvik, Bergen
Personlig vara: Advokat Ellen Eikeseth Mjøs, Bergen

Medlemmer:
Advokat Line Coll, Oslo
Persnonlig vara: Dekan Audhild Gregoriusdotter Rotevatn, Volda

Overlege Ellen Økland Blinkenberg, Bergen
Persnonlig vara: Seniorrådgiver Heidi Talsethagen, Tomasjord

Universitetslektor Gisle Hannemyr, Oslo
Persnonlig vara: Direktør Torgeir Waterhouse, Oslo

Advokat Hans Marius Graasvold, Skien
Persnonlig vara: Fagdirektør personvern Maryke Silalahi Nuth, Oslo

Sivilingeniør Hans Marius Tessem, Gjøvik
Persnonlig vara: Seniorforsker Petter Bae Brandtzæg, Oslo

Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no finnes mer informasjon om nemndas medlemmer.

Nemndas sekretariat

Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KMD. Sekretariatsfunksjonen utføres av juridisk seniorrådgiver/sekretariatsleder Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet, men har fra mars 2020 hovedsakelig utført arbeidet fra hjemmekontor.

Årets aktiviteter

Personvernnemnda holder vanligvis sine møter i Oslo. I 2020 ble åtte møter gjennomført, de fleste digitalt. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.

I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretariatsleder er gjennomført.

Nemnda deltok ikke på internasjonale konferanser i 2020.

Saksbehandlingen i Personvernnemnda

Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.

I 2020 har nemnda hatt 27 saker til behandling (tre saker overført fra 2019), mot 25 saker året før (da ni saker ble overført fra 2018). Nemnda mottok med andre ord 24 nye saker fra Datatilsynet i 2020, mot 16 saker året før. Det er en økning i sakstilfanget på 50%.

Nemnda avholdt åtte møter i 2020, som var to møter mindre enn planlagt. På disse møtene ble 17 saker ferdigbehandlet. Én sak ble trukket fra nemndsbehandling. Ett vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i ni saker, inkludert én sak som ble avvist. Saksbehandlingstiden var på 2,3 måneder mot 5,6 måneder i 2019. Samtidig er restansene i 2020 på samme nivå som i 2019. Ni saker ble også i 2020 overført til behandling i 2021.

De fleste sakene ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene, i et samarbeid mellom leder og sekretariat og de øvrige medlemmene i nemnda.

Sakene Personvernnemnda har behandlet i 2020 har reist varierte og til dels nye problemstillinger. Eksempler på nye problemstillinger er sakene i PVN-2020-11 og PVN-2020-12. I PVN-2020-11 tok nemnda stilling til hvorvidt Datatilsynets irettesettelse overfor den behandlingsansvarlige etter personvernforordningen artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. I PVN-2020-12 vurderte nemnda forholdet mellom ekomloven og personopplysningsloven og tok stilling til hvilken plikt behandlingsansvarlige har til å gi Datatilsynet den informasjonen tilsynet har etterspurt uavhengig av om opplysningene som ble behandlet var regulert av ekomloven eller ikke. Også i 2020 har nemnda behandlet to saker som gjaldt spørsmål om sletting av søketreff i Google (PVN-2020-08 og PVN-2020-14).

En annen sakstype som jevnlig dukker opp er saker med krav om sletting av personopplysninger fra ulike registre eller saksmapper, som elevmapper, journaler og personalmapper eller barnevernsaker. Dette saksfeltet er omhandlet i PVN-2020-05, PVN-2020-06, PVN-2019-16 og PVN-2020-10, som alle er behandlet av nemnda i 2020.

Spørsmålet om lovligheten av privat kameraovervåkning er også en sakstype som nemnda mottar flere saker av. Nemnda mottok i 2020 tre slike saker, PVN-2020-01, PVN-2020-11 og PVN-2020-20, hvor de to første ble behandlet av nemnda i 2020.

Nemnda vil også trekke fram en viktig sak som gjaldt kommunenes behandling av personopplysninger i kartleggingsverktøyet Spekter, som mange skoler bruker for å kartlegge mobbing i skolene. I PVN-2020-13 tok nemnda blant annet stilling hvorvidt Arendal kommune har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A for å bruke det digitale kartleggingsverktøyet Spekter.

Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.

Nemnda hadde ni uavsluttede saker ved årets slutt.

Tabellen nedenfor viser saksavviklingen de seks siste årene.

Saker som ble behandlet i 2020

PVN-2019-14 Arbeidsgivers innsyn i e-post

Klage fra A og B på Datatilsynets vedtak 11. februar 2019 der tilsynet konkluderte med at det ikke var foretatt ulovlig innsyn i As og Bs e-poster og at Bs Teamviewer-konto ikke var benyttet i strid med regelverket.

A var ansatt og B var innleid konsulent i selskapet X AS. A og B ble utleid fra X AS for å utføre oppdrag for Y AS. Ved en fisjon av selskapet Y AS ble den delen som A og B var utleid til lagt til X AS. Etter at A sa opp sin stilling og B avsluttet sitt oppdragsforhold, foretok X AS innsyn i A og Bs e-poster både med X og Ys domenenavn. Nemnda kom til at X AS hadde rettslig adgang til å foreta innsyn i A og B’s e-postkasser og at innsynene i e-postkassene var nødvendig for å ivareta virksomhetens berettigede interesser. Videre mente nemnda at C, som deltok under innsynsforretningene på vegne av X AS da han var daglig leder i et tredje selskap, hadde fullmakt til å foreta innsynene i e-postkassene på vegne av X AS. Nemnda var også enig med tilsynet i at det ikke var grunnlag for å si at Teamviewer-kontoen ble benyttet i strid med regelverket. Nemnda opprettholdt Datatilsynets vedtak om at det ikke hadde skjedd brudd på personopplysningsloven.

PVN-2019-15 Kredittvurdering uten saklig behov – overtredelsesgebyr

Klage fra X Advokatfirma på Datatilsynets vedtak 6. mai 2019 om ileggelse av overtredelsesgebyr på 75 000 kroner for å ha foretatt kredittvurdering av et enkeltpersonforetak uten saklig behov.

A kontaktet Datatilsynet 6. juni 2017 etter å ha mottatt flere brev fra kredittopplysningsbyrået Bisnode om at X Advokatfirma hadde kredittvurdert hans enkeltpersonforetak, Y Advokatkontor. A mente X ikke hadde saklig behov for slik kredittsjekk. X bestred at advokatfirmaet har kredittvurdert enkeltpersonforetaket og viste til at de heller ikke hadde saklig grunn for det. X mente kredittvurderingene skyltes en systemsvikt hos Bisnode. Datatilsynet kom fram til at det var klar sannsynlighetsovervekt for at X foretok kredittvurderingene av As enkeltpersonforetak og ila et overtredelsesgebyr på 75 000 kroner. X Advokatfirma klaget vedtaket inn for nemnda. Nemnda fant det klart sannsynliggjort at det var foretatt kredittvurdering uten saklig behov og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 4.

PVN-2019-16 Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 7. mai 2019 der tilsynet avslo kravet om sletting av opplysninger i As personalmappe.

Opplysningene var knyttet til en hendelse i mai 2009 hvor A ble gitt en skriftlig tilrettevisning av arbeidsgiver. Nemnda la til grunn at det aktuelle behandlingsgrunnlaget for lagringen er personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda skal ikke vurdere grunnlaget for at tilrettevisningen opprinnelig ble gitt, men skal vurdere nødvendigheten av fortsatt lagring etter at den registrerte har protestert, jf. personvernforordningen artikkel 21 nr. 1. Nemnda la til grunn at det er arbeidsgiver som har bevisbyrden for at fortsatt lagring er nødvendig og at det i dette ligger at arbeidsgiver må påvise konkrete og reelle forhold som tilsier at det foreligger «tvingende berettigede grunner», jf. også PVN-2018-11. Alvorlighetsgraden av den aktuelle hendelsen som har resultert i tilrettevisningen er da av betydning for arbeidsgivers behov for fortsatt lagring. Det samme er tiden som har gått siden den aktuelle hendelsen fant sted, og om det har vært nye hendelser senere. Nemnda konkluderte med at det ikke forelå tvingende berettigede grunner for fortsatt lagring. Det var registrert én ny tilrettevisning etter den tilrettevisningen saken gjaldt, men den gjaldt et helt annet type forhold enn hendelsen i 2009, som hadde sammenheng med en stor personlig krise. Arbeidsgiver ble pålagt å slette alle personopplysninger fra As personalmappe knyttet til den aktuelle tilrettevisningen.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2020-01 Kameraovervåking på privat eiendom

Klage fra A og B på Datatilsynets vedtak 5. mai 2018 der tilsynet konkluderte med at kameraovervåkingen på C’s eiendom har et privat formål, og at det ikke foreligger brudd på personopplysningsloven.

A og B klaget over to kameraer på naboens (Cs) eiendom som de mente overvåket dem. Tilsynet konkluderte med at kameraene ikke fanget opp klagernes eiendom og at personopplysningsloven ikke var brutt. Da nemnda fikk saken til behandling hadde C flyttet og det ene kameraet var fjernet. Nemnda la til grunn at C ikke lenger var å anse som part, jf. forvaltningsloven § 2 e, og at saken når det gjaldt C ikke lenger var aktuell. Nemnda kom til at saken kunne behandles uten at ny eier ble brakt inn som part i saken, fordi nemnda la til grunn at det ikke var sannsynliggjort brudd på personopplysningsloven forbundet med det gjenværende kameraet. Nemnda la til grunn at tilsynet hadde foretatt en forsvarlig behandling av saken. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at det monterte kameraet fanget opp områder utenfor husets egen tomt og at behandlingen dermed var omfattet av unntaket for lovens virkeområde i personopplysningsloven § 2 andre ledd bokstav a. Nemnda opprettholdt tilsynets vedtak. Saken har tidligere vært behandlet av nemnda i PVN-2016-03.

PVN-2020-02 Sletting av personopplysninger på Tilsynsrådets nettside

Klage fra A på Datatilsynets vedtak 2. oktober 2019 der Datatilsynet avslo kravet om å pålegge Tilsynsrådet for advokatvirksomhet (Tilsynsrådet) å slette publiserte personopplysninger på sin nettside.

As advokatbevilling ble tilbakekalt av Advokatbevillingsnemnden i 2011. Tilsynsrådet mottok meldinger om at A fortsatt drev advokatvirksomhet og publiserte i oktober 2018 et varsel dette på sin nettside. Nemnda la til grunn at Tilsynsrådets behandling av personopplysninger ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at Tilsynsrådets behandling av personopplysninger om A har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. l bokstav e, jf. domstolloven § 225 og advokatforskriften § 1-3 og § 4-5. Nemnda la til grunn at de publiserte opplysningene er korrekte og nødvendig oppdaterte, og at publiseringen av varselet både er nødvendig og proporsjonalt for formålet. Nemnda sluttet seg til Datatilsynets konklusjon om at det foreligger tvingende eller tungtveiende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 17 nr. 1 bokstav c, jf. artikkel 21 nr. 1.

PVN-2020-03 Saken er trukket av klager

PVN-2020-04 Påstand om mangelfull informasjon fra energiselskap – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 29. april 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer, omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019. A ba Datatilsynet om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning. Tilsynet mente at A har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut, og avsluttet saken uten å gi pålegg eller foreta ytterligere undersøkelser. I likhet med tilsynet la nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artiklene 12, 13 og 14. Nemnda mente at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt og at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven.

PVN-2020-05 Sletting av personopplysninger i elevmappe

Saken gjelder klage fra X kommune på Datatilsynets vedtak 20. august 2019 der Datatilsynet påla kommunen å slette personopplysninger i elevmappen til A.

En barneskole sendte en bekymringsmelding til kommunens barne- og familietjeneste vedrørende eleven A. Opplysningene knyttet til bekymringsmeldingen ble lagret i As elevmappe i saksbehandlingssystemet ESA Sikker. Barneverntjenesten henla saken uten å iverksette tiltak. Foreldrene ba skolen om å slette alle opplysninger knyttet til bekymringsmeldingen fra elevmappen da A skulle over til ungdomsskolen. Kommunen avslo kravet om sletting, men sperret de aktuelle dokumentene slik at de ikke var tilgjengelige for ansatte. Nemnda tok ikke stilling til om det blant opplysningene som var krevd slettet også var opplysninger som er arkivpliktig etter arkivloven, jf. Riksarkivarens forskrift § 7-28. Nemnda kom til at unntaket for sletteplikt i personvernforordningen artikkel 17 nr. 3 bokstav d uansett kom til anvendelse. Etter nemndas vurdering er fortsatt lagring av opplysningene i elevmappen nødvendig for arkivformål i allmennhetens interesse og sletting av opplysningene vil gjøre det umulig eller i alvorlig grad hindre at målene med nevnte behandling nås. Målene med fortsatt lagring av opplysningene er å sikre at opplysningene ikke blir kassert før rettslige og forvaltningsmessige dokumentasjonsbehov er bortfalt. Det foreligger tvingende berettigede grunner for fortsatt oppbevaring av de aktuelle opplysningene i kommunens arkiv, som går foran den registrertes interesser, rettigheter og friheter, jf. artikkel 21 nr. 1. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-06 Sletting av personopplysninger i kommunal journal

Saken gjelder klage fra A på Datatilsynets vedtak 16. januar 2020 der tilsynet avslo kravet om sletting av personopplysninger i to journaler hos vedtakskontoret for helse- og omsorgstjenester i X kommune.

A søkte om kommunale helse- og omsorgstjenester som følge av psykiske plager. Kommunen utarbeidet journalnotater med vurderinger av As oppfølgingsbehov. A anmodet om sletting av flere opplysninger. Kommunen imøtekom delvis slettekravet, men avslo å slette notatene i to journaler fra 2014 og 2017 under henvisning til at det var arkivpliktig materiale. A fikk anledning til å supplere journalnotatetene slik at det framkommer hva hun mener er feil. Nemnda mente at kommunen med dette har ivaretatt sin plikt til dataminimering. Nemnda la til grunn at formålet med innsamling av opplysningene opprinnelig var knyttet til kommunens behandling av As søknad om kommunale helse- og omsorgstjenester og at formålet med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste videre til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge kommunen å slette disse opplysningene, jf. personvernforordningen § 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav d, og personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-07 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten – avvisning av klage

Saken gjelder klage fra A og B på Datatilsynets avgjørelse 20. januar 2020 der Datatilsynet avsluttet en sak fra X kommune om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge overtredelsesgebyr.

A og B sendte et høringssvar i en sak etter plan- og bygningsloven der de vedla et dokument med konfidensielle helseopplysninger om A. Setningen med de konfidensielle opplysningene var sladdet av A før innsendelse, men teksten var likevel synlig. Dokumentet ble publisert på kommunens offentlige saksliste, via kommunens nettsted. A kontaktet kommunen som umiddelbart fjernet dokumentet fra nettstedet. Personvernombudet sendte avviksmelding om hendelsen til Datatilsynet. A kontaktet også Datatilsynet og viste til kommunens brudd på personvernforordningen, samt fremsatte krav om erstatning. Datatilsynet avsluttet avvikssaken overfor kommunen uten å gi pålegg eller ilegge sanksjoner. Datatilsynet avsluttet også saken overfor A og B og viste til at saken var avsluttet overfor kommunen og at de iverksatte tiltakene var vurdert som tilstrekkelige. Datatilsynet orienterte om at et eventuelt erstatningskrav må fremmes for domstolene. A og B klaget til nemnda på Datatilsynets avgjørelse. Klagen ble avvist av Personvernnemnda. I likhet med Datatilsynet henviste nemnda til domstolene som rett instans for erstatningskravet. I tillegg kom Personvernnemnda til at Datatilsynets avgjørelse om å avslutte avvikssaken – etter å ha konstatert brudd – men uten å ilegge sanksjoner eller pålegg, ikke er et enkeltvedtak som kan påklages av A og B, jf. forvaltningsloven § 2 første ledd. Valg av reaksjon er ikke en avgjørelse som retter seg mot A og B og er heller ikke bestemmende for deres rettigheter og plikter.

PVN-2020-08 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av treff i søkemotoren Google.

Saken gjelder klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av søketreff i søkemotoren Google. Søketreffene A krevde slettet ledet hovedsakelig til flere avisartikler som omtalte en straffesak mot A i 2014 der han ble domfelt for flere straffbare forhold. A ble i samme dom dømt til å betale erstatning og ilagt kontaktforbud mot flere personer. Handlingene han ble domfelt for var knyttet til As rolle et turoperatørselskap hvor A var eier og daglig leder. Ett søketreff A krevde slettet leder til en avisartikkel fra 2003 som omtaler As erstatningssøksmål mot en avis. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til ytrings- og informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i personvernforordningen artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom en enstemmig nemnd til at hensynet til informasjons- og ytringsfriheten veier tyngst når det gjaldt de fleste søketreffene som omtalte dommen fra 2014 og at disse søketreffene ikke skulle slettes. A fikk derimot medhold i kravet om sletting av søketreffet som ledet til avisartikkelen fra 2003, da artikkelen er svært gammel og ikke gir informasjon av betydning utover det som følger av de øvrige søketreffene som Google fortsatt vil ha rett til å presentere i den strukturerte oversikten over informasjon som framkommer ved et navnesøk på A.

PVN-2020-09 Behandling av personopplysninger i AutoPASS

Klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven.

A klaget over at bompengeselskapet får lagre passeringsdata i fem år, samt at selskapet kan kreve at kundene registrerer sitt mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte tjenesten «Min side». Datatilsynet hadde i sitt vedtak lagt til grunn at det i utgangspunktet var Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med personvernforordningen. Personvernnemnda var uenig i dette og påpeker at det er Datatilsynets oppgave, som uavhengig tilsynsorgan, å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Nemnda la til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) gir behandlingsgrunnlag for å lagre opplysningene i denne tiden. Nemnda var uenig med tilsynet i at det forelå gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle en avtale) for å kreve registrering av As telefonnummer for å inngå avtale om AutoPASS-brikke eller for å benytte tjenestene på «Min side». Selv om manglende telefonnummer vil kunne gi en noe dårligere kundebehandling, må det være opp til kunden selv å velge dette. Nemnda la også vekt på at kundeforholdet med et bompengeselskap, for alle som kjører bil, skiller seg fra andre kundeforhold hvor det i langt større grad er frivillig om man ønsker å bli kunde eller ikke.

PVN-2020-10 Sletting av personopplysninger i barnevernssak

Klage fra A og B på Datatilsynets vedtak 20. desember 2019 der Datatilsynet blant annet avslo anmodningen om å få slettet personopplysninger i en barnevernssak i X kommune.

Etter en bekymringsmelding åpnet barneverntjenesten undersøkelsessak, innhentet opplysninger om barnas mor fra DPS uten samtykke fra henne og traff et akuttvedtak om å plassere barna midlertidig utenfor hjemmet med samtykke fra foreldrene. I vedtaket, der foreldrenes personnummer framkommer, gjengis blant annet barnas beskrivelser av voldshendelser i hjemmet. Barneverntjenesten utleverte vedtaket til beredskapshjemmet. Foreldrene klaget på barneverntjenestens behandling av deres personopplysninger. Nemnda kom til at barneverntjenesten hadde behandlingsgrunnlag for utleveringen av opplysningene i vedtaket (med unntak av personnummeret) til beredskapshjemmet i artikkel 6 nr. 1 bokstav e, sammenholdt med barnevernloven og forvaltningslovens regler om taushetsplikt, opplysningsplikt og opplysningsrett. Datatilsynets avgjørelse om ikke å ilegge noen reaksjon for ulovlig utlevering av personnummeret var ikke en avgjørelse som kunne påklages, jf. PVN-2020-07. Videre hadde barneverntjenesten behandlingsgrunnlag for å innhente helseopplysninger uten samtykke i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav b, jf. barnevernloven § 4-3 og § 6-4. Foreldrenes krav om at opplysningene i barnevernssaken skulle slettes førte ikke fram. Kommunen kunne ikke pålegges å slette disse opplysningene. Det følger både av personvernforordningen § 17 nr. 3 bokstav b (rettslig forpliktelse), jf. arkivlova § 9 bokstav d, og av personvernforordningen artikkel 17 nr. 3 bokstav d (arkivformål i allmennhetens interesse).

PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse

Klage fra X Misjonsforsamling på Datatilsynets avgjørelse 19. mars 2020 hvor tilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysninger fra kameraopptak ulovlig, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.

I forbindelse med en nabokonflikt mellom A og hennes tidligere nabo B, mente begge seg trakassert av hverandre. B varslet misjonsforsamlingens styre, hvor A var styremedlem, om det hun oppfattet som trakasserende oppførsel fra A. Hun oversendte også private kameraopptak som hun mente viste As trakasserende oppførsel til ett styremedlem C. C og forsamlingens styreformann, D, så på og lagret opptakene, samt foreviste disse til A og hennes ektemann. Opptakene ble senere slettet. På bakgrunn av det opptakene viste, stilte C og D spørsmål ved As egnethet til styrevervet og det endte med at A trakk seg fra styret. A kontaktet Datatilsynet og ba om hjelp for det hun oppfattet som svært urettferdig behandling av henne fra misjonsforsamlingen. Datatilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysningene uten gyldig behandlingsgrunnlag. Nemnda la til grunn at tilsynets irettesettelse overfor den behandlingsansvarlige, jf. artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. Misjonsforsamlingens formål med å bruke opptakene var å avklare riktigheten av innholdet i varselet de hadde mottatt om A, og undersøke de faktiske forholdene, før de tok saken opp med A. Dette var en berettiget interesse. I den konkrete interesseavveiningen etter artikkel 6 nr. 1 bokstav f, delte nemnda seg i et flertall og et mindretall (6:1). Etter flertallets syn var misjonsforsamlingens lagring og bruk av de mottatte filmopptakene nødvendig for å ivareta den berettigede interessen hos misjonsforsamlingen og hensynet til As personvern gikk etter en avveining av de ulike interessene ikke foran. Mindretallet var enig med Datatilsynet i at misjonsforsamlingen kunne oppnådd det samme formålet på en mindre inngripende måte, og at en irettesettelse var en passende reaksjon.

PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven

Klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.

Datatilsynet påla annonseselskapet OpenX å redegjøre for selskapets behandling av personopplysninger knyttet til mobiltelefonapplikasjonen Grindr, jf. personvernforordningen artikkel 58 nr. 1. Kravet om redegjørelse ble sendt etter at Forbrukerrådet, i forbindelse med lansering av rapporten «Out of Control» klaget både Grindr LLC og flere annonseselskaper Grindr bruker, inn til Datatilsynet for det de mente var ulovlig behandling av personopplysninger. OpenX klaget over pålegget, jf. forvaltningsloven § 14 og anførte at Datatilsynet ikke har hjemmel for å gi et slikt pålegg. Selskapet viste til at behandlingen uttømmende er regulert av ekomloven § 2-7b og at rett tilsynsmyndighet for den behandlingen Forbrukerrådet har klaget på er Nasjonal kommunikasjonsmyndighet (Nkom). Nemnda la til grunn at selv om ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av hva en eventuell innsendt klage over virksomheten gjelder. Nemnda konkluderte med at OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt.

PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter

Klage fra Arendal kommune på Datatilsynets vedtak 23. oktober 2019 der tilsynet nedla forbud mot behandling av personopplysninger innhentet ved bruk av kartleggingsverktøyet Spekter, og påla kommunen å slette de innhentede personopplysningene.

Datatilsynet konkluderte blant annet med at opplæringslova kapittel 9 A ikke ga tilstrekkelig supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 3. Nemnda kom til at Arendal kommune har behandlingsgrunnlag for behandlingen av personopplysninger i Spekter i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A. Nemnda la til grunn at kartleggingen i Spekter i utgangspunktet ikke etterspør særlige kategorier av personopplysninger, og skolen må derfor ikke ha behandlingsgrunnlag for innsamling av opplysningene i artikkel 9. Nemnda konkluderte videre med at kommunen ikke oppfylte de øvrige reglene i personvernforordningen, herunder prinsippene for behandling av personopplysninger i artikkel 5 nr. 1, og reglene om de registrertes rettigheter etter forordningen kapittel III. For å benytte Spekter i fremtiden må kommunen etablere internkontrolldokumentasjon og rutiner som sikrere etterlevelse av personvernforordningen, blant annet når det gjaldt informasjon til elevene og retten til innsyn.

PVN-2020-14 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.

Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.

PVN-2020-15 Skrivemåte for personnavn

Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.

Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter personvernforordningen artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.

Vurdering av framtidsutsikter

Et stadig mer digitalisert samfunn hvor teknologien utvikles med stor hastighet innenfor stadig nye områder setter personvernet til enkeltpersoner under press. Samfunnets ivaretagelse og sikring av personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.

Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt for tidlig å si noe sikkert om. Vi har opplevd en 50 % økning i sakstilfanget fra 2019 til 2020, men om dette er innenfor normal variasjon eller tegn på en varig økning er for tidlig å si. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det likevel lite sannsynlig at saksmengden vil gå ned. Med en omfattende og ny lovtekst er det nemndas vurdering at sakene blir mer komplekse.

Et annet moment som kan tilsi økt saksmengde er at nye regler medfører et økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop.56 LS (2017-2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Innhold

Leders beretning

Administrative forhold, styring og kontroll i nemnda

Regnskap og budsjett for 2018

Nemndas medlemmer

Nemndas sekretariat

Årets aktiviteter

Saksbehandlingen i Personvernnemnda

Saker som ble behandlet i 2018

• PVN-2017-14 Journalføring av talemelding og innsyn i logg
• PVN-2017-16 Kolbotn Bil
• PVN-2017-17 Sletting av søketreff Google
• PVN-2017-18 Nobina Norge AS
• PVN-2018-01 Keolis Norge AS
• PVN-2018-02 Sletting av personopplysninger i barnevernjournal
• PVN-2018-03 Nasjonalt tvillingregister – Behandlingsgrunnlag
• PVN-2018-04 Begjæring om innsyn
• PVN-2018-05 EILO-registeret – Behandlingsgrunnlag
• PVN-2018-06 Begjæring om innsyn
• PVN-2018-07 Sletting av søketreff i søkemotoren Google
• PVN-2018-08 Begjæring om innsyn i politioperativt register – Avvisning av klage
• PVN-2018-09 Dekning av sakskostnader, jf. forvaltningsloven § 36
• PVN-2018-11-Sletting av personopplysninger i personalmappe

PVN-2018-20 Anmodning om oppsettende virkning Legelisten.no (beslutning)

Vurdering av fremtidsutsikter

Leders beretning

I 2018 fikk vi en ny personopplysningslov (lov 15. juni 2018 nr. 38). Loven består av nasjonale regler og EUs personvernforordning GDPR (General Data Protection Regulation). Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av personopplysningsloven fra 2000. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter.

Personopplysningsloven og GDPR skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet er tilsynsmyndighet etter loven og Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

2018 har vært et spennende, men også krevende år for Personvernnemnda. Samtidig med overgangen til ny lov (ny personopplysningslov trådte i kraft 20. juli 2018) fikk vi også utskiftning i nemndas sekretariat, med ny sekretær fra 7. mai 2018. Overgangen til ny lov har medført at de fleste saker som Datatilsynet har behandlet etter gammel lov og som deretter er klaget inn for Personvernnemnda, i nemnda skal behandles etter den nye loven. Det betyr at nemnda har måttet forholde seg til ny og delvis «upløyd mark» i mange saker, noe som har medført et klart merarbeid for nemnda i det året som har gått. Vi forventer at dette også vil fortsette utover i 2019.

Personvernnemnda har også i 2018 hatt fokus på kvalitet og har som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker. Vi har også startet et arbeid med å redusere saksbehandlingstiden, noe vi klarte i 2017. Saksbehandlingstiden i 2018 var på 4,3 måneder mot 3,2 måneder i 2017. Økningen skyldes i hovedsak merarbeidet knyttet til ny lovgivning og vi er samlet sett tilfreds med nemndas saksavvikling i 2018.

Personvernnemnda er av den oppfatning av nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Oslo, 18. februar 2019
For Personvernnemnda

Mari Bø Haugstad
Leder

Administrative forhold, styring og kontroll i nemnda

Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) den 1. januar 2001 og er, etter ikrafttredelsen av ny personopplysningslov i 2018 regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.

Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der KMD klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.

Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.

Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i GDPR artikkel 60 til 66.

Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.

Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnenda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.

Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.

Regnskap og budsjett for 2018

Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet.

Nemnda ble tildelt 2 014 000 kroner i 2018. Totalt forbruk i 2018 var 2 168 000. Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester, deltakelse på kurs, leie av møtelokaler og leie av kontorlokaler.

Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av

Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KMD. Alle utbetalinger godkjennes av departementet.

Nemnda overskred budsjettet i 2018 med 154 000 kroner. Overforbruket skyldes hovedsakelig utgifter i forbindelse med utskiftning av sekretær i høyere stillingsprosent, og ikrafttredelse av nytt og omfattende regelverk som har medført økt tidsbruk til saksavvikling og økt godtgjørelse for nemndas leder og nestleder, samt utgifter til dekning av sakskostnader, jf. forvaltningsloven § 36.

Nemndas leder har ikke ansett det forsvarlig å begrense aktiviteten i nemnda på bakgrunn av saksbehandlingstiden og restansesituasjonen, og møtene i nemnda har derfor blitt avholdt som planlagt. Dette har vært nødvendig for å holde saksbehandlingstiden innenfor de frister forvaltningsloven stiller. Nemndas leder og sekretær har løpende rapportert til KMD om overforbruket.

Nemndas medlemmer

Personvernnemnda har syv faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år, hvert medlem har sin personlige vara. Alle medlemmene med vararepresentanter, inkludert leder og nestleder, utnevnes av Kongen.

Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.

Personvernnemnda besto i 2018 av følgende personer:

Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no, finnes mer informasjon om nemndas medlemmer.

Nemndas sekretariat

Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KMD. Frem til 30. april 2018 ble sekretariatsfunksjonen utført av juridisk seniorrådgiver Tonje Røste Gulliksens i 80% stilling.

Fra 7. mai 2018 ble juridisk seniorrådgiver Anette Klem Funderud ansatt i 80 % stilling. Stillingsprosenten ble utvidet til 100 % fra 1. august 2018. Sekretariatet har egnede kontorer i departementsfellesskapet.

Årets aktiviteter

Personvernnemnda holder sine møter i Oslo. I 2018 holdt nemnda 10 møter. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.

I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretær er gjennomført.

I januar 2018 arrangerte nemnda et dagsseminar i Oslo for nemndas medlemmer og varamedlemmer med inviterte gjester og foredragsholdere fra Datatilsynet, Justisdepartementet og Kommunal- og moderniseringsdepartementet. Tema for seminaret var «GDPR hva er de største endringene og hvordan vil det påvirke Personvernnemndas arbeid?». Seminaret ga nyttig faglig påfyll og nemnda vil vurdere tilsvarende aktivitet også i 2019 forutsatt at nemndas økonomi tillater det.

Som behandlingsansvarlig skal nemnda sørge for tilfredsstillende informasjonssikkerhet for personopplysninger som behandles for å ivareta hensynene til konfidensialitet, integritet og tilgjengelighet. Både saksbehandlingssystemet PVN intranett og www.personvernnemnda.no er underlagt streng tilgangskontroll, og det er i 2018 utarbeidet egne sikkerhetstiltak, sikkerhetsmål- og strategier.

Nemndas leder, sekretariat og databehandler har også hatt møte med Datatilsynet om informasjonssikkerhet og avklaring av rutiner for sikker dokumentutveksling mellom Datatilsynet og Personvernnemndas sekretariat.

Nemndas personvernombud ble utnevnt i 2018.

Nemnda deltok ikke på internasjonale konferanser i 2018, men både leder og sekretær deltok på ulike personvernkurs. Flere av nemndas medlemmer deltok også på ulike personvernkurs av eget tiltak, uten at dette medførte kostnader for nemnda.

Saksbehandlingen i Personvernnemnda

Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.

I 2018 har nemnda hatt 25 saker til behandling, hvorav 20 saker kom inn i 2018. Dette er på tilsvarende nivå som tidligere år. Nemnda holdt 10 møter i 2018, hvor 15 saker ble ferdigbehandlet. Én sak ble trukket fra nemndsbehandling. Fem vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i 8 saker, inkludert én sak som ble avvist. I én sak tilkjente nemnda klager dekning av sakskostnader. Saksbehandlingstiden var på 4,3 måneder mot 3,2 måneder i 2017.

Flere av sakene har vært prinsipielle og reist flere personvernrettslige problemstillinger. Dette har medført behov for å behandle flere saker over flere møter. Nemnda har i 2018 behandlet to saker som gjelder spørsmål om sletting av søketreff i søkemotoren Google (PVN-2017-17 og PVN-2018-07). Nemnda behandlet også én slik sak i 2017 og regner med at dette er en aktuell sakstype som kan dukke opp igjen. PVN-2018-11 er en prinsipiell avgjørelse som gjaldt krav om sletting av personopplysninger fra en personalmappe. Nemnda påpekte at fortsatt lagring, etter at slettingskrav er fremsatt, forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. PVN-2018-14 Legelisten.no, var en særlig omfattende og kompleks sak. Den ble behandlet over to møter i 2018, men ferdigstilt først i 2019.

Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.

Nemnda hadde ni uavsluttede saker ved årets slutt.

Tabellen nedenfor viser saksavviklingen de seks siste årene.

Nemnda har ikke mottatt nye klagesaker etter at ny personopplysningslov og GDPR trådte i kraft. Vi har derfor foreløpig begrenset erfaring med hva ny lovgivning vil si for saksmengden i nemnda.

Saker som ble behandlet i 2018

PVN-2017-14 Journalføring av talemelding og innsyn i logg

Klage på Datatilsynets avgjørelse om at kommunens journalføring av en talemelding var lovlig og at personopplysningsloven § 18 ikke gir rett til innsyn i loggen i kommunens saksbehandlingssystem. Dissens.

Nemnda fant at det var behandlingsgrunnlag i personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6, for journalføring av en talemelding en privatperson hadde lagt igjen på rådmannens telefonsvarer. Nemnda fant videre at den fortsatte lagringen av talemeldingen var i overensstemmelse med personopplysningsloven § 28. Nemnda vurderte klagers innsynsrett etter personopplysningsloven § 18. Nemnda fant det åpenbart at klager ikke kunne få innsyn i kommunikasjonen mellom Datatilsynet og kommunen, i og med at denne kommunikasjonen hadde skjedd muntlig. Når det gjaldt klagers krav om innsyn i loggen i kommunens saksbehandlingssystem var nemnda enig med Datatilsynet i at personopplysningsloven § 18 ikke ga hjemmel for slikt innsyn.

Når det gjaldt den videre forståelsen av hva klagen gjaldt, delte nemnda seg i et flertall og et mindretall. Nemndas flertall mente at verken faktum eller den innsendte klagen, ga grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14. Mindretallet vurderte klagen også etter disse bestemmelsene og fant at det forelå brudd på personopplysningsloven. Nemndas flertall konkluderte med at klagen over Datatilsynets avgjørelse ikke tas til følge. En samlet nemnd avviste klagen over saksbehandlingstiden.

PVN-2017-16 Kolbotn Bil

Klage på Datatilsynets vedtak om overtredelsesgebyr for publisering på Facebook av stillbilder fra kameraopptak.

Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av Kolbotn Bil AS selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75.000 til kr. 50 000.

PVN-2017-17 Sletting av søketreff Google

Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google. Dissens.

Søketreffet ledet til en artikkel fra Dagens Næringsliv som omtalte en dom fra Borgarting lagmannsrett hvor en advokat ble frikjent for økonomisk utroskap, men dømt for å ha medvirket til å gi uriktig forklaring til offentlig myndighet. Saken gjaldt sensitive personopplysninger og behandlingsgrunnlaget måtte etableres etter en interesseavveining, jf. nemndas tolkning av § 9 i PVN-2016-10. I interesseavveiningen benyttet nemnda kriteriene utformet av EU-domstolen i sak C-131/12 (Google/Costeja González), samt Artikkel 29-gruppens veiledende retningslinjer i 14/EN WP 225. Flertallet fant at Google hadde behandlingsgrunnlag for å behandle opplysningene og viste til Datatilsynets begrunnelse som flertallet var enig i. Etter flertallets syn kan ikke kravet om «korrekte og oppdaterte» opplysninger i personopplysningsloven § 11 bokstav e, forstås slik at formidling av historiske hendelser gjennom søkemotorindeksering mister behandlingsgrunnlag, fordi nye faktiske forhold har kommet til etter at den opprinnelige publiseringen av opplysningene fant sted, jf. direktiv 95/46 artikkel 6 punkt 1 bokstav d. Klagen ble ikke tatt til følge.

PVN-2017-18 Nobina Norge AS

Klage på Datatilsynets vedtak om ileggelse av overtredelsesgebyr for å ha sammenstilt GPS-data fra bussens billetteringssystem med en ansatt bussjåførs overtidsregistrering uten rettslig grunnlag og i strid med det opprinnelige formålet. Dissens.

Nemnda la til grunn at gjenbruk av innsamlede opplysninger til et annet formål enn hva de opprinnelig ble innsamlet for, ikke kan forankres alene i § 8 bokstav f eller alene i § 11 første ledd bokstav c. Bruken av opplysningene må ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f, for å være lovlig, jf. Rt-2013-143. De ansatte hadde ikke samtykket til behandlingen og spørsmålet var om formålet med behandlingen var «uforenlig» med det opprinnelige formålet. Nemndas flertall la avgjørende vekt på at bruken av opplysningene lå innenfor de ansattes rimelige forventninger om hva opplysningene kunne brukes til. Bruken var drøftet med de tillitsvalgte og fremgangsmåten angitt i arbeidsmiljøloven § 9-1 og § 9-2 var fulgt. Nemndas flertall fant at behandlingen var nødvendig for å ivareta arbeidsgivers berettigede interesse, og at de registrertes interesse ikke oversteg denne interessen, jf. § 8 bokstav f. Mindretallet mente at informasjonen til de ansatte om den nye bruken av opplysningene til kontrollformål ikke var god nok og at bruken derfor var uforenlig med det opprinnelige formålet. Videre mente mindretallet at Nobina ikke har oppfylt den informasjonsplikten som følger av personopplysningsloven § 20. Klagen ble tatt til følge.

PVN-2018-01 Keolis Norge AS

Klage på Datatilsynets avgjørelse om ikke å foreta en realitetsvurdering i en påbegynt tilsynssak.

Etter anmodning fra Yrkestrafikkforbundet (YTF) åpnet Datatilsynet tilsynssak mot Keolis Norge AS. Tilsynssaken gjaldt Keolis’ bruk av kameraopptak i en oppsigelsessak overfor en ansatt. Parallelt med tilsynssaken skulle oppsigelsessaken mellom den ansatte og Keolis behandles av tingretten, herunder spørsmålet om bruken av kameraopptakene var i henhold til personopp­lysnings­loven. Tingretten konkluderte med at den ansatte måtte fratre sin stilling, og at bruken av de aktuelle kameraopptakene ikke var uforenlig med det opprinnelige formålet med kameraovervåkingen. Dommen ble anket til lagmannsretten, og saken ble senere hevet som forlikt etter rettsmekling. Med henvisning til ressurshensyn og at domstolens avgjørelse var bindende for sakens parter, avsluttet Datatilsynet saken etter at tingretten hadde avsagt dom, men før saken var behandlet i lagmannsretten. YTF klaget tilsynets avgjørelse inn for Personvernnemnda. Nemnda la til grunn at YTF hadde rettslig klageinteresse og at YTF ikke var avskåret fra å be om Datatilsynets vurdering av saken selv om den ansatte valgte å bringe oppsigelsessaken inn for domstolene. Ansettelsessaken for domstolene hadde ikke rettskraftsvirkning for den forvaltningsrettslige tilsynssaken hvor YTF var part. Nemnda viste til Datatilsynets ulike roller som ombud og tilsyn, og kom til at Datatilsynet ikke hadde adgang til å unnlate å ta stilling til den åpnede tilsynssakens realitet. Datatilsynets avgjørelse ble opphevet og saken ble sendt tilbake til tilsynet for realitetsbehandling.

PVN-2018-02 Sletting av personopplysninger i barnevernjournal

Klage over Datatilsynets avslag på krav om sletting av personopplysninger i barnevernjournal. Dissens.

En privatperson ønsket slettet enkelte bekymringsmeldinger og journalnotater i hans datters barnevernjournal, jf. personopplysningsloven §§ 27 og 28. Nemndas flertall kom til at klagen ikke skulle tas til følge. En samlet nemnd mente det skulle være høy terskel for å fatte vedtak om sletting av personopplysninger i barnevernjournal. Nemndas flertall mente at personvernhensynene var tilstrekkelig ivaretatt gjennom sakens samlede fremstilling og fant at det ikke foreslå tungtveiende grunner til å fatte vedtak om sletting eller sperring etter personopplysningsloven, jf. nemndas tilsvarende vurderinger i PVN-2003-04 og PVN-2013-06. Nemndas flertall mente hensynet til behov for dokumentasjon måtte veie tyngre enn hensynet til at familien opplevde opplysningene som belastende. Nemndas mindretall fant at to journalnotater skulle sperres, jf. pol § 27 tredje ledd. Etter mindretallets syn dreide det seg om opplysninger av svært belastende karakter som mindretallet anså dokumentert uriktige.

PVN-2018-03 Nasjonalt tvillingregister – Behandlingsgrunnlag

Klage over Datatilsynets avslag på søknad fra Folkehelseinstituttet om endring av konsesjon til behandling av personopplysninger i Nasjonalt tvillingregister.

Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.

PVN-2018-04 Begjæring om innsyn

Klage fra en privatperson på Datatilsynets vedtak 5. desember 2017 om avslutning av sak om innsynsbegjæring.

En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.

PVN-2018-05 EILO-registeret – Behandlingsgrunnlag

Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).

Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.

PVN-2018-06 Begjæring om innsyn

Klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring. Dissens.

Saken gjelder klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.

PVN-2018-07 Sletting av søketreff i søkemotoren Google

Saken gjelder klage fra Google Inc./Google Norway på Datatilsynets vedtak 6. juni 2017 der Google fikk pålegg om sletting av søketreff i søkemotoren Google.

En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A’s begjæring om slette et søketreff fra søkemotoren Google som inneholdt A’s navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende. Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A’s navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.

PVN-2018-08 Begjæring om innsyn i politioperativt register – Avvisning av klage

Klage fra A på Datatilsynets beslutning 7. juli 2017 om avslutning av sak om innsynsbegjæring.

Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.

PVN-2018-09 Dekning av sakskostnader, jf. forvaltningsloven § 36

Krav om dekning av sakskostnader fra Nobina Norge AS, jf. forvaltningsloven § 36.

I Personvernnemndas sak PVN-2017-18 vurderte nemnda klage fra Nobina Norge AS over Datatilsynets vedtak 13. februar 2017, der Datatilsynet konkluderte med å ilegge Nobina et overtredelsesgebyr etter personopplysningsloven § 46. I Personvernnemndas vedtak 20. mars 2018 fikk Nobina Norge AS medhold i sin klage på Datatilsynets vedtak. I foreliggende sak tok nemnda stilling til om Nobina Norge AS skulle tilkjennes dekning av sakskostnader etter forvaltningsloven § 36. Advokaten hadde fremlagt en detaljert timeliste på totalt 14 timer. Nemnda la til grunn at vedtaket var endret til gunst for Nobina Norge AS, og kom frem til at forvaltningslovens vilkår om dekning av sakskostnader var oppfylt. Nemnda konkluderte med at kravet på 14 timer var rimelig, og tilkjente full dekning av sakskostnadene, jf. forvaltningsloven § 36.

PVN-2018-11-Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 16. november 2017 om avslag på begjæring om sletting av personopplysninger i personalmappe hos X.

En statlig arbeidstaker (A) hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i hans personalmappe. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det er behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.

PVN-2018-20 Anmodning om oppsettende virkning Legelisten.no (beslutning)

Anmodning fra Legelisten.no om oppsettende virkning (utsatt iverksettelse) av deler av Datatilsynets vedtak 8. november 2017, jf. forvaltningsloven § 42. Det ene vedtakspunktet gjaldt dispensasjon fra konsesjonsplikten etter personopplysningsloven 2000. Ettersom konsesjonsplikten etter personopplysingsloven 2018 har falt bort, fant nemnda det ikke nødvendig å gi oppsettende virkning for dette vedtakspunktet. Nemnda vil imidlertid ta stilling til om Legelisten.no har behandlingsgrunnlag for sin behandling av personopplysninger ved realitetsbehandling av saken. Når det gjaldt utsatt iverksettelse av Datatilsynets vedtakspunkt om pålegg om sletting av e-postadressen til pasienter som har inngitt vurdering av helsepersonell på nettsiden Legelisten.no, hadde Legelisten.no anført at slettingen ville innebære en uopprettelig skade. Nemnda viste til at dersom Legelisten.no sin klageadgang på Datatilsynets vedtak skal være reell, var det grunnlag for å beslutte utsatt iverksettelse av dette vedtakspunktet i Datatilsynets vedtak.

Vurdering av fremtidsutsikter

Et stadig mer digitalisert samfunn hvor teknologien utvikles med stor hastighet innenfor nye områder kan sette personvernet til enkeltpersoner under press. Personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser for å møte utviklingen, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.

Gjennomføringen av GDPR i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er for tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det likevel lite sannsynlig at saksmengden vil gå ned. Med en omfattende og ny lovtekst er det nemndas vurdering at sakene blir mer komplekse.

Et moment som kan tilsi økt saksmengde er at nye regler medfører et økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop.56 LS (2017-2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.

Nemnda ser en tendens til at økt kompleksitet i saker medfører at parter i større grad benytter prosessfullmektig. Dette kan medføre en økning i krav om dekning av sakskostnader etter forvaltningsloven § 36, noe som vil påvirke nemndas budsjett dersom dette forutsettes dekket av Personvernnemndas midler.

Etter innføringen av GDPR er kravene til dokumentasjon for nemndas behandling av personopplysninger skjerpet, noe som medfører ekstra arbeid både for leder og sekretær også fremover. Større stillingsandel og økt kompetanse i sekretariatet er likevel forventet å redusere arbeidsbelastningen for de øvrige nemndsmedlemmene, særlig leder og nestleder.

Vedlegg: 

 arsmelding_2018.pdf

1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2016 var dermed nemndas sekstende driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven og helseregisterloven, jf personopplysningsloven § 43, jf § 42 fjerde ledd.

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger regelmessig kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler personvernprinsipper som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak, jf forvaltningsloven § 35, og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999-2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).
    
Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.
    
Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.
    
Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.

2 Sammendrag og tendenser

I løpet av 2016 kom det inn tilsammen 18 klagesaker. Totalt 14 av de 18 sakene var ferdigbehandlet ved utgangen av 2016. I tillegg ble 13 saker innkommet i 2015 ferdigbehandlet i 2016. Personvernnemnda avgjorde således totalt 27 saker i 2016, mot totalt 16 saker i 2015. Klager er gitt helt eller delvis medhold i 11 av de 27 sakene. To av sakene ble avsagt med dissens (PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II).
    
Saksmengden har vært noe høyere i forhold til tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda tar bare stilling til spørsmål i de foreliggende konkrete saker, men ser at personvernet griper inn i stadig flere samfunnsområder og at problemstillingene som reises av lovverket er komplekse og har stor betydning for både privatliv og kommersiell samt offentlig virksomhet.

Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Dette gjelder særlig forholdet til forvaltningsretten, men også andre rettsområder, som helserett, og ikke minst privatrettslige regler og avtaler.

Ett tema som nemnda fortsett ser har økende aktualitet, er ileggelse av overtredelsesgebyr. Flere av sakene som ble avgjort i 2016 hadde overtredelsesgebyr som tema, blant annet PVN-2015-05 Skan-kontroll II, PVN-2015-08 Windsor Door, PVN-2015-11 Vardø kommune, PVN-2015-15 Mona Lisa Huset, PVN-2016-02 Hovedredningssentralen Nord-Norge, PVN-2016-06 Vaktmester Andersen, PVN-2016-07 Synkron Media, PVN-2016-09 Codex advokat og PVN-2016-14 Årdal kommune. Denne utviklingen vil antakelig fortsette.

Saker vedrørende overvåking i arbeidsforhold er også økende, for eksempel PVN-2016-09 Codex advokat vedrørende videresending av epost, PVN-2016-07 Synkron Media vedrørende overvåking av tidligere ansattes epostkasser og PVN-2016-06 Vaktmester Andersen om sammenstilling av opplysninger fra elektronisk kjørebok, PVN-2015-14 Viken Økonomi om innsyn i tidligere ansattes epostkasser og PVN-2015-13 Trønder Taxi om opptak av telefonsamtaler, samt saker vedrørende sletting i opplysninger i personalmapper, for eksempel PVN-2016-08 Trondheim kommune II og PVN-2016-12 Stange kommune.

Saker om internkontroll er også et gjentagende tema, for eksempel PVN-2015-11 Vardø kommune og PVN-2016-02 Hovedredningssentralen Nord-Norge.

Bruk av loggdata er også et viktig tema, for eksempel PVN-2015-03 Skoles aktivitetslogg, PVN-2014-10 Telenor, PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen.

Et prinsipielt forhold er Datatilsynets manglende realitetsbehandling av saker, samt bortprioritering uten vedtak eller avvisningsvedtak, for eksempel PVN-2015-03 Klage over avvisning i sak vedrørende kameraovervåkning, PVN-2015-17 Bisnode, samt PVN-2016-03 Klage over avvisning i sak vedrørende kameraovervåkning og PVN-2016-13 Avvisningsvedtak – sletting av journalopplysninger.

Et annet prinsipielt forhold er spørsmålet om innsyn i opplysninger hos arbeidstaker. En sak hvor dette har kommet opp to ganger er PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II. Dette er en kompleks sak hvor innsyn kan kreves etter både personopplysningslovens og forvaltningslovens regler og det gjør seg gjeldende kryssende hensyn. I den siste saken, PVN-2016-15 Tromsø kommune II, har en av klagerne begjært omgjøring. Saken skal behandles i 2017.

3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.
    
Personvernnemnda besto i 2016 av følgende personer:

Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Ørnulf Rasmussen
Ann Rudinow Sætnan
Gisle Hannemyr
Marta Ebbing
Nina Melsom

Alle medlemmer har personlige vararepresentanter:

Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Michal Wiik Johansen
Audhild Gregoriusdotter Rotevatn
Torgeir Waterhouse
Anne Forus
Hans Marius Graasvold

4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

5 Møter og konferanser 2016

Personvernnemnda har i 2016 hatt i alt 11 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.
    
I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.    

Tre medlemmer fra Personvernnemnda deltok på den internasjonale personvernkonferansen i Brussel (IAPP Europe Data Protection Congress) i 2016.

6 Saksbehandlingstid – restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire-fem måneder. De mest komplekse sakene, blant andre PVN-2015-04 FaVer, PVN-2015-05 Skan-kontroll II, PVN-2015-07 Tromsø kommune og PVN-2015-11 Vardø kommune, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i 2015 og 2016. Også sakene PVN-2016-02 Hovedredningssentralen Nord-Norge og PVN-2016-04 Legelisten.no ble behandlet over flere nemndsmøter.

Personvernnemnda hadde fire uferdige saker ved årets slutt som ble overtatt av ny nemnd.

7 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 27 sakene nemnda avgjorde i 2016 var det 13 klager fra bedrift, fem klager fra privatpersoner, tre klager fra ulike helseforetak og seks klager fra øvrige kommunale eller statlige organer.

8 Klagesaksbehandling – statistikk

Personvernnemnda mottok i 2016 totalt 18 klagesaker. Av disse var 14 ferdigbehandlet ved utgangen av året. I tillegg avgjorde nemnda 13 saker fra 2015. Klager ble gitt helt eller delvis medhold i 11 av de totalt 27 sakene.

Til sammenligning kom det i 2015 inn 17 saker, 4 av dem ble ferdigbehandlet i 2015, i tillegg ble 12 saker fra 2014 avgjort. Datatilsynets vedtak omgjort i 9 av de totalt 16 sakene. I 2014 kom det inn 25 saker, 12 av sakene ble ferdigbehandlet i 2014, i tillegg ble 14 saker fra 2013 avgjort. Datatilsynets vedtak omgjort helt eller delvis i 11 av de totalt 26 sakene.

Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene publisert i egen database hos Lovdata.
    
Saksmengden har vært stor. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2016 har omfangsrike saker medført ekstraarbeid for medlemmene.

9 Fullstendig oversikt over saker som ble behandlet i 2016

Følgende saker ble ferdigbehandlet i 2016:

PVN-2015-01
Konsesjon kjønnsdysfori
Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

PVN-2015-04 
FaVer
Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-05 
Skan-kontroll II
Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

PVN-2015-07 
Tromsø kommune
Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

PVN-2015-08 
Windsor Door
Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

PVN-2015-10 
Sykehuset i Østfold
Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

PVN-2015-11 
Vardø kommune
Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

PVN-2015-12 
Universitetet i Oslo
Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

PVN-2015-13 
Trønder Taxi
Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

PVN-2015-14 
Viken Økonomi
Innsyn i ansattes – og tidligere ansattes – epostkasse. Klagen førte ikke frem. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-15 
Mona Lisa Huset
Ileggelse av overtredelsesgebyr for skjult kameraovervåking. Klagen ble ikke tatt til følge. Personvernnemnda var enig i Datatilsynets resonnement.  

PVN-2015-16 
Walhalla
Nemnda vurderte de usladdede videoene som ble lagt ut på Facebook og fant at opptakene hadde god nok oppløsning til at de er egnet til å identifisere enkeltpersoner. Opptakene viser personer som stjeler varer og er således sensitive personopplysninger. Publiseringen har ikke grunnlag i personopplysningsloven § 39. Personvernnemnda viste til Datatilsynets vurdering av personopplysningsloven § 46 a) til h) og tiltrådte denne. Klagen ble ikke tatt til følge.

PVN-2015-17 
Bisnode Norge
Nemnda vurderte om saken skulle sendes tilbake til Datatilsynet for realitetsbehandling. I Personvernnemndas vedtak PVN-2012-07 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Det var ikke dokumentert forhold som endret denne vurderingen. Nemnda behøvde ikke å ta stilling til den subsidiære anførselen. Klagen ble ikke tatt til følge.

PVN-2016-01 
Bank i butikk II
Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.

PVN-2016-02 
Hovedredningssentralen Nord-Norge
Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf personopplysningsloven §§ 8 og 9, jf § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

PVN-2016-03 
Klage over avvisning i sak vedrørende kameraovervåkning
Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf § 2 tredje ledd. Enkeltvedtak er påklagbare, jf forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

PVN-2016-04 
Legelisten.no
Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2016-05 
Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

PVN-2016-06 
Vaktmester Andersen
Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf PVN-2015-08 Windsor Door.

PVN-2016-07 
Synkron Media
Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf PVN-2015-14 Viken Økonomi.

PVN-2016-08 
Trondheim kommune II
Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

PVN-2016-09 
Codex advokat – videresending av epost
Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

PVN-2016-11 
Saken trukket av klager.

PVN-2016-12 
Stange kommune – sletting av personalmappe
Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

PVN-2016-13 
Avvisningsvedtak – sletting av journalopplysninger
Klage over Datatilsynets avvisning av å realitetsbehandle klagers krav om sletting av klagers journalopplysninger samt krav om tilsyn. Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

PVN-2016-14 
Årdal kommune – sensitive personopplysninger i offentlig postjournal
Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

PVN-2016-15
Tromsø kommune II
Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf § 18 a), jf c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn. 

10 Regnskap og budsjett for 2016

Personvernnemnda hadde i 2016 en budsjettramme på kr 1 887 000, og fremkommer under kapittel 546 Personvernnemnda for 2016.
    
Totalt forbruk: kr 1 502 974.

Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

11 Avslutning

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Oslo, 10. februar 2017
For Personvernnemnda

Eva I E Jarbekk
Leder

1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2014 var dermed nemndas fjortende driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger ofte kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler noen «personvernprinsipper» som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak (jf forvaltningsloven § 35), og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999-2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).

Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.

2 Sammendrag og tendenser

I løpet av 2014 kom det inn tilsammen 25 klagesaker. Totalt 12 av de 25 sakene var ferdigbehandlet ved utgangen av 2014. I tillegg ble 14 saker innkommet i 2013 ferdigbehandlet i 2014. Personvernnemnda avgjorde således totalt 26 saker i 2014. I tillegg ble en sak innkommet i 2014 trukket av klager. Klager er gitt helt eller delvis medhold i 11 av de 26 sakene. Ingen av sakene ble avsagt med dissens.

Saksmengden har vært stor sammenlignet med tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda tar bare stilling til spørsmål i de foreliggende konkrete saker, men ser at personvernet griper inn i stadig flere samfunnsområder og at problemstillingene som reises av lovverket er komplekse og har stor betydning for både privatliv og kommersiell samt offentlig virksomhet. Til dels er det slik at Datatilsynets tilsynspraksis gjør at etablerte ordninger må revurderes, se f eks PVN-2014-04 Post i butikk og PVN-2013-21 Bank i butikk.

Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Dette gjelder særlig forholdet til forvaltningsretten, men også andre rettsområder og ikke minst privatrettslige regler og avtaler.

Det er også tydelig at personvernet i økende grad blir internasjonalisert ved at både offentlige og private instanser samhandler internasjonalt. Det vises her til PVN-2013-28 NOKBIL.

Ett tema som har fått økt aktualitet, er ileggelse av overtredelsesgebyr, noe som var tema i PVN-2014-11 Gjensidige, PVN-2014-08 Fjell kommune, PVN-2014-01 Skan-Kontroll og PVN-2013-20 Teletopia. Når brudd på personvernet nå ilegges vesentlig høyere overtredelsesgebyr enn før, er det ikke overraskende at det kommer flere klagesaker. Denne utviklingen vil antakelig fortsette.

Videre er et tilbakevendende tema Datatilsynets manglende realitetsbehandling av saker, i form av bortprioritering uten vedtak eller avvisningsvedtak. Dette var tema blant annet i PVN-2014-07 Schibsted Payment, PVN-2014-06 Kameraovervåking, PVN-2014-05 Innsynsrett i skoles aktivitetslogg og PVN-2013-26 Mittoppdrag.no. Flere av sakene ble sendt tilbake til Datatilsynet for realitetsbehandling.

Mange av de sakene som har vært prinsipielle, angår plassering av behandlingsansvar, blant annet PVN-2014-04 Post i butikk og PVN-2013-21 Bank i butikk. Det er tydelig at definisjonen av behandlingsansvar ikke alltid oppleves å være enkel å praktisere og at dette skaper usikkerhet. Så langt har ingen saker vært reist der man har hevdet at det foreligger delt behandlingsansvar.

I PVN-2013-28 NOKBIL vises at internasjonale forhold får større praktiske betydning og nemnda fant blant annet at behandlingsansvarlig ikke hadde gitt tilstrekkelig informasjon til de registrerte om at angjeldende helseopplysninger var tenkt å kunne deles med internasjonale registre.

Kameraovervåking er et gjenkommende tema. Flere av kameraovervåkingssakene bortprioriteres av Datatilsynet. I PVN-2014-06 kom Personvernnemnda til at tilsynet hadde veiledet klager om temaet i tilstrekkelig grad til å kunne fastslå at saken var forsvarlig behandlet og for klager til å forstå reglene på området, mens i en annen av sakene, PVN-2013-25, kom nemnda til at kameraovervåkingen falt utenfor loven fordi den hadde et privat formål. Etter at vedtaket ble avsagt av nemnda har imidlertid EU-domstolen tolket «rent personlig formål» innskrenkende i sak C-212/13 av hensyn til EMK art 7 om privatlivets fred. For fremtidige saker vil EU-domstolens avgjørelse være en del av rettskildebildet som må hensyntas så langt avgjørelsen er relevant.

I øvrig synes det fremdeles som om samfunnets økende fokus på personvern gir et stort press på Datatilsynets ressurser til å rådgi og å behandle henvendelser, herunder særlig vedrørende sletting av dokumenter, artikler og lignende, samt kameraovervåking. Personvernnemnda ser at det samme gjelder saker for nemnda og at det er sentralt at også Personvernnemnda har tilstrekkelige ressurser til å behandle de saker som kommer inn. Nemnda har forlenget sine møter for å håndtere den store saksmengden og har også avholdt ekstra møter.

3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.

Personvernnemnda besto i 2014 av følgende personer:

Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Ørnulf Rasmussen
Ann Rudinow Sætnan
Gisle Hannemyr
Marta Ebbing
Nina Melsom

Alle medlemmer har personlige vararepresentanter:

Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Michal Wiik Johansen
Audhild Gregoriusdotter Rotevatn
Torgeir Waterhouse
Anne Forus
Hans Marius Graasvold

4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

5 Møter og konferanser 2014

Personvernnemnda har i 2014 hatt i alt 13 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.

I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.

Personvernnemnda ytt økonomisk støtte til «Personvernkonferansen 2014», som ble arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo, på Bristol den 5. desember 2014, med tema «Sosiale medier; sosialt ansvar og personvern». Konferansen tok for seg blant annet spørsmål om sosiale medier som mobbearena for barn, samt EU-domstolens avgjørelse i Super Mario vs. Google og Microsoftkjennelsen.

6 Saksbehandlingstid restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire-fem måneder. De mest komplekse sakene, blant andre PVN-2014-04 Post i butikk, PVN-2013-21 Bank i butikk og PVN-2014-01 Skan-Kontroll, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i 2014.

Personvernnemnda hadde 12 uferdige saker ved årets slutt.

7 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 26 sakene nemnda avgjorde i 2014 var det ni klager fra privatpersoner, syv klager fra ulike helseforetak og resten av sakene var klaget inn av ulike bedrifter.

8 Klagesaksbehandling statistikk

Personvernnemnda mottok i 2014 totalt 25 klagesaker. Av disse var 12 ferdigbehandlet ved utgangen av året og én sak ble trukket av klager. I tillegg avgjorde nemnda 14 saker fra 2013. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.

Saksmengden har vært stor. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2014 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte. Nemnda avholdt et ekstra møte i mai, et todagersmøte i oktober og et ekstra møte i desember for å ferdigstille saker.

9 Fullstendig oversikt over saker som ble behandlet i 2014

Følgende saker ble ferdigbehandlet i 2014:

PVN-2014-17 Sletting av avisartikler
Klage på Datatilsynets avslag på krav om sletting av publiserte artikler fra aviser og nettsteder
Nemnda hadde forståelse for at det kan være belastende å bli omtalt i avisen, samt oppleves som urettferdig at den frifinnende dom ikke omtales, men nemnda kom til at slike artikler må sies å ligge innenfor «journalistisk formål”. Personvernnemnda konkluderte med at avisartikler og nettartikler faller inn under avgrensningen i personopplysningsloven § 7 slik at blant annet personopplysningsloven kapittel II ikke kommer til anvendelse. Datatilsynets vedtak ble opprettholdt.

PVN-2014-13 Sandnes taxi
Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi
Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-12 Stavanger taxi
Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Stavanger Taxi
Personvernnemnda var i resultatet og det vesentlige enige med Datatilsynet. Kontinuerlig kameraovervåking dagtid og natt-tid i taxi er et uproporsjonalt tiltak. Nemnda sluttet seg til Datatilsynets resonnement.

PVN-2014-11 Gjensidige
Klage på Datatilsynets vedtak om overtredelsesgebyr for Gjensidige Forsikring for å ha innhentet sensitive personopplysninger, gjennom blant annet skjult observasjon og skjult videopptak av privatperson, uten at det forelå behandlingsgrunnlag
Personvernnemnda vurderte det slik at rapport fra skjult observasjon og skjult filming alltid må vurderes konkret og individuelt i den enkelte sak, og kom til at dette var forholdsmessige tiltak i den aktuelle saksutredningen og ble ikke utført på utilbørlig måte. Etter en konkret helhetsvurdering forelå det behandlingsgrunnlag etter personopplysningsloven § 8 f) og § 9 e). Overtredelsesgebyr på kr 600 000 bortfalt.

PVN-2014-09 Kanvas
Klage på Datatilsynets vedtak om innsyn i foreldreklager i barnehage
Personvernnemnda vurderte innsyn, jf personopplysningsloven § § 23, l. ledd bokstav f) som gjør unntak i retten til innsyn som «det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv». Nemnda kom til at Kanvas hadde tilrettelagt for innsyn og faktisk oppfylt innsynsretten, så langt det går uten å røpe avsenders identitet.

PVN-2014-08 Fjell kommune
Klage på Datatilsynets beslutning om ikke å ilegge overtredelsesgebyr etter personopplysningsloven § 46
Personvernnemnda kom til at det skal ilegges overtredelsesgebyr i saken, jf personopplysningsloven § 46. Datatilsynet kom til at det ikke skulle ilegges overtredelsesgebyr til tross for at tilsynet konkluderte med at spredningen av personopplysningene var et brudd på personopplysningsloven. Personvernnemnda vurderte lovbruddets alvorlighetsgrad annerledes enn Datatilsynet. Regelbruddet bar preg av grov systemsvikt og fremsto som forsettlig eller grov uaktsom. Overtredelsen krenket grunnleggende personverninteresser for en større krets av personer og krenkelsen har medført utlevering av følsomme personopplysninger. Saken ble sendt tilbake til Datatilsynet for utmåling av gebyr.

PVN-2014-07 Schibsted Payment
Klage på Datatilsynets manglende realitetsbehandling av sak
Klager påklaget Datatilsynets behandling av sak vedrørende personopplysninger behandlet av Schibsted Payment (som driver betalings- og påloggingstjenesten SPiD) i forbindelse med elektronisk abonnement på Stavanger Aftenblad. Personvernnemnda kom til at Datatilsynets behandling av saken hadde vært tilstrekkelig og forsvarlig i samsvar med forvaltningsloven.

PVN-2014-06 Kameraovervåkning
Klage på Datatilsynets beslutning om å avslutte sak etter veiledning, uten videre saksbehandling
Personvernnemnda vurderte om Datatilsynets behandling av saken var tilstrekkelig og forsvarlig i samsvar med forvaltningsloven. Nemnda kom til at tilsynet har veiledet klager om dette temaet i tilstrekkelig grad til å kunne fastslå at saken var forsvarlig behandlet og for klager til å forstå reglene på området. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11.

PVN-2014-05 Innsynsrett for foreldre i skolens aktivitetslogg uten barnets medvirkning
Klage på Datatilsynets beslutning om avslutning av sak om foreldres innsynsrett i skolens aktivitetslogg
Personvernnemnda kom til at saken må sendes tilbake til Datatilsynet slik at tilsynet kan fatte et realitetsvedtak i samsvar med det tilsynet i realiteten har konkludert med.

PVN-2014-04 Post i butikk
Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking av post i butikk
For så vidt gjaldt spørsmålet om behandlingsansvar for finansielle tjenester i PIB, ga nemnda klager medhold i at butikken er behandlingsansvarlig. For så vidt gjaldt vurderingen etter personopplysningsforskriften § 8-4 annet og tredje ledd av om butikk med PIB-tjenester anses som postlokale, ble klagen ikke tatt til følge. Det ble vist til resonnementet i PVN-2013-21. Særlige behov etter § 8-4 sjette ledd ble ikke vurdert.

PVN-2014-02 NORHIV
Klage på Datatilsynets avslag på konsesjon til nasjonalt kvalitetsregister for HIV
Personvernnemnda viste til PVN-2013-28 NOKBIL og påpekte at landsomfattende helseregistre med mange opplysninger om den enkelte registrerte er spesialregulert i helseregisterloven § 8. Man kan derfor ikke omgå denne bestemmelsen ved å bruke helseregisterloven § 5 om konsesjon. Det fremgår av forarbeidene at det har vært lovgivers intensjon at slike registre skal opprettes i henhold til forskrift, noe som gir høringsprosess og transparens i behandlingen. Klagen førte ikke frem.

PVN-2014-01 Skan-Kontroll
Klage på Datatilsynets pålegg om databehandleravtaler og informasjonssikkerhet, samt ileggelse av overtredelsesgebyr
SK påklaget avslag på konsesjon for analyse- og varslingstjeneste, samt vedtakspunktene 1, 2, 5, 6 og 7 i Datatilsynets vedtak. Personvernnemnda kom til at konsesjon ikke kunne innvilges på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak 1, 2 og 5. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

PVN-2013-28 NOKBIL
Klage på Datatilsynets avslag på konsesjonssøknad om å opprette Norsk kvalitetsregister for biologiske legemidler NOKBIL.
Nemnda var enig med Datatilsynet. Rettslig grunnlag for slik landsomfattende, internasjonalt og permanent forskningsprosjekt er forskrift, jf helseregisterloven § 8. Sentrale landsomfattende helseregistre er spesialregulert i § 8 og da kan man ikke omgå denne bestemmelsen ved å bruke § 5 om konsesjon. Det vises til forarbeidene.

PVN-2013-27 Gjensidige Forsikring
Klage på Datatilsynets vedtak om informasjonssikkerhet og internkontroll
Nemnda kom til at vedtakspunktene ikke hadde et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Saken sendes tilbake til Datatilsynet slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b) til fornyet behandling.

PVN-2013-26 Mittoppdrag.no
Klage på Datatilsynets beslutning om ikke å ta en sak opp til behandling
Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2013-25 Kameraovervåking hytteområde
Klage på Datatilsynets beslutning om ikke å ta en sak opp til behandling
Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

PVN-2013-24 Saksmappe hos barnevernstjenesten
Klage på Datatilsynets avvisningsvedtak
Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

PVN-2013-23 Informasjon etter helseforskningsloven
Klage på Datatilsynets vedtak om pålegg av informasjonsplikt i medhold av helseforskningsloven
Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.

PVN-2013-22 Sletting av rettspsykiatrisk erklæring
Klage på Datatilsynets beslutning om å avslutte en sak om sletting av rettspsykiatrisk erklæring
Nemnda var enig i Datatilsynets resonnement i denne saken. Datatilsynet har ikke kompetanse til å beslutte sletting av personopplysninger i en straffesak som straffeprosessuelt ikke er ferdigbehandlet. Nemnda var enig med Datatilsynet i at klagers angrep på tingrettsbeslutningen hører hjemme ved en fornyet behandling i tingretten.

PVN-2013-21 Bank i butikk
Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking i bank i butikk
Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

PVN-2013-20 Teletopia
Klage på Datatilsynets vedtak og ileggelse av overtredelsesgebyr
Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf personopplysningsloven § 46.

PVN-2013-19 Innsynsrett i lydopptak
Klage på Datatilsynets vedtak om innsynsrett for de registrerte i lydopptak
Det var ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Nemnda kunne ikke se at det var noen beskyttelsesverdig interesse for virksomheten og dens ansatte i denne saken. Lydfilene gjengir profesjonelle telefonsamtaler om transaksjoner mellom en privatperson og en selger. Begge parter er kjent med at det gjøres opptak. Klagen ble ikke tatt til følge. Innsyn kan kreves skriftlig (transkripsjon), jf § 24, hos den behandlingsansvarlige eller hos dennes databehandler, eller i form av kopi av lydfil.

PVN-2013-17 Tvillingregisteret
Klage på Datatilsynets delvise avslag på forlengelse og utvidelse av Nasjonalt tvillingregister
Personvernnemnda kom til at det må innhentes nye samtykker fra deltakerne i noen av prosjektene. Nemnda kan ikke se at deltakere i de opprinnelige tidsbegrensede og formålsbestemte tvillingprosjektene har avgitt samtykke, opprinnelig eller senere, til å bli registrert i Nasjonalt tvillingregister. Konsesjonen kan således ikke anses gyldig ved bare å hevde at opprinnelige samtykker dekker sammenslåingen. Det foreligger heller ikke hjemmel i personopplysningsloven §§ 8 bokstav d) og 9 bokstav h). Videre kom nemnda til at det som er beskrevet i samtykkeerklæringene og prosjektbeskrivelsene i informasjonsbrevene til deltakere vil være førende for hvilken adgang det er til å tilføre registeret nye opplysninger.

PVN-2013-15 Oslo universitetssykehus SPCG-7/SFUO-3 studien langtidsoppfølging ved registerkobling
Klage på avslag på søknad om konsesjon til kobling av data mellom et allerede eksisterende forskningsprosjekt og data i Kreftregisteret og Reseptregisteret
SPCG-7/SFUO-3 studien langtidsoppfølging ved registerkobling. I samtykkeskjemaet har pasientene samtykket til gjennomgang av pasientjournalen, men klager ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret. Det er imidlertid et forbud mot samtidig tilgang i reseptregisterforskriften § 4-1. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til slik kobling, med mindre koblingen er pseudonymisert eller den registrerte samtykker. Personvernnemnda slutter seg til Datatilsynets vedtak i denne saken.

PVN-2013-14 Farmers’ Biobank
Klage på Datatilsynets vedtak om avslag på konsesjonssøknad
Personvernnemnda kom til at det opprinnelige samtykket også omfatter slik forskning som det nå søkes om. Den foreliggende informasjon og samtykkegrunnlaget dekker imidlertid ikke en overføring til utlandet.

PVN-2013-07 Nyrebiopsiregisteret
Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger Det Norske Nyrebiopsiregisteret
Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger. Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.

10 Regnskap og budsjett for 2014

Personvernnemnda hadde i 2014 en budsjettramme på kr 1 858 000, og fremkommer under kapittel 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2014.

Totalt forbruk: kr 1 728 738

Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler. Kostnadene øker på grunn av den store saksmengden som nødvendiggjør avholdelse av ekstra møter for å holde en forsvarlig saksbehandlingstid.

11 Avslutning

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Oslo, 19. februar 2015
For Personvernnemnda

Eva I E Jarbekk
Leder

1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. året 2012 var dermed nemndas tolvte driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven, helseregisterloven (2001:24) og helseforskningsloven (2008:44).

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser dette som en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger ofte kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler noen «personvernprinsipper» som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak (jf forvaltningsloven § 35), og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999-2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Fornyings- og administrasjonsdepartementet (FAD).

Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene.

2 Sammendrag og tendenser

I løpet av året er det innkommet 15 klager. Totalt 22 saker er ferdigbehandlet i 2012; syv saker fra 2011 og 15 saker fra 2012. Datatilsynets vedtak er omgjort i ti av de 22 sakene.

Saksmengden har vært normal sammenlignet med tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda kan bare ta stilling til spørsmål i de foreliggende konkrete saker, men ser at klagesakene viser at det på flere områder er behov for en sektorovergripende rettspolitisk debatt.

Nemnda reagerer spesielt på at det, dagen etter at nemnda hadde avsagt sitt vedtak i PVN-2012-12 Livmorhalsprogram, ble fremmet et forslag til endring av kreftregisterforskriften fra Helse- og omsorgsdepartementet. Forslaget synes å ha som formål å oppheve rettsvirkningene av nemndas vedtak. Av høringsbrevet 20.12.2012 fremgår:

Forslag til endringer i kreftregisterforskriften har tidligere vært på høring (desember 2011- mars 2012). Opplysninger fremkommet etter denne høringen har synliggjort nødvendigheten av at de tidligere forslagene gis virkning også for personopplysninger innsamlet før disse endringene trer i kraft. Etter departementets oppfatning er dette en endring av en karakter som forutsetter en ny høring. Helse- og omsorgsdepartementet sender derfor nå på høring et forslag om å endre kreftregisterforskriften for behandling av opplysninger om personer som har deltatt i program for kreftscreening (tidligere registrerte personopplysninger knyttet til negative funn). Kreftregisterforskriften krever i dag ikke samtykke ved permanent lagring av positive funn, kun for lagring av personopplysninger ved negative funn dersom de skal oppbevares mer enn seks måneder.

Nemnda har forståelse for at det kan være ønskelig å endre forskriften for fremtiden, men reagerer sterkt på at forskriftsendringene skal gis tilbakevirkende kraft. I realiteten opphever departementet nemndas vedtak.

Personvernnemndas uavhengighet utfordres dersom et departement på denne måten overstyrer rettsvirkningene av nemndas vedtak.

Saken gjaldt en klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte. Personvernnemnda er ikke i tvil om hvordan dagens rettstilstand er å forstå. Registrering av negative funn krever eksplisitt samtykke. Nemnda kan tiltre Helse- og omsorgsdepartementets ønske om en rettsendring slik at oppbevaring av enkelte personopplysninger som navn, fødselsnummer, adresse og lignende, oppbevares i Kreftregisteret uten samtykke, også ved negative funn. Problemet er at dette ikke er tillatt med dagens lovgivning.

Det er svært betenkelig at departementet, dagen etter at Personvernnemnda avsa sitt vedtak, foreslår forskriftsendringer med tilbakevirkende kraft. En slik forvaltningspraksis bidrar til å undergrave tilliten til at gjeldende lovgivning som er gitt av Stortinget blir respektert av forvaltningen selv.

Generelt sett synes det som om spørsmål om personvern er særlig aktuelle i saker om hvorvidt forvaltningen har hjemmel til ulike kontrolltiltak. På basis av Datatilsynets fokusområder, er det grunn til å anta at tilsvarende problemstillinger vil bli aktuelle fremover. Nemnda finner, i likhet med Datatilsynet, grunn til å understreke at legalitetsprinsippet oppstiller grenser for hvilke kontrolltiltak forvaltningen kan iverksette. Imidlertid ønsker nemnda å presisere at legalitetsprinsippet er gradert og at hjemmelskravet er relativt. Det vises til videre diskusjon om dette i PVN-2011-09 Toll.

En annen tendens er at ny teknologi i enkelte tilfeller har gitt en rettsutvikling. Det vises til PVN-2011-11 Visma Retail der nemnda foretar en avvikende rettstolkning i forhold til tidligere biometri-saker. Tilsvarende vurderinger ble gjort i PVN-2011-12 Adgangskontroll ubetjent treningssenter. Nemnda legger avgjørende vekt på skillet mellom autentisering og identifisering. Vilkåret for at det kan gjøres et slikt skille, er at det ikke kan foretas noen ”bakveis identifisering” av individet slik at autentisering likevel er en identifisering. Det antas at denne rettsforståelsen vil åpne for nye teknologiske utnyttelser, noe nemnda vurderer som positivt. Samtidig innebærer rettssituasjonen at det ved slike nye utnyttelser, må foretas betydelige tekniske og juridiske vurderinger for å sikre at ”bakveis identifisering” ikke kan skje.

Et forhold som går igjen over tid, er manglende forståelse av hva begrepet ”anonym” innebærer. For 2012 var dette et tema i PVN-2012-10 SUSS. Utfordringen er at regelverket om personvern gjelder for personopplysninger, men ikke for opplysninger som ikke kan knyttes til en person – anonyme opplysninger. Begrepet anonym er ikke definert i personopplysningsloven. Behandlingsansvarlige har ikke alltid den samme forståelse som Datatilsynet og Personvernnemnda av hva ”anonym” innebærer. Dette fører til problemer når loven kommer inn med full tyngde i situasjoner der den behandlingsansvarlige trodde at den behandlingen de foretok, ikke var omfattet av lovens virkeområde. Spesielt finner man ofte en manglende forståelse av at såkalt indirekte identifikasjon, der man finner identiteten til en person ved å sammenstille opplysninger fra flere kilder, gjør at enkeltopplysningene anses som personopplysninger. Det er mulig det bør legges mer vekt på å kommunisere hva ”anonym” innebærer.

I øvrig bemerker Personvernnemnda at det i flere saker er fokus på manglende bruk av regelverkets sanksjonsapparat. Det vises til PVN-2011-13 Sletting fra Brillelands kunderegister og PVN-2012-04 Arbeidsgivers innsyn i e-post. Dette er saker der klager har ønsket at Datatilsynet i større grad skulle benyttet sitt sanksjonsapparat. Nemnda har i nevnte avgjørelser stillet seg bak Datatilsynets vurdering av at sanksjoner ikke har vært påkrevet, jf en vurdering av momentene i personopplysningsloven § 46

Samtidig vises til saken om Avfallsservice, PVN-2011-04. I denne saken var Datatilsynet bekymret for situasjoner hvor arbeidsgivere spekulerer i å samle og/eller sammenstille opplysninger for senere bruk i tvister i arbeidsforholdet til tross for at det fremstår som brudd på person­opplysningsregel­verket. Personvernnemnda uttalte at man støtter Datatilsynets uttalelse om at sanksjonsapparatet må vurderes brukt i slike saker fremover. Personvernnemnda ser ikke bort fra at det vil bli mer fokus på både bruk og ikke-bruk av sanksjoner. Nemnda ser det som positivt at fleksibiliteten i sanksjonssystemet brukes når de nødvendige vurderinger i henhold til personopplysningsloven § 46 er gjennomført.

Personvernnemnda har merket seg at Datatilsynet har en stor arbeidsbelastning og begrensede ressurser. Dette var tema i PVN-2012-15 Kamera på privat grunn. Generelt er Datatilsynet gitt en vid skjønnsmessig adgang til å vurdere om det foreligger tilstrekkelige personverninteresser til at saken bør realitetsbehandles eller om man av prioriteringshensyn bør la saken ligge. Personvernnemnda vil i alminnelighet legge terskelen relativt høyt for å overprøve Datatilsynets avgjørelse om nedprioritering og var i denne saken enig med Datatilsynets vurderinger. Da personvernspørsmål synes å få en stadig større aktualitet i samfunnet, antar Personvernnemnda at lignende problemstillinger kan bli aktuelle fremover.

3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.

Personvernnemnda besto i 2012 av følgende personer:

Eva Ingrid Elisabeth Jarbekk, leder
Arve Føyen, nestleder
Tom Bolstad
Leikny øgrim
Jostein Halgunset
Ørnulf Rasmussen
Ann Rudinow Sætnan

Alle medlemmer har personlige vararepresentanter:

Olav Torvund (vara for leder)
Ingvild Hanssen-Bauer (vara for nestleder)
Gry Nergård
Lars Erik Fjørtoft
Svein Erik Ekeid
Michal Wiik Johansen
Gisle Hannemyr

4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i Fornyingsdepartementet. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

5 Møter og konferanser 2012

Personvernnemnda har i 2012 hatt i alt 11 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.

I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.

Personvernnemnda valgte å ikke delta på den internasjonale konferansen i 2012, men deltok i stedet på den tredje årlige «European Data Protection & Privacy Conference» som ble avholdt i Brussel 4. desember.

Personvernnemnda ytet økonomisk støtte til ”Personvernkonferansen 2012”, som ble arrangert av Senter for rettsinformatikk (SERI), Universitetet i Oslo, 7. desember 2012, med tema «Fra lov til innbygget personvern – hvordan kan personvernet styres?». Konferansen var fulltegnet.

6 Saksbehandlingstid – restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire til seks måneder. De mest komplekse sakene, blant annet PVN-2011-09 Toll, PVN-2011-10 Simonsen, PVN-2011-11 Visma Retail, PVN-2012-01 Barn med påførte dødelige skader, PVN-2012-03 Nettby og PVN-2012-10 SUSS, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i både 2011 og 2012.

Nemnda har i 2012 hatt fokus på å redusere saksbehandlingstiden og har derfor utvidet møtetiden for hvert møte.

Personvernnemnda hadde ingen restanser ved årets slutt.

7 Rådgivende uttalelser

Personvernnemnda har tradisjonelt ikke avgitt rådgivende uttalelser. I saken PVN-2011-11 Visma Retail, ble Datatilsynets vurdering av rettstilstanden påklaget til nemnda. Personvernnemnda måtte derfor gi en slags rådgivende uttalelse. Nemnda foretok en avvikende tolkning i forhold til tidligere biometri-saker og vurderte bruken av fingeravtrykk i denne saken annerledes enn Datatilsynet.

8 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 22 sakene nemnda avgjorde i 2012 var det syv klager fra privatpersoner, resten av sakene var klaget inn av ulike bedrifter og statlige organer (helseforetak).

9 Klagesaksbehandling – statistikk og viktige saker

Personvernnemnda mottok i 2012 totalt 15 klagesaker. Samtlige av disse var ferdigbehandlet ved utgangen av året. I tillegg ble syv saker fra 2011 ferdigbehandlet i 2012. Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene som nevnt publisert i egen database hos Lovdata.

Saksmengden har vært normal. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2012 har omfangsrike saker medført arbeid for medlemmene ut over de tilmålte fire timers forberedelse til hvert møte.

Personvernnemnda vil særlig fremheve følgende prinsipielle saker i kronologisk rekkefølge:

• PVN-2011-06 ConocoPhillips. Selskapet er et norskregistrert utenlandsk foretak (NUF). Personvernnemnda la til grunn at det amerikanske selskapet og NUF’et er samme juridiske enhet. I Norge har ConocoPhillips Norge (NUF) registre med opplysninger om ansatte, kunder og leverandører. Disse opplysningene er lovlig innsamlet her. Det rettslige spørsmålet var om overføringen av de legalt innsamlede opplysninger til USA hadde rettslig grunnlag. Overføringen måtte vurderes i henhold til § 30. Spørsmålet om det forelå adgang til å foreta screening av denne informasjonen i USA lå etter Personvernnemndas syn utenfor vår jurisdiksjon. Etter nemndas syn hadde overføringen hjemmel i personopplysningsloven § 30 bokstav c), det vil si at det er nødvendig for å oppfylle en avtale. Behandlingen er også nødvendig for å ivareta selskapets interesser i kontrakter med leverandører og kunder, samt arbeidsavtaler med de ansatte.
• PVN-2011-09 Toll. I denne saken konkluderte Personvernnemnda med at tollmyndighetene kan be om opplysninger fra privatperson. Når det gjelder å be om opplysninger, hadde Datatilsynet tatt som standpunkt at tollmyndighetene ikke kan spørre en privatperson om identifiserte uttak/forbruk i utlandet, i ettertid, og om hva disse penger ble brukt til. Tilsynet mener at slikt spørsmål krever hjemmel i lov, jf legalitetsprinsippet. Nemnda delte ikke denne rettslige forståelse. Nemnda fremhever at legalitetsprinsippet er gradert og hjemmelskravet relativt. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Når det gjaldt innsyn i valutaregisteret, var hovedgrunnen til at nemnda ikke kunne dele tilsynets vurdering nettopp ulikt syn på legalitetsprinsippet. Datatilsynet mener at legalitetsprinsippet fordrer at innsyn i et slikt register har eksplisitt lovhjemmel. Etter nemndas syn må legalitetsprinsippet forstås slik at det foreligger tilstrekkelig lovhjemmel for innsyn i registeret. Legalitetsprinsippet vil beskytte registereier mot et annet forvaltningsorgans inntrengning i registeret. Ordlyden i valutaregisterloven § 6 vil klart oppfylle legalitetsprinsippets krav til hjemmel i en slik situasjon. Personvernnemnda knyttet også noen bemerkninger til fordeling av den personelle kompetansen mellom toll og politi, som Datatilsynet hadde problematisert i saken.
• PVN-2011-10 Simonsen. Personvernnemnda delte seg i et flertall og et mindretall i denne saken. Personvernnemndas flertall (Eva Jarbekk, Gisle Hannemyr, Leikny øgrim, ørnulf Rasmussen og Tom Bolstad) kom til at man må legge avgjørende vekt på ordlyden i loven og at Simonsen ikke kunne være behandlingsansvarlig. Simonsen hevdet at det er de som «bestemmer eller detaljerer formålet». Etter flertallets syn er det mulig at Simonsen «detaljerer» hvordan opplysningene behandles, men det må være rettighetshaverne som innledningsvis har bestemt og definert formålet. Videre var flertallet av den klare oppfatning at det er mulig at Simonsen både foreslår og bestemmer hvilke praktiske hjelpemidler som brukes, men det er rettighetshaverorganisasjonene som overordnet bestemmer virkemidlene og fremgangsmåten, herunder valget å bruke Simonsen som utreder. Det er Simonsen som operativt utfører oppdraget, bearbeider funn og opplysninger, legger data inn, sikrer bevis etc. Simonsen har ingen selvstendig evne til å rettslig forfølge rettighetskrenkere, det må gjøres i samråd med og på vegne av rettighetsorganisasjonene. De nevnte forhold påberopt av Simonsen, var dermed helt typiske situasjoner for mange databehandlere. Slik flertallet så det, kan en behandlingsansvarlig gjerne knytte til seg en rekke forskjellige eksperter – altså databehandlere – innen ulike områder. Dette står det behandlingsansvarlig fritt å gjøre og da må behandlingsansvarlig inngå databehandleravtaler som definerer de ulike ansvarsområdene. Hele nemnda var enig i vurderingen av Datatilsynets saksbehandling i saken. Datatilsynets konklusjon om at Simonsen ikke var behandlingsansvarlig må bygge på at behandlingsansvaret påhviler et annet subjekt, og at Simonsen er å anse som databehandler.
• PVN-2011-11 Visma Retail. I denne saken foretok nemnda en avvikende tolkning i forhold til tidligere biometri-saker og kritiserte forarbeidenes omtale av biometri. Nemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebar identifisering eller at fingeravtrykk ble brukt som «entydig identifikasjonsmiddel». Bruken begrenses til å framskaffe et sannferdig svar på spørsmålet: Er kunden gammel nok til å kjøpe den aktuelle vare? Det er altså kun tale om autentisering, ikke identifisering. Etter nemndas syn kommer personopplysningsloven § 12 ikke til anvendelse når behandlingen ikke foretas med det formål å oppnå «sikker identifisering» som § 12 beskriver. Det var videre nemndas oppfatning at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering. Slik systemet skal fungere i denne saken skal det ikke være mulig med bakveisidentifikasjon. Saken var således ikke sammenlignbar med de tidligere sakene om biometri som Personvernnemnda har behandlet, hvor fingeravtrykk skulle bli benyttet som en nøkkel inn i en kundedatabase og således benyttes til identifikasjon.
• PVN-2012-01 Barn med påførte dødelige skader. Personvernnemnda så annerledes på saken enn Datatilsynet. Nemnda la til grunn at kun aggregerte data, ikke kasuistikk, ville bli publisert. Dette vil igjen gjøre det forutsetningsvis umulig å gjenkjenne enkelttilfeller. Nemnda la til grunn at en forskningsrapport vil evaluere politiets handlemåter under etterforskning, men at taushetsplikten vil bli respektert hva gjelder omtale av den enkelte sak. Når det gjelder behandlingsgrunnlaget, fant nemnda at dette fantes i personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda var enig med REK at personvernulempene var små i dette prosjektet og at samfunnsnytten klart oversteg de eventuelle ulempene. Etter nemndas syn kan man ikke i denne saken legge avgjørende vekt på den mulige personvernulempe for de registrerte som foreligger ved at noen kan koble til virkelige personer ut fra publisering av en forskningsrapport med opplysninger fra medieomtale. Nemnda mente at denne faren måtte tillegges liten vekt i forhold til samfunnets interesse i at det blir forsket på dette temaet. Nemnda konkluderte med at samfunnsnytten er betydelig og overstiger klart personvernulempene for de registrerte. Vilkårene i personopplysningsloven § 8 bokstav f, jf § 9 bokstav h, er oppfylt når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.
• PVN-2012-03 Nettby. Klagen ble ikke tatt til følge, men nemnda kom frem til en annen løsning enn Datatilsynet. Nemnda kom til at det forelå avleveringsplikt for de dokumenter VG ønsket å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten måtte oppfylles og deretter måtte materialet slettes av utgiver (VG).
• PVN-2012-10 SUSS. Klagen ble ikke gitt medhold og nemnda var enig i Datatilsynets vurderinger. Nemnda kom til at SUSS må ha to registre – et journalsystem og en logg. Loggen kan føres i samme database som journalen. I loggen vil man da ikke fylle ut persondatafelt og andre felt som kan være personidentifiserbare, mens i journalen vil disse felter være utfylt. Personvernnemnda konkluderte med at SUSS må rydde opp i de allerede registrerte opplysninger, ved enten å anonymisere eller å slette alle personopplysninger som er registrert i forbindelse med at SUSS har gitt veiledning eller råd til personer som ønsker å være anonyme. Det foreligger ingen sletteplikt for anonyme data idet en anonym logg vil falle utenfor personopplysningsloven. SUSS er således ikke pålagt å slette loggen dersom den anonymiseres ved at forbindelsen mellom opplysningen og personen slettes. For journalføring og loggføring i fremtiden må SUSS innrette seg etter dette skillet. Nemnda mente også at teksten på nettsiden var misvisende. Det samme gjelder sms-tjenesten, hvor man ikke bare blir registrert dersom man henvender seg «flere ganger», men hvor man blir registrert allerede ved første gangs henvendelse. Nemnda kom til at etter at de nødvendige omformuleringer er gjort, må de fremlegges Datatilsynet for godkjennelse. Nemnda kom også til at SUSS må skrive om internkontrollsystemet sitt. Personvernnemnda satte en frist på to måneder fra vedtaksdato til å implementere nemndas avgjørelse i virksomheten. Saken reiste viktigheten av at en behandlingsansvarlig har en riktig oppfatning av hva «anonym» er og hva «anonymisering» innebærer.

10 Fullstendig oversikt over saker som ble behandlet i 2012

Følgende saker ble ferdigbehandlet i 2012:

PVN-2011-06 ConocoPhillips;
Klage på Datatilsynets vurdering av krav til behandlingsgrunnlag ved screening innen ConocoPhillips-konsernet
Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.

PVN-2011-07 Tilgang til fellesregister Gerica
Klage på Datatilsynets vedtak om private tjenesteyteres tilgang til Oslo kommunes helseregistre
Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om at helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.

PVN-2011-09 Tollvesenets kontroll av vareførsel
Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre
Toll. Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre. Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.

PVN-2011-10 Simonsen – antipiratarbeid
Klage på Datatilsynets avslag på forlengelse av konsesjon
Simonsen. Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

PVN-2011-11 Visma Retail
Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri
Visma Retail. Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

PVN-2011-12 Adgangskontroll ubetjent treningssenter
Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll
Fitness24Seven. Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll. Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

PVN-2011-13 Sletting fra Brillelands kunderegister
Klage på Datatilsynets saksbehandling i forbindelse med klage på manglende sletting i kunderegister
Brilleland. Klage på Datatilsynets saksbehandling. Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

PVN-2012-01 Barn med påførte dødelige skader
Klage på Datatilsynets avslag på søknad om konsesjon til å behandle personopplysninger i forskning i forbindelse med hovedoppgave om «Barn med påførte dødelige skader – hva gjør helsevesenet og rettsvesenet»
Klage på Datatilsynets saksbehandling. Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må «klart overstige» ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.

PVN-2012-02 Rekruttering AS
Klage på Datatilsynets planlagte kontroll mot Rekruttering AS
Rekruttering AS. Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS. Personvernnemnda kom til at klagen over at tilsyn var «unødvendig» å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er «påtrengende nødvendig», og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

PVN-2012-03 Nettby
Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby
Nettby. Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby. Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

PVN-2012-04 Arbeidsgivers innsyn i e-post
Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post
Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post. Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

PVN-2012-05 Opplysninger om fosterforeldre
Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre
Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre. Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf personopplysningsloven § 27, 2. ledd.

PVN-2012-06 Teletopia
Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis
Teletopia. Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis. Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

PVN-2012-07 Konsesjon kredittopplysningsvirksomhet
Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet
Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet. Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

PVN-2012-08 Sletting av elevmappe
Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe
Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe. Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som «sterkt belastende» objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2012-09 Elektroniske pasientkurver
Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra pasientkurver
Elektroniske pasientkurver. Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra elektroniske pasientkurver. Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

PVN-2012-10 SUSS-telefonen
Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS
SUSS-telefonen. Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS. Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS’ råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS’ nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

PVN-2012-11 Mammografiprogram
Klage på Datatilsynets avvisning av å realitetsbehandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte
Mammografiprogram. Klage på Datatilsynets avvisning av å behandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte. Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

PVN-2012-12 Livmorhalsprogram
Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte
Livmorhalsprogram. Klage på Datatilsynets omgjøringsvedtak. Datatilsynet fattet i april 2010 vedtak om at Kreftregisteret må hente inn samtykke fra de registrerte med negative funn i Cervixcancerprogrammet. Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

PVN-2012-13 Innsyn i personalmappe
Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe
Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe hos arbeidsgiver. Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf forvaltningslovens regler om partsoffentlighet.

PVN-2012-14 Klage på avvisning av sak
Klage på Datatilsynets avvisning av sak
Klage på Datatilsynets avvisningsvedtak. Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.

PVN-2012-15 Kamera på privat eiendom
Klage på Datatilsynets beslutning om å ikke realitetsbehandle en sak
Kameraovervåkning av privat grunn. Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvernnemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no.

11 Regnskap og budsjett for 2012

Personvernnemnda hadde i 2012 en budsjettramme på kr 1 773 000, og fremkommer under kapittel 1500 Fornyings- og administrasjonsdepartementet i statsbudsjett for 2012.

Totalt forbruk: kr 1 615 143.

Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar og EUs personvernkonferanse, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

12 Avslutning

Etter 12 års eksistens må vi kunne konstatere at Personvernnemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Oslo, 11. februar 2013
for Personvernnemnda

Eva I E Jarbekk
Leder

Postboks 8004 Dep, 0030 Oslo

Telefon: 90 29 92 16