Hjem

Vedtak 2019

PVN-2019-09 Publisering av bilde fra overvåkingskamera på Facebook - overtredelsesgebyr

Klage fra gullsmedforretningen A på Datatilsynets vedtak 21. januar 2019 om ileggelse av overtredelsesgebyr på 50 000 kroner for publisering på Facebook av et bilde gjort ved kameraovervåking.

En gullsmedforretning, A, publiserte et bilde på Facebook fra et overvåkingskamera. Bildet viste en identifiserbar person og var tatt i forbindelse med et tyveri av julepynten utenfor forretningen i desember 2017. Nemnda kom til at saken skulle behandles etter personopplysningsloven 2018. Personopplysningsloven 2018 og GDPR åpner for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000 § 39 og må derfor anses som gunstigere, jf. personopplysningsloven § 33. Nemnda vurderte om A hadde behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse), og konkluderte etter en interesseavveining, med at den registrertes interesse gikk foran og krevde vern av opplysningene. Ved utmålingen av gebyr etter GDPR artikkel 83 var det i denne saken nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen var begått i desember 2017 (dvs. før personopplysningsloven 2018 og GDPR trådte i kraft). Nemnda opprettholdt Datatilsynets vedtak om å ilegge A et overtredelsesgebyr på 50 000.

PVN-2019-08 Innsyn i personopplysninger i mobilabonnement etter ID-tyveri

Klage fra A på Datatilsynets vedtak 23. januar 2019 om ikke å gi telefonselskapet B pålegg om å gi han innsyn etter GDPR artikkel 15.

A ble kjent med at en ukjent person urettmessig hadde brukt hans fødselsnummer til å opprette et kontantkortabonnement. A sperret telefonnummeret umiddelbart og anmeldte forholdet til politiet, men politiet henla saken. A ba om innsyn i opplysninger som var knyttet til abonnementet (bl.a. datatrafikk, samtalelogg, sms’er). Mobilselskapet avslo begjæringen. A klaget til Datatilsynet som avsluttet saken uten ytterligere tiltak med henvisning til at A ikke hadde krav på innsyn i etter GDPR artikkel 15. Nemnda var enig med tilsynet i at GDPR artikkel 15 ikke ga A rett til innsyn. Selv om et fødselsnummer entydig er knyttet til en person, var det i dette tilfellet på det rene at As fødselsnummer var misbrukt av noen andre og at de personopplysningene som eventuelt fremkom i tilknytning til det opprettede abonnementet hos mobilselskapet ikke var personopplysninger om A, men personopplysninger om den som hadde opprettet mobilabonnementet. Nemnda opprettholdt Datatilsynets vedtak om ikke å gi pålegg om innsyn.

PVN-2019-07 Retting og sletting av personopplysninger i personalmappe

Klage fra A på Datatilsynets vedtak 11. juli 2018 om ikke å pålegge retting eller sletting av personopplysninger i hennes personalmappe hos arbeidsgiver.

Klageren i saken, A, er involvert i en arbeidskonflikt med ledelsen som har vart over flere år. I likhet med Datatilsynet fant nemnda at det ikke var grunnlag for å pålegge å slette eller rette personopplysningene i As personalmappe. Nemnda sluttet seg til tilsynets vurdering om at det adekvate alternativet er supplering, noe det var gitt anledning til. Videre la nemnda til grunn at arbeidsgivers behandling av As personopplysninger var nødvendig for å ivareta arbeidsgivers berettigede interesse i å håndtere og dokumentere sakshistorikken i arbeidsforholdet og den pågående arbeidskonflikten, jf. GDPR artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet. Nemnda la også til grunn at arbeidsgiverens oppbevaring av personopplysningene var forsvarlig, og at det ikke forelå brudd på reglene om personopplysningssikkerhet, jf. GDPR artikkel 32.

PVN-2019-06 Utlevering av personopplysninger

Klage fra A på Datatilsynets vedtak 21. desember 2018 om å avslutte behandlingen av en sak om X kommunes behandling av personopplysninger, uten å gi pålegg.

Saken har sin opprinnelse i en bekymringsmelding som ble sendt fra en skole til barneverntjenesten i kommunen. Skolen var bekymret over foreldrenes konfliktfylte forhold til skole og lokalmiljø. Barnevernet avsluttet saken uten å iverksette tiltak. Foreldrene kontaktet Datatilsynet og klaget over kommunens/skolens behandling og utlevering av opplysninger. Nemnda la til grunn at kommunen/skolen hadde behandlingsgrunnlag for å behandle personopplysninger i anledning bekymringsmeldingen, og var enig med Datatilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling til grunnlaget for bekymringsmeldingen. Nemnda la videre til grunn at kommunen/skolen ikke brøt personopplysningsloven i sin interne og eksterne kommunikasjon rundt bekymringsmeldingen, samt at Datatilsynet hadde foretatt tilstrekkelige undersøkelser i saken og oppfylt sin plikt etter GDPR artikkel 57.

PVN-2019-05 Innsyn i personalmappe

Klage fra A på Datatilsynets vedtak 22. januar 2019 om å avslutte behandlingen av en innsynssak uten å gi pålegg.

En tidligere ansatt (A) i en fylkeskommune ba om innsyn i opplysninger i egen personalmappe. Han ba også om informasjon om en rekke forhold knyttet til behandlingen av hans personopplysninger. Datatilsynet undersøkte saken og fant at A hadde fått det innsynet og den informasjonen han har krav på etter GDPR artikkel 15. I tillegg informerte og veiledet Datatilsynet A om hans rett til å be om innsyn hos fylkesmannen i anledning en klagesak som var sendt dit. En samlet nemnd var enig med Datatilsynet i at fylkeskommunen hadde etterkommet As anmodning og gitt ham innsyn. Nemnda la videre til grunn at Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg var forsvarlig og innenfor lovens rammer, jf. GDPR artikkel 57 nr. 1 bokstav f.

PVN-2019-04 Feilsending av eksamensbesvarelse - klage på Datatilsynets avslutning av sak etter begrensede undersøkelser

Klage fra A på Datatilsynets vedtak 10. januar 2019 om å avslutte behandlingen av en sak vedrørende Høgskolen i X sin håndtering av en avviksmelding om en eksamensbesvarelse som ble sendt til feil person.

En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. GDPR artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.

PVN-2019-03 Innsyn i personopplysninger i et dødsbo under offentlig skifte – klage over Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 12. oktober 2018 om å avslutte behandlingen av en sak vedrørende begjæring om innsyn i personopplysninger i et dødsbo under offentlig skifte.

Saken gjelder spørsmål om rett til innsyn i personopplysninger i et dødsbo under offentlig skifte, og rekkevidden av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b.

I forbindelse med offentlig skifte av dødsboet til As foreldre, henvendte A seg til bobestyreren å ba om innsyn i sakens dokumenter og en komplett dokumentliste, samt om innsyn i opplysninger om seg selv. Bobestyreren henviste A til Oslo byfogdembete (OBYF), som sendte A en utskrift av sakens dokumentliste, og ba A opplyse hvilke dokumenter han ønsket kopi av. Byfogden opplyste samtidig at begjæring om innsyn etter personopplysningsloven måtte sendes i egen henvendelse til byfogdembete. A klaget til Datatilsynet, som konkluderte med at skifteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at tilsynet derfor ikke har kompetanse til å forfølge saken. Tilsynet avsluttet sin saksbehandling og la til grunn at As innsynsrettigheter ville bli ivaretatt av OBYF. A klaget vedtaket inn for nemnda. Nemnda kom til at domstolens behandling av personopplysninger i et dødsbo under offentlig skiftebehandling er omfattet av personopplysningsloven og ikke omfattet av rettspleielovunntaket i § 2 andre ledd bokstav b. Det var likevel forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at As innsynsrettigheter ville bli ivaretatt av Oslo byfogdembete ved henvendelse dit.

PVN-2019-02 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 3. oktober 2017 der tilsynet avslo anmodningen om å pålegge sletting av søketreff i søkemotoren Google.

Klage på Datatilsynets avslag på anmodning om å pålegge Google å slette søketreff ved søk på As navn. Søketreffene ledet til flere nyhetsartikler som omtalte en straffesak mot A i 2013/2014 der han, mens han praktiserte som advokat, ble domfelt for flere grove bedragerier. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjonen som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i GDPR artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom nemnda til at As rett til personvern veide tyngst. Nemnda la vekt på at det hadde gått lang tid siden de straffbare handlingene ble begått (8–14 år siden), og at det var lenge siden domfellelsen (seks år). A praktiserer ikke lenger som advokat og han ble vurdert å ha en mindre rolle i bedrageriene. Det ble videre vektlagt at A opplever søketreff til de publiserte opplysningene svært belastende, samt at det dreier seg om opplysninger som er omfattet av GDPR artikkel 10.

PVN-2019-01 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Legelisten.no, jf. forvaltningsloven § 36.

Saken gjelder Legelistens krav på dekning av sakskostnader etter at Personvernnemnda i vedtak 21. januar 2019 i sak PVN-2018-14 ga Legelisten delvis medhold i sin klage på Datatilsynets vedtak, ved at tilsynets vedtak ble omgjort på to punkter. Omgjøringen var samsvar med Legelistens subsidiære anførsel i klagen. Det totale kravet på kroner 248 972,80 omfattet salærutgifter til prosessfullmektig for 80 timers arbeid utført i perioden 9. mars 2017 til 24. januar 2019, totalt kroner 173 972,80, samt et skjønnsmessig fastsatt beløp på kroner 75 000 for Legelistens eget arbeid med saken. Nemnda la til grunn at vedtaket i sak PVN-2018-14 ble endret til gunst for Legelisten og at det var forståelig at Legelisten pådro seg vesentlige utgifter ved å engasjere juridisk bistand i forbindelse med klagen over Datatilsynets vedtak i en så omfattende og prinsipiell sak. Nemnda anså 50 000 kroner til prosessfullmektigens bistand som nødvendig for å få endret vedtaket, men øvrig arbeid ikke var nødvendig, jf. forvaltningsloven § 36. Legelistens godtgjørelse for eget arbeid ble ikke dekket.

Personvernnemndas vedtak ble påklaget til Kommunal- og moderniseringsdepartementet. Departementets vedtak finner du her: Endelig vedtak om delvis dekning av sakskostnader fra KMD.