Hjem

Vedtak 2020

PVN-2020-15 Skrivemåte for personnavn

Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.

Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.

PVN-2020-14 Sletting av søketreff i søkemotoren Google

Klage fra på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.

Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.

PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter

Klage fra Arendal kommune på Datatilsynets vedtak 23. oktober 2019 der tilsynet nedla forbud mot behandling av personopplysninger innhentet ved bruk av kartleggingsverktøyet Spekter, og påla kommunen å slette de innhentede personopplysningene.

Datatilsynet konkluderte blant annet med at opplæringslova kapittel 9 A ikke ga tilstrekkelig supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 3. Nemnda kom til at Arendal kommune har behandlingsgrunnlag for behandlingen av personopplysninger i Spekter i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A. Nemnda la til grunn at kartleggingen i Spekter i utgangspunktet ikke etterspør særlige kategorier av personopplysninger, og skolen må derfor ikke ha behandlingsgrunnlag for innsamling av opplysningene i artikkel 9. Nemnda konkluderte videre med at kommunen ikke oppfylte de øvrige reglene i personvernforordningen, herunder prinsippene for behandling av personopplysninger i artikkel 5 nr. 1, og reglene om de registrertes rettigheter etter forordningen kapittel III. For å benytte Spekter i fremtiden må kommunen etablere internkontrolldokumentasjon og rutiner som sikrere etterlevelse av personvernforordningen, blant annet når det gjaldt informasjon til elevene og retten til innsyn.

PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven

Klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.

Datatilsynet påla annonseselskapet OpenX å redegjøre for selskapets behandling av personopplysninger knyttet til mobiltelefonapplikasjonen Grindr, jf. personvernforordningen artikkel 58 nr. 1. Kravet om redegjørelse ble sendt etter at Forbrukerrådet, i forbindelse med lansering av rapporten «Out of Control» klaget både Grindr LLC og flere annonseselskaper Grindr bruker, inn til Datatilsynet for det de mente var ulovlig behandling av personopplysninger. OpenX klaget over pålegget, jf. forvaltningsloven § 14 og anførte at Datatilsynet ikke har hjemmel for å gi et slikt pålegg. Selskapet viste til at behandlingen uttømmende er regulert av ekomloven § 2-7b og at rett tilsynsmyndighet for den behandlingen Forbrukerrådet har klaget på er Nasjonal kommunikasjonsmyndighet (Nkom). Nemnda la til grunn at selv om ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av hva en eventuell innsendt klage over virksomheten gjelder. Nemnda konkluderte med at OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt.

PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse

Klage fra X Misjonsforsamling på Datatilsynets avgjørelse 19. mars 2020 hvor tilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysninger fra kameraopptak ulovlig, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.

I forbindelse med en nabokonflikt mellom A og hennes tidligere nabo B, mente begge seg trakassert av hverandre. B varslet misjonsforsamlingens styre, hvor A var styremedlem, om det hun oppfattet som trakasserende oppførsel fra A. Hun oversendte også private kameraopptak som hun mente viste As trakasserende oppførsel til ett styremedlem C. C og forsamlingens styreformann, D, så på og lagret opptakene, samt foreviste disse til A og hennes ektemann. Opptakene ble senere slettet. På bakgrunn av det opptakene viste, stilte C og D spørsmål ved As egnethet til styrevervet og det endte med at A trakk seg fra styret. A kontaktet Datatilsynet og ba om hjelp for det hun oppfattet som svært urettferdig behandling av henne fra misjonsforsamlingen. Datatilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysningene uten gyldig behandlingsgrunnlag. Nemnda la til grunn at tilsynets irettesettelse overfor den behandlingsansvarlige, jf. artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. Misjonsforsamlingens formål med å bruke opptakene var å avklare riktigheten av innholdet i varselet de hadde mottatt om A, og undersøke de faktiske forholdene, før de tok saken opp med A. Dette var en berettiget interesse. I den konkrete interesseavveiningen etter artikkel 6 nr. 1 bokstav f, delte nemnda seg i et flertall og et mindretall (6:1). Etter flertallets syn var misjonsforsamlingens lagring og bruk av de mottatte filmopptakene nødvendig for å ivareta den berettigede interessen hos misjonsforsamlingen og hensynet til As personvern gikk etter en avveining av de ulike interessene ikke foran. Mindretallet var enig med Datatilsynet i at misjonsforsamlingen kunne oppnådd det samme formålet på en mindre inngripende måte, og at en irettesettelse var en passende reaksjon.

PVN-2020-10 Sletting av personopplysninger i barnevernssak

Klage fra A og B på Datatilsynets vedtak 20. desember 2019 der Datatilsynet blant annet avslo anmodningen om å få slettet personopplysninger i en barnevernssak i X kommune.

Etter en bekymringsmelding åpnet barneverntjenesten undersøkelsessak, innhentet opplysninger om barnas mor fra DPS uten samtykke fra henne og traff et akuttvedtak om å plassere barna midlertidig utenfor hjemmet med samtykke fra foreldrene. I vedtaket, der foreldrenes personnummer framkommer, gjengis blant annet barnas beskrivelser av voldshendelser i hjemmet. Barneverntjenesten utleverte vedtaket til beredskapshjemmet. Foreldrene klaget på barneverntjenestens behandling av deres personopplysninger. Nemnda kom til at barneverntjenesten hadde behandlingsgrunnlag for utleveringen av opplysningene i vedtaket (med unntak av personnummeret) til beredskapshjemmet i artikkel 6 nr. 1 bokstav e, sammenholdt med barnevernloven og forvaltningslovens regler om taushetsplikt, opplysningsplikt og opplysningsrett. Datatilsynets avgjørelse om ikke å ilegge noen reaksjon for ulovlig utlevering av personnummeret var ikke en avgjørelse som kunne påklages, jf. PVN-2020-07. Videre hadde barneverntjenesten behandlingsgrunnlag for å innhente helseopplysninger uten samtykke i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav b, jf. barnevernloven § 4-3 og § 6-4. Foreldrenes krav om at opplysningene i barnevernssaken skulle slettes førte ikke fram. Kommunen kunne ikke pålegges å slette disse opplysningene. Det følger både av personvernforordningen § 17 nr. 3 bokstav b (rettslig forpliktelse), jf. arkivlova § 9 bokstav d, og av personvernforordningen artikkel 17 nr. 3 bokstav d (arkivformål i allmennhetens interesse).

PVN-2020-09 Behandling av personopplysninger i AutoPASS

Klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven. A har klaget over at bompengeselskapet lagrer passeringsdata i fem år, samt at det kreves registrering av mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte AutoPASS «Min side».

A klaget over at bompengeselskapet får lagre passeringsdata i fem år, samt at selskapet kan kreve at kundene registrerer sitt mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte tjenesten «Min side». Datatilsynet hadde i sitt vedtak lagt til grunn at det i utgangspunktet var Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med personvernforordningen. Personvernnemnda var uenig i dette og påpeker at det er Datatilsynets oppgave, som uavhengig tilsynsorgan, å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Nemnda la til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) gir behandlingsgrunnlag for å lagre opplysningene i denne tiden. Nemnda var uenig med tilsynet i at det forelå gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle en avtale) for å kreve registrering av As telefonnummer for å inngå avtale om AutoPASS-brikke eller for å benytte tjenestene på «Min side». Selv om manglende telefonnummer vil kunne gi en noe dårligere kundebehandling, må det være opp til kunden selv å velge dette. Nemnda la også vekt på at kundeforholdet med et bompengeselskap, for alle som kjører bil, skiller seg fra andre kundeforhold hvor det i langt større grad er frivillig om man ønsker å bli kunde eller ikke.

PVN-2020-08 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av treff i søkemotoren Google.
Saken gjelder klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av søketreff i søkemotoren Google. Søketreffene A krevde slettet ledet hovedsakelig til flere avisartikler som omtalte en straffesak mot A i 2014 der han ble domfelt for flere straffbare forhold. A ble i samme dom dømt til å betale erstatning og ilagt kontaktforbud mot flere personer. Handlingene han ble domfelt for var knyttet til As rolle et turoperatørselskap hvor A var eier og daglig leder. Ett søketreff A krevde slettet leder til en avisartikkel fra 2003 som omtaler As erstatningssøksmål mot en avis. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til ytrings- og informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i GDPR artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom en enstemmig nemnd til at hensynet til informasjons- og ytringsfriheten veier tyngst når det gjaldt de fleste søketreffene som omtalte dommen fra 2014 og at disse søketreffene ikke skulle slettes. A fikk derimot medhold i kravet om sletting av søketreffet som ledet til avisartikkelen fra 2003, da artikkelen er svært gammel og ikke gir informasjon av betydning utover det som følger av de øvrige søketreffene som Google fortsatt vil ha rett til å presentere i den strukturerte oversikten over informasjon som framkommer ved et navnesøk på A.

PVN-2020-07 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Saken gjelder klage fra A og B på Datatilsynets avgjørelse 20. januar 2020 der Datatilsynet avsluttet en sak fra X kommune om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge overtredelsesgebyr.

A og B sendte et høringssvar i en sak etter plan- og bygningsloven der de vedla et dokument med konfidensielle helseopplysninger om A. Setningen med de konfidensielle opplysningene var sladdet av A før innsendelse, men teksten var likevel synlig. Dokumentet ble publisert på kommunens offentlige saksliste, via kommunens nettsted. A kontaktet kommunen som umiddelbart fjernet dokumentet fra nettstedet. Personvernombudet sendte avviksmelding om hendelsen til Datatilsynet. A kontaktet også Datatilsynet og viste til kommunens brudd på personvernforordningen, samt fremsatte krav om erstatning. Datatilsynet avsluttet avvikssaken overfor kommunen uten å gi pålegg eller ilegge sanksjoner. Datatilsynet avsluttet også saken overfor A og B og viste til at saken var avsluttet overfor kommunen og at de iverksatte tiltakene var vurdert som tilstrekkelige. Datatilsynet orienterte om at et eventuelt erstatningskrav må fremmes for domstolene. A og B klaget til nemnda på Datatilsynets avgjørelse. Klagen ble avvist av Personvernnemnda. I likhet med Datatilsynet henviste nemnda til domstolene som rett instans for erstatningskravet. I tillegg kom Personvernnemnda til at Datatilsynets avgjørelse om å avslutte avvikssaken – etter å ha konstatert brudd – men uten å ilegge sanksjoner eller pålegg, ikke er et enkeltvedtak som kan påklages av A og B, jf. forvaltningsloven § 2 første ledd. Valg av reaksjon er ikke en avgjørelse som retter seg mot A og B og er heller ikke bestemmende for deres rettigheter og plikter.

PVN-2020-06 Sletting av personopplysninger i kommunal journal

Saken gjelder klage fra A på Datatilsynets vedtak 16. januar 2020 der tilsynet avslo kravet om sletting av personopplysninger i to journaler hos vedtakskontoret for helse- og omsorgstjenester i X kommune.

A søkte om kommunale helse- og omsorgstjenester som følge av psykiske plager. Kommunen utarbeidet journalnotater med vurderinger av As oppfølgingsbehov. A anmodet om sletting av flere opplysninger. Kommunen imøtekom delvis slettekravet, men avslo å slette notatene i to journaler fra 2014 og 2017 under henvisning til at det var arkivpliktig materiale. A fikk anledning til å supplere journalnotatetene slik at det framkommer hva hun mener er feil. Nemnda mente at kommunen med dette har ivaretatt sin plikt til dataminimering. Nemnda la til grunn at formålet med innsamling av opplysningene opprinnelig var knyttet til kommunens behandling av As søknad om kommunale helse- og omsorgstjenester og at formålet med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste videre til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge kommunen å slette disse opplysningene, jf. personvernforordningen § 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav d, og personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-05 Sletting av personopplysninger i elevmappe

Saken gjelder klage fra X kommune på Datatilsynets vedtak 20. august 2019 der Datatilsynet påla kommunen å slette personopplysninger i elevmappen til A.

En barneskole sendte en bekymringsmelding til kommunens barne- og familietjeneste vedrørende eleven A. Opplysningene knyttet til bekymringsmeldingen ble lagret i As elevmappe i saksbehandlingssystemet ESA Sikker. Barneverntjenesten henla saken uten å iverksette tiltak. Foreldrene ba skolen om å slette alle opplysninger knyttet til bekymringsmeldingen fra elevmappen da A skulle over til ungdomsskolen. Kommunen avslo kravet om sletting, men sperret de aktuelle dokumentene slik at de ikke var tilgjengelige for ansatte. Nemnda tok ikke stilling til om det blant opplysningene som var krevd slettet også var opplysninger som er arkivpliktig etter arkivloven, jf. Riksarkivarens forskrift § 7-28. Nemnda kom til at unntaket for sletteplikt i personvernforordningen artikkel 17 nr. 3 bokstav d uansett kom til anvendelse. Etter nemndas vurdering er fortsatt lagring av opplysningene i elevmappen nødvendig for arkivformål i allmennhetens interesse og sletting av opplysningene vil gjøre det umulig eller i alvorlig grad hindre at målene med nevnte behandling nås. Målene med fortsatt lagring av opplysningene er å sikre at opplysningene ikke blir kassert før rettslige og forvaltningsmessige dokumentasjonsbehov er bortfalt. Det foreligger tvingende berettigede grunner for fortsatt oppbevaring av de aktuelle opplysningene i kommunens arkiv, som går foran den registrertes interesser, rettigheter og friheter, jf. artikkel 21 nr. 1. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-04 Påstand om mangelfull informasjon fra energiselskap - klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 29. april 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer, omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019. A ba Datatilsynet om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning. Tilsynet mente at A har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut, og avsluttet saken uten å gi pålegg eller foreta ytterligere undersøkelser. I likhet med tilsynet la nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artiklene 12, 13 og 14. Nemnda mente at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt og at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven.

PVN-2020-02 Sletting av personopplysninger på Tilsynsrådets nettside

Klage fra A på Datatilsynets vedtak 2. oktober 2019 der Datatilsynet avslo kravet om å pålegge Tilsynsrådet for advokatvirksomhet (Tilsynsrådet) å slette publiserte personopplysninger på sin nettside.

As advokatbevilling ble tilbakekalt av Advokatbevillingsnemnden i 2011. Tilsynsrådet mottok meldinger om at A fortsatt drev advokatvirksomhet og publiserte i oktober 2018 et varsel dette på sin nettside. Nemnda la til grunn at Tilsynsrådets behandling av personopplysninger ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at Tilsynsrådets behandling av personopplysninger om A har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. l bokstav e, jf. domstolloven § 225 og advokatforskriften § 1-3 og § 4-5. Nemnda la til grunn at de publiserte opplysningene er korrekte og nødvendig oppdaterte, og at publiseringen av varselet både er nødvendig og proporsjonalt for formålet. Nemnda sluttet seg til Datatilsynets konklusjon om at det foreligger tvingende eller tungtveiende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 17 nr. 1 bokstav c, jf. artikkel 21 nr. 1.

PVN-2020-01 Kameraovervåking på privat eiendom

Klage fra A og B på Datatilsynets vedtak 5. mai 2018 der tilsynet konkluderte med at kameraovervåkingen på C's eiendom har et privat formål, og at det ikke foreligger brudd på personopplysningsloven.

A og B klaget over to kameraer på naboens (Cs) eiendom som de mente overvåket dem. Tilsynet konkluderte med at kameraene ikke fanget opp klagernes eiendom og at personopplysningsloven ikke var brutt. Da nemnda fikk saken til behandling hadde C flyttet og det ene kameraet var fjernet. Nemnda la til grunn at C ikke lenger var å anse som part, jf. forvaltningsloven § 2 e, og at saken når det gjaldt C ikke lenger var aktuell. Nemnda kom til at saken kunne behandles uten at ny eier ble brakt inn som part i saken, fordi nemnda la til grunn at det ikke var sannsynliggjort brudd på personopplysningsloven forbundet med det gjenværende kameraet. Nemnda la til grunn at tilsynet hadde foretatt en forsvarlig behandling av saken. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at det monterte kameraet fanget opp områder utenfor husets egen tomt og at behandlingen dermed var omfattet av unntaket for lovens virkeområde i personopplysningsloven § 2 andre ledd bokstav a. Nemnda opprettholdt tilsynets vedtak. Saken har tidligere vært behandlet av nemnda i PVN-2016-03.