Hjem

Vedtak 2022

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2022-03 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.