Home

Vedtak 2022

PVN-2022-22 Grindr - utlevering av personopplysninger uten gyldig samtykke - overtredelsesgebyr

Klage fra Grindr LLC (nå Grindr Inc.) på Datatilsynets vedtak der tilsynet ila Grindr et overtredelsesgebyr på 65 000 000 kroner for å ha utlevert personopplysninger av særlig kategori, uten rettslig grunnlag, i perioden 20. juli 2018 til 7. april 2020, jf. personvernforordningen artikkel 6 nr. 1 og artikkel 9 nr. 1.

Nemnda kom til at opplysningen om at en person er en registrert bruker av dating-appen Grindr er en opplysning om en «persons seksuelle forhold eller seksuelle orientering», og at Grindrs utlevering av nevnte type opplysninger dermed innebar en behandling av opplysninger som var omfattet av forbudet i artikkel 9 nr. 1. Nemnda viste til to storkammerdommer fra EU-domstolen som støtte for sitt syn; C- 184/20 fra 1. august 2022 og C- 252/21 av 4. juli 2023. Nemnda konkluderte videre med at Grindr ikke hadde innhentet gyldig samtykke for sin utlevering av personopplysningene om brukerne til annonsepartnerne. Grindrs samtykkemekanisme, i den aktuelle perioden, var innrettet på en slik måte at brukerens samtykke verken var frivillig, spesifikt eller informert. At brukeren, etter å ha fullført registreringen fikk en mulighet til «opt out» medførte ikke at samtykket anses som frivillig. Nemnda var enig med Datatilsynet i at Grindr skulle ilegges et overtredelsesgebyr etter artikkel 83 nr. 2. Nemnda fant ingen grunn til å endre størrelsen på det fastsatte gebyret da et gebyr på 65 000 000 kroner ble ansatt nødvendig for å ha tilstrekkelig avskrekkende effekt. Overtredelsens alvor, særlig antallet registrerte som er berørt, kategorien av opplysninger som det gjaldt, at overtredelsen pågikk over nesten to år, samt at det dreide seg om en forsettlig handling hvor Grindr bevisst hadde valgt en teknisk løsning som ikke gjorde det mulig å registrere seg uten at brukeren samtidig måtte akseptere utlevering av opplysninger til analyse- og annonseselskaper til bruk for markedsføring, tilsa at overtredelsesgebyret ikke var uforholdsmessig. Datatilsynets vedtak ble opprettholdt.

Grindr tok ut stevning mot staten ved Personvernnemnda for Oslo tingrett 27. oktober 2023 med påstand om at nemndas vedtak er ugyldig, subsidiært at overtredelsesgebyret nedsettes. Staten v/Personvernnemnda ble frifunnet ved tingrettens dom 1. juli 2024 (23-160384TVI-TOSL/04).

 

PVN-2022-21 Oppreisning for oversittelse av klagefrist m.m.

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 15. mai 2022 fordi den var for sent framsatt.

Nemnda kom til at klagen skulle tas til behandling til tross for fristoversittelsen fordi A ikke kunne lastes for å ha oversittet klagefristen. Datatilsynet hadde ikke gitt A orientering om klagefristen, jf. fvl. § 27. A hadde også endt opp med å bli henvist fram og tilbake mellom Datatilsynet og statsforvalteren fordi det var uenighet om hvilken offentlig myndighet som var rett klageorgan i saken. Videre kom nemnda til at brevet til A der Datatilsynet avsluttet saken må anses som et avvisningsvedtak som gir klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter artikkel 17 nr. 1. Datatilsynet skal blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. Nemnda konkluderte med at arkivlova § 6, sammenholdt med bestemmelsene i arkivforskriftens kapittel 2, pålegger NAV å arkivere alle saksdokumenter i saker om sosialhjelp. A fikk ikke medhold i sitt krav om sletting av opplysninger i NAVs arkiv, jf. artikkel 17 nr. 3 bokstav b og d.

PVN-2022-20 Klage over Datatilsynets avgjørelse om å avslutte saken uten tiltak

Klage fra A på Datatilsynets vedtak der Datatilsynet avviste klage på tilsynets avgjørelse om å avslutte saken uten å foreta nærmere undersøkelser.

Nemnda kom til at Datatilsynets avgjørelse om å avslutte saken uten å gjøre nærmere undersøkelser eller treffe tiltak overfor NAV og kommunen er et enkeltvedtak som gir klagerett til nemnda, jf. forvaltningsloven §§ 2 og 28. Datatilsynet skulle derfor ikke avvist klagen fra A. Nemnda viste til Datatilsynets plikt til å føre tilsyn med og håndheve anvendelsen av personvernforordningen, jf. artikkel 57 nr. 1 bokstav a, og plikt til å undersøke klagens gjenstand «i den grad det er hensiktsmessig», jf. artikkel 57 nr. 1 bokstav f. Selv om tilsynet i noen grad har myndighet til å vurdere om det i det enkelte tilfellet er nødvendig å foreta nærmere undersøkelser og hvilke undersøkelser som er hensiktsmessige, kan ikke Datatilsynet fritt velge ikke å behandle innkomne klager. Nemnda uttalte at en slik begrensning i de registrertes mulighet for et effektivt rettsmiddel mot det de opplever som en ulovlig behandling av deres personopplysninger i så fall bøs utredes og reguleres nærmere i loven og viste bl.a. til Graver, Alminnelig forvaltningsrett, 5. utgave, 2019 side 389. I denne saken la nemnda til grunn at Datatilsynet hadde tatt stilling også til sakens realitet. Nemnda sluttet seg til tilsynets vurdering om at NAV og kommunens behandling av personopplysninger om A ikke var i strid med personopplysningsloven. Nemnda opprettholdt Datatilsynets vurdering av sakens realitet.

PVN-2022-19 Krav om sletting av personopplysninger i barnevernjournal

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at barneverntjenesten i X kommune ikke har brutt personopplysningsloven ved å avslå krav om sletting av opplysninger i sønnens barnevernjournal.

Opplysningen var gitt av A selv og framkommer i et journalnotat hvor barneverntjenesten redegjør for en samtale med A som oppfølging etter en bekymringsmelding. Den aktuelle barnevernssaken er avsluttet og fortsatt oppbevaring av opplysningene er nå begrunnet i arkivformål i allmennhetens interesse, jf. bestemmelsene om arkivverdig materiale i arkivlova. Riksarkivarens forskrift 19. desember 2017 nr. 2286 til arkivlova, § 7-28 niende ledd bokstav a bestemmer at «Prosedyrer, rutiner og saksbehandlingsprosesser for barnevernstjenesten, herunder håndtering av bekymringsmeldinger» skal bevares for ettertiden og ikke gjøres til gjenstand for kassasjon. Selve journalnotatet kunne derfor ikke slettes, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Nemnda kom til at heller ikke opplysningen (om at far er tater) isolert sett kunne kreves slettet. Nemnda viste til barneverntjenestens begrunnelse for å avslå retting og konkluderte med at opplysningen var nødvendig for å forstå barneverntjenestens behandling av bekymringsmeldingen. Datatilsynets vedtak ble opprettholdt.

PVN-2022-18 Klage over Datatilsynets vedtak om å omgjøre tidligere pålegg om sletting av personopplysninger hos statsforvalteren

Klage fra A på Datatilsynets vedtak der Datatilsynet, etter klage fra statsforvalteren, omgjorde tidligere vedtak om å pålegge statsforvalteren sletting av personopplysninger i sitt arkiv.

Nemnda la til grunn at Datatilsynets omgjøring av et tidligere vedtak som påla sletting av opplysninger var et nytt vedtak som ga A klagerett. Nemnda presiserte at det er Datatilsynet som er tilsynsmyndighet når det gjelder krav om sletting etter personvernforordningen artikkel 17 nr. 1. Det innebærer at Datatilsynet blant annet skal ta stilling til rekkevidden av unntakene som følger av artikkel 17 nr. 3 bokstav b og d, også ved krav om sletting av arkiverte dokumenter hos offentlige myndigheter. At den offentlige myndighetens egen vurdering av om opplysningene er nødvendig for arkivformål skal tillegges stor vekt, endrer ikke på at Datatilsynet er rette myndighet for å ta imot og behandle slettekrav etter artikkel 17. I dette tilfellet hadde statsforvalteren behandlingsgrunnlag for fortsatt lagring av personopplysningene i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3, jf. personopplysningsloven § 8 og personvernforordningen artikkel 9 nr. 2 bokstav j. Når de aktuelle personopplysningene representerer materiale som er underlagt bevaringsplikt etter arkivlova, har statsforvalteren også en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c.

PVN-2022-17 Nettselskapers behandling av helseopplysninger ved søknad fra kunder om fritak for installasjon av avanserte måle- og styringssystemer (AMS)

Klage på Datatilsynets vedtak om at nettselskapenes behandling av helseerklæringer har gyldig behandlingsgrunnlag.

Nemnda konkluderte med at nettselskapene har lovlig behandlingsgrunnlag for å behandle helseopplysninger ved søknad fra kunder om fritak for installasjon av AMS, jf. artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav g. Selv om avregningsforskriften § 4-1 andre ledd bokstav b kunne vært klarere formulert, gir den etter omstendighetene et tilstrekkelig nasjonalt rettsgrunnlag for behandlingen. Nemnda påpekte at kravene til utformingen av det nasjonale rettsgrunnlaget etter artikkel 9 nr. 2 bokstav g varierer etter formålet med behandlingen og avhengig av blant annet hvilket inngrep som gjøres i de registrertes rettigheter. Forskriften fastslår at nettselskapene ikke plikter til å installere AMS dersom «installasjonen er til vesentlig og dokumenterbar ulempe for sluttbruker». Nemnda kunne vanskelig se hvilke andre dokumenterbare ulemper enn helseplager som skulle gi grunnlag for fritak, og når forskriften forutsetter en konkret vurdering av helsesituasjonen av den enkelte nettkunde kan ikke det gjøres uten helseopplysninger. NVEs overordnede målsetting med innføring av AMS ivaretar viktige allmenne interesser. Nemnda vurderte helseopplysningene som behandles som relevante og nødvendige for at nettselskapene skal oppfylle sin plikt etter forskriften, og at kravet om legeerklæring ikke er et urimelig inngrep sett i forhold til det målet som søkes oppnådd, jf. artikkel 9 nr. 2. Datatilsynets vedtak ble opprettholdt.

PVN-2022-16 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak der tilsynet avviste saken under henvisning til personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-15 Avvisning av krav om retting av personopplysninger i statsforvalterens framstilling av faktum i en tilsynssak

Klage på Datatilsynets avgjørelse om å avvise et krav om retting av personopplysninger i statsforvalterens framstilling av faktum i avgjørelsen i en tilsynssak.

Nemnda la til grunn at statsforvalteren kan behandle opplysninger i tilsynssaken med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e, samt artikkel 9 nr. 2 bokstav f og at supplerende rettsgrunnlag, jf. artikkel 6 nr. 3, følger av lov om statlig tilsyn med helse- og omsorgstjenester §§ 2 og 3, samt lov om pasient- og brukerrettigheter § 7-4. Nemnda fant det klart at Datatilsynet ikke har kompetanse til å vurdere om statsforvalteren har framstilt faktum (herunder personopplysningene) korrekt eller fullstendig i sin avgjørelse i tilsynssaken, og kan heller ikke pålegge statsforvalteren å endre utformingen av denne. Det var derfor korrekt av tilsynet å avvise kravet om retting og avslutte saken uten ytterligere undersøkelser. Nemnda opprettholdt Datatilsynets avvisning av As krav om retting.

PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13. Klagen gjelder også Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.

Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale.

PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune - overtredelsesgebyr

Klage fra Østre Toten kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 4 000 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24.


Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.

PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter

Klage fra A på Datatilsynets vedtak om avvisning av klage på grunn av manglende klagerettigheter.

Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-10 Sletting av uriktige personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak 15. november 2021 om avslag på krav om sletting av personopplysninger hos NAV.

Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.

PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning - personvernforordningen artikkel 57 nr. 4

Klage fra A på Datatilsynets avgjørelse om å avvise en klage fordi anmodningen om bistand åpenbart er overdreven eller grunnløs.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.

​​​​​​​PVN-2022-08 Innsyn i elevmappe - klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn

Klage fra A på Datatilsynets vedtak 1. mars 2022 om at A ikke hadde krav på ytterligere innsyn etter personopplysningsloven, jf. personopplysningsloven § 16 første ledd bokstav e.

A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.

PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse

Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.


Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2022-03 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

PVN-2022-02 Sletting av søketreff i søkemotoren Google

Klage fra Google LLC (Google) på Datatilsynets vedtak 30. april 2021 om sletting av tre søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.