Home

Vedtak 2023

PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

PVN-2023-22 Klage over Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger hos NAV

Klage fra A v/B på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over at NAV ikke hadde gitt ham medhold i hans krav om sletting/retting av det han mener er ulovlige vedtak truffet av NAV. Nemnda fastslo at dersom NAV tolker en rettsregel feil eller foretar en uriktig vurdering av faktum, vil dette kunne resultere i et uriktig vedtak, som kan endres ved at vedtaket påklages, omgjøres eller endres gjennom et nytt vedtak. Vedtaket kan ikke rettes eller slettes etter bestemmelsene i personvernforordningen artiklene 16 og 17. Nemnda la til grunn at Datatilsynet hadde oppfylt sin plikt til å behandle As klage, jf. personvernforordningen artikkel 77. Nemnda var enig med Datatilsynet i at det ikke er lagt frem dokumentasjon for, eller redegjort for, et faktum som ga grunnlag for å pålegge NAV å rette eller slette opplysninger om A i hans saker i NAV. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda viste til at det er opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å innhente ytterligere opplysninger i saken fra innklagede eller om saken behandles på bakgrunn av den informasjonen klager har sendt inn. I utgangspunktet er det klagers oppgave å redegjøre for saken og legge fram nødvendig dokumentasjon for å sannsynliggjøre sitt krav. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-20 Sletting av dokument i personalmappe hos tidligere arbeidsgiver

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at A hadde fått oppfylt sin innsynsrett etter personvernforordningen artikkel 15, og ikke ga ham medhold i sitt slettekrav etter personvernforordningen artikkel 17.

Spørsmålet for nemnda var om As tidligere statlige arbeidsgiver skulle pålegges å slette et arkivert dokument som inneholdt personopplysninger om A fra hans personalmappe. Arbeidsgivers formål med innsamling av personopplysningene opprinnelig var knyttet til hans arbeidsforhold. Arbeidsforholdet var avsluttet og arbeidsgivers formål med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til at de aktuelle personopplysningene representerte materiale som er underlagt bevaringsplikt etter arkivlova § 6 jf. § 9 og Riksarkivarens forskrift § 7-11 første ledd, og at arbeidsgiver har en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Nemnda kunne derfor ikke pålegge arbeidsgiver å slette opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Datatilsynets vedtak ble opprettholdt.

PVN-2023-18 Innsyn i pasientjournal

Klage fra A på Datatilsynets avgjørelse der Datatilsynet konkluderte med at A ikke hadde krav på ytterligere innsyn etter personvernforordningen.

Personvernforordningen artikkel 15 har generelle regler om den registrertes rett til innsyn i egne personopplysninger som behandles. For helseopplysninger er dette videre regulert i helselovgivningen, herunder i pasientjournalforskriften og pasient- og brukerrettighetsloven. Retten til innsyn i pasientopplysninger gjelder pasientjournal (med eventuelle vedlegg) og innsynslogg. Når det gjelder øvrige tekniske data om helsepersonellets handlinger knyttet til journalen, er dette ikke opplysninger som er omfattet av retten til innsyn. Nemnda sluttet seg til Datatilsynets vurdering om at innsynsretten var oppfylt i dette tilfellet, jf. pasientjournalforskriften §§ 11 og 14, pasient- og brukerrettighetsloven § 5-1 og personvernforordningen artikkel 15.

PVN-2023-16 Klage over Datatilsynets avgjørelse om å avslutte saken uten å ta stilling til om personvernforordningen er brutt

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.

Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

PVN-2023-15 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om avslutning av sak

Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om kameraovervåking fra privat bolig (nabo) uten ytterligere undersøkelser og uten å gi pålegg.

Nemnda var enig med Datatilsynet i at det ikke var sannsynliggjort at den innklagede naboen hadde montert kameraovervåkingsutstyr som innebar at det ble gjort opptak av A. Personopplysningsloven var dermed ikke brutt. Etter nemndas vurdering hadde Datatilsynet oppfylt sin utredningsplikt slik at saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynets avgjørelse om ikke å gjøre ytterligere undersøkelser var etter nemndas vurdering forsvarlig og innenfor lovens rammer. Nemnda påpekte at det må være opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å foreta befaring for å kontrollere påstander om ulovlig montert kameraovervåkingsutstyr, og at det i utgangspunktet er klagers oppgave å legge fram dokumentasjon for det forholdet som påklages. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-14 Klage over Datatilsynets avgjørelse om å avslutte sak uten å ta stilling til om personopplysningsloven er brutt

Klage fra A på Datatilsynets avgjørelse der Datatilsynet avsluttet en sak uten å foreta nærmere undersøkelser og uten å ta stilling til om As rettigheter etter personopplysningsloven var brutt.

Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

PVN-2023-13 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at det ikke foregikk ulovlig kameraovervåking etter at Datatilsynets varslede pålegg om opphør var oppfylt

Klage fra A på Datatilsynets avgjørelse der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke lenger var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a, da varslet pålegg om å avslutte overvåking av deler av eiendommen ble ansett oppfylt.

Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2. Loven gjelder likevel ikke «ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», jf. personopplysningsloven § 2 andre ledd bokstav a. På bakgrunn av partenes forklaringer og de framlagte bildene, la nemnda, som Datatilsynet, til grunn at det ikke er sannsynliggjort at noen av Bs kameraer lenger var montert slik at de overvåker As eiendom, verken hagen, huset eller inn i huset gjennom vindu eller døråpninger. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-12 Krav om innsyn i interne dokumenter, samt spørsmål om gyldig behandlingsgrunnlag for personopplysninger i en personalsak

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at en arbeidsgiver ikke hadde brutt personopplysningsloven.

Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.

PVN-2023-11 Behandling av personopplysninger om barn ved bruk av bilder i barnehage

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at X kommune hadde rettslig grunnlag for å behandle bilder av deres barn i barnehagen.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

PVN-2023-10 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Klage fra A på Datatilsynets der tilsynet avsluttet en sak om X kommunes brudd på personopplysningssikkerheten uten å ilegge kommunen en reaksjon.

En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

PVN-2023-09 Brudd på personopplysnings- og informasjonssikkerheten i Karmøy kommune - overtredelsesgebyr

Klage fra Karmøy kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 300 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23.

I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

PVN-2023-08 Klage på Datatilsynets beslutning om ikke å følge opp et varsel om brudd på personvernforordningen - avvisning

Klage fra A på Datatilsynets beslutning om ikke å følge opp et mottatt varsel om ulovlig utlevering av personopplysninger fra Arkivverket som databehandler.

Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.

PVN-2023-07 Klage på Datatilsynets avgjørelse om at det ikke var sannsynliggjort utlevering av personopplysninger fra deponerte dokumenter hos Arkivverket

Klage fra A på Datatilsynets vedtak der tilsynet kom til at det ikke var sannsynliggjort utlevering av personopplysninger fra As klientmappe i arkivet til Veiledningstjenesten til romanifolket/taterne som var deponert hos Arkivverket.

Personvernnemnda var enig med Datatilsynet i at det på bakgrunn av opplysningene i saken ikke var sannsynliggjort at det hadde skjedd noen utlevering av opplysninger fra klientmappene til Veiledningstjenesten som var deponert hos Arkivverket. Nemnda la til grunn at klientmappene befant seg i et låst skap og ble oppbevart et annet sted enn tidligere avlevert arkivmateriale fra Stiftelsen romanifolkets/taternes kulturfond og Stiftelsen til Romanifolkets/taternes senter. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-06 Retting av journalopplysninger

Klage på Datatilsynets vedtak der Datatilsynet konkluderte med at klager hadde fått oppfylt sin rett til retting og supplering av opplysninger i sønnens journal.

Personvernlovgivningen gir verken Datatilsynet eller nemnda kompetanse til å pålegge endring av innholdet i en pasientjournal. Dette gjelder både helsefaglige vurderinger og journalnotater som representerer legens referat av hva som ble sagt i en samtale med pasienten. Riktigheten av slike journalføringer må vurderes av helseforetaket, eventuelt av statsforvalteren ved klage på avslag om retting. Ved uklarhet eller uenighet om hva som ble sagt, vil supplering være aktuelt. Hvilke opplysninger som hører hjemme i en journal og hva som skal arkiveres andre steder reguleres ikke av personvernlovgivningen og kan ikke bestemmes av tilsynet eller nemnda. Nemnda viste til at sykehuset hadde lagret As innvendinger i sykehusets systemer, og at det ikke et krav at opplysningene skal suppleres direkte i journalen. A hadde dermed fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-05 Behandling av personopplysninger om barn ved bruk av videopptak i barnehage

Klage fra X kommune på Datatilsynets vedtak om å ilegge kommunen en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b, for å ha behandlet personopplysninger uten gyldig behandlingsgrunnlag, jf. artikkel 6 nr. 1, samt for ikke å ha overholdt informasjonsplikten etter artikkel 13.

En barnehageansatt tok videopptak av et barn under et sinneutbrudd i barnehagen. Formålet med opptaket var å vise det til kommunepsykologen for å gjøre de barnehageansatte bedre rustet til å møte barnet. Opptaket ble lagret på en kommunal tjenestetelefon og fremvist til de ansatte, enhetslederen og kommunepsykologen, og slettet etter 10 dager. I motsetning til Datatilsynet kom nemnda til at kommunen hadde behandlingsgrunnlag for å ta videoopptaket i artikkel 6 nr. 1 bokstav c, jf. barnehageloven og forskrift om rammeplan for barnehager. Nemnda la videre til grunn at foreldrenes samtykke dekket utleveringen av opptaket til kommunepsykologen. Nemnda var imidlertid enig med tilsynet i at kommunen ikke hadde overholdt sin informasjonsplikt overfor foreldrene, jf. artikkel 13, men at bruddet på informasjonsplikten ikke var så alvorlig at det var grunnlag for å gi kommunen en irettesettelse. Datatilsynets vedtak ble omgjort.

PVN-2023-04 Retting av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at det ikke var grunnlag for å foreta retting i et vedtak fra NAV, jf. personvernforordningen artikkel 16.

A mottok dagpenger under arbeidsløshet fra NAV. Da A søkte om støtte til etablering av egen virksomhet og opplyste at han holdt på med en masterutdanning, fattet NAV vedtak om stans i dagpengene da han ikke oppfylte vilkårene. Det viste seg senere at dagpengene ikke skulle ha vært stanset og NAV omgjorde vedtaket om stans og fattet et nytt vedtak som innvilget A dagpenger i stansingsperioden. Nemnda viste til at stansingsvedtaket ga korrekt uttrykk for det faktum NAV la til grunn på tidspunktet da vedtaket ble fattet. I de påfølgende vedtakene omgjorde NAV sin vurdering av de faktiske forholdene. Nemnda mente at det av vedtakene lest i sammenheng framkommer at A på søknadstidspunktet for dagpenger ikke var aktiv student, og at NAVs stans av dagpenger var urettmessig. Nemnda konkluderte med at dette samlet sett medfører at det ikke er registret uriktige opplysninger om A. Vilkåret for retting etter artikkel 16 var derfor ikke oppfylt og NAV kunne ikke pålegges å rette eller supplere opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-03 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak er tilsynet avviste saken under henvisning til at den falt utenfor personopplysningslovens saklige virkeområde, jf. personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket omfatter forsikringsselskapets oversendelse av saksdokumenter med helseopplysninger til en privat engasjert sakkyndig i forbindelse med behandlingen av en sivil sak for lagmannsretten. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, og at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Datatilsynet har i sin praksis lagt til grunn at unntaket også omfatter aktørenes behandling av personopplysninger i saker som behandles eller avgjøres i medhold av rettspleielovene, noe nemnda også la til grunn i sak PVN-2022-16. Det forelå ikke personvernhensyn som tilsier en innstramming av denne etablerte forvaltningspraksisen. Skulle rettspleielovunntaket bare gjelde for domstolene, og ikke aktørene som enten er parter eller representerer parter i saker for domstolen, vil unntaket ikke ha en reell betydning. Domstolen behandler ingen personopplysninger innenfor sin dømmende myndighet som ikke behandles av sakens parter. At behandlingen av en sak for domstolen er avsluttet, endrer ikke på vurderingen. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2023-02 Avvisning av klage på grunn av manglende kompetanse i sak om grenseoverskridende behandling av personopplysninger

Klage over Datatilsynets avvisning av klage fra A på grunn av manglende klagerett til Personvernnemnda i en sak om grenseoverskridende behandling av personopplysninger, jf. personopplysningsloven § 22 andre ledd andre punktum.

Datatilsynet vurderte As klage mot Equinors behandling av personopplysninger i rekrutteringsprosesser som en grenseoverskridende sak, og behandlet saken etter personvernforordningen artikkel 56 og kapittel VII. Nemnda har ikke kompetanse til å behandle klager på Datatilsynets vedtak i slike grenseoverskridende saker, jf. personopplysningsloven § 22 andre ledd. Nemnda opprettholdt Datatilsynets avvisning av klagen.

PVN-2023-01 Kredittvurdering ved bilutleie via en bildelingsplattform

Klage fra A på Datatilsynets vedtak der tilsynet kom til at Getaround (tidligere Nabobil.no) hadde rettslig grunnlag for å kredittvurdere A da han skulle leie bil via selskapets bildelingsplattform, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.

Nabobil foretok en kredittvurdering av A da han ønsket å leie bil via Nabobils digitale plattform. Han fikk ikke inngått en leieavtale på grunn av en betalingsanmerkning. Nemnda var enig med Datatilsynet i at Nabobils økonomiske interesse i å beskytte seg mot tap i forbindelse med utleie av bil utgjør en berettiget interesse og at det er nødvendig for Nabobil å kredittvurdere sine leietakere for å redusere selskapets økonomiske risiko. Nemnda sluttet seg også til Datatilsynets interesseavveining og la til grunn at Nabobils berettigede interesser i denne saken veide tyngre enn hensynet til As ønske om å verne opplysningene. Nabobils innhenting av kredittopplysninger om A i forbindelse med forespørselen om leie av bil via Nabobils digitale plattform var lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Datatilsynets vedtak ble opprettholdt.