Home

Vedtak 2024

PVN-2024-09 Avslag på krav om elektronisk tilgang til tannlegejournal

Klage fra A på Datatilsynets vedtak om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.

Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-08 Klage på Datatilsynets avvisning av en henvendelse fordi den ikke representerer en klage etter artikkel 77 nr. 1

Klage fra A på Datatilsynets avvisning av hans henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.

Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A den aktuelle appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå var først og fremt knyttet til at saken etter hans syn har allmenn interesse i og med at appen brukes av mange personer over hele landet. Han ba blant annet Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

PVN-2024-07 Klage over Datatilsynets avslutning av sak om innsyn i logg og brudd på personopplysningssikkerheten hos Helseklage

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om innsyn i logg og brudd på personopplysningssikkerheten hos Nasjonalt klageorgan for helsetjenesten (Helseklage) uten å gi pålegg.

Nemnda var enig med Datatilsynet i at personvernforordningen ikke krever logging av hvor lenge hvert nemndsmedlem bruker på å lese dokumenter i en sak. Nemnda la videre til grunn at artikkel 77 nr. 1 må forsås slik at forordningen oppstiller et krav til en viss konkretisering av den påståtte ulovlige behandlingen av personopplysninger for at Datatilsynets plikt til å gjøre undersøkelser etter artikkel 57 nr. 1 bokstav f utløses. En generell oppfordring om å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan ikke regnes som en klage som utløser en slik plikt. Når det gjaldt anmodning om innsyn viste nemnda vil at A hadde fått innsyn i loggdata om når oppslag ble gjort og formålet med dem, og konkluderte med at innsynsretten etter artikkel 15 ikke gir rett til å vite hvem som gjorde oppslag eller varigheten av dem, jf. EU-domstolens uttalelser i C-578/21. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2024-05 Klage over Datatilsynets avgjørelse om å avslutte sak - retting/sletting av helseopplysninger i pasientjournal

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av helseopplysninger hos Sykehuset X, uten å treffe vedtak.

Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.

PVN-2024-03 Klage over Datatilsynets avvisning av klage på valg av reaksjon ved konstatert brudd på personvernforordningen

Klage fra Human-Etisk Forbund, på vegne av fem av sine medlemmer, samt likelydende klager fra tre enkeltpersoner som ikke er medlemmer av Human-Etisk forbund; A, B og C. Klagen gjelder Datatilsynets vedtak der tilsynet avviste klage over tilsynets vedtak om irettesettelse av Den norske kirke for overtredelse av personvernforordningen.

Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. I saken fastholder nemnda at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av klagen på valg av reaksjon mot Den norske kirke.

PVN-2024-02 Klage over Datatilsynets avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36

Klage fra A på Datatilsynets vedtak om avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36.

A framsatte krav om dekning av sakskostnader etter at Datatilsynet hadde fattet et nytt endret vedtak i en sak som gjaldt klage fra A på arbeidsgivers innsyn i As e-postkasse. A var i forvaltningssaken til Datatilsynet og klagen til Personvernnemnda representert ved sin ektefelle. Det er flere vilkår i forvaltningsloven § 36 som må være oppfylt for at en part skal få dekket sine kostnader. Nemnda avslo As krav på dekning av sakskostnader da det ikke var sannsynliggjort reelle utgifter som gir rett til dekning etter forvaltningsloven § 36. Nemnda fant det derfor ikke nødvendig å vurdere de øvrige vilkårene. Nemnda opprettholdt Datatilsynets vedtak om avslag på dekning av sakskostnader.

PVN-2024-01 Arbeidsgivers innsyn i arbeidstakers e-postkasse

Klage fra A på Datatilsynets vedtak om irettesettelse til arbeidsgiver for overtredelse av personvernforordningens prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. Datatilsynet la til grunn at arbeidsgiver hadde rettslig grunnlag for innsynet.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner. Datatilsynet vurderte at arbeidsgiver hadde rettslig grunnlag for innsynet, men traff vedtak om irettesettelse mot arbeidsgiver for brudd på personvernregelverkets prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. A klagde over vedtaket når det gjaldt Datatilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsynet, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll etter artikkel 30, samt Datatilsynets valg av reaksjon overfor arbeidsgiver. Nemnda vurderte i likhet med Datatilsynet at arbeidsgiver hadde rettslig grunnlag for innsynet i As e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b. Nemnda vurderte videre at retten til å klage til en tilsynsmyndighet etter artikkel 77 ikke omfatter separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll. Når det gjaldt As klage over Datatilsynets valg av reaksjon overfor arbeidsgiver, vurderte nemnda at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. As klage over arbeidsgivers manglende protokoll og klagen over manglende ileggelse av overtredelsesgebyr ble avvist, for øvrig ble Datatilsynets vedtak opprettholdt.