Kategori: 2023

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 7. august 2023. I vedtaket ila Datatilsynet selskapene en tvangsmulkt på én million kroner per dag, i inntil tre måneder, for manglende oppfyllelse av et midlertidig forbud mot å behandle personopplysninger for atferdsbasert markedsføring i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester i Norge.
Det midlertidige forbudet ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Tvangsmulktvedtaket ble truffet med hjemmel i personopplysningsloven § 29. Nemnda tolket personopplysningsloven § 29 innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker. Nemnda viste til at det ikke var holdepunkter i forarbeidene til personopplysningsloven for at departementet mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, ville det vært nærliggende å forvente at departementet i forarbeidene hadde avklart spørsmålet om nemndas kompetanse og den behandlingsansvarliges klagerett i slike saker. Også legalitetsprinsippet tilsa at det i loven hadde vært inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Nemnda konkluderte med at tvangsmulktvedtaket ikke hadde hjemmel i lov og opphevet vedtaket.

Klage fra A på Datatilsynets avvisning av hennes klage over Datatilsynets vedtak om irettesettelse mot en kommune for brudd på personopplysningssikkerheten. Det er også truffet andre vedtak i saken som gjelder innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.
Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om politiets innhenting og utlevering av opplysninger i en straffesak.
A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

Klage fra A på Datatilsynets vedtak der tilsynet avsluttet sak med krav om innsyn i, informasjon om og sletting av personopplysninger hos NAV uten å gi pålegg.
Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.

Klage fra A og B på Datatilsynets vedtak om å avslutte sak om retting og sletting av personopplysninger uten å gi pålegg.
A og B kontaktet Datatilsynet og klaget over behandlingen av personopplysninger om deres sønn ved to barnehager og en barneskole, samt i barneverntjenesten. A og B ønsket flere dokumenter rettet og slettet. Tilsynet avsluttet saken uten å gi pålegg om retting eller sletting, under henvisning til reglene om arkivplikt i arkivlova. Nemnda vurderte at arkivregelverket ikke kan tolkes slik at den enkelte kommune eller fylkeskommune står helt fritt til å avgjøre hvilke dokumenter som skal arkiveres og hvilke som skal/kan slettes. Det må foretas en avveining av om det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 21 nr. 1. Nemnda var ikke enig med Datatilsynet i at tilsynet ikke har kompetanse til å foreta denne vurderingen og foretok en selvstendig prøving av om det forelå tvingende berettigede grunner for fortsatt oppbevaring. Nemnda opprettholdt Datatilsynets vedtak når det gjaldt opplysningene fra skolen og barneverntjenesten. Når det gjaldt kravet om sletting av opplysninger fra barnehagene delte nemnda seg i et flertall og et mindretall. Flertallet fant at det ikke forelå tvingende berettigede grunner for fortsatt oppbevaring av opplysningene fra barnehagene, slik at vilkårene for fortsatt lagring ikke var oppfylt.

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 3. august 2023 der tilsynet avviste klage over vedtak 14. juli 2023 truffet med hjemmel i artikkel 66 nr. 1, jf. personopplysningsloven § 22 andre ledd.
Det var enighet om at Datatilsynets vedtak 14. juli 2023 er hjemlet i personvernforordningen kapittel VII og at Personvernnemnda ikke har kompetanse til å behandle klager over dette vedtaket, jf. personopplysningsloven § 22 andre ledd. Klagerne anførte at selskapene har rett til forvaltningsklage etter forvaltningsloven § 28 og ba nemnda ta stilling til om vedtaket kunne klages inn for departementet. Nemnda la til grunn at når nemnda ikke har kompetanse til å behandle klagen, tilligger det heller ikke Personvernnemnda å ta stilling til de prosessuelle reglene for hvordan disse sakene skal behandles. Gyldigheten av Datatilsynets vedtak vil imidlertid kunne bringes inn for domstolene. Nemnda opprettholdt Datatilsynet avvisning av klagen.

Klage fra A på Datatilsynets vedtak hvor tilsynet avviste hans sak om ulike feilregistreringer i Brønnøysundregistrene uten å gi pålegg.
Nemnda la til grunn at registrering av konkursåpning i Brønnøysundregistrene, som skjer etter melding fra retten, ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b. Registreringen av de aktuelle opplysningene hadde behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. nr. 3, med supplerende rettsgrunnlag i konkursloven og konkursregisterforskriften. A hadde ikke sannsynliggjort at Konkursregisteret hadde registrert uriktige opplysninger som han kunne kreve rettet eller slettet. Når det gjaldt registering av fusjon i Foretaksregisteret mellom aksjeselskaper og sletting av registrerte kunngjøringer om selskaper i Brønnøysundregistrene, var nemnda enig med Datatilsynet i at slike opplysninger ikke er personopplysninger, men opplysninger om juridiske personer. Slik registrering faller utenfor personopplysningsloven og personvernforordningens virkeområde, jf. personopplysningsloven § 2 første ledd. A fikk ikke medhold i klagen.

Klage fra A på Datatilsynets avgjørelse om ikke å gjøre nærmere undersøkelser av om Statistisk sentralbyrå (SSB) behandler personopplysninger ulovlig.
A kontaktet Datatilsynet og varslet om flere forhold ved SSBs behandling av personopplysninger som han mente var ulovlig. Datatilsynet avsluttet saken uten å gjøre nærmere undersøkelser og uten å ta stilling til om behandlingen av personopplysninger var ulovlig. Datatilsynet viste til personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda vurderte hvilket handlingsrom tilsynet, når det mottar en henvendelse om mulige brudd på personopplysningsloven, har til å velge ikke å ta stilling til om den beskrevne behandlingen i henvendelsen er ulovlig eller ikke. Nemnda la til grunn at tilsynet i utgangspunktet plikter å ta stilling til de klagene som fremsettes, jf. artikkel 77, men at det er klagers oppgave å redegjøre for saken og legge frem dokumentasjon for det forholdet som påklages. I mangel av en viss konkretisering av at det er vedkommendes egne personopplysninger som er behandlet på en måte som er i strid med forordningen, kan det etter nemndas syn argumenteres for at henvendelsen ikke skal regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser. I dette tilfellet hvor SSB driver en lovregulert virksomhet og hvor de opplysningene som er gitt i henvendelsen ikke i seg selv gir tilstrekkelig grunn til å mistenke en ulovlig behandling av personopplysninger, kan ikke henvendelsen anses som en klage som gir tilsynet plikt til å gjøre nærmere undersøkelser etter artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt Datatilsynets vedtak.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.
A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

Klage fra A v/B på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger uten å gi pålegg.
A henvendte seg til Datatilsynet og klaget over at NAV ikke hadde gitt ham medhold i hans krav om sletting/retting av det han mener er ulovlige vedtak truffet av NAV. Nemnda fastslo at dersom NAV tolker en rettsregel feil eller foretar en uriktig vurdering av faktum, vil dette kunne resultere i et uriktig vedtak, som kan endres ved at vedtaket påklages, omgjøres eller endres gjennom et nytt vedtak. Vedtaket kan ikke rettes eller slettes etter bestemmelsene i personvernforordningen artiklene 16 og 17. Nemnda la til grunn at Datatilsynet hadde oppfylt sin plikt til å behandle As klage, jf. personvernforordningen artikkel 77. Nemnda var enig med Datatilsynet i at det ikke er lagt frem dokumentasjon for, eller redegjort for, et faktum som ga grunnlag for å pålegge NAV å rette eller slette opplysninger om A i hans saker i NAV. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda viste til at det er opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å innhente ytterligere opplysninger i saken fra innklagede eller om saken behandles på bakgrunn av den informasjonen klager har sendt inn. I utgangspunktet er det klagers oppgave å redegjøre for saken og legge fram nødvendig dokumentasjon for å sannsynliggjøre sitt krav. Nemnda opprettholdt tilsynets vedtak.