Kategori: 2024

Saken gjelder krav om dekning av sakskostnader fra Meta Platforms Ireland Ltd. (Meta Ireland) og Facebook Norway AS (Facebook Norway), jf. forvaltningsloven § 36.
Saken gjelder krav om dekning av sakskostnader fra Meta Ireland og Facebook Norway etter at nemnda i sak PVN-2023-31 og PVN-2024-04 ga Meta Ireland og Facebook Norway medhold i klagen på Datatilsynets vedtak om ileggelse av tvangsmulkt. Spørsmålet i saken var hvilke utgifter som hadde vært nødvendige for å få endret vedtaket. Nemnda mente det var forståelig at Meta Ireland og Facebook Norway søkte juridisk bistand i klageomgangen og at saken ble anlagt bredt. Sett hen til sakens kompleksitet og den store økonomiske betydningen tvangsmulktvedtaket hadde for klagerne, mente nemnda at utgiftene til advokatsalærer var nødvendige, med fradrag for timer medgått etter at vedtaket var truffet (tid for å gjennomgå vedtaket). Meta Ireland og Facebook Norway ble begge tilkjent 1 911 936,30 kroner hver til dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder klage fra NAV på Datatilsynets vedtak om pålegg for brudd på personvernforordningen og ileggelse av overtredelsesgebyr.
Nemnda uttaler seg generelt om forvaltningslovens krav til utforming av enkeltvedtak, herunder krav til konkretisering og begrunnelse, og at kravet til begrunnelse skjerpes i inngripende saker. Nemnda opphever 5 av tilsynets 11 pålegg. Flere av påleggene er vurdert til ikke å oppfylle forvaltningslovens krav til konkretisering og til ikke å være tilstrekkelig klare. Manglene knytter seg både til beskrivelsen av lovbruddene samt til redegjørelsen for hvilke tiltak som er nødvendig å iverksette for å oppfylle lovens krav. Uklarheten ved Datatilsynets lovanvendelse, tilsynets redegjørelse for faktum samt tilsynets mangelfulle vurdering av skyldkravet ved ileggelse av overtredelsesgebyr, representerer slike mangler ved vedtaket at nemnda kommer til at vedtaket om overtredelsesgebyr oppheves.

Klage fra A på Datatilsynets vedtak om at DNB Bank ASA har rettslig grunnlag for å lagre identitetsdokument med ansiktsbilde.
Nemnda la i likhet med Datatilsynet til grunn at banken har hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav c (nødvendig for å oppfylle en rettslig forpliktelse), med supplerende rettsgrunnlag i hvitvaskingsforskriften til å innhente og lagre en kopi av klagers identitetsdokument med ansiktsbilde, jf. artikkel 6 nr. 3. Nemnda la videre til grunn at ansiktsbildet banken innhenter og lagrer ikke stammer fra en særskilt teknisk behandling, og at bildet dermed ikke utgjør biometriske opplysninger i forordningens forstand, jf. artikkel 4 nr. 14. Nemnda viste også til forordningens fortalepunkt 51 der det presiseres at fotografier som viser personer, ikke på generelt grunnlag vil bli ansett som behandling av særlige kategorier opplysninger. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at konkursboet til [virksomhet] AS hadde rettslig grunnlag til å dele boets innberetning med fordringshaverne.
I bostyrers innberetning etter konkursloven § 120 ble en politianmeldelse mot klager og hans forretningspartner omtalt. Nemnda la til grunn at det er bostyrer for konkursboet som er behandlingsansvarlig for behandling av personopplysninger i forbindelse med bobehandlingen, jf. personvernforordningen artikkel 4 nr. 7. Etter nemndas vurdering hadde bostyreren en rettslig forpliktelse til å omtale anmeldelsen i boets innberetning, samt til å sende innberetningen til boets fordringshavere. Nemnda konkluderte med at konkursboet til [virksomhet] AS ved bostyrer hadde behandlingsgrunnlag for å dele opplysningene med fordringshaverne og konkursregisteret, jf. personvernforordningen artikkel 6. nr. 1 bokstav c, med supplerende rettsgrunnlag i konkursloven § 120. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om behandlingsgrunnlag for behandling av helseopplysninger i et forskningsprosjekt uten å gjøre undersøkelser og uten å ta stilling til om behandlingsgrunnlaget er lovlig.
Nemnda la til grunn at Datatilsynet plikter å behandle og ta stilling til om personopplysningsloven er brutt når de mottar en klage etter artikkel 77, men at loven åpner for en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig. Det sentrale spørsmålet i saken var om det forelå gyldig behandlingsgrunnlag. Det var ikke mulig å ta stilling til spørsmålet om behandlingsgrunnlag uten å forelegge saken for den behandlingsansvarlige og innhente REKs vurdering av prosjektet. Da dette ikke var gjort, hadde Datatilsynet ikke oppfylt sin plikt etter artikkel 57 nr. 1 bokstav f til å behandle de klager som er inngitt av en registrert. Vedtaket ble opphevet og saken returnert til Datatilsynet for behandling.

Klage fra A på Datatilsynets vedtak om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.
Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.

Klage fra A på Datatilsynets avvisning av hans henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.
Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke er å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. Riktignok lastet A den aktuelle appen ned på sin telefon, men han slettet den etter kort tid. Hans bekymring nå var først og fremt knyttet til at saken etter hans syn har allmenn interesse i og med at appen brukes av mange personer over hele landet. Han ba blant annet Datatilsynet om å gjøre grundige undersøkelser av sikkerhetsrisikoen for eiere av Android-telefoner. Henvendelsen gjelder etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og anses ikke som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om innsyn i logg og brudd på personopplysningssikkerheten hos Nasjonalt klageorgan for helsetjenesten (Helseklage) uten å gi pålegg.
Nemnda var enig med Datatilsynet i at personvernforordningen ikke krever logging av hvor lenge hvert nemndsmedlem bruker på å lese dokumenter i en sak. Nemnda la videre til grunn at artikkel 77 nr. 1 må forsås slik at forordningen oppstiller et krav til en viss konkretisering av den påståtte ulovlige behandlingen av personopplysninger for at Datatilsynets plikt til å gjøre undersøkelser etter artikkel 57 nr. 1 bokstav f utløses. En generell oppfordring om å undersøke om personopplysningssikkerheten er god nok i Helseklages behandling av pasientjournalopplysninger, kan ikke regnes som en klage som utløser en slik plikt. Når det gjaldt anmodning om innsyn viste nemnda vil at A hadde fått innsyn i loggdata om når oppslag ble gjort og formålet med dem, og konkluderte med at innsynsretten etter artikkel 15 ikke gir rett til å vite hvem som gjorde oppslag eller varigheten av dem, jf. EU-domstolens uttalelser i C-578/21. Nemnda opprettholdt Datatilsynets vedtak.

Klage fra A på Datatilsynets avgjørelse 9. oktober 2023 som i realiteten innebar en avvisning av hennes henvendelse fordi den ikke representerer en klage etter personvernforordningen artikkel 77 nr. 1.
Nemnda var enig med Datatilsynet i at henvendelsen fra A ikke var å anse som en klage etter artikkel 77 nr. 1, som medfører en plikt for Datatilsynet til å gjøre undersøkelser, jf. artikkel 57 nr. 1 bokstav f. As henvendelser var generelle og handlet om misnøye med barneverntjenestens behandling av undersøkelsessaker vedrørende omsorgssituasjonen for hennes barn. Datatilsynet hadde korrekt opplyst at tilsynet ikke har kompetanse til å vurdere barneverntjenestens saksbehandling, og at klage over dette må rettes til Statsforvalteren. Tilsynet hadde også informert om hvordan hun skulle gå fram ved eventuelle rette- eller slettekrav i barneverntjenestens journaler. Henvendelsen til Datatilsynet gjaldt etter nemndas vurdering ikke en konkret og aktuell påstått ulovlig behandling av klagerens personopplysninger, og kunne ikke anses som en klage etter artikkel 77 nr. 1. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av helseopplysninger hos Sykehuset X, uten å treffe vedtak.
Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.