Kategori: Avgjørelser

Saken gjelder klage fra A på Datatilsynets avvisning av hans klage på en omgjøringsnektelse.

A begjærte omgjøring av Datatilsynets beslutninger om å innstille behandlingen av to saker. Begge sakene var over 20 år gamle. Datatilsynet tok ikke omgjøringsbegjæringen til følge. I brev til A opplyste Datatilsynet at beslutningen ikke er et enkeltvedtak, og at den derfor ikke kunne påklages. A klaget likevel på omgjøringsnektelsen. Datatilsynet avviste klagen på grunn av manglende klagerett 8. november 2023, og opplyste om klagefristen på tre uker. A klaget på avvisningsvedtaket først 7. februar 2024. Nemnda la til grunn at klagen var fremsatt etter utløpet av treukersfristen, jf. forvaltningsloven § 29. Ved vurderingen av om det skulle gis fristoppreisning etter forvaltningsloven § 31, kom nemnda til at A mest sannsynlig kunne lastes for fristoversittelsen. Det var ikke fremkommet noe som tilsa at Datatilsynet skulle ha etterkommet omgjøringsbegjæringen, og det forelå derfor heller ingen «særlige grunner» som gjorde det rimelig at klagen ble prøvd. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Saken gjelder klage fra A på Datatilsynets avvisning av hennes henvendelse fordi den ikke utgjør en klage etter personvernforordningen artikkel 77 nr. 1.

A henvendte seg til Datatilsynet i august 2023 og klagde over Navs håndtering av saker som var til behandling der. Nemnda var enig med Datatilsynet i at As henvendelser ikke gjaldt behandlingen av hennes personopplysninger, og at saken derfor falt utenfor Datatilsynets ansvarsområde. Nemnda opprettholdt Datatilsynets avvisningsvedtak. Datatilsynet oppfattet As senere henvendelse om oppslag i Navs datasystemer som en anmodning om veiledning. Nemnda kom til at det i stedet var tale en klage etter personvernforordningen. Nemnda sendte derfor denne delen av klagen tilbake til Datatilsynet for realitetsbehandling.

Saken gjelder klage fra A og As familie over Datatilsynets vedtak om ikke å etterkomme et krav om sletting av en bekymringsmelding til X barneverntjeneste.

Nemnda fastslo at Datatilsynet som tilsynsmyndighet selv skal vurdere krav om sletting etter personvernforordningen artikkel 17. Datatilsynet er ikke bundet av forvaltningens syn på de spørsmål saken reiser. Nemnda viste til at bekymringsmeldinger skal langtidsbevares etter regler i riksarkivarens forskrift. Fortsatt lagring var derfor nødvendig for å oppfylle en rettslig forpliktelse eller for arkivformål i allmennhetens interesse, jf. artikkel 17 nr. 3 bokstav b og d. Bekymringsmeldingen kan da ikke kreves slettet etter artikkel 17 nr. 1. Nemnda la videre til grunn at bekymringsmeldingen gjenga Bs beskrivelse av A til barnevernet, og at forordningen artikkel 16 ikke gir hjemmel for retting, selv om påstandene viste seg å være uriktige. Det er ikke Datatilsynets eller Personvernnemndas oppgave å vurdere korrektheten av beskrivelsen. Retten til retting var etter nemndas syn oppfylt gjennom de opplysninger som ellers var lagret på saken. Nemnda opprettholdt Datatilsynets vedtak.

Saken gjelder klage fra A på Datatilsynets avvisning av hans henvendelse om forhåndsgodkjenning av kameraovervåking og avvisning av klage på naboens bruk av mobilkamera som ledd i en pågående nabokonflikt.

Nemnda kom til at Datatilsynet hadde oppfylt sin veiledningsplikt overfor A. Nemnda kom videre til at tilsynet ikke hadde plikt til å ta forhåndsstandpunkt til lovligheten av As planlagte kameraovervåking. En slik plikt følger ikke av personvernforordningen artikkel 77 nr. 1, og det er heller ikke en del av tilsynets oppgaver eller plikter etter artikkel 57. Nemnda sluttet seg også til Datatilsynets vurdering om at naboens bruk av håndholdt kamera, der det ble tatt bilder av A og As eiendom, var omfattet av unntaksbestemmelsen om «rent personlige eller familiemessige aktiviteter», jf. personopplysingsloven § 2 annet ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Verken loven eller forordningen får dermed anvendelse. Nemnda opprettholdt Datatilsynets avvisningsvedtak.

Saken gjelder krav om dekning av sakskostnader fra Meta Ireland og Facebook Norway etter at nemnda i sak PVN-2023-31 og PVN-2024-04 ga Meta Ireland og Facebook Norway medhold i klagen på Datatilsynets vedtak om ileggelse av tvangsmulkt. Spørsmålet i saken var hvilke utgifter som hadde vært nødvendige for å få endret vedtaket. Nemnda mente det var forståelig at Meta Ireland og Facebook Norway søkte juridisk bistand i klageomgangen og at saken ble anlagt bredt. Sett hen til sakens kompleksitet og den store økonomiske betydningen tvangsmulktvedtaket hadde for klagerne, mente nemnda at utgiftene til advokatsalærer var nødvendige, med fradrag for timer medgått etter at vedtaket var truffet (tid for å gjennomgå vedtaket). Meta Ireland og Facebook Norway ble begge tilkjent 1 911 936,30 kroner hver til dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder klage fra NAV på Datatilsynets vedtak om pålegg for brudd på personvernforordningen og ileggelse av overtredelsesgebyr.
Nemnda uttaler seg generelt om forvaltningslovens krav til utforming av enkeltvedtak, herunder krav til konkretisering og begrunnelse, og at kravet til begrunnelse skjerpes i inngripende saker. Nemnda opphever 5 av tilsynets 11 pålegg. Flere av påleggene er vurdert til ikke å oppfylle forvaltningslovens krav til konkretisering og til ikke å være tilstrekkelig klare. Manglene knytter seg både til beskrivelsen av lovbruddene samt til redegjørelsen for hvilke tiltak som er nødvendig å iverksette for å oppfylle lovens krav. Uklarheten ved Datatilsynets lovanvendelse, tilsynets redegjørelse for faktum samt tilsynets mangelfulle vurdering av skyldkravet ved ileggelse av overtredelsesgebyr, representerer slike mangler ved vedtaket at nemnda kommer til at vedtaket om overtredelsesgebyr oppheves.

Klage fra A på Datatilsynets vedtak om at DNB Bank ASA har rettslig grunnlag for å lagre identitetsdokument med ansiktsbilde.
Nemnda la i likhet med Datatilsynet til grunn at banken har hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav c (nødvendig for å oppfylle en rettslig forpliktelse), med supplerende rettsgrunnlag i hvitvaskingsforskriften til å innhente og lagre en kopi av klagers identitetsdokument med ansiktsbilde, jf. artikkel 6 nr. 3. Nemnda la videre til grunn at ansiktsbildet banken innhenter og lagrer ikke stammer fra en særskilt teknisk behandling, og at bildet dermed ikke utgjør biometriske opplysninger i forordningens forstand, jf. artikkel 4 nr. 14. Nemnda viste også til forordningens fortalepunkt 51 der det presiseres at fotografier som viser personer, ikke på generelt grunnlag vil bli ansett som behandling av særlige kategorier opplysninger. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at konkursboet til [virksomhet] AS hadde rettslig grunnlag til å dele boets innberetning med fordringshaverne.
I bostyrers innberetning etter konkursloven § 120 ble en politianmeldelse mot klager og hans forretningspartner omtalt. Nemnda la til grunn at det er bostyrer for konkursboet som er behandlingsansvarlig for behandling av personopplysninger i forbindelse med bobehandlingen, jf. personvernforordningen artikkel 4 nr. 7. Etter nemndas vurdering hadde bostyreren en rettslig forpliktelse til å omtale anmeldelsen i boets innberetning, samt til å sende innberetningen til boets fordringshavere. Nemnda konkluderte med at konkursboet til [virksomhet] AS ved bostyrer hadde behandlingsgrunnlag for å dele opplysningene med fordringshaverne og konkursregisteret, jf. personvernforordningen artikkel 6. nr. 1 bokstav c, med supplerende rettsgrunnlag i konkursloven § 120. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om behandlingsgrunnlag for behandling av helseopplysninger i et forskningsprosjekt uten å gjøre undersøkelser og uten å ta stilling til om behandlingsgrunnlaget er lovlig.
Nemnda la til grunn at Datatilsynet plikter å behandle og ta stilling til om personopplysningsloven er brutt når de mottar en klage etter artikkel 77, men at loven åpner for en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig. Det sentrale spørsmålet i saken var om det forelå gyldig behandlingsgrunnlag. Det var ikke mulig å ta stilling til spørsmålet om behandlingsgrunnlag uten å forelegge saken for den behandlingsansvarlige og innhente REKs vurdering av prosjektet. Da dette ikke var gjort, hadde Datatilsynet ikke oppfylt sin plikt etter artikkel 57 nr. 1 bokstav f til å behandle de klager som er inngitt av en registrert. Vedtaket ble opphevet og saken returnert til Datatilsynet for behandling.

Klage fra A på Datatilsynets vedtak om at personvernforordningen artikkel 15 ikke gir den den registrerte rett til å få elektronisk tilgang til journal via egen brukerkonto.
Nemnda var enig med Datatilsynet i at personvernforordningen i utgangspunktet er teknologinøytral. Ordlyden i artikkel 15, jf. fortalen punkt 63, gir ikke den registrerte en rett eller den behandlingsansvarlige en plikt til å gi innsyn i journal på en spesifikk elektronisk måte, herunder krav om digital tilgang via egen brukerkonto. Nemnda opprettholdt Datatilsynets vedtak.