Kategori: Avgjørelser

Klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring.
Dissens (5-1).
Saken gjaldt klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.

Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).

Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.

Klage fra en privatperson på Datatilsynets vedtak 5. desember 2017 om avslutning av sak om innsynsbegjæring.
En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.

Klage over Datatilsynets avslag på søknad fra Folkehelseinstituttet om endring av konsesjon til behandling av personopplysninger i Nasjonalt tvillingregister.
Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.

Klage over Datatilsynets avslag på krav om sletting av personopplysninger i barnevernjournal
Dissens.
En privatperson ønsket slettet enkelte bekymringsmeldinger og journalnotater i hans datters barnevernjournal, jf. personopplysningsloven §§ 27 og 28. Nemndas flertall kom til at klagen ikke skulle tas til følge. En samlet nemnd mente det skulle være høy terskel for å fatte vedtak om sletting av personopplysninger i barnevernjournal. Nemndas flertall mente at personvernhensynene var tilstrekkelig ivaretatt gjennom sakens samlede fremstilling og fant at det ikke foreslå tungtveiende grunner til å fatte vedtak om sletting eller sperring etter personopplysningsloven, jf. nemndas tilsvarende vurderinger i PVN-2003-04 og PVN-2013-06. Nemndas flertall mente hensynet til behov for dokumentasjon måtte veie tyngre enn hensynet til at familien opplevde opplysningene som belastende. Nemndas mindretall fant at to journalnotater skulle sperres, jf. pol § 27 tredje ledd. Etter mindretallets syn dreide det seg om opplysninger av svært belastende karakter som mindretallet anså dokumentert uriktige.

Klage på Datatilsynets avgjørelse om ikke å foreta en realitetsvurdering i en påbegynt tilsynssak
Etter anmodning fra Yrkestrafikkforbundet (YTF) åpnet Datatilsynet tilsynssak mot Keolis Norge AS. Tilsynssaken gjaldt Keolis’ bruk av kameraopptak i en oppsigelsessak overfor en ansatt. Parallelt med tilsynssaken skulle oppsigelsessaken mellom den ansatte og Keolis behandles av tingretten, herunder spørsmålet om bruken av kameraopptakene var i henhold til personopp­lysnings­loven. Tingretten konkluderte med at den ansatte måtte fratre sin stilling, og at bruken av de aktuelle kameraopptakene ikke var uforenlig med det opprinnelige formålet med kameraovervåkingen. Dommen ble anket til lagmannsretten, og saken ble senere hevet som forlikt etter rettsmekling. Med henvisning til ressurshensyn og at domstolens avgjørelse var bindende for sakens parter, avsluttet Datatilsynet saken etter at tingretten hadde avsagt dom, men før saken var behandlet i lagmannsretten. YTF klaget tilsynets avgjørelse inn for Personvernnemnda. Nemnda la til grunn at YTF hadde rettslig klageinteresse og at YTF ikke var avskåret fra å be om Datatilsynets vurdering av saken selv om den ansatte valgte å bringe oppsigelsessaken inn for domstolene. Ansettelsessaken for domstolene hadde ikke rettskraftsvirkning for den forvaltningsrettslige tilsynssaken hvor YTF var part. Nemnda viste til Datatilsynets ulike roller som ombud og tilsyn, og kom til at Datatilsynet ikke hadde adgang til å unnlate å ta stilling til den åpnede tilsynssakens realitet. Datatilsynets avgjørelse ble opphevet og saken ble sendt tilbake til tilsynet for realitetsbehandling.

Sak trukket.

Klage på Datatilsynets vedtak om ileggelse av overtredelsesgebyr for å ha sammenstilt GPS-data fra bussens billetteringssystem med en ansatt bussjåførs overtidsregistrering uten rettslig grunnlag og i strid med det opprinnelige formålet.
Nemnda la til grunn at gjenbruk av innsamlede opplysninger til et annet formål enn hva de opprinnelig ble innsamlet for, ikke kan forankres alene i personopplysningsloven § 8 bokstav f eller alene i § 11 første ledd bokstav c. Bruken av opplysningene må ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f, for å være lovlig, jf. Rt-2013-143. De ansatte hadde ikke samtykket til behandlingen og spørsmålet var om formålet med behandlingen var «uforenlig» med det opprinnelige formålet. Nemndas flertall la avgjørende vekt på at bruken av opplysningene lå innenfor de ansattes rimelige forventninger om hva opplysningene kunne brukes til. Bruken var drøftet med de tillitsvalgte og fremgangsmåten angitt i arbeidsmiljøloven § 9-1 og § 9-2 var fulgt. Nemndas flertall fant at behandlingen var nødvendig for å ivareta arbeidsgivers berettigede interesse, og at de registrertes interesse ikke oversteg denne interessen, jf. § 8 bokstav f. Klagen ble tatt til følge. Dissens 4-2.

Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google
Dissens 4-3.
Klage på Datatilsynets avslag på anmodning om å slette et søketreff hos søkemotoren Google. Søketreffet ledet til en artikkel fra Dagens Næringsliv som omtalte en dom fra Borgarting lagmannsrett hvor en advokat ble frikjent for økonomisk utroskap, men dømt for å ha medvirket til å gi uriktig forklaring til offentlig myndighet. Saken gjaldt sensitive personopplysninger og behandlingsgrunnlaget måtte etableres etter en interesseavveining, jf. nemndas tolkning av § 9 i PVN-2016-10. I interesseavveiningen benyttet nemnda kriteriene utformet av EU-domstolen i sak C-131/12 (Google/Costeja González), samt Artikkel 29-gruppens veiledende retningslinjer i 14/EN WP 225. Flertallet fant at Google hadde behandlingsgrunnlag for å behandle opplysningene og viste til Datatilsynets begrunnelse som flertallet var enig i. Etter flertallets syn kan ikke kravet om «korrekte og oppdaterte» opplysninger i personopplysningsloven § 11 bokstav e, forstås slik at formidling av historiske hendelser gjennom søkemotorindeksering mister behandlingsgrunnlag, fordi nye faktiske forhold har kommet til etter at den opprinnelige publiseringen av opplysningene fant sted, jf. direktiv 95/46 artikkel 6 punkt 1 bokstav d. Klagen ble ikke tatt til følge.

Klage fra en bilforhandler på Datatilsynets vedtak om overtredelsesgebyr for publisering av stillbilder fra kameraopptak på Facebook
Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av bilforhandleren selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75.000 til kr. 50 000.