Kategori: Avgjørelser

Klage fra A på Datatilsynets avgjørelse om å avslutte en klagesak mot en databehandler uten nærmere undersøkelser, under henvisning til at tilsynet behandlet klage mot den behandlingsansvarlige.
A klaget til Datatilsynet etter at arbeidsgiver hadde foretatt innsyn i hennes e-postkasse Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra C, som databehandler for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot databehandleren, C. Datatilsynet avsluttet klagen mot databehandler uten nærmere undersøkelser og uten å ta stilling til realiteten, med henvisning til at Datatilsynet allerede behandlet en klage mot arbeidsgiver (behandlingsansvarlig) for den samme behandlingen av personopplysninger. A klaget på dette og saken ble oversendt nemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot den behandlingsansvarlige. Når Datatilsynet konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av As klage.

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.
Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om kameraovervåking fra privat bolig (nabo) uten ytterligere undersøkelser og uten å gi pålegg.
Nemnda var enig med Datatilsynet i at det ikke var sannsynliggjort at den innklagede naboen hadde montert kameraovervåkingsutstyr som innebar at det ble gjort opptak av A. Personopplysningsloven var dermed ikke brutt. Etter nemndas vurdering hadde Datatilsynet oppfylt sin utredningsplikt slik at saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynets avgjørelse om ikke å gjøre ytterligere undersøkelser var etter nemndas vurdering forsvarlig og innenfor lovens rammer. Nemnda påpekte at det må være opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å foreta befaring for å kontrollere påstander om ulovlig montert kameraovervåkingsutstyr, og at det i utgangspunktet er klagers oppgave å legge fram dokumentasjon for det forholdet som påklages. Nemnda opprettholdt Datatilsynets vedtak.

Klage fra A på Datatilsynets avgjørelse der Datatilsynet avsluttet en sak uten å foreta nærmere undersøkelser og uten å ta stilling til om As rettigheter etter personopplysningsloven var brutt.
Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at en arbeidsgiver ikke hadde brutt personopplysningsloven.
Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets avgjørelse der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke lenger var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a, da varslet pålegg om å avslutte overvåking av deler av eiendommen ble ansett oppfylt.
Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2. Loven gjelder likevel ikke «ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», jf. personopplysningsloven § 2 andre ledd bokstav a. På bakgrunn av partenes forklaringer og de framlagte bildene, la nemnda, som Datatilsynet, til grunn at det ikke er sannsynliggjort at noen av Bs kameraer lenger var montert slik at de overvåker As eiendom, verken hagen, huset eller inn i huset gjennom vindu eller døråpninger. Nemnda opprettholdt Datatilsynets vedtak.

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at X kommune hadde rettslig grunnlag for å behandle bilder av deres barn i barnehagen.
A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

Klage fra A på Datatilsynets der tilsynet avsluttet en sak om X kommunes brudd på personopplysningssikkerheten uten å ilegge kommunen en reaksjon.
En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

Klage fra Karmøy kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 300 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23.
I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

Klage fra A på Datatilsynets beslutning om ikke å følge opp et mottatt varsel om ulovlig utlevering av personopplysninger fra Arkivverket som databehandler.
Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.