Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak og meldinger

PVN-2013-10 Helse Stavanger

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-09 Helse Bergen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-08 Haraldsplass Diakonale Sykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-07 Nyrebiopsiregisteret

Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger – Det Norske Nyrebiopsiregisteret

Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.

PVN-2013-06 Sletting av opplysninger hos barnevernstjenesten

Klage på Datatilsynets avslutning av sak vedrørende krav om sletting av personopplysninger

Nemnda var enig med tilsynet i at opplysningene ikke skal rettes etter personopplysningsloven § 27. Videre fremstår opplysningene som nødvendige for formålet og kan ikke slettes etter personopplysningsloven § 28, 1. ledd. Endelig kom nemnda til at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2013-05 Diakonhjemmet sykehus

Klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla Diakonhjemmet sykehus å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-04 HUNT

Klage på Datatilsynets delvise avslag på konsesjonsforlengelse med krav at informert samtykke innhentes fra deltakerne i HUNT2

Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.

PVN-2013-03 GullAdam

Klage på Datatilsynets varslede vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre

Personvernnemnda vurderte om kameraovervåkningen var i samsvar med personopplysningsloven § 38 som krever «særskilt behov». Butikken er delt i tre soner, et kundeareal, et midtareal og et pauseareal. Det er kun de to førstnevnte arealene som er kameraovervåket. Formålet med overvåkningen er å hindre eller enklere oppklare innbrudd og ran, samt å overvåke verdiene i lokalet. Nemnda kom etter en helhetsvurdering til at den beskrevne overvåking var i samsvar med personopplysningsloven § 38 og la vekt på at det dreier det seg om mindre gjenstander av stor verdi, pauserommet blir ikke overvåket og de ansatte ble informert om kameraovervåkingen før ansettelsen.

PVN-2013-02 Tysnes kommune

Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat

Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.

PVN-2013-01 RMI internkontroll og informasjonssikkerhet

Klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten

Nemnda var enig med Datatilsynet og opprettholdt påleggene. Folkehelseinstituttet må ha databehandleravtaler og må bringe til opphør behandlinger av personopplysninger som går ut over hva instituttet har rettslig grunnlag for i straffeprosessloven.