Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf. personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf. personopplysningsloven § 46.

Det var ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Nemnda kunne ikke se at det var noen beskyttelsesverdig interesse for virksomheten og dens ansatte i denne saken. Lydfilene gjengir profesjonelle telefonsamtaler om transaksjoner mellom en privatperson og en selger. Begge parter er kjent med at det gjøres opptak. Klagen ble ikke tatt til følge. Innsyn kan kreves skriftlig (transkripsjon), jf. § 24, hos den behandlingsansvarlige eller hos dennes databehandler, eller i form av kopi av lydfil.

En beboer i et sameie har montert et skilt med «videoovervåking» på fellesarealet. Beboerens advokat har opplyst at det kun er satt opp et skilt og at beboeren håper at dette skal være tilstrekkelig for å skremme eventuelle gjerningspersoner. Datatilsynet korresponderte med partene, men prioriterte ikke stedlig tilsyn av hensyn til Datatilsynets begrensede ressurser. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets prioritering.

Personvernnemnda kom til at det må innhentes nye samtykker fra deltakerne i noen av prosjektene. Nemnda kan ikke se at deltakere i de opprinnelige tidsbegrensede og formålsbestemte tvillingprosjektene har avgitt samtykke, opprinnelig eller senere, til å bli registrert i Nasjonalt tvillingregister. Konsesjonen kan således ikke anses gyldig ved bare å hevde at opprinnelige samtykker dekker sammenslåingen. Det foreligger heller ikke hjemmel i personopplysningsloven §§ 8 bokstav d) og 9 bokstav h). Videre kom nemnda til at det som er beskrevet i samtykkeerklæringene og prosjektbeskrivelsene i informasjonsbrevene til deltakere vil være førende for hvilken adgang det er til å tilføre registeret nye opplysninger.

Klager pålagde Datatilsynets avslutning av saken. Klager opplevde at sønnens nasjonalitet ble uriktig registrert, at sønnen ikke fikk registrert bostedsadresse, samt manglende innsyn. Personvernnemnda kom til samme konklusjon som Datatilsynet. Personvernnemnda er enig med Datatilsynet i at problemstillingen reguleres av folkeregisterloven og folkeregisterforskriften. Folkeregisterloven er lex specialis. Klager ble veiledet og oppfordret til å klage sin sak til de rette myndigheter. Det har klager også gjort. Personvernnemnda finner at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt etter forvaltningsloven i denne saken.

SPCG-7/SFUO-3 studien – langtidsoppfølging ved registerkobling. I samtykkeskjemaet har pasientene samtykket til gjennomgang av pasientjournalen, men klager ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret. Det er imidlertid et forbud mot samtidig tilgang i reseptregisterforskriften § 4-1. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til slik kobling, med mindre koblingen er pseudonymisert eller den registrerte samtykker. Personvernnemnda slutter seg til Datatilsynets vedtak i denne saken.

Personvernnemnda kom til at det opprinnelige samtykket også omfatter slik forskning som det nå søkes om. Den foreliggende informasjon og samtykkegrunnlaget dekker imidlertid ikke en overføring til utlandet.

Nemnda konkluderte med at en lagmannsrettsdom av 11.2.2013 ga klageren en legitim interesse i å få bragt på det rene hvorvidt de aktuelle dokumenter foreligger hos OBOS eller hos Advokatkontoret i OBOS. Nemnda kom til at klagers sak ikke ble tilfredsstillende utredet av Datatilsynet. Saken sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 35, jf. § 41.

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.