For så vidt gjaldt spørsmålet om behandlingsansvar for finansielle tjenester i PIB, ga nemnda klager medhold i at butikken er behandlingsansvarlig. For så vidt gjaldt vurderingen etter personopplysningsforskriften § 8-4 annet og tredje ledd av om butikk med PIB-tjenester anses som postlokale, ble klagen ikke tatt til følge. Det ble vist til resonnementet i PVN-2013-21. Særlige behov etter § 8-4 sjette ledd ble ikke vurdert.

Nemnda vurderte hvorvidt samtykke til innhenting av opplysninger er en betingelse for å få behandlet en bostøttesøknad, jf. bostøttelovens § 8. I dette spørsmålet delte nemnda i et flertall og et mindretall. Flertallet konkluderte med at man har krav på å få behandlet søknad om bostøtte uten å ha avgitt samtykke som omtalt i bostøtteloven § 8 annet ledd. Nemnda vurderte deretter hvorvidt Husbanken trenger konsesjon til å gjennomføre etterfølgende kontroll av hvorvidt vilkårene for bostøtte var oppfylt. Nemnda konkluderte med at det er hjemmel i bostøtteloven og at det ikke kreves konsesjon, jf. personopplysningsloven § 33 femte ledd. Når det gjelder innhenting av informasjon fra en tredjepart uten søkers samtykke, er nemndas flertall kommet til at Husbanken ikke har adgang til dette. Dissens 4-3. Klagen ble tatt delvis til følge.

Personvernnemnda viste til PVN-2013-28 NOKBIL og påpekte at landsomfattende helseregistre med mange opplysninger om den enkelte registrerte er spesialregulert i helseregisterloven § 8. Man kan derfor ikke omgå denne bestemmelsen ved å bruke helseregisterloven § 5 om konsesjon. Det fremgår av forarbeidene at det har vært lovgivers intensjon at slike registre skal opprettes i henhold til forskrift, noe som gir høringsprosess og transparens i behandlingen. Klagen førte ikke frem.

Skan-Kontroll påklaget avslag på konsesjon for analyse- og varslingstjeneste, samt vedtakspunktene 1, 2, 5, 6 og 7 i Datatilsynets vedtak. Personvernnemnda kom til at konsesjon ikke kunne innvilges på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak 1, 2 og 5. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

Nemnda var enig med Datatilsynet. Rettslig grunnlag for slik landsomfattende, internasjonalt og permanent forskningsprosjekt er forskrift, jf. helseregisterloven § 8. Sentrale landsomfattende helseregistre er spesialregulert i § 8 og da kan man ikke omgå denne bestemmelsen ved å bruke § 5 om konsesjon. Det vises til forarbeidene.

Nemnda kom til at vedtakspunktene ikke hadde et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf. § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Saken sendes tilbake til Datatilsynet slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b) til fornyet behandling.

Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf. forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.