Skan-Kontroll påklaget avslag på konsesjon for analyse- og varslingstjeneste, samt vedtakspunktene 1, 2, 5, 6 og 7 i Datatilsynets vedtak. Personvernnemnda kom til at konsesjon ikke kunne innvilges på bakgrunn av innsendt materiale. Videre ga nemnda sin tilslutning til Datatilsynets vedtak 1, 2 og 5. Nemnda ga klager medhold i klagen over punkt 6. For så vidt gjaldt punkt 7 kom nemnda til at Datatilsynet måtte foreta en fornyet vurdering av overtredelsene og gebyrets størrelse.

Nemnda var enig med Datatilsynet. Rettslig grunnlag for slik landsomfattende, internasjonalt og permanent forskningsprosjekt er forskrift, jf. helseregisterloven § 8. Sentrale landsomfattende helseregistre er spesialregulert i § 8 og da kan man ikke omgå denne bestemmelsen ved å bruke § 5 om konsesjon. Det vises til forarbeidene.

Nemnda kom til at vedtakspunktene ikke hadde et presisjonsnivå og innhold som tilfredsstiller kravene til et enkeltvedtak, jf. § 2 b), som gjelder rettigheter eller plikter til en eller flere bestemte personer. Saken sendes tilbake til Datatilsynet slik at de påklagede vedtakspunktene skal bli formulert i samsvar med forvaltningsloven § 2 b) til fornyet behandling.

Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf. forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.

Nemnda var enig i Datatilsynets resonnement i denne saken. Datatilsynet har ikke kompetanse til å beslutte sletting av personopplysninger i en straffesak som straffeprosessuelt ikke er ferdigbehandlet. Nemnda var enig med Datatilsynet i at klagers angrep på tingrettsbeslutningen naturlig hører hjemme ved en fornyet behandling i tingretten.

Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf. personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf. personopplysningsloven § 46.