Nemnda kom til at Datatilsynets beslutning var et enkeltvedtak i forvaltningslovens forstand. Det å avvise en sak er bestemmende for rettigheter og plikter, jf. forvaltningsloven § 2 tredje ledd. Klager hadde således klagerett i saken. Nemnda mente videre at saken var så prinsipiell at forvaltningen bør bidra til en avklaring av bruken av personnavn i nettbasert kommunikasjon/markedsføring, hvor både klager og mittoppdrag.no får anledning til å uttale seg. Saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

Personvernnemnda påpekte at kameraovervåkingen faller utenfor loven dersom den har et privat formål. Det er formålet som er avgjørende, ikke hva den omfatter av privat eller offentlig grunn. Ut fra sakens dokumenter fant nemnda det overveiende sannsynlig at kameraovervåkingen har et privat formål.

Personvernnemnda mener at det er viktig med god saksbehandling i forvaltningen og at reglene for dette blir fulgt. Det er beklagelig at en saksmappe med sensitive personopplysninger er på avveie. Datatilsynet har både gitt klager informasjon om hvordan hun kan forfølge sin sak videre og fulgt opp saken mot kommunen. Nemnda er derfor kommet til at Datatilsynet har oppfylt sin veiledningsplikt etter forvaltningsloven § 11 og utredningsplikt etter forvaltningsloven § 17.

Saken gjaldt helseforetakets plikt etter helseforskningsloven § 28 til på forhånd å informere alle pasienter om at humant biologisk materiale innsamlet som ledd i diagnostisering og behandling i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon må gis individuelt i form av brev til de berørte pasientene.

Nemnda var enig i Datatilsynets resonnement i denne saken. Datatilsynet har ikke kompetanse til å beslutte sletting av personopplysninger i en straffesak som straffeprosessuelt ikke er ferdigbehandlet. Nemnda var enig med Datatilsynet i at klagers angrep på tingrettsbeslutningen naturlig hører hjemme ved en fornyet behandling i tingretten.

Klagen ble tatt delvis til følge. Nemnda kom til at butikken anses som behandlingsansvarlig for kameraopptak i bank-i-butikk. Nemnda kom til at personopplysningsforskriften § 8-4 om «banklokale» ikke var anvendelig og at det ikke forelå tilstrekkelige grunner til å anvende § 8-4 sjette ledd. Opptak fra butikklokaler kan derfor bare oppbevares i opptil 7 dager.

Personvernnemnda kom til at kameraovervåkning via offentlig IP-adresse (fjerntilgang) i et maskinrom hadde behandlingsgrunnlag, jf. personopplysningsloven § 8 f). Videre kom nemnda (med dissens) til at skjulte lydopptak i denne saken hadde lovlig behandlingsgrunnlag etter personopplysningsloven § 8 f). Nemnda kom til at det ikke forelå grunnlag for å ilegge gebyr i denne saken, jf. personopplysningsloven § 46.

Det var ikke bestridt at kunden har innsynsrett i lydopptak av samtale mellom kunden og ansatt i verdipapirforetak. Det følger av personopplysningsloven § 24 at «Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler». Nemnda kunne ikke se at det var noen beskyttelsesverdig interesse for virksomheten og dens ansatte i denne saken. Lydfilene gjengir profesjonelle telefonsamtaler om transaksjoner mellom en privatperson og en selger. Begge parter er kjent med at det gjøres opptak. Klagen ble ikke tatt til følge. Innsyn kan kreves skriftlig (transkripsjon), jf. § 24, hos den behandlingsansvarlige eller hos dennes databehandler, eller i form av kopi av lydfil.

En beboer i et sameie har montert et skilt med «videoovervåking» på fellesarealet. Beboerens advokat har opplyst at det kun er satt opp et skilt og at beboeren håper at dette skal være tilstrekkelig for å skremme eventuelle gjerningspersoner. Datatilsynet korresponderte med partene, men prioriterte ikke stedlig tilsyn av hensyn til Datatilsynets begrensede ressurser. Personvernnemnda kom til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11. Saken var blitt utredet på en tilfredsstillende måte og det var ikke grunnlag for å kritisere Datatilsynets prioritering.

Personvernnemnda kom til at det må innhentes nye samtykker fra deltakerne i noen av prosjektene. Nemnda kan ikke se at deltakere i de opprinnelige tidsbegrensede og formålsbestemte tvillingprosjektene har avgitt samtykke, opprinnelig eller senere, til å bli registrert i Nasjonalt tvillingregister. Konsesjonen kan således ikke anses gyldig ved bare å hevde at opprinnelige samtykker dekker sammenslåingen. Det foreligger heller ikke hjemmel i personopplysningsloven §§ 8 bokstav d) og 9 bokstav h). Videre kom nemnda til at det som er beskrevet i samtykkeerklæringene og prosjektbeskrivelsene i informasjonsbrevene til deltakere vil være førende for hvilken adgang det er til å tilføre registeret nye opplysninger.