Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak/beslutninger og årsmeldinger

PVN-2013-11 Oslo universitetssykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-10 Helse Stavanger

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-09 Helse Bergen

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-08 Haraldsplass Diakonale Sykehus

Klage på Datatilsynets vedtak om pålegg – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla virksomheten å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-07 Nyrebiopsiregisteret

Klage på Datatilsynets avslag på søknad om endring av konsesjon til å behandle helseopplysninger – Det Norske Nyrebiopsiregisteret

Personvernnemnda kom til at vergens samtykke fortsatt er gyldig, men råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Nyrebiopsiregisteret har konsesjon til å behandle opplysningene i registeret. Det er således ikke nødvendig å søke om ny konsesjon. Så lenge det bare er tale om en fortsettelse av et gammelt register vil samtykkene fortsatt være gyldige.

PVN-2013-06 Sletting av opplysninger hos barnevernstjenesten

Klage på Datatilsynets avslutning av sak vedrørende krav om sletting av personopplysninger

Nemnda var enig med tilsynet i at opplysningene ikke skal rettes etter personopplysningsloven § 27. Videre fremstår opplysningene som nødvendige for formålet og kan ikke slettes etter personopplysningsloven § 28, 1. ledd. Endelig kom nemnda til at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2013-05 Diakonhjemmet sykehus

Klage på Datatilsynets pålegg om å informere de berørte identifiserte pasientene – uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Det skjedde en uautorisert uthenting av helseopplysninger gjennom virksomhetens tilknytning til leverandøren GE. Datatilsynet påla Diakonhjemmet sykehus å informere de berørte identifiserte pasientene om hendelsen i samsvar med helseregisterlovens § 23 første ledd nr 5. Personvernnemnda kom til at en varslingsplikt ved utilsiktet utlevering ikke følger direkte av lovens ordlyd, jf. helseregisterloven § 23 nr 3 og 5, jf. personopplysningsloven § 19 bokstav c) og e). Forvaltningen trenger en lovhjemmel for å gi pålegg, jf. legalitetsprinsippet. Spørsmålet var derfor om man kan foreta en utvidende tolkning for å pålegge en slik varslingsplikt. Nemnda vurderte reelle hensyn i lys av tidligere Høyesterettsdommer og nemndas flertall konkluderte med at det i denne saken forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Dissens.

PVN-2013-04 HUNT

Klage på Datatilsynets delvise avslag på konsesjonsforlengelse med krav at informert samtykke innhentes fra deltakerne i HUNT2

Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.

PVN-2013-03 GullAdam

Klage på Datatilsynets varslede vedtak om at overvåking av den del av forretningens lokaler som kun var tilgjengelige for ansatte måtte opphøre

Personvernnemnda vurderte om kameraovervåkningen var i samsvar med personopplysningsloven § 38 som krever «særskilt behov». Butikken er delt i tre soner, et kundeareal, et midtareal og et pauseareal. Det er kun de to førstnevnte arealene som er kameraovervåket. Formålet med overvåkningen er å hindre eller enklere oppklare innbrudd og ran, samt å overvåke verdiene i lokalet. Nemnda kom etter en helhetsvurdering til at den beskrevne overvåking var i samsvar med personopplysningsloven § 38 og la vekt på at det dreier det seg om mindre gjenstander av stor verdi, pauserommet blir ikke overvåket og de ansatte ble informert om kameraovervåkingen før ansettelsen.

PVN-2013-02 Tysnes kommune

Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat

Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.