PVN-2019-12 Klage på Datatilsynets avslutning av sak uten å gjøre nærmere undersøkelser eller gi ytterligere sanksjoner
Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila universitetet X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger om at en students (As) skikkethet til psykologistudiet var til behandling i Skikkethetsnemnda. A henvendte seg til Datatilsynet på nytt i 2018 og mente at X var skyldig i ytterligere brudd på personopplysningsloven som ikke var omfattet av det tidligere ilagte overtredelsesgebyret, at universitetet hadde gitt uriktige opplysninger til Datatilsynet, samt at reaksjonen i 2016 ikke var streng nok. Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser. Nemnda kom til at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven. Nemnda viste til at et gebyr for et lovbrudd i 2014 nå i 2019 var foreldet etter personopplysningsloven § 28, jf. § 33. I likhet med tilsynet la nemnda til grunn at X hadde gjennomført tiltak for å unngå at slike konfidensialitetsbrudd skjer igjen. Nemnda bemerket at A uansett ikke er klageberettiget når det gjelder Datatilsynets valg av reaksjon for å ha overtrådt personopplysningsloven.