Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak og meldinger

PVN-2012-05 Opplysninger om fosterforeldre

Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre

Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf. personopplysningsloven § 27, 2. ledd.

PVN-2012-04 Arbeidsgivers innsyn i e-post

Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post

Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.

PVN-2012-03 Nettby

Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby

Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf. pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.

PVN-2012-02 Rekruttering AS

Klage på Datatilsynets planlagte kontroll mot Rekruttering AS

Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.

PVN-2012-01 Barn med påførte dødelige skader

Klage på Datatilsynets avslag på søknad om konsesjon til å behandle personopplysninger i forskning i forbindelse med hovedoppgave om «Barn med påførte dødelige skader – hva gjør helsevesenet og rettsvesenet»

Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.

PVN-2011-13 Sletting fra Brillelands kunderegister

Klage på Datatilsynets saksbehandling i forbindelse med klage på manglende sletting i kunderegister

Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.

PVN-2011-12 Adgangskontroll ubetjent treningssenter

Klage på Datatilsynets pålegg om at Fitness24Seven må avslutte enhver bruk av fingeravtrykk eller andre biometriske kjennetegn i forbindelse med adgangskontroll

Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.

PVN-2011-11 Visma Retail

Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri

Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf. personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.

PVN-2011-10 Simonsen – antipiratarbeid

Klage på Datatilsynets avslag på forlengelse av konsesjon

Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.

PVN-2011-09 Tollvesenets kontroll av vareførsel

Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets praksis med å gjennomføre søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre

Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf. valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.