Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak/beslutninger og årsmeldinger

PVN-2009-14 Altinn

Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse

Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.

PVN-2009-13 Registrering hos folkeregisteret

Klage på Datatilsynets avgjørelse om å avslutte sak om registrering av opplysninger i folkeregisteret

Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf. personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.

PVN-2009-12 Politiets taushetsplikt

Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt

Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

PVN-2009-11 Nasjonalbiblioteket

Klage på Datatilsynets vedtak om tidsbegrenset konsesjon til å behandle personopplysninger hos Nasjonalbiblioteket

Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep “allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har “allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor “ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.

PVN-2009-10 Ila fengsel

Klage på Datatilsynets vedtak hvor Ila fengsel nektes fullt innsyn i den underliggende klage

Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.

PVN-2009-09 Tvillingundersøkelse

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.

PVN-2009-08 CoCa-banken

Klage på Datatilsynets avslag på søknad om konsesjon til helseforskning

Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.

PVN-2009-07 Gjennombruddsprosjekt keisersnitt

Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med ”Gjennombruddsprosjekt keisersnitt”

Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.

PVN-2009-06 Kreftregisterets mammografiprogram

Klage på Datatilsynets vedtak vedrørende Kreftregisterets behandling av opplysninger fra Mammografiprogrammet

Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.

PVN-2009-05 Kobling av helseregistre – levertransplantasjon

Klage på Datatilsynets avslag på søknad om helseforskning – kobling av helseregistre og samtykke

Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.