Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak/beslutninger og årsmeldinger

PVN-2007-07 ung1881.no

Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin opplysningstjeneste

Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en “bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf. hovedregelen i personopplysningsloven § 8.

PVN-2007-06 OBOS

Klage på Datatilsynets avvisningsvedtak. Begjæring om innsyn i dokumenter, advokaters taushetsplikt og spørsmål om hvor langt Datatilsynets utredningsplikt går

Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf. personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf. domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.

PVN-2007-05 Fosterforeldre

Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål

Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc. var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med “utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.

PVN-2007-04 Kolumbuskortet

Klage på Datatilsynets vedtak om at Rogaland Kollektivtrafikk FKF må endre løsning for etablering av elektronisk billettering for passasjerer

Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har “reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.

PVN-2007-03 Budstikka

Klage på Datatilsynets vedtak om å avvise en henvendelse fra Norsk Eiendomsinformasjon AS om å vurdere lovligheten av Asker og Bærum Budstikkes (heretter Budstikka) internettbaserte eiendomsbase i henhold til personopplysningslovens grunnkrav

Datatilsynet mener at Budstikkas tjeneste er et journalistisk produkt som faller innenfor personopplysningsloven § 7, og begrunnelsen for avvisningen er dermed at personopplysningslovens grunnkrav ikke kommer til anvendelse på forholdet. Tjenesten er med andre ord ikke i strid med personopplysningsloven.

Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de “tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.

PVN-2007-02 Bibliotek-Systemer

Klage på Datatilsynets avslag hvoretter Bibliotek-Systemer AS ikke får utvikle bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike låntakerne låner – såkalt korrelasjonsdatabase

Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf. personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.

PVN-2007-01 Arvelighetsregisteret

Klage på Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret” hos Universitetet i Oslo. Avgjørelsen innebærer samtidig et avslag på klagers konsesjonssøknad for det aktuelle materialet

Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for “Arvelighetsregisteret”, herunder “Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en “arbeidskonsesjon” eller “brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.

PVN-2006-13 Personopplysninger i forsikringssak

lage på Datatilsynets vedtak om å ikke intervenere i sak angående spesialisterklæring utarbeidet i forsikringssak som inneholdt personopplysninger om andre personer enn klager

Saken gjelder klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager. Klager underskrev en fullmakt til Vesta

Erklæring om fritak for taushetsplikt. Legen tok likevel med informasjon om andre enn klager i sin spesialisterklæring, blant annet utleverte den personopplysninger om klagers nærmeste familie. Saken ble først klaget inn for Helsetilsynet i Vestfold, som konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte reaksjonskapittelet i helsepersonelloven, men fant at det ikke dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55. Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen, og når Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning. Personvernnemnda mener at utlevering av personopplysninger om andre enn den som har samtykket, sannsynligvis er et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Slik nemnda ser det, har Helsetilsynet i Vestfold funnet at utleveringen er et taushetspliktsbrudd etter helsepersonelloven, men Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes. Personvernnemnda må derfor legge dette til grunn. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven.

PVN-2006-12 Bokettersyn hos advokat

Klage på Datatilsynets vedtak om at opplysning om bokettersyn hos advokat ikke er en personopplysning

Datatilsynet mottok klage fra en advokat fordi opplysning fra Tilsynsrådet for advokatvirksomhet om at det var besluttet bokettersyn hos advokaten var blitt offentliggjort. Datatilsynet vedtok at slik opplysning om en advokat ikke er en personopplysning i personopplysningslovens forstand. Personvernnemnda vurderte hvorvidt det å offentliggjøre en liste over advokater som er underlagt bokettersyn er i strid med taushetspliktsbestemmelsen i forvaltningsloven fordi dette er “noens personlige forhold”, jf. forvaltningsloven § 13, 1.ledd nr 1. Nemnda kom til at slike virksomhetsrelaterte opplysninger, herunder bokettersyn hos advokat, faller utenfor taushetsplikten om personlige forhold. Opplysningen er derfor offentlig. Personopplysningsloven § 6 angir at innsynsretten etter forvaltningsloven eller offentlighetsloven ikke begrenses. Klagen ble derfor ikke tatt til følge.

PVN-2006-11 REMA 1000 – fingeravtrykk ved registrering av timer

Klage på pålegg om at bruk av fingeravtrykk må opphøre

REMA 1000 har påklaget Datatilsynets vedtak om at REMA 1000 må avslutte bruken av fingeravtrykk i forbindelse med timeregistrering for de ansatte. Registrering i terminalen skjer ved at den ansatte taster sitt ansattnummer eller ID-nummer. Deretter blir vedkommende bedt om å legge en finger på leseplaten eller sensoren for å verifisere at det er tastet riktig nummer. Datatilsynet er ikke uenig i at REMA 1000 har et saklig behov for å sikre at lønn føres korrekt. Tilsynet er imidlertid av den oppfatning at fingeravtrykket ikke benyttes for sikker identifisering slik dette er formulert i § 12. Identifisering skjer ved hjelp av ansattkoden, mens fingeravtrykket brukes til autentisering, noe som faller utenfor § 12. Datatilsynet mener at lovens krav til nødvendighet heller ikke er oppfylt. Personvernnemnda har i sak PVN-2006-10 (Esso Norge) kommet til at personopplysningsloven § 12 dekker begge former for bruk av et “identifikasjonsmiddel” når bruk av fingeravtrykk til autentisering er en del av et system for sikker identifisering. Personvernnemnda mener at det foreligger et saklig behov for sikker identifisering i forbindelse med timeregistrering. Imidlertid finner nemnda at nødvendighetsvilkåret ikke er oppfylt. Etter nemndas oppfatning kan REMA 1000 benytte seg av “andre og mindre sikre identifikasjonsmidler” som likevel tilfredsstiller butikkjedens behov. Klagen tas derfor ikke til følge.