Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak/beslutninger og årsmeldinger

PVN-2006-10 Esso Norge AS – fingeravtrykk ved adgangskontroll

Klage på Datatilsynets vedtak om at Esso Norge må avslutte bruken av fingeravtrykksleser på tankanlegg.

Dissens. Esso ønsket å benytte fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg, i Fredrikstad, Tønsberg, Trondheim og Bergen. Bruken skulle være basert på en samtykkeerklæring og en “Safety Policy” og skulle sikre at kun autorisert og trenet personell ble gitt adgang til anlegget. Datatilsynet mente at klager har misforstått det første vilkåret i § 12 dit hen at et stort behov for fysisk sikring også gir et stort behov for sikker identifisering. Tilsynet fant at fingeravtrykket ikke benyttes til identifisering, men til autentisering etter at identifiseringen har funnet sted. Datatilsynet mente også at lovens krav til nødvendighet ikke var oppfylt. Etter Datatilsynets oppfatning kan klager oppnå like sikker identifisering ved døgnbemannet adgangskontroll. I følge tilsynet er manuell visuell kontroll opp mot adgangsbevis et godt alternativ til bruk av fingeravtrykk. Personvernnemnda mener at personopplysningsloven § 12 dekker begge former for bruk av fingeravtrykk som et “identifikasjonsmiddel”, det vil si både identifisering og autentisering. Ved bruken av kort og fingeravtrykksleser ved adgangsporten vil (1) personen være identifisert, og (2) personen være autentisert. Personen vil dermed få adgang til tankanlegget. Personvernnemnda er av den oppfatning at det ikke kan pålegges og derfor heller ikke vurderes – andre typer sikring slik som vakthold, gjerder, høye murer etc, idet dette ligger utenfor personopplysningsloven § 12 og midler for sikker identifikasjon ved adgangskontrollen. Nemnda kommer til at det foreligger et saklig behov for bruk av fingeravtrykksleser, og at bruken er nødvendig for å oppnå sikker identifisering. Et medlem kommer til at nødvendighetsvilkåret i § 12 utelukker bruk av samtykke som behandlingsgrunn, og vil avvise klagen.

PVN-2006-09 Oslo trimsenter – fingeravtrykk ved adgangskontroll.

Klage på Datatilsynets vedtak om at Oslo trimsenter må avslutte bruken av fingeravtrykk ved adgangskontroll til treningssenter

Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av “andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-08 Oxigeno Fitness – fingeravtrykk ved adgangskontroll

Klage på Datatilsynets vedtak om at Oxigeno Fitness må avslutte bruken av fingeravtrykk ved adgangskontroll til treningssenter

Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av “andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.

PVN-2006-07 Tysvær kommune – saksomkostningsvedtak, jf. forvaltningsloven § 36.

I sak PVN-2006-07 omgjorde Personvernnemnda Datatilsynets vedtak. Wiersholm advokatfirma har på vegne av sine klienter Tysvær kommune og Lenovo Technologies BV Norway Branch (heretter “Lenovo”) krevd å få dekket kostnadene med å få omgjort vedtaket. Etter en samlet vurdering kom nemnda til at kravet skal avkortes. En slik avkortning må nødvendigvis være skjønnsmessig. Kun nødvendige kostnader i forbindelse med klagesak PVN-2006-07 dekkes.

PVN-2006-07 Tysvær kommune – fingeravtrykkspålogging.

Klage på Datatilsynets vedtak om at Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem

Spørsmål om Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Tysvær kommune benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen stasjonære maskiner. Datatilsynet forbød bruken fordi den ikke var tillatt etter personopplysnings­loven § 12. Datatilsynet mente at selv om det foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet kommer på avveie, var ikke bruk av fingeravtrykksløsning nødvendig for å oppnå sikker identifisering. Etter Datatilsynets syn kunne kommunen i stedet bruke for eksempel smartkort kombinert med passord. Personvernnemnda omgjorde vedtaket. Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. Etter en konkret avveining kom Personvernnemnda til at kommunens bruk er tillatt, jf. personopplysningsloven § 12.

PVN-2006-06 Dopingprøver

Klage på Datatilsynets vedtak om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre

Datatilsynet fattet vedtak om at om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre. Antidoping-programmet består av en frivillig egenerklæring som medlemmer ved senteret kan undertegne. Medlemmer som har samtykket kan bli utsatt for uanmeldte dopingprøver. Datatilsynet mente at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Tiltaket vil ikke være tilstrekkelig og relevant, herunder forholdsmessig, i forhold til formålene som begrunner tiltaket. Personvernnemnda omgjorde Datatilsynets vedtak. Etter Personvernnemndas syn er antidoping-programmet vurdert under ett ikke et uforholdsmessig tiltak. Nemnda legger blant annet vekt på at samtykke er frivillig og at antidoping-programmet bidrar til holdningsskapende arbeid blant ungdom.

PVN-2006-05 Spørsmål om identitetsmisbruk.

Klage på Datatilsynets avvisningsvedtak

Spørsmål om identitetsmisbruk. Klager hevdet at det fantes en “falsk navnebror” ved søk på ulike telefonkataloger på Internettet. Klager henviste blant annet til søketjenesten “sesam.no”. Klager mente at den falske navnebroren skulle være registrert med fiktiv adresse i nærheten av klager og anmodet Datatilsynet om å avklare grunnlaget for dobbeltoppføringen med Telenor. Personvernnemnda kunne ikke finne at det var opplyst eller dokumentert feilaktige opplysninger per i dag som kunne kreves rettet etter personopplysningsloven § 27. Når det ikke kan påvises feilaktige opplysninger, faller forholdet utenfor personopplysningsloven og dermed utenfor Personvernnemndas kompetanse.

PVN-2006-04 Microsoft Windows XP

Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven med forskrift

Saken gjelder klage på Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon. Klager mener at automatiske oppgraderinger er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin

Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven. Klager mente at Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin. Klagen førte ikke frem. Personvernnemnda finner at ingen personopplysninger behandles i forbindelse med bruk av funksjonen automatiske oppdateringer. Saken faller derfor utenfor personopplysningsloven.

PVN-2006-03 Kredittvurdering av potensielle leietakere

Klage på Datatilsynets pålegg om opphør av KLPs praksis vedrørende kredittvurdering av potensielle leietakere

Dissens 4-3. Saken gjelder hvorvidt det foreligger et saklig behov for å kredittvurdere potensielle boligleietagere, jf. personopplysningsforskriften § 4-3, når husleien betales forskuddsvis. Datatilsynet vedtok pålegg om opphør av KLP Eiendom Trondheim AS’ praksis med å foreta kredittvurdering av potensielle leietakere. Datatilsynet tolket saklighetskravet i personopplysningsforskriftens § 4-3 slik at det må foreligge et kredittelement før innhenting av kredittopplysninger og slikt element av kreditt forelå ikke når husleien betales forskuddsvis. Personvernnemnda er enig med Datatilsynet i at det som hovedregel vil være i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt at man innhenter kredittopplysninger. Personvernnemnda delte seg imidlertid i et flertall og et mindretall ved vurderingen av om det forelå saklig behov for kredittvurdering i denne saken. Flertallet la avgjørende vekt på at det i normaltilfellene ikke ytes kreditt ved boligutleie, utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode og det finnes gode alternativer, slik som referanser og bankgaranti.

PVN-2006-02 Sletting av leserinnlegg på et nettbasert debattforum

Klage på Datatilsynets vedtak om å ikke pålegge sletting av leserinnlegg på et nettbasert debattforum tilhørende en regionavis

Klager ønsket sine leserinnlegg på et nettbasert debattforum tilhørende en regionavis slettet, samt krevde sletting av alle registreringer som er relatert til vedkommendes navn gjennom søkemotoren Google. Personvernnemnda kom til, i likhet med Datatilsynet, at ytringer på slike debattsider faller inn under personopplysningsloven § 7 og kan derfor ikke kreves slettet. Når det gjelder det forhold at klagers debattinnlegg også kan gjenfinnes på Google, påpekte nemnda at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internettet. Regionavisen kan neppe påvirke eller hindre slik indeksering.