A søkte om kommunale helse- og omsorgstjenester som følge av psykiske plager. Kommunen utarbeidet journalnotater med vurderinger av As oppfølgingsbehov. A anmodet om sletting av flere opplysninger. Kommunen imøtekom delvis slettekravet, men avslo å slette notatene i to journaler fra 2014 og 2017 under henvisning til at det var arkivpliktig materiale. A fikk anledning til å supplere journalnotatetene slik at det framkommer hva hun mener er feil. Nemnda mente at kommunen med dette har ivaretatt sin plikt til dataminimering. Nemnda la til grunn at formålet med innsamling av opplysningene opprinnelig var knyttet til kommunens behandling av As søknad om kommunale helse- og omsorgstjenester og at formålet med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste videre til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge kommunen å slette disse opplysningene, jf. personvernforordningen § 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav d, og personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda opprettholdt Datatilsynets vedtak.

En barneskole sendte en bekymringsmelding til kommunens barne- og familietjeneste vedrørende eleven A. Opplysningene knyttet til bekymringsmeldingen ble lagret i As elevmappe i saksbehandlingssystemet ESA Sikker. Barneverntjenesten henla saken uten å iverksette tiltak. Foreldrene ba skolen om å slette alle opplysninger knyttet til bekymringsmeldingen fra elevmappen da A skulle over til ungdomsskolen. Kommunen avslo kravet om sletting, men sperret de aktuelle dokumentene slik at de ikke var tilgjengelige for ansatte. Nemnda tok ikke stilling til om det blant opplysningene som var krevd slettet også var opplysninger som er arkivpliktig etter arkivloven, jf. Riksarkivarens forskrift § 7-28. Nemnda kom til at unntaket for sletteplikt i personvernforordningen artikkel 17 nr. 3 bokstav d uansett kom til anvendelse. Etter nemndas vurdering er fortsatt lagring av opplysningene i elevmappen nødvendig for arkivformål i allmennhetens interesse og sletting av opplysningene vil gjøre det umulig eller i alvorlig grad hindre at målene med nevnte behandling nås. Målene med fortsatt lagring av opplysningene er å sikre at opplysningene ikke blir kassert før rettslige og forvaltningsmessige dokumentasjonsbehov er bortfalt. Det foreligger tvingende berettigede grunner for fortsatt oppbevaring av de aktuelle opplysningene i kommunens arkiv, som går foran den registrertes interesser, rettigheter og friheter, jf. artikkel 21 nr. 1. Nemnda omgjorde Datatilsynets vedtak.

A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer, omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019. A ba Datatilsynet om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning. Tilsynet mente at A har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut, og avsluttet saken uten å gi pålegg eller foreta ytterligere undersøkelser. I likhet med tilsynet la nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artiklene 12, 13 og 14. Nemnda mente at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt og at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven.

Sak trukket.

As advokatbevilling ble tilbakekalt av Advokatbevillingsnemnden i 2011. Tilsynsrådet mottok meldinger om at A fortsatt drev advokatvirksomhet og publiserte i oktober 2018 et varsel dette på sin nettside. Nemnda la til grunn at Tilsynsrådets behandling av personopplysninger ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at Tilsynsrådets behandling av personopplysninger om A har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. l bokstav e, jf. domstolloven § 225 og advokatforskriften § 1-3 og § 4-5. Nemnda la til grunn at de publiserte opplysningene er korrekte og nødvendig oppdaterte, og at publiseringen av varselet både er nødvendig og proporsjonalt for formålet. Nemnda sluttet seg til Datatilsynets konklusjon om at det foreligger tvingende eller tungtveiende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 17 nr. 1 bokstav c, jf. artikkel 21 nr. 1.

A og B klaget over to kameraer på naboens (Cs) eiendom som de mente overvåket dem. Tilsynet konkluderte med at kameraene ikke fanget opp klagernes eiendom og at personopplysningsloven ikke var brutt. Da nemnda fikk saken til behandling hadde C flyttet og det ene kameraet var fjernet. Nemnda la til grunn at C ikke lenger var å anse som part, jf. forvaltningsloven § 2 e, og at saken når det gjaldt C ikke lenger var aktuell. Nemnda kom til at saken kunne behandles uten at ny eier ble brakt inn som part i saken, fordi nemnda la til grunn at det ikke var sannsynliggjort brudd på personopplysningsloven forbundet med det gjenværende kameraet. Nemnda la til grunn at tilsynet hadde foretatt en forsvarlig behandling av saken. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at det monterte kameraet fanget opp områder utenfor husets egen tomt og at behandlingen dermed var omfattet av unntaket for lovens virkeområde i personopplysningsloven § 2 andre ledd bokstav a. Nemnda opprettholdt tilsynets vedtak. Saken har tidligere vært behandlet av nemnda i PVN-2016-03.

Opplysningene var knyttet til en hendelse i mai 2009 hvor A ble gitt en skriftlig tilrettevisning av arbeidsgiver. Nemnda la til grunn at det aktuelle behandlingsgrunnlaget for lagringen er personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda skal ikke vurdere grunnlaget for at tilrettevisningen opprinnelig ble gitt, men skal vurdere nødvendigheten av fortsatt lagring etter at den registrerte har protestert, jf. personvernforordningen artikkel 21 nr. 1. Nemnda la til grunn at det er arbeidsgiver som har bevisbyrden for at fortsatt lagring er nødvendig og at det i dette ligger at arbeidsgiver må påvise konkrete og reelle forhold som tilsier at det foreligger «tvingende berettigede grunner», jf. også PVN-2018-11. Alvorlighetsgraden av den aktuelle hendelsen som har resultert i tilrettevisningen er da av betydning for arbeidsgivers behov for fortsatt lagring. Det samme er tiden som har gått siden den aktuelle hendelsen fant sted, og om det har vært nye hendelser senere. Nemnda konkluderte med at det ikke forelå tvingende berettigede grunner for fortsatt lagring. Det var registrert én ny tilrettevisning etter den tilrettevisningen saken gjaldt, men den gjaldt et helt annet type forhold enn hendelsen i 2009, som hadde sammenheng med en stor personlig krise. Arbeidsgiver ble pålagt å slette alle personopplysninger fra As personalmappe knyttet til den aktuelle tilrettevisningen.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

A kontaktet Datatilsynet 6. juni 2017 etter å ha mottatt flere brev fra kredittopplysningsbyrået Bisnode om at X Advokatfirma hadde kredittvurdert hans enkeltpersonforetak, Y Advokatkontor. A mente X ikke hadde saklig behov for slik kredittsjekk. X bestred at advokatfirmaet har kredittvurdert enkeltpersonforetaket og viste til at de heller ikke hadde saklig grunn for det. X mente kredittvurderingene skyltes en systemsvikt hos Bisnode. Datatilsynet kom fram til at det var klar sannsynlighetsovervekt for at X foretok kredittvurderingene av As enkeltpersonforetak og ila et overtredelsesgebyr på 75 000 kroner. X Advokatfirma klaget vedtaket inn for nemnda. Nemnda fant det klart sannsynliggjort at det var foretatt kredittvurdering uten saklig behov og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 4.

A var ansatt og B var innleid konsulent i selskapet X AS. A og B ble utleid fra X AS for å utføre oppdrag for Y AS. Ved en fisjon av selskapet Y AS ble den delen som A og B var utleid til lagt til X AS. Etter at A sa opp sin stilling og B avsluttet sitt oppdragsforhold, foretok X AS innsyn i A og Bs e-poster både med X og Ys domenenavn. Nemnda kom til at X AS hadde rettslig adgang til å foreta innsyn i A og B's e-postkasser og at innsynene i e-postkassene var nødvendig for å ivareta virksomhetens berettigede interesser. Videre mente nemnda at C, som deltok under innsynsforretningene på vegne av X AS da han var daglig leder i et tredje selskap, hadde fullmakt til å foreta innsynene i e-postkassene på vegne av X AS. Nemnda var også enig med tilsynet i at det ikke var grunnlag for å si at Teamviewer-kontoen ble benyttet i strid med regelverket. Nemnda opprettholdt Datatilsynets vedtak om at det ikke hadde skjedd brudd på personopplysningsloven.

Sak trukket.