Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2023-11 Behandling av personopplysninger om barn ved bruk av bilder i barnehage

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at X kommune hadde rettslig grunnlag for å behandle bilder av deres barn i barnehagen.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

PVN-2023-10 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage

Klage fra A på Datatilsynets der tilsynet avsluttet en sak om X kommunes brudd på personopplysningssikkerheten uten å ilegge kommunen en reaksjon.

En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

PVN-2023-09 Brudd på personopplysnings- og informasjonssikkerheten i Karmøy kommune - overtredelsesgebyr

Klage fra Karmøy kommune på Datatilsynets vedtak der kommunen ble ilagt et overtredelsesgebyr på 300 000 kroner for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger, jf. personvernforordningen artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23.

I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

PVN-2023-05 Behandling av personopplysninger om barn ved bruk av videopptak i barnehage

Klage fra X kommune på Datatilsynets vedtak om å ilegge kommunen en irettesettelse, jf. personvernforordningen artikkel 58 nr. 2 bokstav b, for å ha behandlet personopplysninger uten gyldig behandlingsgrunnlag, jf. artikkel 6 nr. 1, samt for ikke å ha overholdt informasjonsplikten etter artikkel 13.

En barnehageansatt tok videopptak av et barn under et sinneutbrudd i barnehagen. Formålet med opptaket var å vise det til kommunepsykologen for å gjøre de barnehageansatte bedre rustet til å møte barnet. Opptaket ble lagret på en kommunal tjenestetelefon og fremvist til de ansatte, enhetslederen og kommunepsykologen, og slettet etter 10 dager. I motsetning til Datatilsynet kom nemnda til at kommunen hadde behandlingsgrunnlag for å ta videoopptaket i artikkel 6 nr. 1 bokstav c, jf. barnehageloven og forskrift om rammeplan for barnehager. Nemnda la videre til grunn at foreldrenes samtykke dekket utleveringen av opptaket til kommunepsykologen. Nemnda var imidlertid enig med tilsynet i at kommunen ikke hadde overholdt sin informasjonsplikt overfor foreldrene, jf. artikkel 13, men at bruddet på informasjonsplikten ikke var så alvorlig at det var grunnlag for å gi kommunen en irettesettelse. Datatilsynets vedtak ble omgjort.

PVN-2023-08 Klage på Datatilsynets beslutning om ikke å følge opp et varsel om brudd på personvernforordningen - avvisning

Klage fra A på Datatilsynets beslutning om ikke å følge opp et mottatt varsel om ulovlig utlevering av personopplysninger fra Arkivverket som databehandler.

Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.

PVN-2023-07 Klage på Datatilsynets avgjørelse om at det ikke var sannsynliggjort utlevering av personopplysninger fra deponerte dokumenter hos Arkivverket

Klage fra A på Datatilsynets vedtak der tilsynet kom til at det ikke var sannsynliggjort utlevering av personopplysninger fra As klientmappe i arkivet til Veiledningstjenesten til romanifolket/taterne som var deponert hos Arkivverket.

Personvernnemnda var enig med Datatilsynet i at det på bakgrunn av opplysningene i saken ikke var sannsynliggjort at det hadde skjedd noen utlevering av opplysninger fra klientmappene til Veiledningstjenesten som var deponert hos Arkivverket. Nemnda la til grunn at klientmappene befant seg i et låst skap og ble oppbevart et annet sted enn tidligere avlevert arkivmateriale fra Stiftelsen romanifolkets/taternes kulturfond og Stiftelsen til Romanifolkets/taternes senter. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-06 Retting av journalopplysninger

Klage på Datatilsynets vedtak der Datatilsynet konkluderte med at klager hadde fått oppfylt sin rett til retting og supplering av opplysninger i sønnens journal.

Personvernlovgivningen gir verken Datatilsynet eller nemnda kompetanse til å pålegge endring av innholdet i en pasientjournal. Dette gjelder både helsefaglige vurderinger og journalnotater som representerer legens referat av hva som ble sagt i en samtale med pasienten. Riktigheten av slike journalføringer må vurderes av helseforetaket, eventuelt av statsforvalteren ved klage på avslag om retting. Ved uklarhet eller uenighet om hva som ble sagt, vil supplering være aktuelt. Hvilke opplysninger som hører hjemme i en journal og hva som skal arkiveres andre steder reguleres ikke av personvernlovgivningen og kan ikke bestemmes av tilsynet eller nemnda. Nemnda viste til at sykehuset hadde lagret As innvendinger i sykehusets systemer, og at det ikke et krav at opplysningene skal suppleres direkte i journalen. A hadde dermed fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-22 Grindr - utlevering av personopplysninger uten gyldig samtykke - overtredelsesgebyr

Klage fra Grindr LLC (nå Grindr Inc.) på Datatilsynets vedtak der tilsynet ila Grindr et overtredelsesgebyr på 65 000 000 kroner for å ha utlevert personopplysninger av særlig kategori, uten rettslig grunnlag, i perioden 20. juli 2018 til 7. april 2020, jf. personvernforordningen artikkel 6 nr. 1 og artikkel 9 nr. 1.

Nemnda kom til at opplysningen om at en person er en registrert bruker av dating-appen Grindr er en opplysning om en «persons seksuelle forhold eller seksuelle orientering», og at Grindrs utlevering av nevnte type opplysninger dermed innebar en behandling av opplysninger som var omfattet av forbudet i artikkel 9 nr. 1. Nemnda viste til to storkammerdommer fra EU-domstolen som støtte for sitt syn; C- 184/20 fra 1. august 2022 og C- 252/21 av 4. juli 2023. Nemnda konkluderte videre med at Grindr ikke hadde innhentet gyldig samtykke for sin utlevering av personopplysningene om brukerne til annonsepartnerne. Grindrs samtykkemekanisme, i den aktuelle perioden, var innrettet på en slik måte at brukerens samtykke verken var frivillig, spesifikt eller informert. At brukeren, etter å ha fullført registreringen fikk en mulighet til «opt out» medførte ikke at samtykket anses som frivillig. Nemnda var enig med Datatilsynet i at Grindr skulle ilegges et overtredelsesgebyr etter artikkel 83 nr. 2. Nemnda fant ingen grunn til å endre størrelsen på det fastsatte gebyret da et gebyr på 65 000 000 kroner ble ansatt nødvendig for å ha tilstrekkelig avskrekkende effekt. Overtredelsens alvor, særlig antallet registrerte som er berørt, kategorien av opplysninger som det gjaldt, at overtredelsen pågikk over nesten to år, samt at det dreide seg om en forsettlig handling hvor Grindr bevisst hadde valgt en teknisk løsning som ikke gjorde det mulig å registrere seg uten at brukeren samtidig måtte akseptere utlevering av opplysninger til analyse- og annonseselskaper til bruk for markedsføring, tilsa at overtredelsesgebyret ikke var uforholdsmessig. Datatilsynets vedtak ble opprettholdt.

Grindr tok ut stevning mot staten ved Personvernnemnda for Oslo tingrett 27. oktober 2023 med påstand om at nemndas vedtak er ugyldig, subsidiært at overtredelsesgebyret nedsettes. Staten v/Personvernnemnda ble frifunnet ved tingrettens dom 1. juli 2024 (23-160384TVI-TOSL/04).

 

PVN-2023-04 Retting av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at det ikke var grunnlag for å foreta retting i et vedtak fra NAV, jf. personvernforordningen artikkel 16.

A mottok dagpenger under arbeidsløshet fra NAV. Da A søkte om støtte til etablering av egen virksomhet og opplyste at han holdt på med en masterutdanning, fattet NAV vedtak om stans i dagpengene da han ikke oppfylte vilkårene. Det viste seg senere at dagpengene ikke skulle ha vært stanset og NAV omgjorde vedtaket om stans og fattet et nytt vedtak som innvilget A dagpenger i stansingsperioden. Nemnda viste til at stansingsvedtaket ga korrekt uttrykk for det faktum NAV la til grunn på tidspunktet da vedtaket ble fattet. I de påfølgende vedtakene omgjorde NAV sin vurdering av de faktiske forholdene. Nemnda mente at det av vedtakene lest i sammenheng framkommer at A på søknadstidspunktet for dagpenger ikke var aktiv student, og at NAVs stans av dagpenger var urettmessig. Nemnda konkluderte med at dette samlet sett medfører at det ikke er registret uriktige opplysninger om A. Vilkåret for retting etter artikkel 16 var derfor ikke oppfylt og NAV kunne ikke pålegges å rette eller supplere opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-03 Rekkevidden av rettspleielovunntaket

Klage fra A på Datatilsynets vedtak er tilsynet avviste saken under henvisning til at den falt utenfor personopplysningslovens saklige virkeområde, jf. personopplysningsloven § 2 andre ledd bokstav b.

Nemnda tok stilling til om rettspleielovunntaket omfatter forsikringsselskapets oversendelse av saksdokumenter med helseopplysninger til en privat engasjert sakkyndig i forbindelse med behandlingen av en sivil sak for lagmannsretten. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, og at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Datatilsynet har i sin praksis lagt til grunn at unntaket også omfatter aktørenes behandling av personopplysninger i saker som behandles eller avgjøres i medhold av rettspleielovene, noe nemnda også la til grunn i sak PVN-2022-16. Det forelå ikke personvernhensyn som tilsier en innstramming av denne etablerte forvaltningspraksisen. Skulle rettspleielovunntaket bare gjelde for domstolene, og ikke aktørene som enten er parter eller representerer parter i saker for domstolen, vil unntaket ikke ha en reell betydning. Domstolen behandler ingen personopplysninger innenfor sin dømmende myndighet som ikke behandles av sakens parter. At behandlingen av en sak for domstolen er avsluttet, endrer ikke på vurderingen. Nemnda opprettholdt Datatilsynets avvisningsvedtak.