Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

Sak trukket.

Problemstillingen var om Google plikter å slette søketreff på en domfelt person (A) slik de er pålagt av Datatilsynet. Pålegget er begrunnet med at Google mangler behandlingsgrunnlag i personopplysningsloven for indekseringen av det aktuelle søketreffet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. De aktuelle personopplysningene er følgelig sensitive, og behandlingsgrunnlaget må etter nemndas oppfatning søkes i lovens § 9, jf. § 11 første ledd bokstav a. Datatilsynet har avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. Nemnda minnet om at behandlingsgrunnlag for sensitive personopplysninger ikke bare avgjøres med grunnlag i § 9, men at også ett av vilkårene i § 8 må være oppfylt. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn at de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). Nemnda la vekt på at A er domfelt for alvorlig kriminalitet. Etter at soningen er gjennomført, vil hensynene som tilsier fortsatt offentlighet om saken normalt svekkes. A er ikke en offentlig person. Nemnda la vekt på at identifiseringen på nettstedet nordisk.nu er begrunnet i hevn og sjikane. Nemnda fremhevet dog at samfunnet har et helt legitimt behov for å sette i verk tiltak som har til formål å forhindre at domfelte forgriper seg på nytt, og viste til Barnevoldsutvalget. Til støtte for at identifiseringen av A ikke har allmenn interesse, pekte også nemnda på at den domfelte ikke ble identifisert da dommen fra 2009 ble omtalt i avisen. Vedtaket fra Datatilsynet utgjør heller ikke et særlig intensivt inngrep i ytringsfriheten. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf. nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf. § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf. personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf. PVN-2015-14 Viken Økonomi.

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf. PVN-2015-08 Windsor Door.

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.