Spørsmål om Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Tysvær kommune benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen stasjonære maskiner. Datatilsynet forbød bruken fordi den ikke var tillatt etter personopplysnings­loven § 12. Datatilsynet mente at selv om det foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet kommer på avveie, var ikke bruk av fingeravtrykksløsning nødvendig for å oppnå sikker identifisering. Etter Datatilsynets syn kunne kommunen i stedet bruke for eksempel smartkort kombinert med passord. Personvernnemnda omgjorde vedtaket. Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. Etter en konkret avveining kom Personvernnemnda til at kommunens bruk er tillatt, jf. personopplysningsloven § 12.

Datatilsynet fattet vedtak om at om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre. Antidoping-programmet består av en frivillig egenerklæring som medlemmer ved senteret kan undertegne. Medlemmer som har samtykket kan bli utsatt for uanmeldte dopingprøver. Datatilsynet mente at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Tiltaket vil ikke være tilstrekkelig og relevant, herunder forholdsmessig, i forhold til formålene som begrunner tiltaket. Personvernnemnda omgjorde Datatilsynets vedtak. Etter Personvernnemndas syn er antidoping-programmet vurdert under ett ikke et uforholdsmessig tiltak. Nemnda legger blant annet vekt på at samtykke er frivillig og at antidoping-programmet bidrar til holdningsskapende arbeid blant ungdom.

Spørsmål om identitetsmisbruk. Klager hevdet at det fantes en “falsk navnebror” ved søk på ulike telefonkataloger på Internettet. Klager henviste blant annet til søketjenesten “sesam.no”. Klager mente at den falske navnebroren skulle være registrert med fiktiv adresse i nærheten av klager og anmodet Datatilsynet om å avklare grunnlaget for dobbeltoppføringen med Telenor. Personvernnemnda kunne ikke finne at det var opplyst eller dokumentert feilaktige opplysninger per i dag som kunne kreves rettet etter personopplysningsloven § 27. Når det ikke kan påvises feilaktige opplysninger, faller forholdet utenfor personopplysningsloven og dermed utenfor Personvernnemndas kompetanse.

Saken gjelder klage på Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon. Klager mener at automatiske oppgraderinger er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin

Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven. Klager mente at Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin. Klagen førte ikke frem. Personvernnemnda finner at ingen personopplysninger behandles i forbindelse med bruk av funksjonen automatiske oppdateringer. Saken faller derfor utenfor personopplysningsloven.

Dissens 4-3. Saken gjelder hvorvidt det foreligger et saklig behov for å kredittvurdere potensielle boligleietagere, jf. personopplysningsforskriften § 4-3, når husleien betales forskuddsvis. Datatilsynet vedtok pålegg om opphør av KLP Eiendom Trondheim AS’ praksis med å foreta kredittvurdering av potensielle leietakere. Datatilsynet tolket saklighetskravet i personopplysningsforskriftens § 4-3 slik at det må foreligge et kredittelement før innhenting av kredittopplysninger og slikt element av kreditt forelå ikke når husleien betales forskuddsvis. Personvernnemnda er enig med Datatilsynet i at det som hovedregel vil være i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt at man innhenter kredittopplysninger. Personvernnemnda delte seg imidlertid i et flertall og et mindretall ved vurderingen av om det forelå saklig behov for kredittvurdering i denne saken. Flertallet la avgjørende vekt på at det i normaltilfellene ikke ytes kreditt ved boligutleie, utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode og det finnes gode alternativer, slik som referanser og bankgaranti.

Klager ønsket sine leserinnlegg på et nettbasert debattforum tilhørende en regionavis slettet, samt krevde sletting av alle registreringer som er relatert til vedkommendes navn gjennom søkemotoren Google. Personvernnemnda kom til, i likhet med Datatilsynet, at ytringer på slike debattsider faller inn under personopplysningsloven § 7 og kan derfor ikke kreves slettet. Når det gjelder det forhold at klagers debattinnlegg også kan gjenfinnes på Google, påpekte nemnda at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internettet. Regionavisen kan neppe påvirke eller hindre slik indeksering.

Publisering av personopplysninger på Internett. Svært personlige karakteristikker og vurderinger av klager og klagers familie, også avdøde personer, ble lagt ut på Internett i ca. to uker. Datatilsynet besluttet å avslutte saken idet opplysningene var fjernet fra nettstedet da tilsynet kontaktet den behandlingsansvarlige. Klager mener at saken ble avsluttet for tidlig idet personopplysningene lå ute tilstrekkelig lenge til å volde skade for de omtalte og den behandlingsansvarlige burde ha blitt stilt til ansvar samt blitt pålagt å besvare Datatilsynets spørsmål om forholdet til lovverket på en tilfredsstillende måte. Personvernnemnda viser til at opplysninger om avdøde personer bare faller innenfor personopplysningsloven såfremt opplysningene også kan knyttes til en levende person. For så vidt gjaldt opplysningene om levende personer var disse publisert i strid med personopplysningsloven, men ingen sanksjoner mot den behandlingsansvarlige var anvendelige i denne saken. Uttalt at det finnes andre bestemmelser i lovverket som kan være mer anvendelige i en slik sak. Saksbehandlingsfeil at Datatilsynet ikke opplyste om klageadgangen.

I sak PVN-2005-13 NSB omgjorde Personvernnemnda Datatilsynets vedtak. NSB har krevd å få dekket vesentlige kostnader som har vært nødvendige for å få omgjort vedtaket. Det rettslige grunnlaget er forvaltningsloven § 36, 1. ledd. Nemnda kom til at NSB skal få dekket de utgifter som har vært nødvendige for å få endret vedtaket i samsvar med forvaltningsloven § 36.

Sletting av personopplysninger i Trygdeetaten. Klager ba om at en legeerklæring og et legenotat i sak om uførepensjon skulle slettes. Datatilsynet la Fylkestrygdekontoret i Oslos vurdering om at dokumentene fortsatt var nødvendige til grunn og påla ikke sletting. Personvernnemnda tilskrev Fylkestrygdekontoret og ba om å få vite klagers nåværende alder. Det følger av personopplysningsloven § 28 at man ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Fylkestrygdekontoret svarte at etter en ny vurdering har de kommet til at dokumentene kunne slettes, blant annet under henvisning til at klager har gått over på alderspensjon.

Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.