Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2005-12 Sporveisbussene

Klage på vedtak om begrensninger i adgangen til kameraovervåking av bussenes publikumsområder

Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.

PVN-2005-11 Konsesjonsplikt for helautomatiske bomstasjoner

Klage på vedtak om pålegg om konsesjonsplikt for helautomatiske bomstasjoner

Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.

Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.

PVN-2005-10 Kundeopplysninger

Klage på vedtak om pålegg om sletting av kundeopplysninger

Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.

PVN-2005-09 Fjernsynsovervåking

Klage på vedtak vedrørende fjernsynsovervåking ved Det Mosaiske Trossamfund

Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.

  1. Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
  2. Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.

I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.

PVN-2005-08 Kreftregisteret

Klage på Datatilsynets vedtak om delvis avslag på søknad fra Kreftregisteret om konsesjon for to forskningsprosjekter: "Kreftrisiko blant ansatte i mineralullindustrien" og "Kreftrisiko blant ansatte i aluminiumsindustrien"

Kreftregistret søkte om forlenget konsesjon bl a for to prosjekter som tok sikte på å klarlegge kreftrisiko blant ansatte i mineralullindustrien og aluminiumsindustrien. Datatilsynet avslo konsesjon under henvisning til at det ikke forelå samtykke, og at interesseavveining i personopplysningsloven § 9, 1.ledd litra h ikke klart oversteg den enkeltes interesse i personvern. Personvernnemnda presiserte at samtykke fra den registrerte er hovedregelen, og at denne regelen bare kan avvikes når det foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I dette tilfellet anså Personvernnemnda at risikoen for frafall av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven § 8 litra d. Personvernnemnda anså også at samfunnets interesse i bedre å forstå og kunne forebygge kreft klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble sendt tilbake til Datatilsynet, som har kompetanse til å gi konsesjon for prosjektene.

PVN-2005-07 Tilleggsvedtak – FHI

Klage på vedtak om delvis avslag på konsesjon til å behandle helseopplysninger

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget.

Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-07 Statens folkehelseinstitutt (FHI)

Klage på vedtak om delvis avslag på konsesjon til å behandle helseopplysninger

Statens folkehelseinstitutt (FHI) søkte tillatelse til å opprette forskningsfil for studier av sosiale og etniske forskjeller i perinatal helse. Registeret innebærer en sammenstilling av to etablerte registre, Medisinsk fødselsregister og Dødsårsaksregisteret, og videre sammenstilling med fødelandsregister og utdanningsfil fra Statistisk sentralbyrå. Den registrerte pasientgruppen omfatter mor, far og barn som er registrert i Medisinsk fødselsregister, totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under forutsetning av sletting etter fem år, og at utlevering til ekstern bruk krevde ny konsesjon. Dette ble påklaget. Personvernnemnda kom til at helseregisterloven § 8, 1.ledd må tolkes slik at registeret krever hjemmel i forskrift. Klagen ble ikke tatt til følge.

PVN-2005-06 Securitas

Klage på vedtak om pålegg i forbindelse med tilsyn hos Securitas, samt begjæring om at deler av vedtaket gis oppsettende virkning

Securitas ønsket å innføre testing for rusmisbruk av alle sine ansatte, og å oppbevare vandelsattest innhentet i forbindelse med ansettelse i sitt personalsystem.

Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven, som i kapittel 9 regulerer kontrolltiltak, herunder medisinske undersøkelser (jfr arbeidsmiljøloven § 9-4). Hjemmelen for å gjøre det nødvendige inngrep måtte finnes i arbeidsmiljøloven, mens vurderingen av hvorvidt de resulterende, sensitive personopplysninger kan behandles, følger personopplysningslovens bestemmelser, jfr arbeidsmiljøloven § 9-1 nr 2. Forholdet til biobankloven påpekes.

Personvernnemnda finner at det ikke er adgang til å gjennomføre behandling av opplysninger innhentet ved testing av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter ansettelse ikke kan tillates under henvisning til både personopplysningsloven og lov om strafferegistrering.

PVN-2005-05 Utlevering av fakturamottakers e-postadresse

Klage på Datatilsynets avgjørelse om å trekke tilbake en tidligere uttalelse om at fakturautstedere skal kunne få utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved inngåelse av tjenesteavtale om e-faktura

Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank i forbindelse med avtale om e-faktura. Personvernnemnda kom til at banken var behandlingsansvarlig, og derfor ikke kunne utlevere opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at saken fortoner seg "mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet". Klagen førte ikke frem.

PVN-2005-04 HUNT

Klage på vedtak om avslag på søknad om konsesjon for tidsbegrenset oppbevaring av koblingsbro

HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det – rent teoretisk – for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.