Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2005-03 Barnevernsaker

Klage på Datatilsynets vedtak om avvisning

Saken gjelder nettsted som inneholder kritiske kommentarer til behandlingen av barnevernsaker og relaterte spørsmål. Personvernnemnda kommer til at nettstedet behandler personopplysninger, men faller innenfor personopplysningsloven § 7, som begrenser lovens anvendelse for "journalistiske, herunder opinionsdannende, formål". Det vises til forarbeidenes diskusjon av forholdet til Grunnloven § 100 og Den europeiske menneskerettighetskonvensjon, jf Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven), særlig pkt 11.6. Personvernnemnda presiserer at nettstedene må, i likhet med andre media, overholde og respektere bestemmelser som gjelder omtale av enkeltpersoner.

PVN-2005-02 Innsyn i innbetalt forsikringspremie

Klage på Datatilsynets vedtak om å avvise sak med krav om innsyn i innbetalt forsikringspremie

Saken gjaldt spørsmål om innsyn i to typer opplysninger i forbindelse med en ytelsesbasert, kollektiv personforsikringsavtale mellom et forsikringsselskap og tidligere arbeidsgiver. Opplysningene utgjorde konkrete tallstørrelser, men var resultatet av en beregning og da derfor "ingen anvendelig informasjon om hvilken innbetaling som forsikringstaker reelt sett har gjort for det enkelte medlem". Personvernnemnda kom til at det var personopplysninger, og derfor gjenstand for innsyn.

Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsavtaleloven § 17-2. Under henvisning til klare uttalelser i forarbeidene kom man til at innsynsretten kunne gjøres gjeldende.

Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til at opplysningene ikke angikk "andres forretningsmessige forhold". Personvernnemnda uttaler også at taushetsplikten i forsiktingsvirksomhetsloven § 1-3 vil stå tilbake for innsynsretten etter personopplysningsloven.

PVN-2005-01 Sletting lydbåndopptak

Klage på Datatilsynets avvisning av å pålegge Wiersholm, Mellbye & Bech advokatfirma å slette lydbåndopptak.

En advokat hadde gjort opptak av samtaler med den annen part i en sak som sto for retten. Opptakene var gjort uten å informere den annen part. Den annen part krevde opptakene slettet. Personvernnemnda kom til at lydopptakene ikke representerte noe personregister under henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og derfor ikke falt inn under personopplysningslovens saklige virkeområde etter personopplysningsloven § 3, 1.ledd litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd litra a vil også behandling av personopplysninger med "elektroniske hjelpemidler" falle inn under lovens saklige virkeområde. Personvernnemnda kom til at dette kriteriet måtte forstås slik at behandlingen skjedde automatisk, dvs uten at mennesker styrte opptaket. Henvisning til forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om tilfellet ikke faller inn under personopplysningslovens saklige virkeområde, kan det ha betydning for den enkeltes personvern, og viser i den aktuelle sak til karakteristikk av opptak av telefonsamtaler uten å informere den annen part i Rt-1997-795.

PVN-2004-09 Bakehuset Kafé AS

Klage på Datatilsynets vedtak om at Bakehuset Kafé AS ikke får opprettholde fjernsynsovervåking av butikklokalene i det eksisterende omfang.

En kafé overvåket arbeidsplassen ved hjelp av videokamera. Etter diskusjon mellom Datatilsynet var det enighet om bruk av slike kamera. I ettertid ble ytterligere to kamera montert. Det var enighet om at en viss overvåking kan tillates etter nødvendighetsgrunnen i personopplysningsloven § 8 litra b jfr personopplysningsloven § 37, 1. ledd. Personvernnemnda sluttet seg til Datatilsynet i at det må finnes en grense for hvor intensiv overvåking som kan tillates på en arbeidsplass, og opprettholdt vedtaket som gikk ut på at de to siste kameraene måtte fjernes.

PVN-2004-08 Finansnæringens Hovedorganisasjon

Klage på konsesjonsvilkår om behandling av personopplysninger i forsikringsbransjen

Saken gjelder en klage på konsesjon for forsikringsselskapenes behandling av personopplysninger fra Finansnæringens Hovedorganisasjon på vegne av organisasjonens medlemmer. En rekke forhold ved konsesjonen ble behandlet. Personvernnemnda ga delvis medhold i to forhold. Ett av disse var av mer administrativ karakter, og gjaldt fristen for fullføring av arbeidet med nye samtykkeerklæringer.

Når det gjaldt krav til skriftlighet ved innhenting av sensitive personopplysninger, fastholdt nemnda “som klar hovedregel” krav til skriftlighet, men ga klager medhold i en “sikkerhetsventil” for situasjoner hvor den registrerte er i stand til å samtykke muntlig, men ikke i stand til å bekrefte samtykket muntlig. Personvernnemnda tok ikke stilling til hva som må til for at skriftlighetskravet anses oppfylt etter konsesjonsvilkårene.

Datatilsynets vedtak om bruk av fødselsnummer ble stadfestet. Dette henger bl a sammen med bruk av kredittopplysninger ved risikovurdering. Personvernnemnda uttalte at det “uansett en mulig statistisk sammenheng” mellom betalingsudyktighet og skadehyppighet, kan ikke kredittopplysninger “benyttes ved vurdering av det enkelte tilfellet”.

PVN-2004-07 Telenor Mobil

Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder.

Telenor Mobil ønsket å lagre enkelte opplysninger (navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med også etter at kundeforholdet var avsluttet. Erfaringsmessig vil en del av disse senere ønske å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn for å bistå kunden. Opplysningene ble ikke brukt til andre formål. Personvernnemnda mente at et var nærliggende at kunder qua forbrukere forutsatte at den tidligere leverandør “husket” telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant at lagringen av opplysningene i liten grad svekker den registrertes personvern, og at Telenor Mobil hadde en berettiget interesse i lagringen, jfr personopplysningsloven § 8 litra f. Klagen ble tatt til følge.

PVN-2004-06 Ullevål Universitetssykehus (UUS)

Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.

Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for “Etterundersøkelse av pasienter innlagt for selvpåført forgiftning”. Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.

PVN-2004-05 Norske Kredittopplysningsbyråers Forening (NKF)

Klage på Datatilsynets vedtak om konsesjon for behandling av personopplysninger i kredittopplysningsvirksomhet – Norske Kredittopplysningsbyråers Forening (NKF)

Personvernnemnda drøfter spørsmålet om hvilket tidspunkt som skal legges til grunn for registrering av inkassopplysninger. Her deler nemnda seg i et flertall og et mindretall. Flertallet anser at en fordring først kan tillates registrert når det er tatt rettslige skritt for inndrivning av fordringen, og slutter seg slik til det syn som ligger til grunn for Datatilsynets vedtak.

Når det gjelder slettefrist for fordringer som er gjort opp, anser Personvernnemnda at de skal slettes straks de er gjort opp, og opprettholder også her Datatilsynets vedtak.

Når det gjelder behandling av personopplysninger ved beregning av nyetablerte foretak i tiden frem til første regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold i at man skal kunne basere rangeringen på kredittverdigheten på opplysninger om de nøkkelpersoner som står bak foretaket.

Når det gjelder frist for sletting av opplysninger om misligholdte fordringer når foreldelsen avbrytes ved at det tas rettslig skritt, gis klager medhold på ett punkt, nemlig at det ikke innføres noen beløpsgrense. Dermed tillates registrering av fordringer som ikke kan resultere i tvangsforretninger registrert for nye fire år når det treffes nye rettslige skritt innenfor den første fireårsfristen.

PVN-2004-04 “Suicidal atferd i Bergensområdet”

Klage på Datatilsynets vedtak om å nekte konsesjon for ferdigstillelse av forskningsprosjektet "Suicidal atferd i Bergensområdet"

Klager har på grunnlag av en konsesjon fra 1983 fulgt en gruppe på 470 personer som alle var innlagt for selvpåførte skader. Ved en ny konsesjon fra 1997 ble det tillatt kobling til Dødsårsaksregistret. Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremmet søknad om ny konsesjon etter utløpet av overgangsordningen i personopplysningsloven. På denne bakgrunn unnlot Datatilsynet å behandle søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valgte å behandle klagen som søknad om ny konsesjon, og fant at prosjektet kan bygge på nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette ble klagen tatt til følge. Uttalelse om at opplysninger om avdøde personer faller utenfor lovens område.

PVN-2004-03 Posten Norge AS

Klage på Datatilsynets vedtak om at Postens utleie av adresselister ikke kan forankres i personopplysningsloven § 8 f) – Posten Norge AS

Posten har et register over de fleste privatpersoner boende i Norge (PMS). Posten ønsker å leie ut adresselister fra dette registeret. Det ble foreslått tiltak, særlig et eget reservasjonsregister, for å dempe ulempene for den registrertes personvern. Personvernnemnda fant at taushetspliktbestemmelsen i postloven § 13 ikke var til hinder for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne hjemles i personopplysningsloven § 11, 1. ledd litra c fordi formålet ved utleie av adresselistene var uforenlig med registrering av opplysningene for formidling av postsendinger. Slikt gjenbruk krevde derfor samtykke. Personvernnemnda tolket personopplysningsloven slik at det i en slik situasjon ikke skal legges strengere krav til gjenbruk enn til første gangs bruk, og vurderte derfor om bruken kunne hjemles i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessen til Posten var berettiget etter denne bestemmelsen, men fant under henvisning til forarbeidene at denne forretningsmessige interessen ikke kunne veie tyngre enn den registrertes interesse i privatlivets fred og personvern.