Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2005-06 Securitas

Klage på vedtak om pålegg i forbindelse med tilsyn hos Securitas, samt begjæring om at deler av vedtaket gis oppsettende virkning

Securitas ønsket å innføre testing for rusmisbruk av alle sine ansatte, og å oppbevare vandelsattest innhentet i forbindelse med ansettelse i sitt personalsystem.

Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven, som i kapittel 9 regulerer kontrolltiltak, herunder medisinske undersøkelser (jfr arbeidsmiljøloven § 9-4). Hjemmelen for å gjøre det nødvendige inngrep måtte finnes i arbeidsmiljøloven, mens vurderingen av hvorvidt de resulterende, sensitive personopplysninger kan behandles, følger personopplysningslovens bestemmelser, jfr arbeidsmiljøloven § 9-1 nr 2. Forholdet til biobankloven påpekes.

Personvernnemnda finner at det ikke er adgang til å gjennomføre behandling av opplysninger innhentet ved testing av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter ansettelse ikke kan tillates under henvisning til både personopplysningsloven og lov om strafferegistrering.

PVN-2005-05 Utlevering av fakturamottakers e-postadresse

Klage på Datatilsynets avgjørelse om å trekke tilbake en tidligere uttalelse om at fakturautstedere skal kunne få utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved inngåelse av tjenesteavtale om e-faktura

Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank i forbindelse med avtale om e-faktura. Personvernnemnda kom til at banken var behandlingsansvarlig, og derfor ikke kunne utlevere opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at saken fortoner seg "mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet". Klagen førte ikke frem.

PVN-2005-04 HUNT

Klage på vedtak om avslag på søknad om konsesjon for tidsbegrenset oppbevaring av koblingsbro

HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det – rent teoretisk – for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.

PVN-2005-03 Barnevernsaker

Klage på Datatilsynets vedtak om avvisning

Saken gjelder nettsted som inneholder kritiske kommentarer til behandlingen av barnevernsaker og relaterte spørsmål. Personvernnemnda kommer til at nettstedet behandler personopplysninger, men faller innenfor personopplysningsloven § 7, som begrenser lovens anvendelse for "journalistiske, herunder opinionsdannende, formål". Det vises til forarbeidenes diskusjon av forholdet til Grunnloven § 100 og Den europeiske menneskerettighetskonvensjon, jf Ot prp nr 92 (1998-1999) Om lov om behandling av personopplysninger (personopplysningsloven), særlig pkt 11.6. Personvernnemnda presiserer at nettstedene må, i likhet med andre media, overholde og respektere bestemmelser som gjelder omtale av enkeltpersoner.

PVN-2005-02 Innsyn i innbetalt forsikringspremie

Klage på Datatilsynets vedtak om å avvise sak med krav om innsyn i innbetalt forsikringspremie

Saken gjaldt spørsmål om innsyn i to typer opplysninger i forbindelse med en ytelsesbasert, kollektiv personforsikringsavtale mellom et forsikringsselskap og tidligere arbeidsgiver. Opplysningene utgjorde konkrete tallstørrelser, men var resultatet av en beregning og da derfor "ingen anvendelig informasjon om hvilken innbetaling som forsikringstaker reelt sett har gjort for det enkelte medlem". Personvernnemnda kom til at det var personopplysninger, og derfor gjenstand for innsyn.

Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsavtaleloven § 17-2. Under henvisning til klare uttalelser i forarbeidene kom man til at innsynsretten kunne gjøres gjeldende.

Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til at opplysningene ikke angikk "andres forretningsmessige forhold". Personvernnemnda uttaler også at taushetsplikten i forsiktingsvirksomhetsloven § 1-3 vil stå tilbake for innsynsretten etter personopplysningsloven.

PVN-2005-01 Sletting lydbåndopptak

Klage på Datatilsynets avvisning av å pålegge Wiersholm, Mellbye & Bech advokatfirma å slette lydbåndopptak.

En advokat hadde gjort opptak av samtaler med den annen part i en sak som sto for retten. Opptakene var gjort uten å informere den annen part. Den annen part krevde opptakene slettet. Personvernnemnda kom til at lydopptakene ikke representerte noe personregister under henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og derfor ikke falt inn under personopplysningslovens saklige virkeområde etter personopplysningsloven § 3, 1.ledd litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd litra a vil også behandling av personopplysninger med "elektroniske hjelpemidler" falle inn under lovens saklige virkeområde. Personvernnemnda kom til at dette kriteriet måtte forstås slik at behandlingen skjedde automatisk, dvs uten at mennesker styrte opptaket. Henvisning til forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om tilfellet ikke faller inn under personopplysningslovens saklige virkeområde, kan det ha betydning for den enkeltes personvern, og viser i den aktuelle sak til karakteristikk av opptak av telefonsamtaler uten å informere den annen part i Rt-1997-795.

PVN-2004-09 Bakehuset Kafé AS

Klage på Datatilsynets vedtak om at Bakehuset Kafé AS ikke får opprettholde fjernsynsovervåking av butikklokalene i det eksisterende omfang.

En kafé overvåket arbeidsplassen ved hjelp av videokamera. Etter diskusjon mellom Datatilsynet var det enighet om bruk av slike kamera. I ettertid ble ytterligere to kamera montert. Det var enighet om at en viss overvåking kan tillates etter nødvendighetsgrunnen i personopplysningsloven § 8 litra b jfr personopplysningsloven § 37, 1. ledd. Personvernnemnda sluttet seg til Datatilsynet i at det må finnes en grense for hvor intensiv overvåking som kan tillates på en arbeidsplass, og opprettholdt vedtaket som gikk ut på at de to siste kameraene måtte fjernes.

PVN-2004-08 Finansnæringens Hovedorganisasjon

Klage på konsesjonsvilkår om behandling av personopplysninger i forsikringsbransjen

Saken gjelder en klage på konsesjon for forsikringsselskapenes behandling av personopplysninger fra Finansnæringens Hovedorganisasjon på vegne av organisasjonens medlemmer. En rekke forhold ved konsesjonen ble behandlet. Personvernnemnda ga delvis medhold i to forhold. Ett av disse var av mer administrativ karakter, og gjaldt fristen for fullføring av arbeidet med nye samtykkeerklæringer.

Når det gjaldt krav til skriftlighet ved innhenting av sensitive personopplysninger, fastholdt nemnda “som klar hovedregel” krav til skriftlighet, men ga klager medhold i en “sikkerhetsventil” for situasjoner hvor den registrerte er i stand til å samtykke muntlig, men ikke i stand til å bekrefte samtykket muntlig. Personvernnemnda tok ikke stilling til hva som må til for at skriftlighetskravet anses oppfylt etter konsesjonsvilkårene.

Datatilsynets vedtak om bruk av fødselsnummer ble stadfestet. Dette henger bl a sammen med bruk av kredittopplysninger ved risikovurdering. Personvernnemnda uttalte at det “uansett en mulig statistisk sammenheng” mellom betalingsudyktighet og skadehyppighet, kan ikke kredittopplysninger “benyttes ved vurdering av det enkelte tilfellet”.

PVN-2004-07 Telenor Mobil

Klage på Datatilsynets vedtak om at Telenor Mobil må slette personopplysninger om tidligere kunder.

Telenor Mobil ønsket å lagre enkelte opplysninger (navn, adresse, fødselsdato, tidligere telefonnummer og benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med også etter at kundeforholdet var avsluttet. Erfaringsmessig vil en del av disse senere ønske å gjenopprette kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn for å bistå kunden. Opplysningene ble ikke brukt til andre formål. Personvernnemnda mente at et var nærliggende at kunder qua forbrukere forutsatte at den tidligere leverandør “husket” telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant at lagringen av opplysningene i liten grad svekker den registrertes personvern, og at Telenor Mobil hadde en berettiget interesse i lagringen, jfr personopplysningsloven § 8 litra f. Klagen ble tatt til følge.

PVN-2004-06 Ullevål Universitetssykehus (UUS)

Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.

Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for “Etterundersøkelse av pasienter innlagt for selvpåført forgiftning”. Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.