Sak trukket.

Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila universitetet X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger om at en students (As) skikkethet til psykologistudiet var til behandling i Skikkethetsnemnda. A henvendte seg til Datatilsynet på nytt i 2018 og mente at X var skyldig i ytterligere brudd på personopplysningsloven som ikke var omfattet av det tidligere ilagte overtredelsesgebyret, at universitetet hadde gitt uriktige opplysninger til Datatilsynet, samt at reaksjonen i 2016 ikke var streng nok. Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser. Nemnda kom til at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven. Nemnda viste til at et gebyr for et lovbrudd i 2014 nå i 2019 var foreldet etter personopplysningsloven § 28, jf. § 33. I likhet med tilsynet la nemnda til grunn at X hadde gjennomført tiltak for å unngå at slike konfidensialitetsbrudd skjer igjen. Nemnda bemerket at A uansett ikke er klageberettiget når det gjelder Datatilsynets valg av reaksjon for å ha overtrådt personopplysningsloven.

A kontaktet Datatilsynet fordi hun mistenkte at noen urettmessig hadde gjort oppslag i hennes pasientjournal ved et sykehus. Datatilsynet veiledet A i hvordan hun skulle få innsyn i hvilket helsepersonell som hadde gjort oppslag journalen, samt informerte henne om at Fylkesmannen var rett klageinstans dersom hun mente det var gjort urettmessige oppslag. Datatilsynet fant ikke konkrete holdepunkter for at det var foretatt oppslag som ikke var begrunnet i tjenstlig behov, eller at det var generelle mangler ved tilgangsstyringen ved sykehuset. Nemnda var enig med tilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling hvem som har tjenstlig behov for oppslag i pasientjournal etter helsepersonelloven. Nemnda konkluderte med at Datatilsynet hadde etterkommet As anmodning og oppfylt sine forpliktelser etter personvernforordningen artikkel 57 og forvaltningsloven § 17. Datatilsynets avslutning av saken var forsvarlig og i tråd med loven.

En gullsmedforretning, A, publiserte et bilde på Facebook fra et overvåkingskamera. Bildet viste en identifiserbar person og var tatt i forbindelse med et tyveri av julepynten utenfor forretningen i desember 2017. Nemnda kom til at saken skulle behandles etter personopplysningsloven 2018. Personopplysningsloven 2018 og GDPR åpner for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000 § 39 og må derfor anses som gunstigere, jf. personopplysningsloven § 33. Nemnda vurderte om A hadde behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse), og konkluderte etter en interesseavveining, med at den registrertes interesse gikk foran og krevde vern av opplysningene. Ved utmålingen av gebyr etter GDPR artikkel 83 var det i denne saken nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen var begått i desember 2017 (dvs. før personopplysningsloven 2018 og GDPR trådte i kraft). Nemnda opprettholdt Datatilsynets vedtak om å ilegge A et overtredelsesgebyr på 50 000.

A ble kjent med at en ukjent person urettmessig hadde brukt hans fødselsnummer til å opprette et kontantkortabonnement. A sperret telefonnummeret umiddelbart og anmeldte forholdet til politiet, men politiet henla saken. A ba om innsyn i opplysninger som var knyttet til abonnementet (bl.a. datatrafikk, samtalelogg, sms’er). Mobilselskapet avslo begjæringen. A klaget til Datatilsynet som avsluttet saken uten ytterligere tiltak med henvisning til at A ikke hadde krav på innsyn i etter GDPR artikkel 15. Nemnda var enig med tilsynet i at GDPR artikkel 15 ikke ga A rett til innsyn. Selv om et fødselsnummer entydig er knyttet til en person, var det i dette tilfellet på det rene at As fødselsnummer var misbrukt av noen andre og at de personopplysningene som eventuelt fremkom i tilknytning til det opprettede abonnementet hos mobilselskapet ikke var personopplysninger om A, men personopplysninger om den som hadde opprettet mobilabonnementet. Nemnda opprettholdt Datatilsynets vedtak om ikke å gi pålegg om innsyn.

Saken har sin opprinnelse i en bekymringsmelding som ble sendt fra en skole til barneverntjenesten i kommunen. Skolen var bekymret over foreldrenes konfliktfylte forhold til skole og lokalmiljø. Barnevernet avsluttet saken uten å iverksette tiltak. Foreldrene kontaktet Datatilsynet og klaget over kommunens/skolens behandling og utlevering av opplysninger. Nemnda la til grunn at kommunen/skolen hadde behandlingsgrunnlag for å behandle personopplysninger i anledning bekymringsmeldingen, og var enig med Datatilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling til grunnlaget for bekymringsmeldingen. Nemnda la videre til grunn at kommunen/skolen ikke brøt personopplysningsloven i sin interne og eksterne kommunikasjon rundt bekymringsmeldingen, samt at Datatilsynet hadde foretatt tilstrekkelige undersøkelser i saken og oppfylt sin plikt etter GDPR artikkel 57.

Klageren i saken, A, er involvert i en arbeidskonflikt med ledelsen som har vart over flere år. I likhet med Datatilsynet fant nemnda at det ikke var grunnlag for å pålegge å slette eller rette personopplysningene i As personalmappe. Nemnda sluttet seg til tilsynets vurdering om at det adekvate alternativet er supplering, noe det var gitt anledning til. Videre la nemnda til grunn at arbeidsgivers behandling av As personopplysninger var nødvendig for å ivareta arbeidsgivers berettigede interesse i å håndtere og dokumentere sakshistorikken i arbeidsforholdet og den pågående arbeidskonflikten, jf. GDPR artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet. Nemnda la også til grunn at arbeidsgiverens oppbevaring av personopplysningene var forsvarlig, og at det ikke forelå brudd på reglene om personopplysningssikkerhet, jf. GDPR artikkel 32.

Klage på Datatilsynets avslag på anmodning om å pålegge Google å slette søketreff ved søk på As navn. Søketreffene ledet til flere nyhetsartikler som omtalte en straffesak mot A i 2013/2014 der han, mens han praktiserte som advokat, ble domfelt for flere grove bedragerier. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i GDPR artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom nemnda til at As rett til personvern veide tyngst. Nemnda la vekt på at det hadde gått lang tid siden de straffbare handlingene ble begått (8–14 år siden), og at det var lenge siden domfellelsen (seks år). A praktiserer ikke lenger som advokat og han ble vurdert å ha en mindre rolle i bedrageriene. Det ble videre vektlagt at A opplever søketreff til de publiserte opplysningene svært belastende, samt at det dreier seg om opplysninger som er omfattet av GDPR artikkel 10.

En tidligere ansatt (A) i en fylkeskommune ba om innsyn i opplysninger i egen personalmappe. Han ba også om informasjon om en rekke forhold knyttet til behandlingen av hans personopplysninger. Datatilsynet undersøkte saken og fant at A hadde fått det innsynet og den informasjonen han har krav på etter GDPR artikkel 15. I tillegg informerte og veiledet Datatilsynet A om hans rett til å be om innsyn hos fylkesmannen i anledning en klagesak som var sendt dit. En samlet nemnd var enig med Datatilsynet i at fylkeskommunen hadde etterkommet As anmodning og gitt ham innsyn. Nemnda la videre til grunn at Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg var forsvarlig og innenfor lovens rammer, jf. GDPR artikkel 57 nr. 1 bokstav f.

En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. GDPR artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.