Problemstillingen var om Google plikter å slette søketreff på en domfelt person (A) slik de er pålagt av Datatilsynet. Pålegget er begrunnet med at Google mangler behandlingsgrunnlag i personopplysningsloven for indekseringen av det aktuelle søketreffet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. De aktuelle personopplysningene er følgelig sensitive, og behandlingsgrunnlaget må etter nemndas oppfatning søkes i lovens § 9, jf. § 11 første ledd bokstav a. Datatilsynet har avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. Nemnda minnet om at behandlingsgrunnlag for sensitive personopplysninger ikke bare avgjøres med grunnlag i § 9, men at også ett av vilkårene i § 8 må være oppfylt. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn at de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). Nemnda la vekt på at A er domfelt for alvorlig kriminalitet. Etter at soningen er gjennomført, vil hensynene som tilsier fortsatt offentlighet om saken normalt svekkes. A er ikke en offentlig person. Nemnda la vekt på at identifiseringen på nettstedet nordisk.nu er begrunnet i hevn og sjikane. Nemnda fremhevet dog at samfunnet har et helt legitimt behov for å sette i verk tiltak som har til formål å forhindre at domfelte forgriper seg på nytt, og viste til Barnevoldsutvalget. Til støtte for at identifiseringen av A ikke har allmenn interesse, pekte også nemnda på at den domfelte ikke ble identifisert da dommen fra 2009 ble omtalt i avisen. Vedtaket fra Datatilsynet utgjør heller ikke et særlig intensivt inngrep i ytringsfriheten. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf. nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf. § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf. personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf. PVN-2015-14 Viken Økonomi.

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf. PVN-2015-08 Windsor Door.

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf. fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf. § 2 tredje ledd. Enkeltvedtak er påklagbare, jf. forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf. personopplysningsloven §§ 8 og 9, jf. § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf. politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf. personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.