Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr. Saken gjaldt hvorvidt Axactor har drevet med kredittopplysningsvirksomhet i forskriftens forstand, jf. personopplysnings­for­skriften § 4-2. Nemnda fant at anførselen om videreformidling ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak. Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysnings­for­skriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling, jf. forvaltningsloven §§ 17 og 25, jf. forvaltningsloven § 34 siste ledd.

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda la vekt på at daglig leder og medeier i Bertram Bil AS brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og Bertram Bil AS. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelsen av overtredelsesgebyr for innsyn i ansatts epostkasse, jf. personopplysningsloven § 46. Hereid Hus har brutt personopplysningsforskriften § 9-2. Nemnda fant at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Hereid Hus har brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.

Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medfører ikke dette at NAV underkjenner hans faglige kompetanse. Nemnda kan ikke se at det er dokumentert at NAV behandler opplysninger som er utilstrekkelige eller irrelevante, jf. personopplysningsloven § 11 bokstav d), eller at NAV bruker uriktige eller ufullstendige personopplysninger som må rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Nemnda konkluderte med at klagen ikke tas til følge.

Sak vedrørende retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt "uten grunn". Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

Saken gjelder overprøving av enkelte av vilkårene for konsesjon til Gastronet. Nemnda vurderte tidsbegrensningen av konsesjonen. Nemnda fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det gir Datatilsynet en viktig mulighet for kontroll med registerets premisser og at Gastronet etterlever konsesjonsvilkårene. Nemnda la vekt på at tilsynet har både utvidet og forlenget konsesjonen flere ganger tidligere, og har uttalt at Gastronet kan påregne å få forlenget konsesjonen ut over 30. juni 2018. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda mener kravet til informasjon er grunnleggende for at pasientene skal kunne ivareta sine rettigheter. Dersom pasienter skal registreres uten samtykke, men med reservasjonsadgang, bør pasientene motta informasjon om dette. Nemnda fant at det er forskjell på pasienter som registreres i koloskopidelen og ERCP-delen av Gastronet. For pasienter som omfattes av koloskopidelen mener nemnda det ikke er nødvendig å gi ytterligere informasjon i etterkant av samtykket til registreringen, med mindre registeret har endret seg vesentlig siden samtykket ble gitt. Nemnda legger derfor til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mener nemnda at pasientene i ERCP-delen må få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda kan imidlertid ikke se at det er påkrevet at informasjonen gjentas innen en viss periode etter at undersøkelsene har funnet sted. Nemnda er enig i Datatilsynets vurdering av personvernulempene.

Nemnda tok begjæring om omgjøring av vedtak i nemndas sak PVN 2016-15 til følge da nemnda har overskredet sin kompetanse. Nemnda fant at flertallet i nemnda i vedtak fattet 30. desember 2016 gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven.
Nemnda konkluderte med at vedtak fattet 30. desember 2016 er ugyldig på grunn av manglende kompetanse og at A ikke med hjemmel i personopplysningsloven har rett til innsyn i samtalereferat og underlagsmateriale. Det har skjedd feil som tilsier at vedtaket må anses ugyldig, jf. forvaltningsloven § 35. Nemnda fattet nytt vedtak der A ikke gis rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf. § 18 a), jf. c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.