Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak og meldinger

PVN-2015-04 FaVer

Klage på Datatilsynets vedtak om overtredelsesgebyr for mangler ved databehandleravtaler

Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-03 Innsyn i skoles aktivitetslogg

Klage på Datatilsynets avslag på innsyn i skoles aktivitetslogg

Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.

PVN-2015-02 SmerteReg

Klage på Datatilsynets vilkår i konsesjon gitt til Nasjonalt kvalitetsregister for smertebehandling («SmerteReg»)

Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

PVN-2015-01 Konsesjon kjønnsdysfori

Klage på Datatilsynets delvise avslag om konsesjon til behandling av helseopplysninger

Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

PVN-2014-25 Tilgang på tvers av virksomhetsgrenser

Klage på Datatilsynets vedtak om at direktetilgang til helseopplysninger må avsluttes, jf helseregisterloven § 13

Nemnda vurderte tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen måtte vurderes etter det lovverk som gjaldt da klagen kom inn. Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Personvernnemnda er enig i denne vurderingen. Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende. Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

PVN-2014-24 Unilabs Norge AS

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-23 Sørlandet sykehus

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

PVN-2014-22 Vestre Viken HF

Klage på Datatilsynets vedtak om pålegg vedrørende uautorisert uthenting av helseopplysninger gjennom leverandørs fjerntilgang

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

PVN-2014-21 Norsk brannskaderegister

Klage på Datatilsynets vilkår i konsesjon

I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

PVN-2014-20 Anmodning om gjenåpning av saker

Begjæring om gjenåpning av saker

Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf. forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.