Sak vedrørende retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt "uten grunn". Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

Saken gjelder overprøving av enkelte av vilkårene for konsesjon til Gastronet. Nemnda vurderte tidsbegrensningen av konsesjonen. Nemnda fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det gir Datatilsynet en viktig mulighet for kontroll med registerets premisser og at Gastronet etterlever konsesjonsvilkårene. Nemnda la vekt på at tilsynet har både utvidet og forlenget konsesjonen flere ganger tidligere, og har uttalt at Gastronet kan påregne å få forlenget konsesjonen ut over 30. juni 2018. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda mener kravet til informasjon er grunnleggende for at pasientene skal kunne ivareta sine rettigheter. Dersom pasienter skal registreres uten samtykke, men med reservasjonsadgang, bør pasientene motta informasjon om dette. Nemnda fant at det er forskjell på pasienter som registreres i koloskopidelen og ERCP-delen av Gastronet. For pasienter som omfattes av koloskopidelen mener nemnda det ikke er nødvendig å gi ytterligere informasjon i etterkant av samtykket til registreringen, med mindre registeret har endret seg vesentlig siden samtykket ble gitt. Nemnda legger derfor til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mener nemnda at pasientene i ERCP-delen må få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda kan imidlertid ikke se at det er påkrevet at informasjonen gjentas innen en viss periode etter at undersøkelsene har funnet sted. Nemnda er enig i Datatilsynets vurdering av personvernulempene.

Nemnda tok begjæring om omgjøring av vedtak i nemndas sak PVN 2016-15 til følge da nemnda har overskredet sin kompetanse. Nemnda fant at flertallet i nemnda i vedtak fattet 30. desember 2016 gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven.
Nemnda konkluderte med at vedtak fattet 30. desember 2016 er ugyldig på grunn av manglende kompetanse og at A ikke med hjemmel i personopplysningsloven har rett til innsyn i samtalereferat og underlagsmateriale. Det har skjedd feil som tilsier at vedtaket må anses ugyldig, jf. forvaltningsloven § 35. Nemnda fattet nytt vedtak der A ikke gis rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf. § 18 a), jf. c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

Sak trukket.

Problemstillingen var om Google plikter å slette søketreff på en domfelt person (A) slik de er pålagt av Datatilsynet. Pålegget er begrunnet med at Google mangler behandlingsgrunnlag i personopplysningsloven for indekseringen av det aktuelle søketreffet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. De aktuelle personopplysningene er følgelig sensitive, og behandlingsgrunnlaget må etter nemndas oppfatning søkes i lovens § 9, jf. § 11 første ledd bokstav a. Datatilsynet har avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. Nemnda minnet om at behandlingsgrunnlag for sensitive personopplysninger ikke bare avgjøres med grunnlag i § 9, men at også ett av vilkårene i § 8 må være oppfylt. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn at de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). Nemnda la vekt på at A er domfelt for alvorlig kriminalitet. Etter at soningen er gjennomført, vil hensynene som tilsier fortsatt offentlighet om saken normalt svekkes. A er ikke en offentlig person. Nemnda la vekt på at identifiseringen på nettstedet nordisk.nu er begrunnet i hevn og sjikane. Nemnda fremhevet dog at samfunnet har et helt legitimt behov for å sette i verk tiltak som har til formål å forhindre at domfelte forgriper seg på nytt, og viste til Barnevoldsutvalget. Til støtte for at identifiseringen av A ikke har allmenn interesse, pekte også nemnda på at den domfelte ikke ble identifisert da dommen fra 2009 ble omtalt i avisen. Vedtaket fra Datatilsynet utgjør heller ikke et særlig intensivt inngrep i ytringsfriheten. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.