Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf. forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.

Problemstillingen i saken var plassering av behandlingsansvar for opplysninger i Mipps og Mowic. Nemnda viste til forarbeider og juridisk teori som begge legger til grunn at den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Nemnda viste også til tidligere avgjørelser i nemnda, herunder PVN-2007-01. Nemnda la til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Nemnda konkluderte med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic.

Personvernnemnda vurderte om dokumentene skulle slettes etter personopplysningsloven § 28 første ledd. Nemnda kom til at dokumentene fortsatt kunne lagres i samsvar med det opprinnelige formålet. Videre vurderte nemnda § 28 tredje ledd. Nemnda fant at opplysningene kunne være belastende, konkluderte med at man ikke behøvde å ta stilling til om de er «sterkt belastende» da slettingsvilkårene uansett ikke var oppfylt. Sletting ville ikke være forsvarlig ut fra kommunens behov som arbeidsgiver og tjenesteyter.

Nemnda hadde forståelse for at det kan være belastende å bli omtalt i avisen, samt oppleves som urettferdig at den frifinnende dom ikke omtales, men nemnda kom til at slike artikler må sies å ligge innenfor «journalistisk formål». Personvernnemnda konkluderte med at avisartikler og nettartikler faller inn under avgrensningen i personopplysningsloven § 7 slik at blant annet personopplysningsloven kapittel II ikke kommer til anvendelse. Datatilsynets vedtak ble opprettholdt.

Sak trukket

Datatilsynet hadde veiledet kommunen om pliktene som følger av personopplysningsloven § 28 og vist til at arkivloven ikke inneholder et pålegg om at arbeidsgivere skal arkivere enhver tilrettevisning i ubegrenset tid. Tilsynet avsto imidlertid fra å fatte vedtak om sletting, med henvisning til at det er den behandlingsansvarlige som selv skal foreta en nødvendighetsvurdering etter personopplysningsloven § 28 og det er virksomheten selv som har best forutsetninger for å vurdere dette. Personvernnemnda kom til at sakens prinsipielle karakter tilsa at Datatilsynet bør realitetsbehandle saken.