Meld. St. 43 (2016–2017)

Årsmeldingane til Datatilsynet og Personvernnemnda for 2016

Til innhaldsliste

3 Årsmeldinga til Personvernnemnda for 2016

3.1 Innledning

Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2016 var dermed nemndas sekstende driftsår.

Personvernnemnda er klageorgan for vedtak fattet av Datatilsynet etter personopplysningsloven og helseregisterloven, jf personopplysningsloven § 43, jf § 42 fjerde ledd.

Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger regelmessig kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler personvernprinsipper som også er relevante ved fortolkningen av personopplysningsloven.

Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak, jf forvaltningsloven § 35, og kan prøve alle sider av en sak, jf Innst. O. nr. 51 (1999–2000) s. 24.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).

Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.

3.2 Sammendrag og tendenser

I løpet av 2016 kom det inn tilsammen 18 klagesaker. Totalt 14 av de 18 sakene var ferdigbehandlet ved utgangen av 2016. I tillegg ble 13 saker innkommet i 2015 ferdigbehandlet i 2016. Personvernnemnda avgjorde således totalt 27 saker i 2016, mot totalt 16 saker i 2015. Klager er gitt helt eller delvis medhold i 11 av de 27 sakene. To av sakene ble avsagt med dissens (PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II).

Saksmengden har vært noe høyere i forhold til tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda tar bare stilling til spørsmål i de foreliggende konkrete saker, men ser at personvernet griper inn i stadig flere samfunnsområder og at problemstillingene som reises av lovverket er komplekse og har stor betydning for både privatliv og kommersiell samt offentlig virksomhet.

Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Dette gjelder særlig forholdet til forvaltningsretten, men også andre rettsområder, som helserett, og ikke minst privatrettslige regler og avtaler.

Ett tema som nemnda fortsett ser har økende aktualitet, er ileggelse av overtredelsesgebyr. Flere av sakene som ble avgjort i 2016 hadde overtredelsesgebyr som tema, blant annet PVN-2015-05 Skan-kontroll II, PVN-2015-08 Windsor Door, PVN-2015-11 Vardø kommune, PVN-2015-15 Mona Lisa Huset, PVN-2016-02 Hovedredningssentralen Nord-Norge, PVN-2016-06 Vaktmester Andersen, PVN-2016-07 Synkron Media, PVN-2016-09 Codex advokat og PVN-2016-14 Årdal kommune. Denne utviklingen vil antakelig fortsette.

Saker vedrørende overvåking i arbeidsforhold er også økende, for eksempel PVN-2016-09 Codex advokat vedrørende videresending av epost, PVN-2016-07 Synkron Media vedrørende overvåking av tidligere ansattes epostkasser og PVN-2016-06 Vaktmester Andersen om sammenstilling av opplysninger fra elektronisk kjørebok, PVN-2015-14 Viken Økonomi om innsyn i tidligere ansattes epostkasser og PVN-2015-13 Trønder Taxi om opptak av telefonsamtaler, samt saker vedrørende sletting i opplysninger i personalmapper, for eksempel PVN-2016-08 Trondheim kommune II og PVN-2016-12 Stange kommune.

Saker om internkontroll er også et gjentagende tema, for eksempel PVN-2015-11 Vardø kommune og PVN-2016-02 Hovedredningssentralen Nord-Norge.

Bruk av loggdata er også et viktig tema, for eksempel PVN-2015-03 Skoles aktivitetslogg, PVN-2014-10 Telenor, PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen.

Et prinsipielt forhold er Datatilsynets manglende realitetsbehandling av saker, samt bortprioritering uten vedtak eller avvisningsvedtak, for eksempel PVN-2015-03 Klage over avvisning i sak vedrørende kameraovervåkning, PVN-2015-17 Bisnode, samt PVN-2016-03 Klage over avvisning i sak vedrørende kameraovervåkning og PVN-2016-13 Avvisningsvedtak – sletting av journalopplysninger.

Et annet prinsipielt forhold er spørsmålet om innsyn i opplysninger hos arbeidstaker. En sak hvor dette har kommet opp to ganger er PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II. Dette er en kompleks sak hvor innsyn kan kreves etter både personopplysningslovens og forvaltningslovens regler og det gjør seg gjeldende kryssende hensyn. I den siste saken, PVN-2016-15 Tromsø kommune II, har en av klagerne begjært omgjøring. Saken skal behandles i 2017.

3.3 Medlemmer

Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.

Personvernnemnda besto i 2016 av følgende personer:

  • Eva Ingrid Elisabeth Jarbekk, leder

  • Arve Føyen, nestleder

  • Ørnulf Rasmussen

  • Ann Rudinow Sætnan

  • Gisle Hannemyr

  • Marta Ebbing

  • Nina Melsom

Alle medlemmer har personlige vararepresentanter:

  • Olav Torvund (vara for leder)

  • Ingvild Hanssen-Bauer (vara for nestleder)

  • Michal Wiik Johansen

  • Audhild Gregoriusdotter Rotevatn

  • Torgeir Waterhouse

  • Anne Forus

  • Hans Marius Graasvold

3.4 Andre organisatoriske forhold

Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo.

Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

3.5 Møter og konferanser 2016

Personvernnemnda har i 2016 hatt i alt 11 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.

I tillegg til nemndsmøter har det vært forberedende møter med sekretariatet og leder.

Tre medlemmer fra Personvernnemnda deltok på den internasjonale personvernkonferansen i Brussel (IAPP Europe Data Protection Congress) i 2016.

3.6 Saksbehandlingstid – restanser

En sak blir i gjennomsnitt ferdigbehandlet i løpet av fire-fem måneder. De mest komplekse sakene, blant andre PVN-2015-04 FaVer, PVN-2015-05 Skan-kontroll II, PVN-2015-07 Tromsø kommune og PVN-2015-11 Vardø kommune, har nemnda imidlertid arbeidet med i en rekke nemndsmøter i 2015 og 2016. Også sakene PVN-2016-02 Hovedredningssentralen Nord-Norge og PVN-2016-04 Legelisten.no ble behandlet over flere nemndsmøter.

Personvernnemnda hadde fire uferdige saker ved årets slutt som ble overtatt av ny nemnd.

3.7 Hvilke parter klager til nemnda

Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

Av de 27 sakene nemnda avgjorde i 2016 var det 13 klager fra bedrift, fem klager fra privatpersoner, tre klager fra ulike helseforetak og seks klager fra øvrige kommunale eller statlige organer.

3.8 Klagesaksbehandling – statistikk

Personvernnemnda mottok i 2016 totalt 18 klagesaker. Av disse var 14 ferdigbehandlet ved utgangen av året. I tillegg avgjorde nemnda 13 saker fra 2015. Klager ble gitt helt eller delvis medhold i 11 av de totalt 27 sakene.

Til sammenligning kom det i 2015 inn 17 saker, 4 av dem ble ferdigbehandlet i 2015, i tillegg ble 12 saker fra 2014 avgjort. Datatilsynets vedtak omgjort i 9 av de totalt 16 sakene. I 2014 kom det inn 25 saker, 12 av sakene ble ferdigbehandlet i 2014, i tillegg ble 14 saker fra 2013 avgjort. Datatilsynets vedtak omgjort helt eller delvis i 11 av de totalt 26 sakene.

Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene publisert i egen database hos Lovdata.

Saksmengden har vært stor. Flere av sakene har vært prinsipielle, jf punkt 2 over om tendenser. Også i 2016 har omfangsrike saker medført ekstraarbeid for medlemmene.

3.9 Fullstendig oversikt over saker som ble behandlet i 2016

Følgende saker ble ferdigbehandlet i 2016:

PVN-2015-01

Konsesjon kjønnsdysfori

Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

PVN-2015-04

FaVer

Spørsmålet var databehandleravtaler oppfylte lovens krav. FaVer er databehandler. Nemnda fant at databehandleravtalen fungerte som en rammeavtale og utredningsanmodningen som et avrop under rammeavtalen. Rutinen beskriver den nærmere behandlingsmåten for enkeltoppdrag. Nemnda fant at det ikke var lovhjemmel for et krav om at databehandleravtalen skal inkludere en behandlingsrutine eller eksplisitt henvise til slik rutine. Nemnda fant videre at tilgangsstyringen var tilfredsstillende. Nemnda konkluderte med at det ikke forelå brudd på personopplysningsloven. Klager fikk medhold.

PVN-2015-05

Skan-kontroll II

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr, herunder gebyrets størrelse. Saken er en fortsettelse av PVN-2014-01 Skan-kontroll. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a til h. Nemnda fant at det forelå grove brudd på personopplysningsloven og at skyldgraden var høy. Nemnda la særlig vekt på at virksomheten med viten og vilje hadde behandlet sensitive personopplysninger uten konsesjon og ukryptert. Nemnda påpekte at når Skan-kontroll har basert deler av sin virksomhet på å selge tjenester som de ikke har lov til å selge, har Skan-kontroll sett bort fra lovlige premisser for virksomheten. Nemnda fant at Datatilsynets gebyr var betydelig, men at det også reflekterte alvorligheten i krenkelsen og skyldgraden i saken. Imidlertid fant nemnda, etter å ha vurdert Datatilsynets gebyrpraksis, at reaksjonen var noe streng i nærværende sak. Nemnda satte derfor gebyret ned skjønnsmessig til kroner 400 000.

PVN-2015-07

Tromsø kommune

Dissens om innsyn. Nemdas flertall kom til at klager har innsynsrett. Personvernnemnda besluttet å sende saken tilbake til Datatilsynet for ny behandling.

PVN-2015-08

Windsor Door

Nemnda var enig med Datatilsynet i at dette var et brudd på personopplysningsloven, idet Windsor Door har sammenstilt personopplysninger i strid med formålsprinsippet, jf personopplysningsloven § 11 bokstav c. Nemnda vurderte utmåling av gebyr etter personopplysningsloven § 46 bokstavene a-h og kom til at gebyret var på linje med Datatilsynets gebyrpraksis.

PVN-2015-10

Sykehuset i Østfold

Datatilsynet satte som forutsetning i konsesjonsvedtaket at Sykehuset i Østfold informerer pasientene etter helseregisterloven § 24, jf personopplysningsloven §§ 18 flg., og at informasjonen skal være individuell. Personvernnemnda vurderte om det forelå hjemmel for unntak fra informasjonsplikten etter personopplysningsloven § 20 andre ledd bokstav b). Bokstavene a og c var ikke relevante i saken. Når det gjaldt bokstav b og spørsmålet om individuell varsling av ca 3000 pasienter vil være umulig eller uforholdsmessig vanskelig viste til PVN-2009-07. Nemnda var fortsatt av samme oppfatning. Klagen ble ikke tatt til følge.

PVN-2015-11

Vardø kommune

Datatilsynet hadde ved stedlig tilsyn med dokumentkontroll hos Vardø kommune funnet at internkontrollen for behandling av personopplysninger, herunder rutiner for innsyn, informasjon og retting/sletting ikke er i samsvar med personopplysningsloven. Videre fant tilsynet mangler ved rutine for melde- og konsesjonsplikt, oversikt over personopplysninger som behandles, risikovurdering, sikkerhetsstrategi, sikkerhetsorganisasjon, sikkerhetsrevisjon og avvikshåndtering. Personvernnemnda var enig med tilsynet i at det foreligger mangler ved kommunens dokumentasjon av internkontroll og rutiner. Nemnda fant at det var en mangel ved Datatilsynets vedtak at det ikke konkret påpeker hvor kommunen har avveket fra de rettslige krav som følger av personopplysningsloven og forskrifter. Etter nemndas syn avdekker saken først og fremst et behov for veiledning for så vidt gjelder dokumentasjonsomfang og detaljeringsgrad. Når det gjelder gebyrileggelsen la nemnda vekt på de momenter som fremgår av § 46 annet ledd bokstavene a) til h). Etter en helhetsvurdering kom nemnda til at ileggelse av overtredelsesgebyr ikke var en forholdsmessig reaksjon.

PVN-2015-12

Universitetet i Oslo

Klagen ble ikke tatt til følge. Nemnda var enig med Datatilsynets tolkning av reseptregisterforskriften § 5-3 andre ledd. Bestemmelsen åpner ikke for at Datatilsynet kan dispensere fra forbudet mot å muliggjøre tilbakeføring av pseudonyme helseopplysninger til enkeltpersoner (reverseringsforbudet). Den omsøkte kobling var derfor ikke tillatt. Nemnda fant at det ikke foreligger rettslig grunnlag for å gi konsesjon til den omsøkte sammenstilling.

PVN-2015-13

Trønder Taxi

Klagen ble ikke tatt til følge. Nemnda fant at før man tar i bruk den type inngripende tiltak som opptak av samtlige telefonsamtaler er, må man forsøke flere andre og mindre inngripende tiltak. Tiltaket er dermed verken nødvendig eller forholdsmessig når det foreligger mindre inngripende virkemidler som ikke har vært forsøkt. Vilkårene i personopplysningsloven § 8 bokstav f) var ikke oppfylt.

PVN-2015-14

Viken Økonomi

Innsyn i ansattes – og tidligere ansattes – epostkasse. Klagen førte ikke frem. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-15

Mona Lisa Huset

Ileggelse av overtredelsesgebyr for skjult kameraovervåking. Klagen ble ikke tatt til følge. Personvernnemnda var enig i Datatilsynets resonnement.

PVN-2015-16

Walhalla

Nemnda vurderte de usladdede videoene som ble lagt ut på Facebook og fant at opptakene hadde god nok oppløsning til at de er egnet til å identifisere enkeltpersoner. Opptakene viser personer som stjeler varer og er således sensitive personopplysninger. Publiseringen har ikke grunnlag i personopplysningsloven § 39. Personvernnemnda viste til Datatilsynets vurdering av personopplysningsloven § 46 a) til h) og tiltrådte denne. Klagen ble ikke tatt til følge.

PVN-2015-17

Bisnode Norge

Nemnda vurderte om saken skulle sendes tilbake til Datatilsynet for realitetsbehandling. I Personvernnemndas vedtak PVN-2012-07 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Det var ikke dokumentert forhold som endret denne vurderingen. Nemnda behøvde ikke å ta stilling til den subsidiære anførselen. Klagen ble ikke tatt til følge.

PVN-2016-01

Bank i butikk II

Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.

PVN-2016-02

Hovedredningssentralen Nord-Norge

Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf personopplysningsloven §§ 8 og 9, jf § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

PVN-2016-03

Klage over avvisning i sak vedrørende kameraovervåkning

Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf § 2 tredje ledd. Enkeltvedtak er påklagbare, jf forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

PVN-2016-04

Legelisten.no

Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2016-05

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

PVN-2016-06

Vaktmester Andersen

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf PVN-2015-08 Windsor Door.

PVN-2016-07

Synkron Media

Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf PVN-2015-14 Viken Økonomi.

PVN-2016-08

Trondheim kommune II

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

PVN-2016-09

Codex advokat – videresending av epost

Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

PVN-2016-11

Saken trukket av klager.

PVN-2016-12

Stange kommune – sletting av personalmappe

Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

PVN-2016-13

Avvisningsvedtak – sletting av journalopplysninger

Klage over Datatilsynets avvisning av å realitetsbehandle klagers krav om sletting av klagers journalopplysninger samt krav om tilsyn. Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

PVN-2016-14

Årdal kommune – sensitive personopplysninger i offentlig postjournal

Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

PVN-2016-15

Tromsø kommune II

Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf § 18 a), jf c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

3.10 Regnskap og budsjett for 2016

Personvernnemnda hadde i 2016 en budsjettramme på kr 1 887 000, og fremkommer under kapittel 546 Personvernnemnda for 2016.

Totalt forbruk: kr 1 502 974.

Personvernnemnda disponerte sin bevilgning til innkjøp av litteratur, tjenester, økonomisk støtte til konferanse, deltakelse på seminar, arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat og leie av lokaler.

3.11 Avslutning

Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Oslo, 10. februar 2017

For Personvernnemnda

Eva I E Jarbekk

Leder

Til forsida