Utvalgte hurtiglenker

    Meldinger til Stortinget

    Meld. St. 16 (2017–2018)

    Datatilsynets og Personvernnemndas årsmeldinger for 2017

    Til innholdsfortegnelse
    Forrige kapittel

    3 Personvernnemndas årsmelding 2017

    3.1 Innledning

    Personvernnemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) og har vært i virksomhet siden 1. januar 2001. Året 2017 var dermed nemndas syttende driftsår.

    Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven

    § 43, jf. § 42 fjerde ledd. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m.

    Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, jf. personopplysningsloven § 1. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie de relevante personvernhensyn mot øvrige samfunnshensyn.

    Personvernnemnda ser at dette ofte er en tverrjuridisk utfordring, idet personopplysningsloven interagerer med en rekke andre regelsett. Det foreligger regelmessig kryssende hensyn og motstridende interesser, noe som medfører krevende interesseavveininger. EUs personverndirektiv (95/46/EF) og Europarådskonvensjonen om personvern av 28. januar 1981 gjenspeiler personvernprinsipper som også er relevante ved fortolkningen av personopplysningsloven. Det samme vil gjelde den nye personvernforordningen «The General Data Protection Regulation» (GDPR) som i EU trer i kraft 25. mai 2018 og som vi forventer vil bli inkorporert i EØS-avtalen og vedtatt også som norsk lov.

    Personvernnemndas organisering og oppgaver følger av personopplysningsloven § 43. Personvernnemnda har adgang til å omgjøre Datatilsynets enkeltvedtak av eget tiltak dersom vilkårene i forvaltningsloven § 35 er oppfylt, og kan prøve alle sider av en sak, jf. Innst. O. nr. 51 (1999–2000) side 24.

    Personvernnemnda er et uavhengig forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD).

    Personvernnemndas arbeid reguleres av personopplysningsloven, forskrifter til denne samt en instruks som departementet har utarbeidet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse som for forvaltningen for øvrig.

    Selv om departementet utarbeider instruks, innebærer dette ikke noen form for instruksjonsmyndighet i enkeltsaker. Departementet kan ikke gi generelle instrukser om lovtolkning eller skjønnsutøvelse.

    Personvernnemnda skal årlig orientere Kongen om behandling av klagesakene og sakene er tilgjengelig for publikum på Personvernnemndas hjemmesider. Personvernnemnda opplever stor interesse fra media om utfallet i mange saker.

    3.2 Sammendrag og tendenser

    I løpet av 2017 kom det inn tilsammen 19 klagesaker. Totalt 14 av de 19 sakene var ferdigbehandlet ved utgangen av 2017. I tillegg ble fem saker fra 2016 avgjort av nemnda i 2017. Personvernnemnda avgjorde således totalt 19 saker i 2017, mot totalt 27 saker i 2016. Klagebehandlingen medførte endring eller opphevelse av vedtaket i 7 av de 19 sakene. Ingen av sakene ble avsagt med dissens.

    Saksmengden har vært stabil i forhold til tidligere år. Flere av sakene har vært prinsipielle. Personvernnemnda tar bare stilling til spørsmål i de foreliggende konkrete saker, men ser at personvernet griper inn i stadig flere samfunnsområder. Problemstillingene som reises er komplekse og har stor betydning både for privatliv, kommersiell og offentlig virksomhet. Samtidig er det et gjentagende fenomen at personvernet må sees i sammenheng med andre rettsområder. Dette gjelder særlig forholdet til forvaltningsretten, men også andre rettsområder, som helserett, og ikke minst privatrettslige regler og avtaler.

    Ett tema som nemnda fortsett ser har økende aktualitet, er ileggelse av overtredelsesgebyr. Flere av sakene som ble avgjort i 2017 hadde overtredelsesgebyr som tema, slik som PVN-2017-01 Hereid Hus, PVN-2017-02 Bertram Bil, PVN-2017-03 Axactor og PVN-2017-07 Feiring Bruk. Denne utviklingen vil antakelig fortsette.

    Nemnda endret praksis i en prinsipiell sak om kredittvurdering av leietakere, PVN-2017-12 Fredensborg. Saken gjaldt profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebar en endring av praksis i forhold til tidligere saker, særlig PVN-2006-03 KLP og PVN-2008-01 Utleiemegleren. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist.

    En annen prinsipiell sak var PVN-2017-10 Kameraovervåking Brumunddal. Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkingen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f) jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Nemnda viste til PVN-2005-12 Sporveibussene og PVN-2005-13 NSB.

    Et tilbakevendende forhold er Datatilsynets manglende realitetsbehandling av saker, samt bortprioritering uten vedtak eller avvisningsvedtak, for eksempel PVN-2017-05, PVN-2017-09 og PVN-2017-15. Nemnda har påpekt at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om en aktuell behandling av personopplysninger i en sak er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling.

    Et annet prinsipielt forhold er spørsmålet om innsyn i opplysninger hos arbeidstaker. En sak hvor dette har kommet opp to ganger er PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II. Dette var en komplisert sak hvor innsyn kunne kreves etter både personopplysningslovens og forvaltningslovens regler og det gjorde seg gjeldende kryssende hensyn. I den siste saken, PVN-2016-15 Tromsø kommune II, begjærte Tromsø kommune omgjøring av nemndas tidligere vedtak. Nemnda tok begjæring om omgjøring av vedtak i PVN 2016-15 til følge idet nemnda fant at nemnda i sitt første vedtak hadde overskredet sin kompetanse. Nemnda fant at flertallet i nemnda gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven. Nemnda bemerket at Tromsø kommune burde gitt bedre veiledning til klager i denne saken.

    Endelig skal det påpekes at nemnda ser en tendens til å påklage Googles avslag på anmodning om å få slettet søketreff på internett, såkalt avindeksering. Nemnda avgjorde én slik sak i 2017, nemlig PVN-2016-10 Google II. I tillegg var det innkommet to andre Google-saker i slutten av 2017, PVN-2017-17 og PVN-2017-19, som vil bli ferdigbehandlet i 2018. Problemstillingen i PVN-2016-10 var om Google pliktet å slette søketreff på en domfelt person (A) slik de var pålagt av Datatilsynet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Personopplysningene var sensitive, og behandlingsgrunnlaget måtte derfor søkes i lovens § 9, i motsetning til Datatilsynet, som hadde avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. I interesseavveiningen la nemnda til grunn de kriteriene som ble utformet av EU-domstolen i sak C-131/12 Gonzáles. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda, i likhet med Datatilsynet, til at Google ikke hadde behandlingsgrunnlag. Google måtte således slette/avindeksere søketreffet.

    3.3 Medlemmer

    Personvernnemnda har syv medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Personvernnemndas leder og nestleder oppnevnes av Stortinget, mens de øvrige medlemmer oppnevnes av Kongen.

    Personvernnemnda besto i 2017 av følgende personer:

    • Mari Bø Haugstad, leder (fra 1. august 2017)

    • Bjørnar Borvik, nestleder

    • Line M Coll

    • Ellen Ø Blinkenberg

    • Gisle Hannemyr

    • Hans Marius Graasvold

    • Hans Marius Tessem

    Alle medlemmer har personlige vararepresentanter:

    • Mats Wilhelm Ruland (vara for leder) (fungerende leder fra 1. januar til 1. august 2017)

    • Ellen Eikeseth Mjøs (vara for nestleder)

    • Audhild Gregoriusdotter Rotevatn

    • Heidi Talsethagen

    • Torgeir Waterhouse

    • Maryke Silalahi Nuth

    • Petter Bae Brandtzæg

    3.4 Andre organisatoriske forhold

    Sekretariatet til Personvernnemnda består av advokat Tonje Røste Gulliksen, som er ansatt som seniorrådgiver i KMD. Sekretæren leier et kontor i Sandefjord der hun bor, men reiser jevnlig til Oslo i forbindelse med nemndas arbeid og møter. Personvernnemnda avholder sine møter i Oslo. Gulliksen sa opp sin stilling før jul 2017, etter 12 år i stillingen, og stillingen må således besettes i løpet av første kvartal 2018.

    Personvernnemnda har egen hjemmeside, www.personvernnemnda.no, hvor man finner informasjon om nemndas medlemmer og hvor alle vedtak er publisert i sin helhet. Hjemmesiden har lenke fra Datatilsynets hjemmeside, og lenker til personvernrelatert materiale tilgjengelig på Internettet. Personvernnemndas vedtak publiseres også i en egen database hos Lovdata hvor det er lenket til det øvrige materialet.

    3.5 Møter og konferanser 2017

    Personvernnemnda har i 2017 hatt i alt 10 møter. Møtene ble i hovedsak nyttet til å behandle klagesaker, men også administrative forhold er blitt behandlet.

    I tillegg til nemndsmøter har det vært møter med sekretariatet, leder, nestleder og vara for leder.

    Nemnda deltok ikke på konferanser i 2017, men både sekretær og leder deltok på ulike personvernkurs.

    3.6 Saksbehandlingstid – restanser

    Personvernnemnda har i 2017 arbeidet for å redusere saksbehandlingstiden, samtidig som hensynet til god kvalitet på vedtakene ivaretas. Gjennomsnittlig saksbehandlingstid var i 2017 ca. tre måneder, hvilket representerer en klar reduksjon sammenlignet med tidligere år, se tabell i pkt 8 nedenfor. De mest komplekse sakene, blant andre PVN-2016-10 Google II, har nemnda arbeidet med i en rekke nemndsmøter i 2016 og 2017. Også sakene PVN-2016-15, PVN-2017-06 og PVN-2017-13 ble behandlet over flere nemndsmøter.

    Personvernnemnda hadde fem uferdige saker ved årets slutt.

    3.7 Hvilke parter klager til nemnda

    Personvernnemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer.

    Av de 19 sakene nemnda avgjorde i 2017 var det syv klager fra bedrift, syv klager fra privatpersoner, to klager fra helseforetak og tre klager fra øvrige kommunale eller statlige organer.

    3.8 Klagesaksbehandling – statistikk

    Personvernnemnda mottok i 2017 totalt 19 klagesaker. Av disse var 14 ferdigbehandlet ved utgangen av året. I tillegg avgjorde nemnda fire saker og en omgjøringssak fra 2016. Klagebehandlingen medførte endring eller opphevelse av Datatilsynets vedtak i 7 av de totalt 19 sakene.

    Tabellen nedenfor viser saksavviklingen de fem siste årene.

    2013

    2014

    2015

    2016

    2017

    Innkomne saker

    28

    25

    17

    18

    19

    Avgjorte saker

    12

    30

    16

    27

    19

    DTs vedtak opprettholdt

    8

    18

    6

    16

    11

    DTs vedtak endret eller opphevet

    4

    12

    11

    10

    7

    Endring i %

    33 %

    40 %

    69 %

    40 %

    37 %

    Saksbehandlingstid i gj.snitt (mndr)

    5,8

    7,1

    8,2

    6,5

    3,2

    Oversikt over vedtakene, samt vedtakene i sin helhet, er publisert på Personvernnemndas hjemmesider. I tillegg er vedtakene publisert i egen database hos Lovdata.

    Saksmengden har vært normal. Flere av sakene har vært prinsipielle, jf. punkt 2 over om tendenser. Også i 2017 har omfangsrike saker medført ekstraarbeid for medlemmene.

    3.9 Fullstendig oversikt over saker som ble behandlet i 2017

    Følgende saker ble ferdigbehandlet i 2017:

    PVN-2016-10

    Google II – sletting av søketreff

    Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. Problemstillingen var om Google pliktet å slette søketreff på en domfelt person (A) slik de var pålagt av Datatilsynet. I og med at det dreise seg om sensitive personopplysninger mente nemnda at behandlingsgrunnlaget måtte søkes i lovens § 9, jf. § 11 første ledd bokstav a. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

    PVN-2016-15 omgjøring

    Tromsø kommune II. Begjæring om omgjøring

    Saken gjaldt opprinnelig begjæring om innsyn i underlagsmaterialet for en rapport utarbeidet av eksterne sakkyndige etter påstander om mobbing og trakassering på en arbeidsplass i kommunen. Nemndas flertall kom i sitt vedtak 30. desember 2016 til at klager hadde innsynsrett. Etter at Tromsø kommune begjærte omgjøring av vedtaket, kom nemnda i vedtak fattet 21. april 2017 til at det ikke forelå innsynsrett og omgjorde sitt vedtak, jf. forvaltningsloven § 35. Nemnda fant at flertallet bak vedtaket av 30. desember 2016 hadde overskredet sin kompetanse. Nemnda fant at flertallet gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven. Nemnda konkluderte med at vedtaket var ugyldig og at A ikke med hjemmel i personopplysningsloven hadde rett til innsyn i samtalereferat og underlagsmateriale. Nemnda fattet nytt vedtak der A ikke ble gitt rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

    PVN-2016-16

    Gastronet

    Gastronet er et nasjonalt kvalitetsregister over koloskopi- og ERCP-data fra et stort antall sykehus/helseforetak. De har hatt konsesjon fra Datatilsynet siden august 2005 og konsesjonen har etter dette tidspunktet vært utvidet flere ganger. Gastronet klaget over enkelte av vilkårene Datatilsynet stilte i sitt siste vedtak vedrørende endring av konsesjonen. Klagen gjaldt 1) at Datatilsynet ga en tidsavgrenset konsesjon, 2) at Datatilsynet stilte krav om informasjon til de registrerte i etterkant av undersøkelser, samt 3) Datatilsynets vurdering av hvilke personvernulemper som foreligger for de registrerte. Nemnda vurderte tidsbegrensningen av konsesjonen og fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det ga Datatilsynet en viktig mulighet for kontroll med registerets premisser og at konsesjonsvilkårene ble etterlevd. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda la til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mente nemnda at pasientene i ERCP-delen måtte få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda fant det ikke påkrevet at informasjonen ble gjentatt innen en viss periode etter at undersøkelsene har funnet sted. Dette innebar en delvis omgjøring av Datatilsynets vedtak. Nemnda var enig med Datatilsynet i deres vurdering av personvernulempene.

    PVN-2016-17

    AA-registeret

    Saken gjaldt en begjæring om retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt «uten grunn». Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

    PVN-2016-18

    NAV

    Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medførte ikke dette at NAV underkjente hans faglige kompetanse. Nemnda fant det ikke dokumentert at NAV behandlet opplysninger som var utilstrekkelige eller irrelevante, jf. personopplysningsloven § 11 bokstav d), eller at NAV brukte uriktige eller ufullstendige personopplysninger som måtte rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Klagen ble ikke tatt til følge.

    PVN-2017-01

    Hereid Hus

    Saken gjaldt spørsmål om ileggelse av overtredelsesgebyr for uberettiget innsyn i en ansatts epostkasse, jf. personopplysningsloven § 46. Nemnda kom til samme resultat som Datatilsynet. Nemnda kom til at Hereid Hus hadde brutt personopplysningsforskriften § 9-2. Nemnda mente at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Hereid Hus hadde brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mente at usikkerheten i dette tilfellet måtte gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.

    PVN-2017-02

    Bertram Bil

    Saken gjaldt spørsmål om ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda kom til samme resultat som Datatilsynet. Nemnda la vekt på at daglig leder og medeier i Bertram Bil AS brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og Bertram Bil AS. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

    PVN-2017-03

    Axactor

    Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for å ha drevet ulovlig kredittopplysningsvirksomhet. Spørsmålet var om Axactor, som drev med videreformidling og meddelelse av kredittopplysninger, drev kredittopplysningsvirksomhet i lovens og forskriftens forstand, jf. personopplysningsforskriften § 4-2. Nemnda fant at anførselen om at loven ikke omfattet videreformidling, ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak. Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket led av mangler som medførte at vedtaket måtte oppheves og saken sendes tilbake til tilsynet for ny behandling, jf. forvaltningsloven §§ 17 og 25, jf. forvaltningsloven § 34 siste ledd.

    PVN-2017-04

    Petroleumsinstituttet

    Saken gjaldt klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner, jf. personopplysningsforskriften § 8-4 siste ledd. Etter bestemmelsen kan Datatilsynet dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, gjøre unntak, det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering. Personvernnemnda bemerket at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. En utvidet lagringstid er personverninngripende og nemnda la vekt på minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn fant nemnda at det ikke forelå et «særlig behov» som tilsa at lagringstiden bør utvides. Klagen ble ikke tatt til følge.

    PVN-2017-05

    Krav om retting av personopplysninger

    Saken gjaldt en klagers krav om å få rettet eller fjernet opplysninger om seg selv som han mente var feilaktige, i en forskningsrapport. Problemstillingen var om opplysningene klager ønsker korrigert var omfattet av personopplysningsloven § 7, slik at bestemmelsene om retting av mangelfulle personopplysninger i § 27 ikke kom til anvendelse. Datatilsynet avviste saken, med begrunnelse at det gjaldt en publikasjon som ikke er omfattet av personopplysningsloven, jf. § 7, og at dette er en konflikt om plagiat eller faglig uenighet som ikke egner seg for retting etter personopplysningslovens regler om retting, jf. § 27. Nemnda fant det klart at opplysningene i publikasjon som klager ønsker fjernet var omfattet av personopplysningsloven § 7. Bestemmelsene i § 27 kom derfor ikke til anvendelse. Klagen ble ikke tatt til følge.

    PVN-2017-06

    Kollega.info

    Problemstillingen for nemnda var om klager kunne pålegges å fjerne publiserte politianmeldelser og nedsettende kommentarer fra ulike nettsider på grunn av manglende behandlingsgrunnlag eller om publiseringene var omfattet av personopplysningsloven § 7. Personopplysningsloven § 7 regulerer forholdet til ytringsfriheten. Etter denne bestemmelsen gjelder blant annet ikke kravet til behandlingsgrunn i §§ 8 og 9 for behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske formål. Nemnda fant at Datatilsynets vedtak ikke var utformet og begrunnet på en måte som oppfyller forvaltningslovens krav til enkeltvedtak. Etter nemndas syn kunne ikke tilsynet pålegge en person helt generelt å slette «politianmeldelser og nedsettende kommentarer» fra «nettsider» uten at det samtidig konkretiseres hvilke opplysninger som må fjernes og hvorfra de må slettes. Nemnda kom til at vedtaket måtte oppheves og sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 34 siste ledd. Nemnda mente videre at Datatilsynet må vurdere på nytt om As publiseringer omfattes av personopplysningsloven § 7, slik at det ikke er krav om behandlingsgrunnlag etter personopplysningsloven § 8 eller § 9. Nemnda mente at Datatilsynet hadde lagt til grunn en for snever forståelse av hva som skulle regnes som «journalistiske formål», jf. personopplysningsloven § 7. Nemnda viste også til en svensk høyesterettsavgjørelse i den såkalte «Ramsbro-dommen», NJA 2001 s 409. Nemnda fant at vedtaket led av lovanvendelsesfeil, i tillegg til saksbehandlingsfeil knyttet til vedtakets utforming og begrunnelse. Nemnda fant også at Datatilsynets lovtolkning av begrepet «mistenkt» i § 2 nr. 8 bokstav b var uriktig. Klager hadde også bedt om Personvernnemndas bistand til å få legejournaler utlevert/overlevert, men nemnda har ikke kompetanse til å overprøve tingrettens beslutning om dette. Datatilsynets vedtak ble opphevet og sendt tilbake for ny vurdering.

    PVN-2017-07

    Feiring Bruk

    Saken gjaldt spørsmål om ileggelse av overtredelsesgebyr for en arbeidsgivers kobling av GPS-logg mot en ansatts timelister. Personvernnemnda tok stilling til om Feiring Bruk skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet hadde ilagt Feiring Bruk et gebyr på kr 100 000. Tilsynet konkluderte med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen representerte et forholdsvis grovt brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at Feiring Bruk burde ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 Windsor Door og PVN-2016-06 Vaktmester Andersen. Klagen ble ikke tatt til følge.

    PVN-2017-08

    Personalmappe på skole

    Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Bergen kommune å slette et dokument om tilrettevisning fra klagers personalmappe. Klager hadde anført personopplysningsloven § 28 første ledd som grunnlag for sitt krav om sletting. Hvor lenge det er nødvendig å oppbevare en tilrettevisning må vurderes konkret i hvert individuelle tilfelle. I denne saken hadde kommunen vurdert behovet for oppbevaring, og konkludert med at det var tilstrekkelig å oppbevare dokumentet ut skoleåret 2016/17. Nemnda har vært varsom med å overprøve arbeidsgivers skjønn i tidligere saker vedrørende sletting av dokumenter i personalmapper. Kommunen har definert formålet og behovet for oppbevaringen, og legger, slik nemnda forstår det, stor vekt på behovet for veiledning av A. Nemnda la til grunn at dokumentet vil bli slettet i samsvar med det arbeidsgiver har skissert. Klagen ble ikke tatt til følge.

    PVN-2017-09

    Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet – Datatilsynets avvisning av sak

    Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet hadde foretatt en realitetsvurdering av klagen og kommet til at behandlingen var lovlig. Nemnda la til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.

    PVN-2017-10

    Kameraovervåkning Brumunddal

    Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkningen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f) jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Det tas utgangspunkt i kriminalitetsbildet i Brumunddal noen år tilbake, nedgangen i straffesaker etter at overvåkingen ble iverksatt, politiets opplysninger om antall straffesaker som er oppklart som følge av opptakene, samt den utrygghetsfølelsen befolkningen hadde. Disse interessene ble veid opp mot ulempene ved overvåking av det offentlige rom. Nemnda la vekt på at det var forsøkt andre, mindre personverninngripende tiltak først, samt at personverninngrepet var avdempet noe ved begrenset lagringstid, begrensninger i hvem som hadde tilgang til opptakene og ved at det ikke dreide seg om en kontinuerlig overvåking i den forstand at noen kontinuerlig fulgte opptakene i sanntid. Nemnda viste til PVN-2005-12 (Sporveibussene) og PVN-2005-13 (NSB). Uttalelser om betydningen og vektingen av politifaglige vurderinger som Datatilsynet og nemnda bør være forsiktige med å overprøve. Klagen ble tatt til følge.

    PVN-2017-11

    Begjæring om innsyn hos det danske advokatfirmaet Njord Law Firm

    Problemstillingen var om personopplysningslovens bestemmelser om innsyn kom til anvendelse, jf. personopplysningsloven § 18 første ledd. Klager hadde anført at personopplysningsloven kommer til anvendelse uavhengig av hvem som er behandlingsansvarlig og uavhengig av hvor den behandlingsansvarlige er etablert, jf. åndsverkloven § 56b siste ledd. Personvernnemnda var enig med Datatilsynet i at åndsverklovens bestemmelser §§ 56a og b ikke kan forstås slik at de utvider personopplysningslovens geografiske anvendelsesområde. For å ta stilling til om personopplysningsloven kommer til anvendelse må man derfor først ta stilling til hvem som er behandlingsansvarlig. Personvernnemnda fant ikke saken tilstrekkelig utredet til at det var mulig å treffe noen avgjørelse, jf. forvaltningsloven § 17. Det var ikke grunnlag for å ta stilling til hvem som var behandlingsansvarlig før sakens faktum var bedre redegjort for, og før Njord Law Firm, som det er krevet innsyn hos, var varslet om saken og gitt anledning til å uttale seg, jf. fvl § 16. Vedtaket ble derfor opphevet og sendt tilbake til Datatilsynet.

    PVN-2017-12

    Fredensborg – kredittvurdering av leietakere

    Saken gjaldt profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda vurderte først behandlingsgrunnlaget for å innhente kredittopplysninger, og kom til at rett behandlingsgrunnlag i saken er personopplysningsloven § 8 bokstav a. Deretter tolket nemnda kravet til «saklig behov» i personopplysningsforskriften § 4-3 første ledd. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebærer en endring av praksis, særlig PVN-2006-03 KLP og PVN-2008-01 Utleiemegleren. Nemnda fant at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig og at det er sannsynlig at en kredittvurdering av potensielle leietakere bidrar til å redusere utleiers økonomiske risiko. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist. Nemnda uttaler at kriteriet «saklig grunn» i personopplysningsforskriften § 4-3 ikke åpner for en bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko. Klagen ble tatt til følge.

    PVN-2017-13

    NORCCAP – Helseforskningsloven og helseregisterlovens anvendelsesområder

    Klagen gjaldt hvorvidt det skal stilles vilkår om innhenting av nye samtykker fra de registrerte ved en forlengelse av NORCCAP-prosjektet til 31. desember 2036. Nemnda fant at man først måtte ta stilling til det rettslige grunnlaget for behandling av personopplysninger i NORCCAP-prosjektet. Det er tre alternative regelverk som kan regulere behandling av helseopplysninger i NORCCAP-prosjektet: helseforskningsloven, kreftregisterforskriften (helseregisterloven § 8 jf. kreftregisterforskriften § 1-9, jf. § 1-2 tredje ledd) eller konsesjon gitt av Datatilsynet (helseregisterloven § 5, jf. personopplysningsloven § 33). Nemnda kom til at NORCCAP er regulert av helseforskningsloven etter en gjennomgang av det saklige virkeområdet i helseregisterloven og helseforskningsloven og forarbeidenes uttalelser. Nemnda la vekt på at forskningsprosjektet faller inn under ordlyden i helseforskningsloven, at det dreier seg om et tidsbegrenset forskningsprosjekt i motsetning til et permanent helseregister og at NORCCAP er mer enn et typisk helseregister, idet det også omfatter opplysninger om en kontrollgruppe som blir sammenlignet med intervensjonsgruppen ved koblinger mot Kreftregisteret og Dødsårsaksregisteret. Datatilsynet har ikke kompetanse til å treffe vedtak om utvidet konsesjon, eller stille vilkår i den forbindelse, idet denne kompetansen i henhold til helseforskningsloven er lagt til REK. Datatilsynets vedtak ble opphevet.

    PVN-2017-15

    Innsyn i personopplysninger hos barneverntjenesten

    Saken gjaldt klage over avslag på innsyn etter personopplysningsloven i opplysninger registrert i saksdokumenter hos barneverntjenesten. Nemnda påpeker at det er misvisende å kalle vedtaket avvisning, jf. nemndas tilsvarende vurdering i PVN- 2017-09. Datatilsynet har foretatt en materiell vurdering av fosterforeldrenes rett til innsyn i registrerte opplysninger om dem selv, jf. personopplysningsloven § 18, og kommet til at det innsynet fosterforeldrene er gitt med hjemmel i forvaltningsloven er mer vidtrekkende enn hva personopplysningsloven i dette tilfellet ville gi dem. Nemnda påpeker at personopplysningsloven ikke gir hjemmel for å kreve innsyn i saksdokumenter. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet. Personvernnemda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn. Klagen ble ikke tatt til følge.

    3.10 Regnskap og budsjett for 2017

    Personvernnemnda hadde i 2017 en budsjettramme på kr 2 080 000, og fremkommer under kapittel 546 Personvernnemnda for 2017.

    Totalt forbruk: kr 1 917 510.

    Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester, deltakelse på kurs, leie av møtelokaler og leie av kontorlokaler.

    3.11 Avslutning

    Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

    Oslo, 10. februar 2018

    For Personvernnemnda

    Mari Bø Haugstad

    Leder

    Forrige kapittel
    Forrige kapittel
    Til forsiden
    Til toppen