Nemnda konkluderte med at nettselskapene har lovlig behandlingsgrunnlag for å behandle helseopplysninger ved søknad fra kunder om fritak for installasjon av AMS, jf. artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav g. Selv om avregningsforskriften § 4-1 andre ledd bokstav b kunne vært klarere formulert, gir den etter omstendighetene et tilstrekkelig nasjonalt rettsgrunnlag for behandlingen. Nemnda påpekte at kravene til utformingen av det nasjonale rettsgrunnlaget etter artikkel 9 nr. 2 bokstav g varierer etter formålet med behandlingen og avhengig av blant annet hvilket inngrep som gjøres i de registrertes rettigheter. Forskriften fastslår at nettselskapene ikke plikter til å installere AMS dersom «installasjonen er til vesentlig og dokumenterbar ulempe for sluttbruker». Nemnda kunne vanskelig se hvilke andre dokumenterbare ulemper enn helseplager som skulle gi grunnlag for fritak, og når forskriften forutsetter en konkret vurdering av helsesituasjonen av den enkelte nettkunde kan ikke det gjøres uten helseopplysninger. NVEs overordnede målsetting med innføring av AMS ivaretar viktige allmenne interesser. Nemnda vurderte helseopplysningene som behandles som relevante og nødvendige for at nettselskapene skal oppfylle sin plikt etter forskriften, og at kravet om legeerklæring ikke er et urimelig inngrep sett i forhold til det målet som søkes oppnådd, jf. artikkel 9 nr. 2. Datatilsynets vedtak ble opprettholdt.

Datatilsynet vurderte As klage mot Equinors behandling av personopplysninger i rekrutteringsprosesser som en grenseoverskridende sak, og behandlet saken etter personvernforordningen artikkel 56 og kapittel VII. Nemnda har ikke kompetanse til å behandle klager på Datatilsynets vedtak i slike grenseoverskridende saker, jf. personopplysningsloven § 22 andre ledd. Nemnda opprettholdt Datatilsynets avvisning av klagen.

Opplysningen var gitt av A selv og framkommer i et journalnotat hvor barneverntjenesten redegjør for en samtale med A som oppfølging etter en bekymringsmelding. Den aktuelle barnevernssaken er avsluttet og fortsatt oppbevaring av opplysningene er nå begrunnet i arkivformål i allmennhetens interesse, jf. bestemmelsene om arkivverdig materiale i arkivlova. Riksarkivarens forskrift 19. desember 2017 nr. 2286 til arkivlova, § 7-28 niende ledd bokstav a bestemmer at «Prosedyrer, rutiner og saksbehandlingsprosesser for barnevernstjenesten, herunder håndtering av bekymringsmeldinger» skal bevares for ettertiden og ikke gjøres til gjenstand for kassasjon. Selve journalnotatet kunne derfor ikke slettes, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Nemnda kom til at heller ikke opplysningen (om at far er tater) isolert sett kunne kreves slettet. Nemnda viste til barneverntjenestens begrunnelse for å avslå retting og konkluderte med at opplysningen var nødvendig for å forstå barneverntjenestens behandling av bekymringsmeldingen. Datatilsynets vedtak ble opprettholdt.

Nemnda la til grunn at statsforvalteren kan behandle opplysninger i tilsynssaken med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e, samt artikkel 9 nr. 2 bokstav f og at supplerende rettsgrunnlag, jf. artikkel 6 nr. 3, følger av lov om statlig tilsyn med helse- og omsorgstjenester §§ 2 og 3, samt lov om pasient- og brukerrettigheter § 7-4. Nemnda fant det klart at Datatilsynet ikke har kompetanse til å vurdere om statsforvalteren har framstilt faktum (herunder personopplysningene) korrekt eller fullstendig i sin avgjørelse i tilsynssaken, og kan heller ikke pålegge statsforvalteren å endre utformingen av denne. Det var derfor korrekt av tilsynet å avvise kravet om retting og avslutte saken uten ytterligere undersøkelser. Nemnda opprettholdt Datatilsynets avvisning av As krav om retting.

Østre Toten kommune ble i 2021 utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger kom på avveie. Nemnda kom til at det var klar sannsynlighetsovervekt for at både de objektive og subjektive vilkårene for å ilegge overtredelsesgebyr var oppfylt. Skyldkravet for ileggelse av et overtredelsesgebyr for foretak og offentlige myndigheter er uaktsomhet, jf. forvaltningsloven § 46, da «ikke annet er bestemt» i personvernforordningen. Nemnda la til grunn at det ikke er et krav om at skylden individualiseres, jf. HR-2022-1271-A, avsnitt 46-50, som omhandler foretaksstraff. Nemnda mente at sikkerhetsbruddet var alvorlig og at kommunen skulle ilegges et overtredelsesgebyr for brudd på personopplysningssikkerheten, jf. personopplysningsloven § 26, jf. personvernforordningen artikkel 83. Nemnda opprettholdt Datatilsynets vedtak om å ilegge Østre Toten kommune et overtredelsesgebyr på 4 000 000 kroner.

Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak

Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale.

Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak

Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.

Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.