Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2024-05 Klage over Datatilsynets avgjørelse om å avslutte sak - retting/sletting av helseopplysninger i pasientjournal

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av helseopplysninger hos Sykehuset X, uten å treffe vedtak.

Datatilsynet har, med henvisning til artikkel 57 nr. 1 bokstav f, avsluttet saken uten å treffe noe vedtak og uten å ta stilling til As klage. Datatilsynets oppgaver følger av personvernforordningen artikkel 57. Etter nemndas vurdering åpner ikke bestemmelsen for en skjønnsmessig vurdering av hvilke klager som skal behandles og hvilke som kan avsluttes uten behandling. Nemnda anså det ikke som hensiktsmessig å sende saken tilbake til Datatilsynet, men valgte å treffe nytt vedtak. Nemnda konkluderte med at opplysningene som forelå var tilstrekkelige til å kunne treffe vedtak om at A ikke hadde krav på sletting av opplysninger i sin journal etter personopplysningsloven og at As krav om retting etter personopplysningsloven § 16 var oppfylt. Nemnda omgjorde Datatilsynets beslutning om ikke å behandle saken, men ga ikke A medhold i kravet om retting/sletting.

PVN-2024-03 Klage over Datatilsynets avvisning av klage på valg av reaksjon ved konstatert brudd på personvernforordningen

Klage fra Human-Etisk Forbund, på vegne av fem av sine medlemmer, samt likelydende klager fra tre enkeltpersoner som ikke er medlemmer av Human-Etisk forbund; A, B og C. Klagen gjelder Datatilsynets vedtak der tilsynet avviste klage over tilsynets vedtak om irettesettelse av Den norske kirke for overtredelse av personvernforordningen.

Personvernforordningen artikkel 78 nr. 1 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor et bindende vedtak «som gjelder dem» og som er truffet av en tilsynsmyndighet. Personvernnemnda har i flere saker kommet til at de registrerte, som opplever at personopplysningene om dem blir ulovlig behandlet, ikke har klagerett over Datatilsynets valg av reaksjon, se PVN-2019-12, PVN-2020-07 og PVN-2024-01. Nemndas begrunnelse har vært at Datatilsynets vedtak om valg av reaksjon ikke er bestemmende for de registrertes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» dem, jf. § 2 første ledd bokstav e. I saken fastholder nemnda at en registrert som har vært utsatt for et brudd på personvernforordningen ikke har rettslig klageinteresse i spørsmålet om hvilket korrigerende tiltak som skal ilegges den behandlingsansvarlige, når personvernbruddet har opphørt. Virkningen er for avledet for klagerne, både når det gjelder aktualitet og tilknytning. Etter nemndas syn har ikke den registrerte et beskyttelsesverdig behov for å få prøvet reaksjonen mot den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av klagen på valg av reaksjon mot Den norske kirke.

PVN-2024-02 Klage over Datatilsynets avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36

Klage fra A på Datatilsynets vedtak om avslag på krav om dekning av sakskostnader etter forvaltningsloven § 36.

A framsatte krav om dekning av sakskostnader etter at Datatilsynet hadde fattet et nytt endret vedtak i en sak som gjaldt klage fra A på arbeidsgivers innsyn i As e-postkasse. A var i forvaltningssaken til Datatilsynet og klagen til Personvernnemnda representert ved sin ektefelle. Det er flere vilkår i forvaltningsloven § 36 som må være oppfylt for at en part skal få dekket sine kostnader. Nemnda avslo As krav på dekning av sakskostnader da det ikke var sannsynliggjort reelle utgifter som gir rett til dekning etter forvaltningsloven § 36. Nemnda fant det derfor ikke nødvendig å vurdere de øvrige vilkårene. Nemnda opprettholdt Datatilsynets vedtak om avslag på dekning av sakskostnader.

PVN-2023-30 Klage over Datatilsynets valg av reaksjon ved konstatert brudd på personopplysningssikkerheten i en kommune

Klage fra A på Datatilsynets avvisning av hennes klage over Datatilsynets vedtak om irettesettelse mot en kommune for brudd på personopplysningssikkerheten. Det er også truffet andre vedtak i saken som gjelder innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

PVN-2023-29 Klage på Datatilsynets avslutning av sak om politiets behandling av personopplysninger

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om politiets innhenting og utlevering av opplysninger i en straffesak.

A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

PVN-2023-28 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets vedtak der tilsynet avsluttet sak med krav om innsyn i, informasjon om og sletting av personopplysninger hos NAV uten å gi pålegg.

Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.

PVN-2023-31 og PVN-2024-04 Klage fra Meta Ireland og Facebook Norway på Datatilsynets vedtak om tvangsmulkt

Klage fra Meta Platforms Ireland Limited og Facebook Norway AS på Datatilsynets vedtak 7. august 2023. I vedtaket ila Datatilsynet selskapene en tvangsmulkt på én million kroner per dag, i inntil tre måneder, for manglende oppfyllelse av et midlertidig forbud mot å behandle personopplysninger for atferdsbasert markedsføring i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester i Norge.

Det midlertidige forbudet ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Tvangsmulktvedtaket ble truffet med hjemmel i personopplysningsloven § 29. Nemnda tolket personopplysningsloven § 29 innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker. Nemnda viste til at det ikke var holdepunkter i forarbeidene til personopplysningsloven for at departementet mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, ville det vært nærliggende å forvente at departementet i forarbeidene hadde avklart spørsmålet om nemndas kompetanse og den behandlingsansvarliges klagerett i slike saker. Også legalitetsprinsippet tilsa at det i loven hadde vært inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Nemnda konkluderte med at tvangsmulktvedtaket ikke hadde hjemmel i lov og opphevet vedtaket.

PVN-2024-01 Arbeidsgivers innsyn i arbeidstakers e-postkasse

Klage fra A på Datatilsynets vedtak om irettesettelse til arbeidsgiver for overtredelse av personvernforordningens prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. Datatilsynet la til grunn at arbeidsgiver hadde rettslig grunnlag for innsynet.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner. Datatilsynet vurderte at arbeidsgiver hadde rettslig grunnlag for innsynet, men traff vedtak om irettesettelse mot arbeidsgiver for brudd på personvernregelverkets prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. A klagde over vedtaket når det gjaldt Datatilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsynet, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll etter artikkel 30, samt Datatilsynets valg av reaksjon overfor arbeidsgiver. Nemnda vurderte i likhet med Datatilsynet at arbeidsgiver hadde rettslig grunnlag for innsynet i As e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b. Nemnda vurderte videre at retten til å klage til en tilsynsmyndighet etter artikkel 77 ikke omfatter separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll. Når det gjaldt As klage over Datatilsynets valg av reaksjon overfor arbeidsgiver, vurderte nemnda at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. As klage over arbeidsgivers manglende protokoll og klagen over manglende ileggelse av overtredelsesgebyr ble avvist, for øvrig ble Datatilsynets vedtak opprettholdt.

PVN-2023-19 Innsyn i arbeidstakers e-postkasse - Klage på Datatilsynets avslutning av sak mot arbeidsgivers samarbeidspartner

Klage fra A på Datatilsynets avgjørelse om å avslutte en klagesak mot arbeidsgiverens samarbeidspartner. Avslutningen ble begrunnet med at klagen ville bli behandlet som en del av hovedsaken som gjaldt klage på arbeidsgiverens innsyn i As e-postkasse.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot B (ekstern samarbeidspartner). Datatilsynet vurderte at B måtte regnes som en selvstendig behandlingsansvarlig, men avsluttet saken mot B og viste til at de innklagede forholdene mest hensiktsmessig ville bli behandlet sammen med klagen mot arbeidsgiver. A klagde på denne avgjørelsen og saken ble oversendt Personvernnemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot arbeidsgiver. Nemnda uttalte at det må ligge innenfor Datatilsynets hensiktsmessighetsskjønn å ta stilling til om en klage mot ulike aktører (behandlingsansvarlig, databehandler eller andre samarbeidspartnere) skal behandles samlet i én sak eller om klagen skal behandles i flere saker. Dette er ikke et forhold som kan styres av den registrerte. As klage ble dermed avvist.

PVN-2023-17 Databehandlers bistand til arbeidsgivers innsyn i arbeidstakers e-postkasse - Datatilsynets avslutning av sak

Klage fra A på Datatilsynets avgjørelse om å avslutte en klagesak mot en databehandler uten nærmere undersøkelser, under henvisning til at tilsynet behandlet klage mot den behandlingsansvarlige.

A klaget til Datatilsynet etter at arbeidsgiver hadde foretatt innsyn i hennes e-postkasse Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra C, som databehandler for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot databehandleren, C. Datatilsynet avsluttet klagen mot databehandler uten nærmere undersøkelser og uten å ta stilling til realiteten, med henvisning til at Datatilsynet allerede behandlet en klage mot arbeidsgiver (behandlingsansvarlig) for den samme behandlingen av personopplysninger. A klaget på dette og saken ble oversendt nemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot den behandlingsansvarlige. Når Datatilsynet konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av As klage.