Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.

En e-post til kommunens ordfører inneholdt fødselsnummeret til to innbyggere. Dokumentet med fødselsnumrene ble i sin helhet lagt ut på kommunens digitale postjournal, og dermed offentlig. Kommunen ble oppmerksom på hendelsen etter 16 dager. Dokumentet ble umiddelbart skjermet fra kommunens postliste, og avviksmelding ble sendt til Datatilsynet. Tilsynet konkluderte med at kommunens publisering av fødselsnumre i postjournalen på kommunens nettside representerte et brudd på loven, men vedtok ingen korrigerende tiltak overfor kommunen, jf. personvernforordningen artikkel 58 nr. 2. At Datatilsynet valgte ikke å beslutte noe korrigerende tiltak, verken i form av irettesettelser, pålegg eller ileggelse av overtredelsesgebyr, er ikke en avgjørelse som retter seg mot A og er heller ikke bestemmende for hennes rettigheter og plikter, jf. forvaltningsloven § 2 første ledd. A hadde ikke klagerett. Nemnda avviste klagen.

I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.

En barnehageansatt tok videopptak av et barn under et sinneutbrudd i barnehagen. Formålet med opptaket var å vise det til kommunepsykologen for å gjøre de barnehageansatte bedre rustet til å møte barnet. Opptaket ble lagret på en kommunal tjenestetelefon og fremvist til de ansatte, enhetslederen og kommunepsykologen, og slettet etter 10 dager. I motsetning til Datatilsynet kom nemnda til at kommunen hadde behandlingsgrunnlag for å ta videoopptaket i artikkel 6 nr. 1 bokstav c, jf. barnehageloven og forskrift om rammeplan for barnehager. Nemnda la videre til grunn at foreldrenes samtykke dekket utleveringen av opptaket til kommunepsykologen. Nemnda var imidlertid enig med tilsynet i at kommunen ikke hadde overholdt sin informasjonsplikt overfor foreldrene, jf. artikkel 13, men at bruddet på informasjonsplikten ikke var så alvorlig at det var grunnlag for å gi kommunen en irettesettelse. Datatilsynets vedtak ble omgjort.

Datatilsynet mottok et varsel om brudd på personopplysningsloven hos Arkivverket. Varselet kom fra Stiftelsen romanifolkets/taternes kulturfond (som er opphørt og slettet fra enhetsregisteret) c/o Veiledningstjenesten og var signert av A både på vegne av Stiftelsen og fra seg personlig. Nemnda anså henvendelsen fra A som et varsel om ulovlig behandling av personopplysninger og ikke som en klage fra en registrert. Datatilsynets beslutning om ikke å åpne tilsynssak er ikke et enkeltvedtak som er bestemmende for noens rettigheter eller plikter, jf. forvaltningsloven § 2 første ledd bokstav b. Det er derfor heller ikke en avgjørelse som gir klagerett. Nemnda avviste klagen.

Personvernnemnda var enig med Datatilsynet i at det på bakgrunn av opplysningene i saken ikke var sannsynliggjort at det hadde skjedd noen utlevering av opplysninger fra klientmappene til Veiledningstjenesten som var deponert hos Arkivverket. Nemnda la til grunn at klientmappene befant seg i et låst skap og ble oppbevart et annet sted enn tidligere avlevert arkivmateriale fra Stiftelsen romanifolkets/taternes kulturfond og Stiftelsen til Romanifolkets/taternes senter. Nemnda opprettholdt Datatilsynets vedtak.

Personvernlovgivningen gir verken Datatilsynet eller nemnda kompetanse til å pålegge endring av innholdet i en pasientjournal. Dette gjelder både helsefaglige vurderinger og journalnotater som representerer legens referat av hva som ble sagt i en samtale med pasienten. Riktigheten av slike journalføringer må vurderes av helseforetaket, eventuelt av statsforvalteren ved klage på avslag om retting. Ved uklarhet eller uenighet om hva som ble sagt, vil supplering være aktuelt. Hvilke opplysninger som hører hjemme i en journal og hva som skal arkiveres andre steder reguleres ikke av personvernlovgivningen og kan ikke bestemmes av tilsynet eller nemnda. Nemnda viste til at sykehuset hadde lagret As innvendinger i sykehusets systemer, og at det ikke et krav at opplysningene skal suppleres direkte i journalen. A hadde dermed fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda kom til at opplysningen om at en person er en registrert bruker av dating-appen Grindr er en opplysning om en «persons seksuelle forhold eller seksuelle orientering», og at Grindrs utlevering av nevnte type opplysninger dermed innebar en behandling av opplysninger som var omfattet av forbudet i artikkel 9 nr. 1. Nemnda viste til to storkammerdommer fra EU-domstolen som støtte for sitt syn; C- 184/20 fra 1. august 2022 og C- 252/21 av 4. juli 2023. Nemnda konkluderte videre med at Grindr ikke hadde innhentet gyldig samtykke for sin utlevering av personopplysningene om brukerne til annonsepartnerne. Grindrs samtykkemekanisme, i den aktuelle perioden, var innrettet på en slik måte at brukerens samtykke verken var frivillig, spesifikt eller informert. At brukeren, etter å ha fullført registreringen fikk en mulighet til «opt out» medførte ikke at samtykket anses som frivillig. Nemnda var enig med Datatilsynet i at Grindr skulle ilegges et overtredelsesgebyr etter artikkel 83 nr. 2. Nemnda fant ingen grunn til å endre størrelsen på det fastsatte gebyret da et gebyr på 65 000 000 kroner ble ansatt nødvendig for å ha tilstrekkelig avskrekkende effekt. Overtredelsens alvor, særlig antallet registrerte som er berørt, kategorien av opplysninger som det gjaldt, at overtredelsen pågikk over nesten to år, samt at det dreide seg om en forsettlig handling hvor Grindr bevisst hadde valgt en teknisk løsning som ikke gjorde det mulig å registrere seg uten at brukeren samtidig måtte akseptere utlevering av opplysninger til analyse- og annonseselskaper til bruk for markedsføring, tilsa at overtredelsesgebyret ikke var uforholdsmessig. Datatilsynets vedtak ble opprettholdt.

A mottok dagpenger under arbeidsløshet fra NAV. Da A søkte om støtte til etablering av egen virksomhet og opplyste at han holdt på med en masterutdanning, fattet NAV vedtak om stans i dagpengene da han ikke oppfylte vilkårene. Det viste seg senere at dagpengene ikke skulle ha vært stanset og NAV omgjorde vedtaket om stans og fattet et nytt vedtak som innvilget A dagpenger i stansingsperioden. Nemnda viste til at stansingsvedtaket ga korrekt uttrykk for det faktum NAV la til grunn på tidspunktet da vedtaket ble fattet. I de påfølgende vedtakene omgjorde NAV sin vurdering av de faktiske forholdene. Nemnda mente at det av vedtakene lest i sammenheng framkommer at A på søknadstidspunktet for dagpenger ikke var aktiv student, og at NAVs stans av dagpenger var urettmessig. Nemnda konkluderte med at dette samlet sett medfører at det ikke er registret uriktige opplysninger om A. Vilkåret for retting etter artikkel 16 var derfor ikke oppfylt og NAV kunne ikke pålegges å rette eller supplere opplysningene. Nemnda opprettholdt Datatilsynets vedtak.