Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

PVN-2023-20 Sletting av dokument i personalmappe hos tidligere arbeidsgiver

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at A hadde fått oppfylt sin innsynsrett etter personvernforordningen artikkel 15, og ikke ga ham medhold i sitt slettekrav etter personvernforordningen artikkel 17.

Spørsmålet for nemnda var om As tidligere statlige arbeidsgiver skulle pålegges å slette et arkivert dokument som inneholdt personopplysninger om A fra hans personalmappe. Arbeidsgivers formål med innsamling av personopplysningene opprinnelig var knyttet til hans arbeidsforhold. Arbeidsforholdet var avsluttet og arbeidsgivers formål med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til at de aktuelle personopplysningene representerte materiale som er underlagt bevaringsplikt etter arkivlova § 6 jf. § 9 og Riksarkivarens forskrift § 7-11 første ledd, og at arbeidsgiver har en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Nemnda kunne derfor ikke pålegge arbeidsgiver å slette opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Datatilsynets vedtak ble opprettholdt.

PVN-2023-18 Innsyn i pasientjournal

Klage fra A på Datatilsynets avgjørelse der Datatilsynet konkluderte med at A ikke hadde krav på ytterligere innsyn etter personvernforordningen.

Personvernforordningen artikkel 15 har generelle regler om den registrertes rett til innsyn i egne personopplysninger som behandles. For helseopplysninger er dette videre regulert i helselovgivningen, herunder i pasientjournalforskriften og pasient- og brukerrettighetsloven. Retten til innsyn i pasientopplysninger gjelder pasientjournal (med eventuelle vedlegg) og innsynslogg. Når det gjelder øvrige tekniske data om helsepersonellets handlinger knyttet til journalen, er dette ikke opplysninger som er omfattet av retten til innsyn. Nemnda sluttet seg til Datatilsynets vurdering om at innsynsretten var oppfylt i dette tilfellet, jf. pasientjournalforskriften §§ 11 og 14, pasient- og brukerrettighetsloven § 5-1 og personvernforordningen artikkel 15.

PVN-2023-13 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at det ikke foregikk ulovlig kameraovervåking etter at Datatilsynets varslede pålegg om opphør var oppfylt

Klage fra A på Datatilsynets avgjørelse der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke lenger var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a, da varslet pålegg om å avslutte overvåking av deler av eiendommen ble ansett oppfylt.

Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2. Loven gjelder likevel ikke «ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», jf. personopplysningsloven § 2 andre ledd bokstav a. På bakgrunn av partenes forklaringer og de framlagte bildene, la nemnda, som Datatilsynet, til grunn at det ikke er sannsynliggjort at noen av Bs kameraer lenger var montert slik at de overvåker As eiendom, verken hagen, huset eller inn i huset gjennom vindu eller døråpninger. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-22 Klage over Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger hos NAV

Klage fra A v/B på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over at NAV ikke hadde gitt ham medhold i hans krav om sletting/retting av det han mener er ulovlige vedtak truffet av NAV. Nemnda fastslo at dersom NAV tolker en rettsregel feil eller foretar en uriktig vurdering av faktum, vil dette kunne resultere i et uriktig vedtak, som kan endres ved at vedtaket påklages, omgjøres eller endres gjennom et nytt vedtak. Vedtaket kan ikke rettes eller slettes etter bestemmelsene i personvernforordningen artiklene 16 og 17. Nemnda la til grunn at Datatilsynet hadde oppfylt sin plikt til å behandle As klage, jf. personvernforordningen artikkel 77. Nemnda var enig med Datatilsynet i at det ikke er lagt frem dokumentasjon for, eller redegjort for, et faktum som ga grunnlag for å pålegge NAV å rette eller slette opplysninger om A i hans saker i NAV. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda viste til at det er opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å innhente ytterligere opplysninger i saken fra innklagede eller om saken behandles på bakgrunn av den informasjonen klager har sendt inn. I utgangspunktet er det klagers oppgave å redegjøre for saken og legge fram nødvendig dokumentasjon for å sannsynliggjøre sitt krav. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-15 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om avslutning av sak

Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om kameraovervåking fra privat bolig (nabo) uten ytterligere undersøkelser og uten å gi pålegg.

Nemnda var enig med Datatilsynet i at det ikke var sannsynliggjort at den innklagede naboen hadde montert kameraovervåkingsutstyr som innebar at det ble gjort opptak av A. Personopplysningsloven var dermed ikke brutt. Etter nemndas vurdering hadde Datatilsynet oppfylt sin utredningsplikt slik at saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynets avgjørelse om ikke å gjøre ytterligere undersøkelser var etter nemndas vurdering forsvarlig og innenfor lovens rammer. Nemnda påpekte at det må være opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å foreta befaring for å kontrollere påstander om ulovlig montert kameraovervåkingsutstyr, og at det i utgangspunktet er klagers oppgave å legge fram dokumentasjon for det forholdet som påklages. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-16 Klage over Datatilsynets avgjørelse om å avslutte saken uten å ta stilling til om personvernforordningen er brutt

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.

Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

PVN-2023-12 Krav om innsyn i interne dokumenter, samt spørsmål om gyldig behandlingsgrunnlag for personopplysninger i en personalsak

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at en arbeidsgiver ikke hadde brutt personopplysningsloven.

Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.

PVN-2023-14 Klage over Datatilsynets avgjørelse om å avslutte sak uten å ta stilling til om personopplysningsloven er brutt

Klage fra A på Datatilsynets avgjørelse der Datatilsynet avsluttet en sak uten å foreta nærmere undersøkelser og uten å ta stilling til om As rettigheter etter personopplysningsloven var brutt.

Saken gjaldt spørsmål om Datatilsynet kan velge å avslutte en sak ved å sende et orienteringsbrev til den behandlingsansvarlige uten å ta stilling til om personopplysningsloven er brutt, eller om klageren, som har benyttet sin rett til å klage etter personvernforordningen artikkel 77, kan kreve at Datatilsynet behandler saken og tar stilling til om hans personopplysninger er ulovlig behandlet. Nemnda viste til at Datatilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at dette ikke innebærer at tilsynet fritt kan velge hvilke klager de skal ta til behandling og hvilke de velger ikke å behandle. Etter nemndas syn åpner loven for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken, hvor det ikke var tvil om faktum, men et spørsmål om tolkning av loven, kunne ikke tilsynet velge ikke å ta stilling til om den innklagede behandlingen var lovlig eller ikke. En slik valgfrihet ville etter nemndas vurdering være i strid med artikkel 77.

PVN-2023-11 Behandling av personopplysninger om barn ved bruk av bilder i barnehage

Klage fra A på Datatilsynets vedtak der tilsynet konkluderte med at X kommune hadde rettslig grunnlag for å behandle bilder av deres barn i barnehagen.

A klaget på barnehagens innsamling, lagring og bruk av bilder, primært portrettbilder, av deres barn i ulike hverdagssituasjoner. Bildene ble brukt til pedagogiske formål, bl.a. til barnas språkutvikling. Nemnda la til grunn at kommunen hadde behandlingsgrunnlag for den aktuelle behandlingen av personopplysninger i personvernforordningen 6 nr. 1 bokstav c (rettslig plikt), jf. barnehageloven § 47 a og forskrift om rammeplan for barnehager kapittel 7. Det var derfor ikke nødvendig å innhente samtykke for denne behandlingen. For innsamling, lagring og bruk av bilder ut over de tilfellene barnehageloven gir hjemmel for, nemlig når det ikke er «nødvendig for å utføre oppgaver etter loven», kan samtykke være et aktuelt behandlingsgrunnlag. I denne saken kom nemnda til at foreldrene hadde samtykket til bruk av bilder av barnet i barnehagens månedsplan. Kommunen hadde dermed gyldig behandlingsgrunnlag for behandlingen. Datatilsynets vedtak ble opprettholdt.