PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV
A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.