Skolen nektet å gi klager innsyn med henvisning til «personvernloven». Klager oppfattet dette som et avvisningsvedtak. Nemnda fant at dette ikke var et avvisningsvedtak i forvaltningslovens forstand, men et materielt vedtak om at det ikke forelå innsynsrett for klager. Selv om skolen bare pekte på «personvernloven» har skolen truffet et materielt vedtak om å nekte innsyn. Innsigelser mot hvorvidt skolen har vist til riktig hjemmel eller ikke (saksbehandlingsfeil), var under enhver omstendighet reparert gjennom grundig veiledning fra Datatilsynet vedrørende regelverket for innsyn i barns aktiviteter og deretter stadfestet i form av et vedtak fra tilsynet.

Personvernnemnda vurderte formålsmessigheten og forholdsmessigheten ved vilkåret som var satt i konsesjonen. Nemnda fant at det er formålsmessig med et vilkår om informasjon som avhjelper personvernulempene for de registrerte. Nemnda var enig med Datatilsynet i at informasjonen må sendes ut til de registrerte. Når det gjaldt forholdsmessighetskravet fant nemnda at vilkåret var upresist og åpnet for tolkningstvil. Den upresise formuleringen ble imidlertid avhjulpet av eksempelet i vilkårsstillelsen slik at «jevnlig» vil være oppfylt dersom det går ut informasjon i forbindelse med konkrete prosjekter. Nemnda fant at vilkåret var lovlig.

Personvernnemnda kom til at saken ikke var tilstrekkelig opplyst under Datatilsynets saksbehandling. Fremgangsmåten ved innhenting av samtykke vil medføre personvernulemper som ikke er hensyntatt ved tildeling av konsesjonen og Datatilsynet har heller ikke vurdert alternativer til samtykke for innhenting av den aktuelle statistikken.

Nemnda vurderte tilgangen som Drammen Helsehus hadde til opplysninger i VVHF. Tilgangen måtte vurderes etter det lovverk som gjaldt da klagen kom inn. Datatilsynet har konkludert med at tilgangen innebar en tilgang på tvers av virksomhetsgrenser i strid med den gamle helseregisterloven § 13. Personvernnemnda er enig i denne vurderingen. Gammel helseregisterlov ble erstattet av ny helseregisterlov (LOV-2014-06-20-43) og ny pasientjournallov (LOV-2014-06-20-42) fra 1. januar 2015. Samtidig ble den ikke-gjeldende helseinformasjonssikkerhetsforskriften opphevet, og forskrift om tilgang til helseopplysninger mellom virksomheter (FOR-2014-12-17-1757) gjort gjeldende. Nemnda er av den oppfatning at sistnevnte forskrift kan være hjemmel for praksisen. Nemnda finner grunn til å påpeke at Datatilsynet ikke har veiledet VVHF og Drammen Helsehus slik at de kunne innrette sin praksis etter den nye forskriften fra ikrafttredelse. Slik nemnda ser det er klager nå i en posisjon til å innrette sin praksis etter gjeldende lov og forskrift. Personvernnemnda må imidlertid avgjøre saken på grunnlag av det lovverk som forelå da saken kom inn, og må derfor avsi et vedtak som ikke tar klagen til følge.

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at individuell varsling er nødvendig i denne saken.

Dissens. Flertallet kom til at ulovfestede grunnleggende personvernprinsipper tilsier varsling av avvik til de registrerte. Flertallet konkluderte videre med at kollektiv varsling er tilstrekkelig i denne saken.

I Nyrebiopsiregistersaken PVN-2013-07 vurderte nemnda hvorvidt barn må samtykke på nytt når det fyller 16 år når foreldrene allerede har samtykket til behandling av barnets personopplysninger før det fylte 16 år. Spørsmålet ble også vurdert på generelt grunnlag. Nemnda er fortsatt av den oppfatning at et samtykke til å behandle personopplysninger bare kan bortfalle ved at samtykket trekkes tilbake. Ved at man setter et konsesjonsvilkår om det motsatte, at foreldrenes samtykke bortfaller ved barnets 16 årsdag og barnet må samtykke på nytt, setter tilsynet seg ut over grunnvilkårene i loven. Det foreligger ikke en rettslig adgang til å begrense samtykkekompetansen gjennom vilkår i en konsesjon.

Klager begjærte gjenåpning av opprinnelige saker i Datatilsynet. Nemnda la til grunn at klager mente at nemnda skulle vurdere omgjøring av eget tiltak, jf. forvaltningsloven § 35, og vurderte om det forelå grunnlag for å omgjøre Datatilsynets vedtak som følge av mangelfull begrunnelse, samt om det var kommet nye momenter som tilsa omgjøring. Nemnda konkluderte med at det verken var mangelfull begrunnelse eller nye momenter og klagen ble avvist.

Problemstillingen i saken var plassering av behandlingsansvar for opplysninger i Mipps og Mowic. Nemnda viste til forarbeider og juridisk teori som begge legger til grunn at den behandlingsansvarlige er den som har bestemmelsesrett over personopplysningene og den elektroniske behandlingen av disse. Nemnda viste også til tidligere avgjørelser i nemnda, herunder PVN-2007-01. Nemnda la til grunn at det er Mesta og Trafikketaten som har initiert installasjonen, kjøpt løsningen og som mottar opplysningene og bestemmer over bruken av disse, og at BBs kjøretøy utelukkende er instrument for Mestas og Trafikketatens automatiserte datafangst. Nemnda konkluderte med at Mesta og Trafikketaten er nærmest til å være behandlingsansvarlig for opplysninger som behandles i systemene Mipps og Mowic.