Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2012-13 Innsyn i personalmappe

Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe

Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf. forvaltningslovens regler om partsoffentlighet.

PVN-2012-12 Livmorhalsprogram

Klage på Datatilsynets oppheving av vedtak om å tillate registrering av negative funn ved livmorhalsscreening uten samtykke fra de registrerte

Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.

PVN-2012-11 Mammografiprogram

Klage på Datatilsynets avvisning av å realitetsbehandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte

Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.

PVN-2012-10 SUSS-telefonen

Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS

Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.

PVN-2012-09 Elektroniske pasientkurver

Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra pasientkurver

Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.

PVN-2012-08 Sletting av elevmappe

Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe

Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf. § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.

PVN-2012-07 Konsesjon kredittopplysningsvirksomhet

Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet

Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.

PVN-2012-06 Teletopia

Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis

Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.

PVN-2012-05 Opplysninger om fosterforeldre

Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre

Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf. personopplysningsloven § 27, 2. ledd.

PVN-2012-04 Arbeidsgivers innsyn i e-post

Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post

Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.