Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.

Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep “allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har “allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor “ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.

Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.

Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.

Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.

Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.

Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.

Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.

Det ble søkt om konsesjon til å foreta en kobling not Dødsårsaksregisteret uten å informere utvalget. Datatilsynet ga delvis avslag på søknaden. Klager fikk konsesjon, men Datatilsynet satte som krav at utvalget ble informert om koblingen. Personvernnemnda vurderte hvorvidt informasjon til pasientene om at det skal foretas en kobling mot Dødsårsaksregisteret er “utilrådelig”. Nemnda bemerket at denne saken er annerledes enn de to sakene hvor Datatilsynet brukte unntaksregelen i helseregisterloven § 25, 2. ledd nr 3. Tolkning av begrepet “utilrådelig” skal ta utgangspunkt i et faglig skjønn, men dette er ikke avgjørende selv om det er av betydning. Nemnda kom til at kravet om informasjon etter helseregisterlovens §§ 20, 23 og 24 må opprettholdes.

Klager mente at Datatilsynet skulle ha foretatt seg mer i denne saken. Datatilsynet svarte at det har fulgt opp saken på en adekvat måte, blant annet med både brevlig og stedlig kontroll – uten at det ble funnet noen behandling som var ulovlig. Personvernnemnda var enig med tilsynet og konkluderte med at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.