Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2021-16 Brudd på personopplysningssikkerheten ved Sykehuset Østfold HF - overtredelsesgebyr

Klage fra Sykehuset Østfold HF på Datatilsynets vedtak 22. oktober 2020 der sykehuset ble ilagt et overtredelsesgebyr på 750 000 kroner for brudd på personopplysningssikkerheten. I klageomgangen nedjusterte Datatilsynet gebyret til 500 000 kroner.

Sykehuset Østfold HF sendte en avviksmelding Datatilsynet i januar 2019, og opplyste om brudd på rutiner for lagring av pasienters personopplysninger. Avviket omfattet uttrekk og lagring av rapporter fra elektronisk pasientjournal (EPJ) i årene 2015-2019. Uttrekkene fra EPJ var lister over utskrivningsklare pasienter og omfattet også særlige kategorier av personopplysninger (sensitiv pasientinformasjon). Nemnda fastslo at Datatilsynet er rett tilsynsmyndighet når det gjelder overholdelse av pasientjournalloven §§ 22 og 23, samt personvernforordningen artikkel 32 og 24. I likhet med Datatilsynet la nemnda til grunn i at sykehuset hadde brutt personopplysningssikkerheten ved at 118 ansatte i en periode på ca. fire år hadde tilgang til sensitive pasientopplysninger om flere tusen pasienter de ikke hadde tjenstlig behov for, og at sykehuset skulle ilegges et overtredelsesgebyr for bruddet. Nemnda mente at gebyret i utgangspunktet burde ligge på rundt 500 000 kroner, men reduserte dette til 400 000 kroner på grunn av den lange saksbehandlingstiden.

PVN-2021-13 Kameraovervåking av restaurantlokaler - overtredelsesgebyr

Klage fra Basaren Drift AS på Datatilsynets vedtak 6. april 2021 der Datatilsynet ila selskapet et overtredelsesgebyr på 200 000 kroner for å ha kameraovervåket virksomhetens restaurantlokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1, for manglende informasjon til de registrerte, jf. artikkel 13, og for manglende skriftlige rutiner for kameraovervåkingen, jf. artikkel 24 nr. 2.

Nemnda la til grunn at selskapet i utgangspunktet hadde en berettiget interesse i å overvåke restaurantens lokaler. Nemnda var imidlertid i tvil om utfallet av den skjønnsmessige vurderingen av behandlingsgrunnlaget for kameraovervåkingen, jf. artikkel 6 nr. 1 bokstav f. Nemnda påpekte at utfallet av en interesseavveining etter denne bestemmelsen kan bli ulik avhengig av om framgangsmåten i arbeidsmiljøloven § 9-2 er fulgt (ettersom overvåkingen innebærer et kontrolltiltak overfor ansatte), samt om den behandlingsansvarlige kan dokumentere tilstrekkelig tekniske og organisatoriske tiltak etter artikkel 24. Selskapet erkjente at informasjonsplikten etter artikkel 13 ikke var overholdt, og at dokumentasjon av organisatoriske tiltak etter artikkel 24 ikke var på plass. Nemnda fant at bruddene på artikkel 13 og artikkel 24 var kritikkverdige, og som det var grunn til å sanksjonere, men i motsetning til Datatilsynet la nemnda til grunn at det ikke var et alvorlig brudd på personvernforordningen. Nemnda mente at gebyret for overtredelsene i denne saken burde ligge rundt 100 000 kroner. Ved den endelige fastsettelsen av gebyret la nemnda vekt på lang saksbehandlingstid hos Datatilsynet (nær tre år) med lange perioder uten framdrift, jf. PVN-2021-03. Nemnda mente at sakens omfang og kompleksitet ikke tilsa en så lang saksbehandlingstid. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda kom enstemmig til at gebyret skulle falle bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

PVN-2021-15 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Coop i sak PVN-2021-09, jf. forvaltningsloven § 36.

Saken gjelder krav fra Coop om dekning av sakskostnader etter at Personvernnemnda i sak PVN-2021-09 ga Coop medhold i klagen på Datatilsynets vedtak og ikke ila gebyr. I vurderingen la nemnda vekt på at vedtaket i sak PVN-2021-09 ble endret til gunst for Coop og at det var forståelig at Coop pådro seg utgifter ved å søke juridisk bistand i klageomgangen. Nemnda anså timeantallet som rimelig sett hen til sakens art og vanskelighetsgrad, og tilkjente 69 000 kroner til dekning av sakskostnader, jf. forvaltningsloven § 36. En ½ time gjaldt gjennomgang av nemndas vedtak, og ble ikke dekket fordi kostnader pådratt etter nemndas vedtak ikke var nødvendige for endringen av tilsynets vedtak.

PVN-2021-14 Klage på Datatilsynets avgjørelse om at det ikke var tilstrekkelig sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen

Klage fra A på Datatilsynets vedtak 27. januar 2021 om at det ikke var sannsynliggjort uautorisert innsyn i personopplysninger på arbeidsplassen.

A kontaktet Datatilsynet 22. september 2019 fordi han mener at hans tidligere arbeidsgiver, X kommune foretok uberettiget innsyn i hans slettede datafiler og personlige område i november 2017. Arbeidsgiver opplyste til Datatilsynet at de ikke lagrer noen sentral backup av ansattes skrivebord eller papirkurv, og at dokumenter som er lagret der ikke kan gjenopprettes. Arbeidsgiver framla samtidig en ekstern og uavhengig ekspertvurdering som var innhentet i forbindelse med denne saken. Datatilsynet konkluderte med at det ikke var sannsynliggjort noe brudd på personopplysningsloven og avsluttet saken. Nemnda sluttet seg til Datatilsynets vurdering om at det ikke er tilstrekkelig sannsynliggjort at det er foretatt uautorisert innsyn i personopplysninger på arbeidsplassen. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-11 Innhenting av opplysninger om stedsposisjon ved elektronisk signering ved levering av fisk til fiskemottak, jf. landingsforskriften §§ 8 og 8a

Saken gjelder klage fra A på Datatilsynets vedtak 24. april 2021 om at Fiskeridirektoratet har behandlingsgrunnlag for å innhente opplysninger om stedsposisjon ved elektronisk signering av landings- og sluttseddel, jf. landingsforskriften §§ 8 og 8a.

Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-10 Klage over Datatilsynets avgjørelse om at treningssenterets kameraovervåking av inngangspartiet ikke innebar behandling av biometriske opplysninger

Saken gjelder spørsmål om lovligheten av et treningssenters bruk av kameraovervåking av inngangspartiet til treningssenteret, herunder spørsmål om kameraovervåkingen medfører behandling av biometriske opplysninger, jf. personvernforordningen artikkel 4 nr. 14.

Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.

PVN-2021-09 Utlevering av personopplysninger innsamlet ved kameraovervåking - overtredelsesgebyr

Klage over Datatilsynets utmåling av overtredelsesgebyr på 400 000 kroner for å ha utlevert personopplysninger innsamlet ved kameraovervåking i strid med personvernforordningen artikkel 6 og artikkel 5 nr. 1 bokstav a.

Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

PVN-2021-12 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak 28. april 2021 der Datatilsynet avviste As klage fra 12. mars 2021 over Datatilsynets avgjørelse 13. januar 2021 om at fastlegen ikke hadde behandlet personopplysninger om han ulovlig, på grunn av oversittet klagefrist.

Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2021-08 Behandling av opplysninger om etnisk opprinnelse i helsejournal

Klage fra A på Datatilsynets avgjørelse 29. september 2020 om at X distriktspsykiatriske senters behandling av opplysninger om hans etniske opprinnelse var lovlig etter personvernforordningen.

A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-07 Klage over Datatilsynets avgjørelse om å avslutte saken uten realitetsavgjørelse

Saken gjelder klage fra A på Datatilsynets vedtak 1. mars 2021 der tilsynet avviste hennes klage på grunn av manglende klagerett.

A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.