Nemnda konkluderer blant annet med at Legelisten.no er behandlingsansvarlig for alle person­opplysningene som behandles på nettstedet, og at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Nemnda konkluderer videre med at Legelisten.no ikke skal pålegges å offentliggjøre identiteten til brukere som sender inn vurderinger av helsepersonell til nettstedet. Nemnda kom til et annet resultat enn Datatilsynet på to punkter; hvorvidt samtykke er gyldig behandlingsgrunnlag for å samle inn og lagre e-postadresser til brukere som sender inn vurderinger av helsepersonell, og hvorvidt Legelisten.no har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helsepersonellet gis en generell reservasjonsadgang. På disse punktene delte nemnda seg i et flertall og et mindretall (5:2).

Nemndas flertall konkluderer med at Legelisten.no har gyldig samtykke fra de som sender inn vurderinger av helsepersonell til også å samle inn og lagre deres kontaktinformasjon (e-post­adresse). Det samme flertallet konkluderer videre med at Legelisten.no har behandlings­grunnlag for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Den berettigede interessen til Legelisten.no i å formidle brukernes subjektive ytringer veier, etter en bred interesseavveining, tyngre enn hensynet til helsepersonellets personvern.

Legeforeningen brakte vedtaket inn for domstolene med påstand om at nemndas vedtak var ugyldig. Staten v/Personvernnemnda ble frifunnet i tingretten ( TOSLO-2019-98312), anken forkastet av lagmannsretten (LB-2020-18230) og anken forkastet av Høyesterett (HR-2021-2403-A).

Saken gjaldt en statlig arbeidstaker (A) som hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i personalmappen. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det det behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.

Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.

En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A's begjæring om slette et søketreff fra søkemotoren Google som inneholdt A's navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende.

Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A's navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.

Dissens (5-1).
Saken gjaldt klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.

Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).

Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.

Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.

Anmodning fra Legelisten.no om oppsettende virkning (utsatt iverksettelse) av deler av Datatilsynets vedtak 8. november 2017, jf. forvaltningsloven § 42. Det ene vedtakspunktet gjaldt dispensasjon fra konsesjonsplikten etter personopplysningsloven 2000. Ettersom konsesjonsplikten etter personopplysingsloven 2018 har falt bort, fant nemnda det ikke nødvendig å gi oppsettende virkning for dette vedtakspunktet. Nemnda vil imidlertid ta stilling til om Legelisten.no har behandlingsgrunnlag for sin behandling av personopplysninger ved realitetsbehandling av saken. Når det gjaldt utsatt iverksettelse av Datatilsynets vedtakspunkt om pålegg om sletting av e-postadressen til pasienter som har inngitt vurdering av helsepersonell på nettsiden Legelisten.no, hadde Legelisten.no anført at slettingen ville innebære en uopprettelig skade. Nemnda viste til at dersom Legelisten.no sin klageadgang på Datatilsynets vedtak skal være reell, var det grunnlag for å beslutte utsatt iverksettelse av dette vedtakspunktet i Datatilsynets vedtak.

I Personvernnemndas sak PVN-2017-18 vurderte nemnda klage fra Nobina Norge AS over Datatilsynets vedtak 13. februar 2017, der Datatilsynet konkluderte med å ilegge Nobina et overtredelsesgebyr etter personopplysningsloven § 46. I Personvernnemndas vedtak 20. mars 2018 fikk Nobina Norge AS medhold i sin klage på Datatilsynets vedtak. I foreliggende sak tok nemnda stilling til om Nobina Norge AS skulle tilkjennes dekning av sakskostnader etter forvaltningsloven § 36. Advokaten hadde fremlagt en detaljert timeliste på totalt 14 timer. Nemnda la til grunn at vedtaket var endret til gunst for Nobina Norge AS, og kom frem til at forvaltningslovens vilkår om dekning av sakskostnader var oppfylt. Nemnda konkluderte med at kravet på 14 timer var rimelig, og tilkjente full dekning av sakskostnadene, jf. forvaltningsloven § 36.

En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.