Meld. St. 26 (2019–2020)

Datatilsynets og Personvernnemndas årsrapporter for 2019

Til innholdsfortegnelse

2 Årsmelding 2019 Personvernnemnda

2.1 Leders beretning

Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.

Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

Året 2019 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i 2018, godt merket overgangen til ny lov. Vi har i løpet av året fortsatt mottatt mange saker som Datatilsynet har behandlet etter gammel lov og som nemnda i henhold til overgangsreglene skal behandle etter den nye loven. Det betyr at nemnda også i 2019 har måttet forholde seg til ny og delvis «upløyd mark» i sakene, noe som er arbeidskrevende.

Personvernnemnda har i 2019 fortsatt sitt fokus på kvalitet og har som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker. Vi arbeider kontinuerlig med å redusere saksbehandlingstiden. Saksbehandlingstiden var likevel i 2019 på 5,6 måneder mot 4,3 måneder i 2018. Samtidig er restansene i 2019 mindre enn i 2018 og vi var godt a jour ved overgangen til 2020. Kun tre saker som nemnda mottok på slutten av året ble overført til behandling i 2020, mot ni saker fra 2018 som ble overført til 2019. Økt saksbehandlingstid skyldes i hovedsak merarbeidet knyttet til ny lovgivning og mer omfattende og kompliserte saker. Samlet sett er vi tilfreds med nemndas saksavvikling i 2019.

En sak som har vært spennende og krevd mye ressurser er PVN-2018-14 Behandling av personopplysninger på nettstedet legelisten.no. Nemnda traff vedtak i saken i januar 2019. Flertallet i nemnda kom blant annet til at legelisten har behandlingsgrunnlag for å publisere subjektive vurderinger av helsepersonell på sin nettside, uten at helsepersonellet gis en allmenn reservasjonsrett. Legeforeningen reiste søksmål mot Personvernnemnda i denne saken og påstod vedtaket ugyldig. Hovedforhandling ble holdt i Oslo tingrett i november 2019 og i dom 17. desember 2019 ble staten v/Personvernnemnda frifunnet. Avgjørelsen er anket til Borgarting lagmannsrett.

Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte. Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser frem til fortsatt spennende diskusjoner i 2020.

Oslo, 26. februar 2020

Mari Bø Haugstad

Leder

2.2 Administrative forhold, styring og kontroll i nemnda

Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert med hjemmel i lov om behandling av personopplysninger 14. april 2000 nr. 31 den 1. januar 2001 og er, etter ikrafttredelsen av ny personopplysningslov i 2018 regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.

Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der KMD klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.

Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.

Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.

Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.

Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.

Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.

2.2.1 Regnskap og budsjett for 2019

Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet.

Nemnda ble tildelt 2 325 000 kroner i 2019. Totalt forbruk i 2019 var 1 959 000. Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester, deltakelse på kurs og arrangering av et internseminar der medlemmer og varamedlemmer deltok, i tillegg til gjester fra Datatilsynet og inviterte foredragsholdere.

Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av

Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KMD. Alle utbetalinger godkjennes av departementet.

Nemnda hadde i 2019 et mindreforbruk på ca 366 000 kroner. Underforbruket skyldes hovedsakelig at nemnda har hatt lavere kostnader til honorarer enn det som var budsjettert, samt at en del budsjetterte utgifter knyttet til nemndas internseminar først utbetales i 2020. Den årlige leiekostnaden til kontor falt dessuten bort som følge av at sekretariatet nå disponerer kontor i departementsfellesskapet.

2.3 Nemndas medlemmer

Personvernnemnda har syv faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år, hvert medlem har sin personlige vara. Nemndas leder og nestleder og deres vararepresentanter er oppnevnt av Stortinget. Nemndas øvrige fem medlemmer og deres vararepresentanter er oppnevnt av Kongen.

Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.

Personvernnemnda besto i 2019 av følgende personer:

Mari Bø Haugstad, leder

Personlig vara: Mats Wilhelm Ruland

Bjørnar Borvik, nestleder

Personlig vara: Ellen Eikeseth Mjøs

Line Coll

Personlig vara: Audhild Gregoriusdotter Rotevatn

Ellen Økland Blinkenberg

Personlig vara: Heidi Talsethagen

Gisle Hannemyr

Personlig vara: Torgeir Waterhouse

Hans Marius Graasvold

Personlig vara: Maryke Silalahi Nuth

Hans Marius Tessem

Personlig vara: Petter Bae Brandtzæg

Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no, finnes mer informasjon om nemndas medlemmer.

2.4 Nemndas sekretariat

Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KMD. Sekretariatsfunksjonen utføres av juridisk seniorrådgiver Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet.

2.5 Årets aktiviteter

Personvernnemnda holder sine møter i Oslo. I 2019 holdt nemnda 10 møter. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.

I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretær er gjennomført.

Både nemndas leder og sekretær var til stede som partsrepresentanter under hovedforhandling i Oslo tingrett fra 27 til 29. november 2019, der retten behandlet legeforeningens søkmål mot Personvernnemnda knyttet til nettstedet legelisten.no, jf. PVN-2018-14.

Den 16. desember 2019 arrangerte nemnda et dagsseminar i Oslo for nemndas medlemmer og varamedlemmer med inviterte gjester fra Datatilsynet. Også eksterne foredragsholdere var invitert. Seminaret ga nyttig faglig påfyll og anses som en god anledning til å diskutere praktiske spørsmål knyttet til oversending av saker mellom Datatilsynet og Personvernnemnda.

Som behandlingsansvarlig skal nemnda sørge for tilfredsstillende informasjonssikkerhet for personopplysninger som behandles for å ivareta hensynene til konfidensialitet, integritet og tilgjengelighet. I 2018 ble det utarbeidet egne sikkerhetstiltak, sikkerhetsmål og -strategier. Nemnda har derfor ikke sett behovet for ytterligere tiltak i 2019.

Nemnda deltok ikke på internasjonale konferanser i 2019, men både leder og sekretær deltok på ulike personvernkurs.

2.6 Saksbehandlingen i Personvernnemnda

Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.

I 2019 har nemnda hatt 25 saker til behandling, hvorav 16 saker kom inn i 2019. Dette er noe lavere saksinngang fra Datatilsynet enn tidligere år. Nemnda holdt 10 møter som planlagt i 2019, hvor 20 saker ble ferdigbehandlet. To saker ble trukket fra nemndsbehandling. Ett vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i 5 saker, inkludert to saker som ble avvist. I én sak tilkjente nemnda klager dekning av sakskostnader. Saksbehandlingstiden var på 5,6 måneder mot 4,3 måneder i 2018.

De fleste saker ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene.

Flere av sakene har vært prinsipielle og reist flere ulike personvernrettslige problemstillinger. Dette har medført at det i noen tilfeller har vært nødvendig å behandle sakene over flere møter, som for eksempel PVN-2018-14 (Legelisten.no) og PVN-2019-02 (Google). Sistnevnte sak gjaldt spørsmål om sletting av søketreff i Google som ledet til nyhetsartikler som omtalte en straffesak. Saken, som er omtalt mer detaljert nedenfor, var prinsipiell og ble behandlet av nemnda over tre møter. Sletting av søketreff i Google er en sakstype som stadig blir forelagt nemnda. Også i 2018 behandlet nemnda to slike saker (PVN-2017-17 og PVN-2018-07), mot en sak i 2017 (PVN-2017-17). En annen sakstype som jevnlig dukker opp er saker om sletting av opplysninger i personalmapper eller andre saker knyttet til arbeidsgiver/arbeidstaker-forhold. Dette saksfeltet er omhandlet i PVN-2018-15, PVN-2018-16, PVN-2019-05, PVN-2019-07 og PVN-2019-14, som alle er behandlet av nemnda i 2019.

Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.

Nemnda hadde tre uavsluttede saker ved årets slutt.

Tabell 2.1 Oversikt over Personvernnemndas saksavvikling de seks siste årene.

2014

2015

2016

2017

2018

2019

Innkomne saker

25

17

18

19

20

16

Avgjorte saker

30

16

27

19

15

20

DTs vedtak opprettholdt

18

6

16

11

6

14

DTs vedtak endret eller opphevet

12

11

10

7

8

5

Endring i %

40 %

69 %

40 %

37 %

53%

25%

Saksbehandlingstid i gj.snitt (mndr)

7,1

8,2

6,5

3,2

4,3

5,6

2.7 Saker som ble behandlet i 2019

PVN-2018-10 Utlevering av kundeopplysninger fra NextGenTel AS – klage over Datatilsynets avslutning av sak uten å gi pålegg

Klage fra A på Datatilsynets vedtak 16. april 2018 om å avslutte saken fordi Datatilsynet ikke fant at det forelå brudd på personopplysningsloven 2000, samt at de opplysningene som forelå ikke foranlediget nærmere undersøkelser fra tilsynet.

Saken gjelder spørsmål om bredbåndselskapets NextGenTels behandling, herunder utlevering, av As kundeopplysninger. A står registrert i folkeregisteret med «Sperret adresse -FORTROLIG», som innebærer at hennes adresse og telefonnummer ikke skal legges ut offentlig, heller ikke utleveres til nummeropplysningstjenester. NextGentel avsluttet kundeforholdet til A i 2016 etter å ha blitt ilagt overtredelsesgebyr av Datatilsynet for utlevering av hennes personopplysninger, gjennomgått rettsprosser og inngått flere forlik med A, som også innebar erstatningsutbetaling for urettmessig utlevering av personopplysninger. A brakte saken inn for Datatilsynet igjen og anførte at saken gjaldt spørsmål om hvorvidt NextGenTel hadde solgt hennes personopplysninger. Tilsynet avsluttet saken uten å gi pålegg. Nemnda la som Datatilsynet til grunn at personopplysningsloven 2000 og 2018 ikke skiller mellom salg eller annen utlevering av personopplysninger, men at det avgjørende er om det foreligger behandlingsgrunnlag for den behandlingen av personopplysninger den behandlingsansvarlige foretar. Nemnda konkluderte med at NextGenTels behandling av As personopplysninger da hun var kunde var tilstrekkelig og forsvarlig vurdert av Datatilsynet. Det forelå ingen nye brudd på personopplysningsloven. Det var heller ikke behov for ytterligere undersøkelser fra tilsynets side.

PVN-2018-12 Publisering av saksframlegg på kommunens nettside

Klage på at X kommune har gitt allmennheten innsyn i personopplysninger ved å publisere på Internett kommunens saksframlegg til et kommunestyremøte. Saksframlegget inneholdt personopplysninger som klagerne anfører var taushetsbelagte.

Saken gjelder en kommunes publisering av et saksframlegg til et kommunestyremøte på kommunens nettside som inneholdt opplysninger om mulig personalsak mot tre av kommunens ansatte, som alle hadde sluttet seg til en varslersak knyttet til rådmannens lederstil. De tre ansatte, som var omtalt med navn i saksframlegget, mente publiseringen innebar et brudd på personopplysningsloven og at de publiserte personopplysningene var taushetsbelagte etter forvaltningsloven. Nemnda vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning. Nemnda fant i likhet med Datatilsynet at saksframlegget ikke inneholdt sensitive personopplysninger og konkluderte med at det ikke var skjedd en utlevering av personopplysninger som omfattes av bestemmelsene i personopplysningsloven 2018. Nemnda var enig med Datatilsynet i at de ikke hadde kompetanse til å vurdere hvorvidt kommunens tolkning av taushetspliktbestemmelsene i forvaltningsloven var korrekt eller ikke. I vedtaket uttaler nemnda seg om innsyn i offentlige dokumenter og forholdet mellom personopplysningsloven (både 2000-loven og 2018-loven) og offentleglova.

PVN-2018-13 Sletting av personopplysninger i fylkesmannens arkiv

Klage fra A på Datatilsynets vedtak 17. april 2018 om avslag på krav om sletting av saksdokumenter i arkivet til Fylkesmannen i X.

Saken gjelder spørsmål om en privatperson (A) kunne kreve å få slettet sine personopplysninger fra fylkesmannens arkiv. Dokumentene, som inneholder opplysninger om As helse og innleggelse på psykiatrisk avdeling, er knyttet til en klagesak på en kommunelege som fylkesmannen tidligere hadde behandlet. Datatilsynet, som ikke ga A medhold i kravet om sletting, vurderte saken etter personopplysningsloven 2000. Nemnda redegjorde for lovvalgsspørsmålet, og vurderte saken etter personopplysningsloven 2018 og EU’s personvernforordning. I likhet med Datatilsynet konkluderte nemnda med at fylkesmannen ikke kunne pålegges å slette dokumentene selv om A hadde protestert mot behandlingen, jf. personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda la vekt på at Riksarkivaren var hørt og hadde uttalt at fortsatt lagring var nødvendig ut fra rettssikkerhetshensyn, arkivformål og forskningsformål. Nemnda fant at fylkesmannen har behandlingsgrunnlag for fortsatt lagring av opplysningene til arkivformål i allmennhetens interesse, jf. artikkel 6 nr. 1 bokstav e, jf. personopplysningsloven 2018 § 8 og personvernforordningen artikkel 9 nr. 2 bokstav j.

PVN-2018-14 Behandling av personopplysninger på nettstedet Legelisten.no

Saken gjelder flere spørsmål knyttet til om behandlingen av personopplysninger på nettstedet Legelisten.no er i tråd med personopplysningsloven 2018 og personvernforordningen.

Nemnda konkluderer blant annet med at Legelisten.no er behandlingsansvarlig for alle personopplysningene som behandles på nettstedet, og at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Nemnda konkluderer videre med at Legelisten.no ikke skal pålegges å offentliggjøre identiteten til brukere som sender inn vurderinger av helsepersonell til nettstedet. Nemnda kom til et annet resultat enn Datatilsynet på to punkter; hvorvidt samtykke er gyldig behandlingsgrunnlag for å samle inn og lagre e-postadresser til brukere som sender inn vurderinger av helsepersonell, og hvorvidt Legelisten.no har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helsepersonellet gis en generell reservasjonsadgang. På disse punktene delte nemnda seg i et flertall og et mindretall (5:2).

Nemndas flertall konkluderte med at Legelisten.no har gyldig samtykke fra de som sender inn vurderinger av helsepersonell til også å samle inn og lagre deres kontaktinformasjon (e-post- adresse). Det samme flertallet konkluderer videre med at Legelisten.no har behandlingsgrunnlag for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Den berettigede interessen til Legelisten.no i å formidle brukernes subjektive ytringer veier, etter en bred interesseavveining, tyngre enn hensynet til helsepersonellets personvern.

PVN-2018-15 Sletting av personopplysninger i personalmappe etter avsluttet arbeidsforhold

Klage fra A på Datatilsynets vedtak 23. april 2018 om avslag på krav om sletting av dokumenter i personalmappe hos X videregående skole og Y fylkeskommune.

Saken gjelder spørsmål om lærer A, etter avslutning av arbeidsforholdet, kan kreve at tidligere arbeidsgiver (X/Y) sletter dokumenter fra hans personalmappe med opplysninger om en arbeidskonflikt A var involvert i da han arbeidet der. Etter at arbeidsforholdet var avsluttet har A tatt ut søksmål mot X/Y. Datatilsynet avslo As begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning og redegjorde nærmere for sitt syn på lovvalget. Nemnda fastslo at arbeidsgivers opprinnelige behandlingsgrunnlag for lagringen var personaladministrasjon, jf. artikkel 6 nr. 1 bokstav f, men etter at A avsluttet arbeidsforholdet var begrunnelsen for fortsatt lagring endret til skolens behov for å dokumentere saksbehandlingshistorikken. Nemnda la til grunn at den nye bruken av opplysningene er forenlig med det opprinnelige formålet, jf. artikkel 6 nr. 4, jf. artikkel 5 nr. 1 bokstav b og c. Nemnda viste til at A har en pågående klagesak mot X/Y i Diskrimineringsnemnda der A mener seg utsatt for aldersdiskriminering. Nemnda konkluderte med at fortsatt lagring er nødvendig for å ivareta X/Ys berettigede interesser, jf. artikkel 6 nr. 1 bokstav f, og avslo As krav om sletting.

PVN-2018-16 Arbeidsgivers tilgang til arbeidstakers e-post – overtredelsesgebyr

Klage fra en arbeidsgiver på Datatilsynets vedtak 7. desember 2017 om ileggelse av overtredelsesgebyr på 75 000 kroner for ulovlig innsyn i og manglende sletting av tidligere arbeidstakers e-post.

Saken gjelder spørsmål om arbeidsgivers innsyn i og sletting av arbeidstakers e-postkonto, jf. personopplysningsforskriften 2000 § 9-2 og § 9-4, og spørsmål om overtredelsesgebyr, jf. personopplysningsloven (2000) § 46.

I oppsigelsestiden innførte arbeidsgiver en fraværsassistent på arbeidstakerens (A) e-postadresse som innebar at e-poster sendt til A ble direkte videresendt til firmaets e-postadresse «[firmapostkasse]». A kontaktet Datatilsynet og klaget på at arbeidsgiveren ikke hadde avsluttet og slettet e-postkassen hans. Datatilsynet ila overtredelsesgebyr på 75 000 kroner. Arbeidsgiveren klaget vedtaket inn for nemnda. Nemnda redegjorde for den bevisvurdering som skal foretas i saker om overtredelsesgebyr. Basert på den fremlagte dokumentasjonen la nemnda, med klar sannsynlighetsovervekt, til grunn at As e-postkasse automatisk ble viderekoblet til virksomhetens e-postkasse i nesten ett år og ni måneder etter at arbeidsforholdet ble avsluttet, og at viderekoblingen var å anse som ulovlig innsyn i As e-postkasse. En samlet nemnd konkluderte med at det var en grov overtredelse av personopplysningsforskriften 2000 §§ 9-2 og 9-4, og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 46.

PVN-2018-17 Begjæring om retting og sletting i politioperativt register – avvisning av sak

Klage fra A på Datatilsynets avgjørelse 12. desember 2017 der tilsynet avsluttet sak etter å ha konkludert med at politiets behandling av opplysninger var i samsvar med politiregisterloven.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO). Etter en trafikkontroll hvor politiet mistenkte A for ruspåvirket kjøring, ble opplysninger fra hendelsen registrert i PO. As førerkort ble midlertidig beslaglagt, men utlevert senere samme dag. Saken ble senere henlagt av politiet. As begjæring om retting og sletting av personopplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Nemnda viste til at mistanke om ruspåvirket kjøring og midlertidig beslag av førerkort er saker som behandles etter straffeprosessloven og at Datatilsynets kompetanse i slike saker er begrenset til å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi anmerkning eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda aviste saken.

PVN-2018-18 Klage over Datatilsynets pålegg om anonymisering av enkelte personopplysninger på Internett

Klage fra A på Datatilsynets vedtak 9. mars 2018 om å anonymisere utvalgte ytringer på nettstedet http://offentlig.info (offentlig.info) på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven 2000 § 11 bokstav a, jf. §§ 8 og 9 og 46 siste ledd.

Saken gjelder spørsmål om enkelte uttalelser om enkeltpersoner på et nettsted er vernet av unntaket for journalistiske, kunstneriske eller litterære ytringer i personopplysningsloven 2018 § 3. En tidligere avskjediget ansatt (A) i en fylkeskommune, har skrevet negative kommentarer om fylkeskommunen og enkelte ansatte på et nettsted og i fire ulike e-bøker. Han har blant annet publisert ulike offentlige dokumenter knyttet til rettslige prosesser han har vært part i, sammen med egne kommentarer og vurderinger av det som har skjedd. E-bøkene er også utgitt i papirversjon. Datatilsynet påla A å slette/anonymisere enkelte personopplysninger på nettstedet, samt i en av e-bøkene. Den aktuelle e-boka har tilsvarende innhold som nettstedet, i pdf-format. De øvrige tre e-bøkene ble vurdert å være omfattet av unntaket i personopplysningsloven 2000 § 7. Nemnda kom til at også de aktuelle personopplysningene på nettstedet og i den fjerde e-boka var vernet av unntaket i personopplysningsloven 2018 § 3. Nemnda uttaler at man med bakgrunn i § 3 ikke kan foreta en detaljregulering av innholdet og layouten på en nettside, hvor de samme personopplysningene tillates i én kontekst, men ikke i en annen. Nemnda påpeker at personopplysningsloven ikke nødvendigvis er det ideelle rettsgrunnlaget for å forfølge denne typen saker. Samme saksforhold har også vært behandlet av nemnda tidligere i PVN-2017-06.

PVN-2018-19 Begjæring om retting og sletting i politioperativt register – avvisning av sak

Klage fra A på Datatilsynets avgjørelse 25. januar 2018 der tilsynet avsluttet sak om retting og sletting i politioperativt register, uten å gi pålegg.

Saken gjelder begjæring om retting og sletting av opplysninger i politioperativt register (PO). En privatperson (A) ba om at alle opplysninger om han fra en rettsak i tingretten og lagmannsretten hvor A var fornærmet, ble slettet. Han ba også om at en bekymringsmelding fra et familiemedlem vedrørende As psykiske helse ble slettet, samt opplysninger fra en hendelse på toget hvor politiet ble tilkalt på grunn av en melding om en beruset passasjer. As begjæring om sletting og retting av opplysninger i PO ble avslått av Kripos. A klaget til Politidirektoratet som opprettholdt avgjørelsen. A brakte saken inn for Datatilsynet som fant at politiets behandling var i samsvar med politiregisterloven og avsluttet saken. A klaget på Datatilsynets avgjørelse. Den delen av klagen som gjaldt sletting av opplysninger i PO fra straffesaken ble avvist av nemnda fordi Datatilsynets kompetanse i straffesaker er begrenset til eventuelt å gi behandlingsansvarlig en anmerkning. En beslutning om enten å gi eller ikke gi anmerkning kan ikke påklages til Personvernnemnda. De øvrige opplysningene ble ansett for å være opplysninger utenfor straffesak. For slike opplysninger har tilsynet påleggskompetanse etter politiregisterloven § 60 første ledd. Nemnda la til grunn at politiregisterloven § 60 må forstås slik at det kun er tilsynets vedtak om pålegg som kan klages inn for nemnda. Når tilsynet hadde funnet at opplysningene om A var behandlet i samsvar med politiregisterloven og konkludert med at behandlingen er lovlig, kan ikke tilsynets vurdering påklages til nemnda etter politiregisterloven § 60. Nemnda aviste saken.

PVN-2019-01 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder Legelistens krav på dekning av sakskostnader, jf. forvaltningsloven § 36, etter at Personvernnemnda i vedtak 21. januar 2019 i sak PVN-2018-14 ga Legelisten delvis medhold i sin klage på Datatilsynets vedtak, ved at tilsynets vedtak ble omgjort på to punkter. Omgjøringen var samsvar med Legelistens subsidiære anførsel i klagen. Det totale kravet på kroner 248 972,80 omfattet salærutgifter til prosessfullmektig for 80 timers arbeid utført i perioden 9. mars 2017 til 24. januar 2019, totalt kroner 173 972,80, samt et skjønnsmessig fastsatt beløp på kroner 75 000 for Legelistens eget arbeid med saken. Nemnda la til grunn at vedtaket i sak PVN-2018-14 ble endret til gunst for Legelisten og at det var forståelig at Legelisten pådro seg vesentlige utgifter ved å engasjere juridisk bistand i forbindelse med klagen over Datatilsynets vedtak i en så omfattende og prinsipiell sak. Nemnda anså 50 000 kroner til prosessfullmektigens bistand som nødvendig for å få endret vedtaket, men øvrig arbeid ikke var nødvendig, jf. forvaltningsloven § 36. Legelistens godtgjørelse for eget arbeid ble ikke dekket.

Personvernnemndas vedtak ble påklaget til Kommunal- og moderniseringsdepartementet. I vedtak 7. juni 2019 innvilget departementet delvis dekning av sakskostnader med 72 000 kroner.

PVN-2019-02 Sletting av søketreff i søkemotoren Google

Klage på Datatilsynets avslag på anmodning om å pålegge Google å slette søketreff ved søk på As navn. Søketreffene ledet til flere nyhetsartikler som omtalte en straffesak mot A i 2013/2014 der han, mens han praktiserte som advokat, ble domfelt for flere grove bedragerier. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL dom C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av personvernforordningen artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i forordningen artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom nemnda til at As rett til personvern veide tyngst. Nemnda la vekt på at det hadde gått lang tid siden de straffbare handlingene ble begått (8–14 år siden), og at det var lenge siden domfellelsen (seks år). A praktiserer ikke lenger som advokat og han ble vurdert å ha en mindre rolle i bedrageriene. Det ble videre vektlagt at A opplever søketreff til de publiserte opplysningene svært belastende, samt at det dreier seg om opplysninger som er omfattet av artikkel 10.

PVN-2019-03 Innsyn i personopplysninger i et dødsbo under offentlig skifte – klage over Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 12. oktober 2018 om å avslutte behandlingen av en sak vedrørende begjæring om innsyn i personopplysninger i et dødsbo under offentlig skifte.

Saken gjelder spørsmål om rett til innsyn i personopplysninger i et dødsbo under offentlig skifte, og rekkevidden av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b. I forbindelse med offentlig skifte av dødsboet til As foreldre, henvendte A seg til bobestyreren å ba om innsyn i sakens dokumenter og en komplett dokumentliste, samt om innsyn i opplysninger om seg selv. Bobestyreren henviste A til Oslo byfogdembete (OBYF), som sendte A en utskrift av sakens dokumentliste, og ba A opplyse hvilke dokumenter han ønsket kopi av. Byfogden opplyste samtidig at begjæring om innsyn etter personopplysningsloven måtte sendes i egen henvendelse til byfogdembete. A klaget til Datatilsynet, som konkluderte med at skifteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at tilsynet derfor ikke har kompetanse til å forfølge saken. Tilsynet avsluttet sin saksbehandling og la til grunn at As innsynsrettigheter ville bli ivaretatt av OBYF. A klaget vedtaket inn for nemnda. Nemnda kom til at domstolens behandling av personopplysninger i et dødsbo under offentlig skiftebehandling er omfattet av personopplysningsloven og ikke omfattet av rettspleielovunntaket i § 2 andre ledd bokstav b. Det var likevel forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at As innsynsrettigheter ville bli ivaretatt av Oslo byfogdembete ved henvendelse dit.

PVN-2019-04 Feilsending av eksamensbesvarelse – klage på Datatilsynets avslutning av sak etter begrensede undersøkelser

Klage fra A på Datatilsynets vedtak 10. januar 2019 om å avslutte behandlingen av en sak vedrørende Høgskolen i X sin håndtering av en avviksmelding om en eksamensbesvarelse som ble sendt til feil person.

En eksamensbesvarelse var ved en feil sendt til en medstudent i forbindelse med klagesensuren. Utsendelsen representerte en behandling av personopplysninger i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen, selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. personvernforordningen artikkel 4 nr. 12. Sikkerhetsbruddet representerte ikke et avvik som skulle vært meldt til Datatilsynet, jf. artikkel 33 nr. 1. Det avgjørende for meldeplikten er om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter», noe som ikke var tilfelle i denne saken. Innholdet i opplysningene var ikke taushetsbelagte eller sensitive, og det kun var én person som hadde fått tilgang til opplysningene. Det var forsvarlig av Datatilsynet å avslutte sin saksbehandling ved å legge til grunn at sikkerhetsbruddet var forsvarlig håndtert av høgskolen.

PVN-2019-05 Innsyn i personalmappe

Klage fra A på Datatilsynets vedtak 22. januar 2019 om å avslutte behandlingen av en innsynssak uten å gi pålegg.

En tidligere ansatt (A) i en fylkeskommune ba om innsyn i opplysninger i egen personalmappe. Han ba også om informasjon om en rekke forhold knyttet til behandlingen av hans personopplysninger. Datatilsynet undersøkte saken og fant at A hadde fått det innsynet og den informasjonen han har krav på etter personvernforordningen artikkel 15. I tillegg informerte og veiledet Datatilsynet A om hans rett til å be om innsyn hos fylkesmannen i anledning en klagesak som var sendt dit. En samlet nemnd var enig med Datatilsynet i at fylkeskommunen hadde etterkommet As anmodning og gitt ham innsyn. Nemnda la videre til grunn at Datatilsynets avgjørelse om å avslutte saken uten å gi pålegg var forsvarlig og innenfor lovens rammer, jf. artikkel 57 nr. 1 bokstav f.

PVN-2019-06 Utlevering av personopplysninger

Klage fra A på Datatilsynets vedtak 21. desember 2018 om å avslutte behandlingen av en sak om X kommunes behandling av personopplysninger, uten å gi pålegg.

Saken har sin opprinnelse i en bekymringsmelding som ble sendt fra en skole til barneverntjenesten i kommunen. Skolen var bekymret over foreldrenes konfliktfylte forhold til skole og lokalmiljø. Barnevernet avsluttet saken uten å iverksette tiltak. Foreldrene kontaktet Datatilsynet og klaget over kommunens/skolens behandling og utlevering av opplysninger. Nemnda la til grunn at kommunen/skolen hadde behandlingsgrunnlag for å behandle personopplysninger i anledning bekymringsmeldingen, og var enig med Datatilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling til grunnlaget for bekymringsmeldingen. Nemnda la videre til grunn at kommunen/skolen ikke brøt personopplysningsloven i sin interne og eksterne kommunikasjon rundt bekymringsmeldingen, samt at Datatilsynet hadde foretatt tilstrekkelige undersøkelser i saken og oppfylt sin plikt etter personvernforordningen artikkel 57.

PVN-2019-07 Retting og sletting av personopplysninger i personalmappe

Klage fra A på Datatilsynets vedtak 11. juli 2018 om ikke å pålegge retting eller sletting av personopplysninger i hennes personalmappe hos arbeidsgiver.

Klageren i saken, A, er involvert i en arbeidskonflikt med ledelsen som har vart over flere år. I likhet med Datatilsynet fant nemnda at det ikke var grunnlag for å pålegge å slette eller rette personopplysningene i As personalmappe. Nemnda sluttet seg til tilsynets vurdering om at det adekvate alternativet er supplering, noe det var gitt anledning til. Videre la nemnda til grunn at arbeidsgivers behandling av As personopplysninger var nødvendig for å ivareta arbeidsgivers berettigede interesse i å håndtere og dokumentere sakshistorikken i arbeidsforholdet og den pågående arbeidskonflikten, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. I en slik pågående arbeidskonflikt har arbeidsgiver de nødvendige berettigede grunnene for fortsatt å oppbevare opplysningene og denne interessen går foran den registrertes interesse i å få dem slettet. Nemnda la også til grunn at arbeidsgiverens oppbevaring av personopplysningene var forsvarlig, og at det ikke forelå brudd på reglene om personopplysningssikkerhet, jf. artikkel 32.

PVN-2019-08 Innsyn i personopplysninger i mobilabonnement etter ID-tyveri

Klage fra A på Datatilsynets vedtak 23. januar 2019 om ikke å gi telefonselskapet B pålegg om å gi han innsyn etter personvernforordningen artikkel 15.

A ble kjent med at en ukjent person urettmessig hadde brukt hans fødselsnummer til å opprette et kontantkortabonnement. A sperret telefonnummeret umiddelbart og anmeldte forholdet til politiet, men politiet henla saken. A ba om innsyn i opplysninger som var knyttet til abonnementet (bl.a. datatrafikk, samtalelogg, sms’er). Mobilselskapet avslo begjæringen. A klaget til Datatilsynet som avsluttet saken uten ytterligere tiltak med henvisning til at A ikke hadde krav på innsyn i etter artikkel 15. Nemnda var enig med tilsynet i at artikkel 15 ikke ga A rett til innsyn. Selv om et fødselsnummer entydig er knyttet til en person, var det i dette tilfellet på det rene at As fødselsnummer var misbrukt av noen andre og at de personopplysningene som eventuelt fremkom i tilknytning til det opprettede abonnementet hos mobilselskapet ikke var personopplysninger om A, men personopplysninger om den som hadde opprettet mobilabonnementet. Nemnda opprettholdt Datatilsynets vedtak om ikke å gi pålegg om innsyn.

PVN-2019-09 Publisering av bilde fra overvåkingskamera på Facebook – overtredelsesgebyr

Klage fra gullsmedforretningen A på Datatilsynets vedtak 21. januar 2019 om ileggelse av overtredelsesgebyr på 50 000 kroner for publisering på Facebook av et bilde gjort ved kameraovervåking.

En gullsmedforretning, A, publiserte et bilde på Facebook fra et overvåkingskamera. Bildet viste en identifiserbar person og var tatt i forbindelse med et tyveri av julepynten utenfor forretningen i desember 2017. Nemnda kom til at saken skulle behandles etter personopplysningsloven 2018. Personopplysningsloven 2018 og personvernforordningen åpner for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000 § 39 og må derfor anses som gunstigere, jf. personopplysningsloven § 33. Nemnda vurderte om A hadde behandlingsgrunnlag i forordningen artikkel 6 nr. 1 bokstav f (berettiget interesse), og konkluderte etter en interesseavveining, med at den registrertes interesse gikk foran og krevde vern av opplysningene. Ved utmålingen av gebyr etter forordnigen artikkel 83 var det i denne saken nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen var begått i desember 2017 (dvs. før personopplysningsloven 2018 og personvernforordningen trådte i kraft). Nemnda opprettholdt Datatilsynets vedtak om å ilegge A et overtredelsesgebyr på 50 000.

PVN-2019-10 Saken er trukket av klager

PVN-2019-11 Påstand om urettmessig oppslag i pasientjournal – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets avgjørelse 27. mars 2019 om å avslutte behandlingen av en sak uten å gi pålegg.

A kontaktet Datatilsynet fordi hun mistenkte at noen urettmessig hadde gjort oppslag i hennes pasientjournal ved et sykehus. Datatilsynet veiledet A i hvordan hun skulle få innsyn i hvilket helsepersonell som hadde gjort oppslag journalen, samt informerte henne om at Fylkesmannen var rett klageinstans dersom hun mente det var gjort urettmessige oppslag. Datatilsynet fant ikke konkrete holdepunkter for at det var foretatt oppslag som ikke var begrunnet i tjenstlig behov, eller at det var generelle mangler ved tilgangsstyringen ved sykehuset. Nemnda var enig med tilsynet i at det lå utenfor tilsynets og nemndas kompetanse å ta stilling hvem som har tjenstlig behov for oppslag i pasientjournal etter helsepersonelloven. Nemnda konkluderte med at Datatilsynet hadde etterkommet As anmodning og oppfylt sine forpliktelser etter personvernforordningen artikkel 57 og forvaltningsloven § 17. Datatilsynets avslutning av saken var forsvarlig og i tråd med loven.

PVN-2019-12 Klage på Datatilsynets avslutning av sak uten å gjøre nærmere undersøkelser eller gi ytterligere sanksjoner

Klage fra A på Datatilsynets vedtak 24. september 2019 der tilsynet besluttet å avslutte saken uten å gjøre nærmere undersøkelser eller gi pålegg overfor universitetet X.

Saken har sin bakgrunn i en tidligere sak fra 2016 hvor Datatilsynet ila universitetet X et overtredelsesgebyr på 75 000 kroner for ikke å ha etablert tilfredsstillende tiltak for å hindre spredning av konfidensielle personopplysninger om at en students (As) skikkethet til psykologistudiet var til behandling i Skikkethetsnemnda. A henvendte seg til Datatilsynet på nytt i 2018 og mente at X var skyldig i ytterligere brudd på personopplysningsloven som ikke var omfattet av det tidligere ilagte overtredelsesgebyret, at universitetet hadde gitt uriktige opplysninger til Datatilsynet, samt at reaksjonen i 2016 ikke var streng nok. Datatilsynet avsluttet saken uten å foreta nærmere undersøkelser. Nemnda kom til at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven. Nemnda viste til at et gebyr for et lovbrudd i 2014 nå i 2019 var foreldet etter personopplysningsloven § 28, jf. § 33. I likhet med tilsynet la nemnda til grunn at X hadde gjennomført tiltak for å unngå at slike konfidensialitetsbrudd skjer igjen. Nemnda bemerket at A uansett ikke er klageberettiget når det gjelder Datatilsynets valg av reaksjon for å ha overtrådt personopplysningsloven.

PVN-2019-13 Saken er trukket av klager

2.8 Vurdering av fremtidsutsikter

Et stadig mer digitalisert samfunn hvor teknologien utvikles med stor hastighet innenfor nye områder kan sette personvernet til enkeltpersoner under press. Personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser for å møte utviklingen, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.

Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det likevel lite sannsynlig at saksmengden vil gå ned. Med en omfattende og ny lovtekst er det nemndas vurdering at sakene blir mer komplekse.

Et moment som kan tilsi økt saksmengde er at nye regler medfører et økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop.56 LS (2017–2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.

Nemnda ser en tendens til at økt kompleksitet i saker medfører at parter i større grad benytter prosessfullmektig. Dette kan medføre en økning i krav om dekning av sakskostnader etter forvaltningsloven § 36, noe som vil påvirke nemndas budsjett dersom dette forutsettes dekket av Personvernnemndas midler.

Personvernnemnda er av den oppfatning av nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.

Til forsiden