2 Årsmelding 2018 Personvernnemnda
2.1 Leders beretning
I 2018 fikk vi en ny personopplysningslov (lov 15. juni 2018 nr. 38). Loven består av nasjonale regler og EUs personvernforordning GDPR (General Data Protection Regulation). Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av personopplysningsloven fra 2000. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter.
Personopplysningsloven og GDPR skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Datatilsynet er tilsynsmyndighet etter loven og Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte loven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.
2018 har vært et spennende, men også krevende år for Personvernnemnda. Samtidig med overgangen til ny lov (ny personopplysningslov trådte i kraft 20. juli 2018) fikk vi også utskiftning i nemndas sekretariat, med ny sekretær fra 7. mai 2018. Overgangen til ny lov har medført at de fleste saker som Datatilsynet har behandlet etter gammel lov og som deretter er klaget inn for Personvernnemnda, i nemnda skal behandles etter den nye loven. Det betyr at nemnda har måttet forholde seg til ny og delvis «upløyd mark» i mange saker, noe som har medført et klart merarbeid for nemnda i det året som har gått. Vi forventer at dette også vil fortsette utover i 2019.
Personvernnemnda har også i 2018 hatt fokus på kvalitet og har som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker. Vi har også startet et arbeid med å redusere saksbehandlingstiden, noe vi klarte i 2017. Saksbehandlingstiden i 2018 var på 4,3 måneder mot 3,2 måneder i 2017. Økningen skyldes i hovedsak merarbeidet knyttet til ny lovgivning og vi er samlet sett tilfreds med nemndas saksavvikling i 2018.
Personvernnemnda er av den oppfatning av nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.
Oslo, 18. februar 2019
For Personvernnemnda
Mari Bø Haugstad
Leder
2.2 Administrative forhold, styring og kontroll i nemnda
Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert med hjemmel i lov om behandling av personopplysninger (2000:31) den 1. januar 2001 og er, etter ikrafttredelsen av ny personopplysningslov i 2018 regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.
Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der KMD klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.
Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.
Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i GDPR artikkel 60 til 66.
Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.
Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnenda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.
Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.
2.2.1 Regnskap og budsjett for 2018
Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet.
Nemnda ble tildelt 2 014 000 kroner i 2018. Totalt forbruk i 2018 var 2 168 000. Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester, deltakelse på kurs, leie av møtelokaler og leie av kontorlokaler.
Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av
Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KMD. Alle utbetalinger godkjennes av departementet.
Nemnda overskred budsjettet i 2018 med 154 000 kroner. Overforbruket skyldes hovedsakelig utgifter i forbindelse med utskiftning av sekretær i høyere stillingsprosent, og ikrafttredelse av nytt og omfattende regelverk som har medført økt tidsbruk til saksavvikling og økt godtgjørelse for nemndas leder og nestleder, samt utgifter til dekning av sakskostnader, jf. forvaltningsloven § 36.
Nemndas leder har ikke ansett det forsvarlig å begrense aktiviteten i nemnda på bakgrunn av saksbehandlingstiden og restansesituasjonen, og møtene i nemnda har derfor blitt avholdt som planlagt. Dette har vært nødvendig for å holde saksbehandlingstiden innenfor de frister forvaltningsloven stiller. Nemndas leder og sekretær har løpende rapportert til KMD om overforbruket.
2.3 Nemndas medlemmer
Personvernnemnda har syv faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år, hvert medlem har sin personlige vara. Alle medlemmene med vararepresentanter, inkludert leder og nestleder, utnevnes av Kongen.
Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.
Personvernnemnda besto i 2018 av følgende personer:
Mari Bø Haugstad, leder | Personlig vara: Mats Wilhelm Ruland |
Bjørnar Borvik, nestleder | Personlig vara: Ellen Eikeseth Mjøs |
Line Coll | Personlig vara: Audhild Gregoriusdotter Rotevatn |
Ellen Økland Blinkenberg | Personlig vara: Heidi Talsethagen |
Gisle Hannemyr | Personlig vara: Torgeir Waterhouse |
Hans Marius Graasvold | Personlig vara: Maryke Silalahi Nuth |
Hans Marius Tessem | Personlig vara: Petter Bae Brandtzæg |
Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no, finnes mer informasjon om nemndas medlemmer.
2.4 Nemndas sekretariat
Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KMD. Frem til 30. april 2018 ble sekretariatsfunksjonen utført av juridisk seniorrådgiver Tonje Røste Gulliksens i 80 % stilling.
Fra 7. mai 2018 ble juridisk seniorrådgiver Anette Klem Funderud ansatt i 80 % stilling. Stillingsprosenten ble utvidet til 100 % fra 1. august 2018. Sekretariatet har egnede kontorer i departementsfellesskapet.
2.5 Årets aktiviteter
Personvernnemnda holder sine møter i Oslo. I 2018 holdt nemnda 10 møter. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.
I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretær er gjennomført.
I januar 2018 arrangerte nemnda et dagsseminar i Oslo for nemndas medlemmer og varamedlemmer med inviterte gjester og foredragsholdere fra Datatilsynet, Justisdepartementet og Kommunal- og moderniseringsdepartementet. Tema for seminaret var «GDPR – hva er de største endringene og hvordan vil det påvirke Personvernnemndas arbeid?». Seminaret ga nyttig faglig påfyll og nemnda vil vurdere tilsvarende aktivitet også i 2019 forutsatt at nemndas økonomi tillater det.
Som behandlingsansvarlig skal nemnda sørge for tilfredsstillende informasjonssikkerhet for personopplysninger som behandles for å ivareta hensynene til konfidensialitet, integritet og tilgjengelighet. Både saksbehandlingssystemet PVN intranett og www.personvernnemnda.no er underlagt streng tilgangskontroll, og det er i 2018 utarbeidet egne sikkerhetstiltak, sikkerhetsmål- og strategier.
Nemndas leder, sekretariat og databehandler har også hatt møte med Datatilsynet om informasjonssikkerhet og avklaring av rutiner for sikker dokumentutveksling mellom Datatilsynet og Personvernnemndas sekretariat.
Nemndas personvernombud ble utnevnt i 2018.
Nemnda deltok ikke på internasjonale konferanser i 2018, men både leder og sekretær deltok på ulike personvernkurs. Flere av nemndas medlemmer deltok også på ulike personvernkurs av eget tiltak, uten at dette medførte kostnader for nemnda.
2.6 Saksbehandlingen i Personvernnemnda
Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.
I 2018 har nemnda hatt 25 saker til behandling, hvorav 20 saker kom inn i 2018. Dette er på tilsvarende nivå som tidligere år. Nemnda holdt 10 møter i 2018, hvor 15 saker ble ferdigbehandlet. Én sak ble trukket fra nemndsbehandling. Fem vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i 8 saker, inkludert én sak som ble avvist. I én sak tilkjente nemnda klager dekning av sakskostnader. Saksbehandlingstiden var på 4,3 måneder mot 3,2 måneder i 2017.
Flere av sakene har vært prinsipielle og reist flere personvernrettslige problemstillinger. Dette har medført behov for å behandle flere saker over flere møter. Nemnda har i 2018 behandlet to saker som gjelder spørsmål om sletting av søketreff i søkemotoren Google (PVN-2017-17 og PVN-2018-07). Nemnda behandlet også én slik sak i 2017 og regner med at dette er en aktuell sakstype som kan dukke opp igjen. PVN-2018-11 er en prinsipiell avgjørelse som gjaldt krav om sletting av personopplysninger fra en personalmappe. Nemnda påpekte at fortsatt lagring, etter at slettingskrav er fremsatt, forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. PVN-2018-14 Legelisten.no, var en særlig omfattende og kompleks sak. Den ble behandlet over to møter i 2018, men ferdigstilt først i 2019.
Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.
Nemnda hadde ni uavsluttede saker ved årets slutt.
Tabell 2.1 Oversikt over Personvernnemndas saksavvikling de seks siste årene
2013 | 2014 | 2015 | 2016 | 2017 | 2018 | |
---|---|---|---|---|---|---|
Innkomne saker | 28 | 25 | 17 | 18 | 19 | 20 |
Avgjorte saker | 12 | 30 | 16 | 27 | 19 | 15 |
DTs vedtak opprettholdt | 8 | 18 | 6 | 16 | 11 | 6 |
DTs vedtak endret eller opphevet | 4 | 12 | 11 | 10 | 7 | 8 |
Endring i % | 33 % | 40 % | 69 % | 40 % | 37 % | 53% |
Saksbehandlingstid i gj.snitt (mndr) | 5,8 | 7,1 | 8,2 | 6,5 | 3,2 | 4,3 |
Nemnda har ikke mottatt nye klagesaker etter at ny personopplysningslov og GDPR trådte i kraft. Vi har derfor foreløpig begrenset erfaring med hva ny lovgivning vil si for saksmengden i nemnda.
2.7 Saker som ble behandlet i 2018
PVN-2017-14 Journalføring av talemelding og innsyn i logg
Klage på Datatilsynets avgjørelse om at kommunens journalføring av en talemelding var lovlig og at personopplysningsloven § 18 ikke gir rett til innsyn i loggen i kommunens saksbehandlingssystem. Dissens.
Nemnda fant at det var behandlingsgrunnlag i personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6, for journalføring av en talemelding en privatperson hadde lagt igjen på rådmannens telefonsvarer. Nemnda fant videre at den fortsatte lagringen av talemeldingen var i overensstemmelse med personopplysningsloven § 28. Nemnda vurderte klagers innsynsrett etter personopplysningsloven § 18. Nemnda fant det åpenbart at klager ikke kunne få innsyn i kommunikasjonen mellom Datatilsynet og kommunen, i og med at denne kommunikasjonen hadde skjedd muntlig. Når det gjaldt klagers krav om innsyn i loggen i kommunens saksbehandlingssystem var nemnda enig med Datatilsynet i at personopplysningsloven § 18 ikke ga hjemmel for slikt innsyn.
Når det gjaldt den videre forståelsen av hva klagen gjaldt, delte nemnda seg i et flertall og et mindretall. Nemndas flertall mente at verken faktum eller den innsendte klagen, ga grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14. Mindretallet vurderte klagen også etter disse bestemmelsene og fant at det forelå brudd på personopplysningsloven. Nemndas flertall konkluderte med at klagen over Datatilsynets avgjørelse ikke tas til følge. En samlet nemnd avviste klagen over saksbehandlingstiden.
PVN-2017-16 Kolbotn Bil
Klage på Datatilsynets vedtak om overtredelsesgebyr for publisering på Facebook av stillbilder fra kameraopptak.
Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av Kolbotn Bil AS selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75 000 til kr. 50 000.
PVN-2017-17 Sletting av søketreff Google
Klage på Datatilsynets avslag på anmodning om sletting av søketreff i Google. Dissens.
Søketreffet ledet til en artikkel fra Dagens Næringsliv som omtalte en dom fra Borgarting lagmannsrett hvor en advokat ble frikjent for økonomisk utroskap, men dømt for å ha medvirket til å gi uriktig forklaring til offentlig myndighet. Saken gjaldt sensitive personopplysninger og behandlingsgrunnlaget måtte etableres etter en interesseavveining, jf. nemndas tolkning av § 9 i PVN-2016-10. I interesseavveiningen benyttet nemnda kriteriene utformet av EU-domstolen i sak C-131/12 (Google/Costeja González), samt Artikkel 29-gruppens veiledende retningslinjer i 14/EN WP 225. Flertallet fant at Google hadde behandlingsgrunnlag for å behandle opplysningene og viste til Datatilsynets begrunnelse som flertallet var enig i. Etter flertallets syn kan ikke kravet om «korrekte og oppdaterte» opplysninger i personopplysningsloven § 11 bokstav e, forstås slik at formidling av historiske hendelser gjennom søkemotorindeksering mister behandlingsgrunnlag, fordi nye faktiske forhold har kommet til etter at den opprinnelige publiseringen av opplysningene fant sted, jf. direktiv 95/46 artikkel 6 punkt 1 bokstav d. Klagen ble ikke tatt til følge.
PVN-2017-18 Nobina Norge AS
Klage på Datatilsynets vedtak om ileggelse av overtredelsesgebyr for å ha sammenstilt GPS-data fra bussens billetteringssystem med en ansatt bussjåførs overtidsregistrering uten rettslig grunnlag og i strid med det opprinnelige formålet. Dissens.
Nemnda la til grunn at gjenbruk av innsamlede opplysninger til et annet formål enn hva de opprinnelig ble innsamlet for, ikke kan forankres alene i § 8 bokstav f eller alene i § 11 første ledd bokstav c. Bruken av opplysningene må ha grunnlag både i § 11 første ledd bokstav c og § 8 bokstav f, for å være lovlig, jf. Rt-2013-143. De ansatte hadde ikke samtykket til behandlingen og spørsmålet var om formålet med behandlingen var «uforenlig» med det opprinnelige formålet. Nemndas flertall la avgjørende vekt på at bruken av opplysningene lå innenfor de ansattes rimelige forventninger om hva opplysningene kunne brukes til. Bruken var drøftet med de tillitsvalgte og fremgangsmåten angitt i arbeidsmiljøloven § 9-1 og § 9-2 var fulgt. Nemndas flertall fant at behandlingen var nødvendig for å ivareta arbeidsgivers berettigede interesse, og at de registrertes interesse ikke oversteg denne interessen, jf. § 8 bokstav f. Mindretallet mente at informasjonen til de ansatte om den nye bruken av opplysningene til kontrollformål ikke var god nok og at bruken derfor var uforenlig med det opprinnelige formålet. Videre mente mindretallet at Nobina ikke har oppfylt den informasjonsplikten som følger av personopplysningsloven § 20. Klagen ble tatt til følge.
PVN-2018-01 Keolis Norge AS
Klage på Datatilsynets avgjørelse om ikke å foreta en realitetsvurdering i en påbegynt tilsynssak.
Etter anmodning fra Yrkestrafikkforbundet (YTF) åpnet Datatilsynet tilsynssak mot Keolis Norge AS. Tilsynssaken gjaldt Keolis' bruk av kameraopptak i en oppsigelsessak overfor en ansatt. Parallelt med tilsynssaken skulle oppsigelsessaken mellom den ansatte og Keolis behandles av tingretten, herunder spørsmålet om bruken av kameraopptakene var i henhold til personopplysningsloven. Tingretten konkluderte med at den ansatte måtte fratre sin stilling, og at bruken av de aktuelle kameraopptakene ikke var uforenlig med det opprinnelige formålet med kameraovervåkingen. Dommen ble anket til lagmannsretten, og saken ble senere hevet som forlikt etter rettsmekling. Med henvisning til ressurshensyn og at domstolens avgjørelse var bindende for sakens parter, avsluttet Datatilsynet saken etter at tingretten hadde avsagt dom, men før saken var behandlet i lagmannsretten. YTF klaget tilsynets avgjørelse inn for Personvernnemnda. Nemnda la til grunn at YTF hadde rettslig klageinteresse og at YTF ikke var avskåret fra å be om Datatilsynets vurdering av saken selv om den ansatte valgte å bringe oppsigelsessaken inn for domstolene. Ansettelsessaken for domstolene hadde ikke rettskraftsvirkning for den forvaltningsrettslige tilsynssaken hvor YTF var part. Nemnda viste til Datatilsynets ulike roller som ombud og tilsyn, og kom til at Datatilsynet ikke hadde adgang til å unnlate å ta stilling til den åpnede tilsynssakens realitet. Datatilsynets avgjørelse ble opphevet og saken ble sendt tilbake til tilsynet for realitetsbehandling.
PVN-2018-02 Sletting av personopplysninger i barnevernjournal
Klage over Datatilsynets avslag på krav om sletting av personopplysninger i barnevernjournal Dissens.
En privatperson ønsket slettet enkelte bekymringsmeldinger og journalnotater i hans datters barnevernjournal, jf. personopplysningsloven §§ 27 og 28. Nemndas flertall kom til at klagen ikke skulle tas til følge. En samlet nemnd mente det skulle være høy terskel for å fatte vedtak om sletting av personopplysninger i barnevernjournal. Nemndas flertall mente at personvernhensynene var tilstrekkelig ivaretatt gjennom sakens samlede fremstilling og fant at det ikke foreslå tungtveiende grunner til å fatte vedtak om sletting eller sperring etter personopplysningsloven, jf. nemndas tilsvarende vurderinger i PVN-2003-04 og PVN-2013-06. Nemndas flertall mente hensynet til behov for dokumentasjon måtte veie tyngre enn hensynet til at familien opplevde opplysningene som belastende. Nemndas mindretall fant at to journalnotater skulle sperres, jf. pol § 27 tredje ledd. Etter mindretallets syn dreide det seg om opplysninger av svært belastende karakter som mindretallet anså dokumentert uriktige.
PVN-2018-03 Nasjonalt tvillingregister – Behandlingsgrunnlag
Klage over Datatilsynets avslag på søknad fra Folkehelseinstituttet om endring av konsesjon til behandling av personopplysninger i Nasjonalt tvillingregister.
Datatilsynet avslo tre punkter i Folkehelseinstituttets søknad om å tillate overføring av nye helseopplysninger til Nasjonalt tvillingregister. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. På to av de påklagede punktene omgjorde nemnda Datatilsynets vedtak, og konkluderte med at det forelå samtykke til å overføre de aktuelle opplysningene til Nasjonalt tvillingregister, og dermed lovlig behandlingsgrunnlag. På det tredje punktet var nemnda enig med Datatilsynet i at Folkehelseinstituttet ikke hadde behandlingsgrunnlag i samtykkealternativet i GDPR artikkel 6 og artikkel 9, men måtte innhente nytt samtykke som fyller kravene i GDPR artikkel 4 nr. 11. Nemnda drøftet om det forelå annet gyldig behandlingsgrunnlag, men fant at GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9 ikke var lovlig behandlingsgrunnlag.
PVN-2018-04 Begjæring om innsyn
Klage fra en privatperson på Datatilsynets vedtak 5. desember 2017 om avslutning av sak om innsynsbegjæring.
En privatperson (A) klaget til Datatilsynet på at hans tidligere arbeidsgiver ikke hadde gitt ham innsyn i sine personopplysninger innen 30-dager, og da han fikk innsyn, mente han at opplysningene var mangelfulle, jf. personopplysningsloven §§ 16 og 18. Datatilsynet «avviste» saken med henvisning til at A, med tilsynets hjelp, hadde fått innsyn, og til prioriteringshensyn. Nemnda konstaterte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor ikke dreide seg som en prosessuell avvising, men om avslutning av saken etter en realitetsvurdering. Med henvisning til nemndas sak PVN-2017-09 la nemnda til grunn at Datatilsynet er gitt en relativt vid skjønnsmessig adgang til å vurdere om det, ut fra hensynet til personvernet, skal gis pålegg for å sikre at behandlingen av personopplysninger skjer i tråd med gjeldene regelverk. Selv om arbeidstakeren bare var gitt delvis innsyn, og at 30 dagers fristen var oversittet, delte nemnda Datatilsynets vurdering av at personvernhensynene var tilstrekkelig ivaretatt, og at saken ikke foranlediget ytterligere behandling fra Datatilsynets side, personopplysningloven §§ 42 og 46.
PVN-2018-05 EILO-registeret – Behandlingsgrunnlag
Klage fra Helse Bergen HF på Datatilsynets vedtak om avslag på søknad om endring av konsesjon for EILO- registeret (Exercise Induced Laryngeal Obstruction).
Datatilsynet avslo Helse Bergens søknad om endring av en konsesjon på grunn av manglende samtykke til å behandle helseopplysninger fra ungdom over 16 år, som var blitt registrert i registeret før fylte 16 år på grunnlag av samtykke fra foreldrene. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR), der konsesjonsordningen er erstattet med en plikt for den behandlingsansvarlige til å sørge for at behandlingen skjer i tråd med de nye personvernreglene. Nemnda var enig med Datatilsynet i at det ikke forelå gyldig samtykke til å behandle personopplysningene etter at de registrerte fylte 16 år. Nemnda kom til at Helse Bergen har behandlingsgrunnlag for EILO-registeret uten at det innhentes nye samtykker, jf. GDPR artikkel 6 nr. 1 bokstav f) og artikkel 9 nr. 2 bokstav j), jf. personopplysningsloven 2018 § 9.
PVN-2018-06 Begjæring om innsyn
Klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring. Dissens.
Saken gjelder klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.
PVN-2018-07 Sletting av søketreff i søkemotoren Google
Saken gjelder klage fra Google Inc./Google Norway på Datatilsynets vedtak 6. juni 2017 der Google fikk pålegg om sletting av søketreff i søkemotoren Google.
En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A's begjæring om slette et søketreff fra søkemotoren Google som inneholdt A's navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende.
Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A's navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.
PVN-2018-08 Begjæring om innsyn i politioperativt register – Avvisning av klage
Klage fra A på Datatilsynets beslutning 7. juli 2017 om avslutning av sak om innsynsbegjæring.
Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.
PVN-2018-09 Dekning av sakskostnader, jf. forvaltningsloven § 36
Krav om dekning av sakskostnader fra Nobina Norge AS, jf. forvaltningsloven § 36.
I Personvernnemndas sak PVN-2017-18 vurderte nemnda klage fra Nobina Norge AS over Datatilsynets vedtak 13. februar 2017, der Datatilsynet konkluderte med å ilegge Nobina et overtredelsesgebyr etter personopplysningsloven § 46. I Personvernnemndas vedtak 20. mars 2018 fikk Nobina Norge AS medhold i sin klage på Datatilsynets vedtak. I foreliggende sak tok nemnda stilling til om Nobina Norge AS skulle tilkjennes dekning av sakskostnader etter forvaltningsloven § 36. Advokaten hadde fremlagt en detaljert timeliste på totalt 14 timer. Nemnda la til grunn at vedtaket var endret til gunst for Nobina Norge AS, og kom frem til at forvaltningslovens vilkår om dekning av sakskostnader var oppfylt. Nemnda konkluderte med at kravet på 14 timer var rimelig, og tilkjente full dekning av sakskostnadene, jf. forvaltningsloven § 36.
PVN-2018-11-Sletting av personopplysninger i personalmappe
Saken gjelder klage fra A på Datatilsynets vedtak 16. november 2017 om avslag på begjæring om sletting av personopplysninger i personalmappe hos X.
En statlig arbeidstaker (A) hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i hans personalmappe. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det er behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.
PVN-2018-20 Anmodning om oppsettende virkning – Legelisten.no (beslutning)
Anmodning fra Legelisten.no om oppsettende virkning (utsatt iverksettelse) av deler av Datatilsynets vedtak 8. november 2017, jf. forvaltningsloven § 42. Det ene vedtakspunktet gjaldt dispensasjon fra konsesjonsplikten etter personopplysningsloven 2000. Ettersom konsesjonsplikten etter personopplysingsloven 2018 har falt bort, fant nemnda det ikke nødvendig å gi oppsettende virkning for dette vedtakspunktet. Nemnda vil imidlertid ta stilling til om Legelisten.no har behandlingsgrunnlag for sin behandling av personopplysninger ved realitetsbehandling av saken. Når det gjaldt utsatt iverksettelse av Datatilsynets vedtakspunkt om pålegg om sletting av e-postadressen til pasienter som har inngitt vurdering av helsepersonell på nettsiden Legelisten.no, hadde Legelisten.no anført at slettingen ville innebære en uopprettelig skade. Nemnda viste til at dersom Legelisten.no sin klageadgang på Datatilsynets vedtak skal være reell, var det grunnlag for å beslutte utsatt iverksettelse av dette vedtakspunktet i Datatilsynets vedtak.
2.8 Vurdering av fremtidsutsikter
Et stadig mer digitalisert samfunn hvor teknologien utvikles med stor hastighet innenfor nye områder kan sette personvernet til enkeltpersoner under press. Personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser for å møte utviklingen, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.
Gjennomføringen av GDPR i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er for tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det likevel lite sannsynlig at saksmengden vil gå ned. Med en omfattende og ny lovtekst er det nemndas vurdering at sakene blir mer komplekse.
Et moment som kan tilsi økt saksmengde er at nye regler medfører et økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.
Nemnda ser en tendens til at økt kompleksitet i saker medfører at parter i større grad benytter prosessfullmektig. Dette kan medføre en økning i krav om dekning av sakskostnader etter forvaltningsloven § 36, noe som vil påvirke nemndas budsjett dersom dette forutsettes dekket av Personvernnemndas midler.
Etter innføringen av GDPR er kravene til dokumentasjon for nemndas behandling av personopplysninger skjerpet, noe som medfører ekstra arbeid både for leder og sekretær også fremover. Større stillingsandel og økt kompetanse i sekretariatet er likevel forventet å redusere arbeidsbelastningen for de øvrige nemndsmedlemmene, særlig leder og nestleder.