2 Årsmeldinga til Personvernnemnda for 2022
2.1 Leders beretning
Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Personvernforordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Personopplysningsloven og personvernforordningens regulering av hvordan personopplysninger skal behandles, har stor betydning for enkeltpersoner, privat næringsliv og offentlig sektor. Datatilsynet er tilsynsmyndighet etter loven.
Personvernnemnda er klageorgan for Datatilsynets vedtak, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.
Året 2022 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2022 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.
Nemnda gjennomførte totalt åtte møter i 2022, hvorav ett av møtene gikk over to dager (juni). Møtene ble hovedsakelig gjennomført ved fysiske møter, med unntak av ett møte i januar 2022 som ble holdt digitalt av smittevernhensyn (koronavirus).
Nemnda behandlet totalt 19 saker i 2022, som er et noe lavere antall enn i 2021. Dette skyldes hovedsakelig at noen saker har vært store og/eller komplekse og at det var nødvendig å behandle sakene over flere møter. Sak PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier, er et eksempel på en stor og krevende sak. To saker som gjaldt spørsmål om sletting av søketreff i søkemotoren Google, PVN-2021-18 og PVN-2022-02 ble behandlet over henholdsvis tre og to nemndsmøter.
Også PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune – overtredelsesgebyr, er et eksempel på en stor og omfattende sak. Saken ble behandlet i tre nemndsmøter og ferdigstilt i januar 2023. Bakgrunnen for saken var at Østre Toten kommune i 2021 ble utsatt for et omfattende løsepengevirusangrep på sine IT-systemer. Hele den kommunale tjenesteleveransen, med få unntak, ble rammet i angrepet og betydelig mengder personopplysninger fra kommunens innbyggere kom på avveie. Nemnda opprettholdt Datatilsynets vedtak om å ilegge kommunen et overtredelsesgebyr på 4 000 000 kroner for brudd på personopplysningssikkerheten.
Advokat Line Coll ble i april 2022 løst fra sitt verv som medlem i Personvernnemnda, da hun i statsråd 22. april 2022 ble utnevnt som ny direktør i Datatilsynet. Nytt medlem av nemnda, advokat Malin Tønseth, ble oppnevnt til verv i Personvernnemnda allerede fra 20. mai 2022.
Nemnda er tilfreds med egen saksavvikling i 2022. Sakstypene dekker alle samfunnsområder og viser at personvern står sentralt og får økende aktualitet. Nemnda har fortsatt som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker.
Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte.
Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser fram til fortsatt spennende diskusjoner i 2023.
Oslo, 28. februar 2023
Mari Bø Haugstad
Leder
2.2 Administrative forhold, styring og kontroll i nemnda
Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og distriktsdepartementet (KDD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av personopplysningsloven 2018, regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.
Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der departementet klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.
Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig.
Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land (grenseoverskridende behandling) og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.
Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.
Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.
Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, www.personvernnemnda.no, i anonymisert form.
2.3 Regnskap og budsjett for 2022
Personvernnemnda finansieres over kap. 546, post 01, Personvernnemnda, i statsbudsjettet. Nemnda ble opprinnelig tildelt et budsjett på 2 634 000 kroner i 2022, men grunnet mindreforbruk ble Personvernnemndas bevilgning i 2022 redusert med 600 000 kroner, jf. Stortingets behandling av Prop. 23 S (2022–2023) for Kommunal- og moderniseringsdepartementet, jf. Innst. 131 S (2022–2023). Disponibel bevilgning for Personvernnemnda i 2022 ble etter dette 2 034 000 kroner. Totalt forbruk i 2022 var 1 885 732 kroner. Personvernnemnda disponerte sin bevilgning primært til lønns- og driftsutgifter til Personvernnemndas sekretariat, reiseutgifter og godtgjørelse til nemndas medlemmer, innkjøp av litteratur, tjenester (drift av nemndas nettsted og Intranett) samt deltakelse på kurs.
Mindreforbruket skyldes i hovedsak at nemnda avviklet færre møter i 2022 enn planlagt, samt at ett av møtene ble gjennomført digitalt uten reisekostnader. Nemnda hadde dessuten satt av noe midler til internseminar samt kurs og deltakelse på konferanser som ikke ble prioritert av hensyn til saksproduksjon og håndtering av arbeid som tilligger nemnda.
Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KDD. Alle utbetalinger godkjennes av departementet.
2.4 Nemndas medlemmer
Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas medlemmer og deres vararepresentanter er oppnevnt av Kongen.
Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid.
Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.
Personvernnemnda besto i 2022 av følgende personer:
Leder:
Sorenskriver Mari Bø Haugstad, Hamar
Personlig vara: Riksmekler og lagdommer Mats Wilhelm Ruland, Oslo
Nestleder:
Professor Bjørnar Borvik, Bergen
Personlig vara: Tingrettsdommer Gunn Elin Lode, Sandnes
Medlemmer:
Advokat Line Coll, Oslo (i perioden fra 1. januar til 22. april 2022)
Advokat Malin Tønseth, Oslo (fra 20. mai 2022)
Personlig vara: Rådgiver Eirik Løkke, Oslo
Overlege Ellen Økland Blinkenberg, Bergen
Personlig vara: Seniorrådgiver Heidi Talsethagen, Tromsø
Professor Morten Goodwin, Kristiansand
Personlig vara: Teknologidirektør Simen Sommerfeldt, Nordre Follo
Advokat Hans Marius Graasvold, Skien
Personlig vara: Fagdirektør personvern Maryke Silalahi Nuth, Oslo
Sivilingeniør Hans Marius Tessem, Gjøvik
Personlig vara: Seniorforsker Petter Bae Brandtzæg, Oslo
Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no, finnes mer informasjon om nemndas medlemmer.
2.5 Nemndas sekretariat
Personvernnemnda har et eget sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda. Sekretariatet, som består av én medarbeider, er administrativt ansatt i KDD.
Sekretariatsfunksjonen utføres av juridisk seniorrådgiver/sekretariatsleder Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet.
2.6 Årets aktiviteter
Personvernnemnda holder vanligvis sine møter i Oslo. I 2022 ble åtte møter gjennomført, de fleste fysisk. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.
I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretariatsleder ble holdt 2. mai 2022. Det ble der blant annet orientert om saksavviklingen i nemnda, økonomi/ressurssituasjonen og arbeidet med å utvikle nye nettsider.
2.7 Saksbehandlingen i Personvernnemnda
Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.
I 2022 har nemnda hatt 27 saker til behandling. Nemnda mottok 22 nye saker fra Datatilsynet og fem saker ble overført fra 2021.
Nemnda holdt åtte møter i 2022. På disse møtene ble 19 saker ferdigbehandlet. Ett vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i tre saker.
Saksbehandlingstiden var på 4,0 måneder. Åtte saker ble overført fra 2022 til behandling i 2023.
De fleste sakene ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene, i et samarbeid mellom leder og sekretariat og de øvrige medlemmene i nemnda.
Også i 2022 har sakene Personvernnemnda behandlet reist varierte problemstillinger. En sakstype som jevnlig dukker opp, er saker knyttet til kameraovervåking, både i virksomhet og privat. I 2021 behandlet nemnda dette saksfeltet i fire saker. I 2022 ble denne sakstypen behandlet i tre saker, PVN-2021-20, PVN-2021-22 og PVN-2022-06.
Saker knyttet til kredittvurderinger uten rettslig grunnlag og arbeidsgivers overvåking av arbeidstakers e-postkasse uten rettslig grunnlag er også sakstyper som går igjen. I både PVN-2022-03 og PVN-2022-14, tok nemnda stilling til hvorvidt behandlingsansvarlig hadde overtrådt personopplysningsloven, om overtredelsesgebyr skulle ilegges og størrelsen på gebyret.
I tillegg er sletting av søketreff på personnavn i søkemotoren Google en sakstype som dukker opp jevnlig, blant annet i PVN-2021-18 og PVN-2022-02. Nemnda foretar en konkret interesseavveining i hver sak der hensynet til den enkeltes personvern veies opp mot hensynet til informasjons- og ytringsfriheten og allmennhetens interesse i ha tilgang på informasjon ved søk på vedkommendes navn.
Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.
Nemnda hadde åtte uavsluttede saker ved årets slutt.
Tabell 2.1 Tabellen nedenfor viser saksavviklingen de seks siste årene.
2017 | 2018 | 2019 | 2020 | 2021 | 2022 | |
---|---|---|---|---|---|---|
Innkomne saker | 19 | 20 | 16 | 24 | 22 | 22 |
Avgjorte saker (realitetsbehandlet) | 19 | 15 | 20 | 17 | 26 | 19 |
DTs vedtak opprettholdt | 11 | 6 | 14 | 8 | 17 | 16 |
DTs vedtak endret eller opphevet | 7 | 8 | 5 | 8 | 7 | 3 |
Vedtaksendring i % | 37 % | 53 % | 25 % | 47 % | 27 % | 16 % |
Saksbehandlingstid i gj.snitt (mndr) | 3,2 | 4,3 | 5,6 | 2,3 | 3,0 | 4,0 |
2.8 Saker som ble behandlet i 2022
PVN-2021-18 Sletting av søketreff i søkemotoren Google
Klage fra A på Datatilsynets vedtak 17. august 2021 der Datatilsynet avslo krav om sletting av to søketreff i søkemotoren Google.
A, som søketreffene gjelder, ble i 2012 dømt til fengsel i fire år og seks måneder for blant annet grov korrupsjon. A ble også dømt til å betale erstatning til et annet selskap og fradømt retten til å drive selvstendig næringsvirksomhet på ubestemt tid. De straffbare handlingene foregikk i årene 2003 til 2010 og var knyttet til As rolle som styreleder og daglig leder i selskapet X AS. A krevde å få slettet søketreff i Google som ledet til avisartikler som omtalte straffesaken. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og at allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.
PVN-2021-19 Klage på Datatilsynets vedtak om at NAV ikke har behandlet personopplysninger ulovlig
Klage fra A på Datatilsynets vedtak 14. januar 2021 der Datatilsynet kom til at NAV ikke behandlet As personopplysninger ulovlig.
A kontaktet Datatilsynet fordi han mente at NAV hadde behandlet hans personopplysninger ulovlig i forbindelse med gjennomføringen av prosjektet «Forsøk med ny medisinsk vurdering etter seks måneders sykmelding». Forsøket ble hjemlet i en egen forskrift, med hjemmel i folketrygdloven § 25-13. A, som var en av fastlegene med pasienter som ble omfattet av forsøket, ble i vedtak fra NAV i april 2018 fratatt «retten til å praktisere for trygdens regning», jf. folketrygdloven § 25-7. I vedtaket var det også vist til medisinske journaler til pasienter som hadde deltatt i forsøket. A mente opplysninger innhentet gjennom forsøksprosjektet ikke kunne brukes til kontrollformål. Nemnda konkluderte med at innsamlingen av opplysningene i forbindelse med forsøket, måtte anses som en del av NAVs utøvelse av offentlig myndighet overfor NAVs brukere og at man ikke kunne anse forskning som det eneste formålet for innsamlingen av disse opplysningene. NAV har hjemmel i folketrygdloven til å behandle personopplysninger til kontrollformål, jf. folketrygdloven § 21-4. Selv om opplysningene opprinnelig var samlet inn for å gi pasienter riktig behandling, herunder gi en pasient sykmelding og rett til sykepenger, var en bruk av opplysningene til kontrollformål ikke uforenlig med det opprinnelige formålet. Nemnda sluttet seg til Datatilsynets vurdering om at NAVs behandling av personopplysninger om A var lovlig. Nemnda opprettholdt Datatilsynets vedtak
PVN-2021-20 Kameraovervåking i virksomhet – overtredelsesgebyr
Klage fra X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.
Salongen benyttet sanntidsmonitorert kameraovervåking i virksomhetens lokaler uten å ha rettslig grunnlag for overvåkingen i perioden fra februar/mars 2019 til kameraet sluttet å virke i august samme år. Kameraet filmet både ansatte og kunder. Nemnda la til grunn at kameraet ble brukt til å overvåke de ansatte og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Kameraovervåkingen var heller ikke tydelig skiltet. Nemnda kom til at den kontinuerlige overtredelsen var alvorlig og kritikkverdig, og at virksomheten skulle ilegges et gebyr for overtredelsen. Datatilsynet hadde ilagt selskapet et gebyr på 100 000 kroner. Nemnda mente at overtredelsens alvor i utgangspunktet tilsa et høyere gebyr. Under henvisning til forvaltningsloven § 34 ble det utmålte gebyret opprettholdt. Lang saksbehandlingstid var da også hensyntatt. Nemnda la til grunn at en samlet saksbehandlingstid på 2 ½ år var for lang sett hen til sakens mangel på kompleksitet. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier
Klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.
Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.
PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak
Klage fra A på Datatilsynets vedtak 4. oktober 2021 om å avslutte sak om ulovlig kameraovervåking hos nabo B fordi den hadde opphørt.
Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.
PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre
Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.
Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.
Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.
PVN-2022-02 Sletting av søketreff i søkemotoren Google
Klage fra Google LLC (Google) på Datatilsynets vedtak 30. april 2021 om sletting av tre søketreff i søkemotoren Google.
A, som søketreffene gjelder, ble i 2014 dømt til fengsel i 3 år og 10 måneder i USA for grovt bedrageri og forsøk på skatteunndragelse. A krevde å få slettet sju søketreff som kommer opp i søkemotoren ved søk på hans tidligere navn. Alle søketreffene leder til artikler i en nettavis som omtaler straffesaken i USA. Datatilsynet påla Google å fjerne tre av søketreffene, og la i vurderingen avgjørende vekt på at de tre søketreffene ga uriktig og misvisende informasjon om A og at dette utgjorde et stort inngrep i As personvern. Google klaget på Datatilsynets avgjørelse til nemnda. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda var ikke enig med Datatilsynet i at søketreffene ledet til avisartikler med uriktige opplysninger. Etter en samlet interesseavveining kom nemnda til at As protest ikke tas til følge og at det i dette tilfellet foreligger tvingende berettigede grunner som går foran As personvern, jf. personvernforordningen artikkel 21 nr. 1. Datatilsynets vedtak ble omgjort.
PVN-2022-03 Kredittvurdering uten rettslig grunnlag – overtredelsesgebyr
Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.
B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.
PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist
Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.
Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.
PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt
Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.
Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.
PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven
Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.
Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2022-07 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse
Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.
Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.
PVN-2022-08 Innsyn i elevmappe - klage på Datatilsynets vedtak om ikke å gi rett til ytterligere innsyn
Klage fra A på Datatilsynets vedtak 1. mars 2022 om at A ikke hadde krav på ytterligere innsyn etter personopplysningsloven, jf. personopplysningsloven § 16 første ledd bokstav e.
A ønsket innsyn i sønnens elevmappe på ungdomsskolen. Kommunen ga A delvis innsyn, men unntok noen av dokumentene fra innsyn fordi det var interne dokumenter, jf. offentleglova § 14. Statsforvalteren sluttet seg til kommunes vurdering. Kommunens personvernombud mente det var grunnlag for å unnta innsyn etter personopplysningsloven § 16 første ledd bokstav e. Nemnda la også til grunn at innsynsbegjæringen gjaldt opplysninger som framkommer i dokumenter utarbeidet for den interne saksforberedelsen i kommunen og som ikke er utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Datatilsynets vedtak ble opprettholdt.
PVN-2022-09 Klage på Datatilsynets nektelse av å etterkomme en anmodning - personvernforordningen artikkel 57 nr. 4
Klage fra A på Datatilsynets avgjørelse om å avvise en klage fordi anmodningen om bistand åpenbart er overdreven eller grunnløs.
Nemnda la til grunn at artikkel 57 nr. 4 gir tilsynet en snever adgang til å nekte å etterkomme en anmodning. Nektelsen ble ansett som et avvisningsvedtak som gir klagerett. Sett hen til henvendelsenes hyppighet, samt dokumentenes omfang og manglende relevans, hadde tilsynet i denne saken i tilstrekkelig grad godtgjort at As anmodninger var åpenbart overdrevne. Nemnda la vekt på at de framsatte klagene allerede var behandlet av en rekke instanser, herunder Helsetilsynet og statsforvalter, og at As personvern dermed var tilstrekkelig ivaretatt. Datatilsynet hadde hjemmel i artikkel 57 nr. 4 for å nekte å etterkomme anmodningene fra A. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2022-10 Sletting av uriktige personopplysninger hos NAV
Klage fra A på Datatilsynets vedtak 15. november 2021 om avslag på krav om sletting av personopplysninger hos NAV.
Nemnda la til grunn at NAV behandlet As personopplysninger lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav c og artikkel 8 nr. 2 bokstav h, jf. artikkel 9 nr. 3. Formålet med innsamling av personopplysningene var opprinnelig å behandle søknad om økonomisk sosialhjelp, og NAVs formål med fortsatt oppbevaring nå er begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge NAV å slette disse opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav c, og artikkel 17 nr. 3 bokstav d. A hadde fått oppfylt sin rett til retting etter personvernforordningen artikkel 16. Datatilsynets vedtak ble opprettholdt.
PVN-2022-11 Behandling av personopplysninger i barneverntjenesten – Datatilsynets kompetanse
Klage fra A på Datatilsynets avgjørelse om ikke å foreta undersøkelser i saken fordi den ligger utenfor Datatilsynets kompetanse eller ansvarsområde, jf. personvernforordningen artikkel 57 nr. 1 bokstav a.
Nemnda la til grunn at barneverntjenesten kan behandle opplysninger om barn og foreldre med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav e (utøve offentlig myndighet), samt artikkel 9 nr. 2 bokstav b (oppfylle sine forpliktelser på området sosialrett), i den grad dette er tillatt i henhold til nasjonal rett. Barnevernloven § 6-7 c gir barneverntjenesten en uttrykkelig hjemmel til å behandle personopplysninger. Nemnda var enig med Datatilsynet i at tilsynet ikke er rett tilsynsmyndighet når det gjelder å avgjøre hvem hos barneverntjenesten som har lovlig tilgang til klagers barnevernjournal. Det er statsforvalteren som i henhold til barnevernloven § 2-3 første ledd bokstav a skal føre tilsyn med at loven og forskriftene blir anvendt riktig og på en måte som fremmer lovens formål. Statsforvalteren hadde vurdert klagers henvendelse og konkludert med at de ulike ansattes innlogginger i klagers journal var lovlig og i tråd med reglene, jf. barnevernloven § 6-7, jf. forvaltningsloven § 13. Datatilsynet har ikke kompetanse til å overprøve denne avgjørelsen. Nemnda opprettholdt tilsynets avvisningsvedtak.
PVN-2022-12 Klage over Datatilsynets avvisning av sak på grunn av manglende klagerettigheter
Klage fra A på Datatilsynets vedtak om avvisning av klage på grunn av manglende klagerettigheter.
Nemnda tok stilling til hvilket handlingsrom tilsynet, når det mottar et varsel eller en klage på mulige brudd på personopplysningsloven, har med hensyn til å behandle en sak videre uten å behandle klager som part. Nemnda fant det forsvarlig av tilsynet å legge til grunn at As henvendelse var et generelt varsel om kommunens håndtering av personopplysninger, og at A ikke hadde partsstatus i tilsynssaken som ga henne klagerett. Nemnda viste til at en eventuell beslutning fra kommunens side om ikke å gi henne rett til innsyn og/eller sletting, ville kunne bringes inn for Datatilsynet til individuell behandling. Nemnda opprettholdt Datatilsynets avvisningsvedtak
PVN-2022-14 Overvåking av arbeidstakers e-postkasse uten rettslig grunnlag – overtredelsesgebyr
Klage fra X AS over Datatilsynets utmåling av overtredelsesgebyr på 100 000 kroner for å ha overvåket arbeidstakers e-postkasse uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f, for manglende vurdering av protester, jf. artikkel 21 og for manglende informasjon, jf. artikkel 13. Klagen gjelder også Datatilsynets pålegg om å utarbeide interne rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. artikkel 24.
Arbeidsgiver hadde foretatt ulovlig innsyn ved automatisk videresendelse av tidligere arbeidstakers e-post over en periode på seks uker. Arbeidstakeren ble ikke varslet om videresendingen og fikk ikke anledning til å uttale seg. Etter nemndas vurdering forelå det ikke brudd på artikkel 21 da arbeidsgiver hadde tatt protesten til følge. Nemnda var enig med Datatilsynet i at et gebyr på 100 000 kroner stod i et rimelig forhold til overtredelsen og virket tilstrekkelig avskrekkende. Ved gebyrfastsettelsen ble selskapets økonomi hensyntatt. Nemnda opprettholdt også tilsynets pålegg om å utbedre internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale
PVN-2022-16 Rekkevidden av rettspleielovunntaket
Klage fra A på Datatilsynets vedtak der tilsynet avviste saken under henvisning til personopplysningsloven § 2 andre ledd bokstav b.
Nemnda tok stilling til om rettspleielovunntaket også omfatter advokaters behandling av personopplysninger når de yter bistand i saker som behandles eller avgjøres i medhold av rettspleielovene, herunder ved deres oversendelse av personopplysninger i prosesskriv til private parter og valg av oversendelsesmåte. Nemnda viste til at rettspleielovunntaket er begrunnet i hensynet til en uavhengig rettspleie, samt at personvernet anses ivaretatt gjennom de alminnelige rettssikkerhetsgarantiene som rettspleielovene gir. Med henvisning til de uklarheter om rekkevidden av rettspleielovunntaket som kom til uttrykk i forarbeidene til personopplysningsloven 2018, departementets videreføring av tidligere rettstilstand og etablert forvaltningspraksis hos Datatilsynet, kom nemnda til at kommuneadvokatens behandling faller inn under rettspleielovunntaket. Nemnda opprettholdt Datatilsynets avvisningsvedtak
2.9 Vurdering av framtidsutsikter
I NOU 2022:11 Ditt personvern – vårt felles ansvar, tegner Personvernkommisjonen et bilde av en digitaliseringsprosess som preger alle samfunnssektorer. Det har medført at stadig flere personopplysninger samles inn, brukes og viderebrukes. Selv om samfunnsgevinstene i mange sammenhenger er stor peker Personvernkommisjonen på en gjennomgående tendens til at digitaliseringen skjer på bekostning av personvernet. Det tilsier behov for økt oppmerksomhet og økt styrking av personvernet framover.
Viktigheten av god data- og personopplysningssikkerhet har også blitt aktualisert ved at flere store norske virksomheter, både offentlige og private, de siste årene har vært utsatt for datainnbrudd med potensielt store konsekvenser for personvernet. Sak PVN-2022-13 Brudd på personopplysnings- og informasjonssikkerheten i Østre Toten kommune illustrerer hvor alvorlige konsekvenser et dataangrep kan få og hvor viktig det derfor er å ha robust infrastruktur og tilstrekkelig beskyttelse mot angrep utenfra. Samfunnets ivaretagelse og sikring av personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.
Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt for tidlig å si noe sikkert om. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det lite sannsynlig at saksmengden vil gå ned. Med økt digitalisering på alle samfunnsområder er det etter nemndas vurdering sannsynlig at sakene vil bli mer komplekse.
Som tidligere påpekt av nemnda vil nye regler også medføre økt behov for rettslige avklaringer, noe som må skje gjennom praksis. Det samme gjelder fastsettelse av nivå for ileggelse av overtredelsesgebyr. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og hva som er nødvendig ressursbruk.
Nemnda mottok 6. desember 2022 en ny klagesak fra Datatilsynet, PVN-2022-22. Saken gjelder klage fra Grindr LLC på Datatilsynets vedtak 13. desember 2021 der tilsynet ila Grindr LLC et overtredelsesgebyr på 65 000 000 kroner for ha utlevert personopplysninger til annonsepartnere uten gyldig rettslig grunnlag og for å ha utlevert særlige kategorier av personopplysninger til annonsepartnere. Saken er stor og omfattende og vil trolig legge vesentlige beslag på sekretariatets og nemndas ressurser i 2023.
Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.