2 Årsmelding 2020 Personvernnemnda
2.1 Leders beretning
Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.
Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.
Året 2020 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2020 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.
Koronavirus-pandemien påvirket nemndas arbeid i 2020. Smittevernhensyn og reiserestriksjoner har gjort at fysiske møter, kurs og seminarer ikke har latt seg gjennomføre. To møter ble avlyst på grunn av pandemien, ett i mars og ett i desember. De øvrige møtene ble gjennomført digitalt, noe som fungerte godt. Nemnda har, som mange andre virksomheter rundt i landet, erfart at videomøter er et godt alternativ, samtidig som fysiske møter med samtaler og diskusjoner ansikt til ansikt i noen sammenhenger er å foretrekke.
Nemnda er tilfreds med saksavviklingen i 2020 og har fortsatt som mål å skrive faglig gode vedtak som kan gi veiledning for senere tilsvarende saker.
Personvernnemnda er faglig bredt sammensatt. Dette er viktig for å sikre at de interesseavveiningene som skal gjøres hensyntar ulike samfunnshensyn på en god måte. Nemnda har mange spennende faglige diskusjoner med engasjerte nemndsmedlemmer på sine møter og vi ser fram til fortsatt spennende diskusjoner i 2021.
Oslo, 2. februar 2021
Mari Bø Haugstad
Leder
2.2 Administrative forhold, styring og kontroll i nemnda
Personvernnemnda er et uavhengig kollegialt forvaltningsorgan administrativt underlagt Kongen og Kommunal- og moderniseringsdepartementet (KMD). Nemnda ble etablert 1. januar 2001, med hjemmel i lov om behandling av personopplysninger (14. april 2000 nr. 31) og er, etter ikrafttredelsen av ny personopplysningslov i 2018 regulert av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) § 22. Nemnda har et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.
Personvernnemndas virksomhet er regulert i personopplysningsloven § 22, personopplysningsforskriften §§ 3 og 4 (forskrift 15. juni 2018 nr. 876) og økonomi- og saksbehandlingsinstruks 23. oktober 2018 der KMD klargjør nemndas oppgaver og ansvar, samt har satt administrative rammer for nemndas virksomhet. Forvaltningsloven og offentlighetsloven kommer også til anvendelse for nemndas virksomhet, som for forvaltningen for øvrig.
Departementets instruks gjelder administrative forhold. Departementet kan ikke instruere om lovtolkning eller skjønnsutøvelse i enkeltsaker.
Nemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt, jf. personopplysningsloven § 22. Datatilsynet er tilsynsmyndighet etter personopplysningsloven, samt etter flere særlover, f.eks. helseregisterloven, helseforskningsloven og politiregisterloven m.m. Nemnda behandler ikke klager over Datatilsynets vedtak i saker som berører behandlingsansvarlige eller registrerte i flere EU-/EØS-land og som skal behandles etter de særlige reglene i personvernforordningen artikkel 60 til 66.
Nemnda treffer sine vedtak ved alminnelig flertall og er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar. Nemndas vedtak er endelige forvaltningsvedtak og kan ikke overprøves gjennom forvaltningsklage. Spørsmål om gyldigheten av Personvernnemndas vedtak kan bringes inn for domstolene, jf. personopplysningsloven § 25 annet ledd. Søksmål rettes mot staten v/Personvernnemnda.
Personvernnemndas nettsted, www.personvernnemnda.no, og nemndas elektroniske saksbehandlingssystem, PVN intranett, er utviklet av Hannemyr Nye Medier AS. Personvernnemnda har databehandleravtale med Hannemyr Nye Medier om å drifte disse tjenestene.
Personvernnemnda orienterer departementet årlig om behandlingen av klagesakene gjennom sin årsmelding. Nemndas vedtak publiseres på lovdata.no og på nemndas nettside, personvernnemnda.no, i anonymisert form.
2.2.1 Regnskap og budsjett for 2020
Personvernnemnda finansieres over kap. 546 Personvernnemnda i statsbudsjettet. Nemnda hadde et budsjett på 2 683 000 kroner i 2020. Totalt forbruk i 2020 var 1 799 277 kroner. Personvernnemnda disponerte sin bevilgning til arbeidsgodtgjørelse og reisegodtgjørelse til nemndas medlemmer, lønn til sekretariat, innkjøp av litteratur, tjenester samt deltakelse på digitale kurs.
Avtaler og anskaffelser som pådrar nemnda økonomiske forpliktelser inngås av Personvernnemndas leder, eller sekretariatet etter fullmakt fra leder. Budsjettdisponeringsfullmakt for kap. 546 ligger i KMD. Alle utbetalinger godkjennes av departementet.
Nemnda har i 2020 et forbruk under budsjett på ca. 880 000 kroner. Underforbruket skyldes hovedsakelig at nemnda, på grunn av pandemien, har avviklet færre møter i 2020 enn planlagt, samt at møtene har vært gjennomført som digitale møter. Nemnda hadde også avsatt en del midler til kurs og konferanser som ikke ble noe av i 2020, også grunnet korona-situasjonen.
2.3 Nemndas medlemmer
Personvernnemnda har sju faste medlemmer som blir oppnevnt for fire år med adgang til gjenoppnevning for ytterligere fire år. Hvert medlem har sin personlige vara. Nemndas leder og nestleder og deres vararepresentanter er oppnevnt av Stortinget. Nemndas øvrige fem medlemmer og deres vararepresentanter er oppnevnt av Kongen.
Samtlige medlemmer utfører nemndsoppgavene som et verv ved siden av ordinært arbeid. Nemndas medlemmer, som er bosatt i hele landet, trer sammen i møter ca. en gang pr. måned.
Personvernnemnda besto i 2020 av følgende personer:
Leder:
Kst. sorenskriver Mari Bø Haugstad, Hamar
Personlig vara: Riksmekler og lagdommer Mats Wilhelm Ruland, Oslo
Nestleder:
Professor Bjørnar Borvik, Bergen
Personlig vara: Advokat Ellen Eikeseth Mjøs, Bergen
Medlemmer:
Advokat Line Coll, Oslo
Personlig vara: Dekan Audhild Gregoriusdotter Rotevatn, Volda
Overlege Ellen Økland Blinkenberg, Bergen
Personlig vara: Seniorrådgiver Heidi Talsethagen, Tomasjord
Universitetslektor Gisle Hannemyr, Oslo
Personlig vara: Direktør Torgeir Waterhouse, Oslo
Advokat Hans Marius Graasvold, Skien
Personlig vara: Fagdirektør personvern Maryke Silalahi Nuth, Oslo
Sivilingeniør Hans Marius Tessem, Gjøvik
Personlig vara: Seniorforsker Petter Bae Brandtzæg, Oslo
Personvernnemndas medlemmer er sammensatt med variert kompetanse. Nemndas leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap. På Personvernnemndas nettsted, www.personvernnemnda.no, finnes mer informasjon om nemndas medlemmer.
2.4 Nemndas sekretariat
Personvernnemndas sekretariat, som består av én medarbeider, er administrativt ansatt i KMD. Sekretariatsfunksjonen utføres av juridisk seniorrådgiver/sekretariatsleder Anette Klem Funderud i 100% stilling. Sekretariatet har egnede kontorer i departementsfellesskapet, men har fra mars 2020 hovedsakelig utført arbeidet fra hjemmekontor.
2.5 Årets aktiviteter
Personvernnemnda holder vanligvis sine møter i Oslo. I 2020 ble åtte møter gjennomført, de fleste digitalt. Møtene ble i hovedsak benyttet til å behandle klagesaker, men også administrative forhold ble behandlet.
I tillegg til nemndsmøter har det vært møter og løpende kontakt mellom sekretariatet og nemndas leder om saksutredningen og om nemndas virksomhet, herunder praktiske, administrative og økonomiske forhold. Årlig kontaktmøte mellom departementet og nemndas leder og sekretariatsleder er gjennomført.
Nemnda deltok ikke på internasjonale konferanser i 2020.
2.6 Saksbehandlingen i Personvernnemnda
Nemnda behandler klager fra privatpersoner, bedrifter, statlige, kommunale og fylkeskommunale organer. De personvernrettslige problemstillingene som reises må ofte ses i sammenheng med andre rettsområder, som forvaltningsrett, helserett, og ikke minst privatrettslige regler og avtaler. Sakene har gjennomgående stor betydning både for privatliv, kommersiell og offentlig virksomhet.
I 2020 har nemnda hatt 27 saker til behandling (tre saker overført fra 2019), mot 25 saker året før (da ni saker ble overført fra 2018). Nemnda mottok med andre ord 24 nye saker fra Datatilsynet i 2020, mot 16 saker året før. Det er en økning i sakstilfanget på 50%.
Nemnda avholdt åtte møter i 2020, som var to møter mindre enn planlagt. På disse møtene ble 17 saker ferdigbehandlet. Én sak ble trukket fra nemndsbehandling. Ett vedtak ble avsagt med dissens. Klagebehandlingen medførte endring av Datatilsynets vedtak i ni saker, inkludert én sak som ble avvist. Saksbehandlingstiden var på 2,3 måneder mot 5,6 måneder i 2019. Samtidig er restansene i 2020 på samme nivå som i 2019. Ni saker ble også i 2020 overført til behandling i 2021.
De fleste sakene ble behandlet og avsluttet med et endelig vedtak etter én nemndsbehandling. Dette skyldes at sakene var godt forberedt før møtene, i et samarbeid mellom leder og sekretariat og de øvrige medlemmene i nemnda.
Sakene Personvernnemnda har behandlet i 2020 har reist varierte og til dels nye problemstillinger. Eksempler på nye problemstillinger er sakene i PVN-2020-11 og PVN-2020-12. I PVN-2020-11 tok nemnda stilling til hvorvidt Datatilsynets irettesettelse overfor den behandlingsansvarlige etter personvernforordningen artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. I PVN-2020-12 vurderte nemnda forholdet mellom ekomloven og personopplysningsloven og tok stilling til hvilken plikt behandlingsansvarlige har til å gi Datatilsynet den informasjonen tilsynet har etterspurt uavhengig av om opplysningene som ble behandlet var regulert av ekomloven eller ikke. Også i 2020 har nemnda behandlet to saker som gjaldt spørsmål om sletting av søketreff i Google (PVN-2020-08 og PVN-2020-14).
En annen sakstype som jevnlig dukker opp er saker med krav om sletting av personopplysninger fra ulike registre eller saksmapper, som elevmapper, journaler og personalmapper eller barnevernsaker. Dette saksfeltet er omhandlet i PVN-2020-05, PVN-2020-06, PVN-2019-16 og PVN-2020-10, som alle er behandlet av nemnda i 2020.
Spørsmålet om lovligheten av privat kameraovervåkning er også en sakstype som nemnda mottar flere saker av. Nemnda mottok i 2020 tre slike saker, PVN-2020-01, PVN-2020-11 og PVN-2020-20, hvor de to første ble behandlet av nemnda i 2020.
Nemnda vil også trekke fram en viktig sak som gjaldt kommunenes behandling av personopplysninger i kartleggingsverktøyet Spekter, som mange skoler bruker for å kartlegge mobbing i skolene. I PVN-2020-13 tok nemnda blant annet stilling hvorvidt Arendal kommune har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A for å bruke det digitale kartleggingsverktøyet Spekter.
Oversikt over vedtakene, samt vedtakene i sin helhet (i anonymisert form), er publisert på Personvernnemndas hjemmeside. I tillegg er vedtakene publisert på lovdata.no.
Nemnda hadde ni uavsluttede saker ved årets slutt.
Tabell 2.1 Tabellen nedenfor viser saksavviklingen de seks siste årene.
2015 | 2016 | 2017 | 2018 | 2019 | 2020 | |
---|---|---|---|---|---|---|
Innkomne saker | 17 | 18 | 19 | 20 | 16 | 24 |
Avgjorte saker (realitetsbehandlet) | 16 | 27 | 19 | 15 | 20 | 17 |
DTs vedtak opprettholdt | 6 | 16 | 11 | 6 | 14 | 8 |
DTs vedtak endret eller opphevet | 11 | 10 | 7 | 8 | 5 | 8 |
Vedtaksendring i % | 69 % | 40 % | 37 % | 53% | 25% | 47% |
Saksbehandlingstid i gj.snitt (mndr) | 8,2 | 6,5 | 3,2 | 4,3 | 5,6 | 2,3 |
2.7 Saker som ble behandlet i 2020
PVN-2019-14 Arbeidsgivers innsyn i e-post
Klage fra A og B på Datatilsynets vedtak 11. februar 2019 der tilsynet konkluderte med at det ikke var foretatt ulovlig innsyn i As og Bs e-poster og at Bs Teamviewer-konto ikke var benyttet i strid med regelverket.
A var ansatt og B var innleid konsulent i selskapet X AS. A og B ble utleid fra X AS for å utføre oppdrag for Y AS. Ved en fisjon av selskapet Y AS ble den delen som A og B var utleid til lagt til X AS. Etter at A sa opp sin stilling og B avsluttet sitt oppdragsforhold, foretok X AS innsyn i A og Bs e-poster både med X og Ys domenenavn. Nemnda kom til at X AS hadde rettslig adgang til å foreta innsyn i A og B's e-postkasser og at innsynene i e-postkassene var nødvendig for å ivareta virksomhetens berettigede interesser. Videre mente nemnda at C, som deltok under innsynsforretningene på vegne av X AS da han var daglig leder i et tredje selskap, hadde fullmakt til å foreta innsynene i e-postkassene på vegne av X AS. Nemnda var også enig med tilsynet i at det ikke var grunnlag for å si at Teamviewer-kontoen ble benyttet i strid med regelverket. Nemnda opprettholdt Datatilsynets vedtak om at det ikke hadde skjedd brudd på personopplysningsloven.
PVN-2019-15 Kredittvurdering uten saklig behov - overtredelsesgebyr
Klage fra X Advokatfirma på Datatilsynets vedtak 6. mai 2019 om ileggelse av overtredelsesgebyr på 75 000 kroner for å ha foretatt kredittvurdering av et enkeltpersonforetak uten saklig behov.
A kontaktet Datatilsynet 6. juni 2017 etter å ha mottatt flere brev fra kredittopplysningsbyrået Bisnode om at X Advokatfirma hadde kredittvurdert hans enkeltpersonforetak, Y Advokatkontor. A mente X ikke hadde saklig behov for slik kredittsjekk. X bestred at advokatfirmaet har kredittvurdert enkeltpersonforetaket og viste til at de heller ikke hadde saklig grunn for det. X mente kredittvurderingene skyltes en systemsvikt hos Bisnode. Datatilsynet kom fram til at det var klar sannsynlighetsovervekt for at X foretok kredittvurderingene av As enkeltpersonforetak og ila et overtredelsesgebyr på 75 000 kroner. X Advokatfirma klaget vedtaket inn for nemnda. Nemnda fant det klart sannsynliggjort at det var foretatt kredittvurdering uten saklig behov og opprettholdt Datatilsynets vedtak om å ilegge overtredelsesgebyr på 75 000 kroner, jf. personopplysningsloven 2000 § 4.
PVN-2019-16 Sletting av personopplysninger i personalmappe
Saken gjelder klage fra A på Datatilsynets vedtak 7. mai 2019 der tilsynet avslo kravet om sletting av opplysninger i As personalmappe.
Opplysningene var knyttet til en hendelse i mai 2009 hvor A ble gitt en skriftlig tilrettevisning av arbeidsgiver. Nemnda la til grunn at det aktuelle behandlingsgrunnlaget for lagringen er personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda skal ikke vurdere grunnlaget for at tilrettevisningen opprinnelig ble gitt, men skal vurdere nødvendigheten av fortsatt lagring etter at den registrerte har protestert, jf. personvernforordningen artikkel 21 nr. 1. Nemnda la til grunn at det er arbeidsgiver som har bevisbyrden for at fortsatt lagring er nødvendig og at det i dette ligger at arbeidsgiver må påvise konkrete og reelle forhold som tilsier at det foreligger «tvingende berettigede grunner», jf. også PVN-2018-11. Alvorlighetsgraden av den aktuelle hendelsen som har resultert i tilrettevisningen er da av betydning for arbeidsgivers behov for fortsatt lagring. Det samme er tiden som har gått siden den aktuelle hendelsen fant sted, og om det har vært nye hendelser senere. Nemnda konkluderte med at det ikke forelå tvingende berettigede grunner for fortsatt lagring. Det var registrert én ny tilrettevisning etter den tilrettevisningen saken gjaldt, men den gjaldt et helt annet type forhold enn hendelsen i 2009, som hadde sammenheng med en stor personlig krise. Arbeidsgiver ble pålagt å slette alle personopplysninger fra As personalmappe knyttet til den aktuelle tilrettevisningen.
Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.
PVN-2020-01 Kameraovervåking på privat eiendom
Klage fra A og B på Datatilsynets vedtak 5. mai 2018 der tilsynet konkluderte med at kameraovervåkingen på C's eiendom har et privat formål, og at det ikke foreligger brudd på personopplysningsloven.
A og B klaget over to kameraer på naboens (Cs) eiendom som de mente overvåket dem. Tilsynet konkluderte med at kameraene ikke fanget opp klagernes eiendom og at personopplysningsloven ikke var brutt. Da nemnda fikk saken til behandling hadde C flyttet og det ene kameraet var fjernet. Nemnda la til grunn at C ikke lenger var å anse som part, jf. forvaltningsloven § 2 e, og at saken når det gjaldt C ikke lenger var aktuell. Nemnda kom til at saken kunne behandles uten at ny eier ble brakt inn som part i saken, fordi nemnda la til grunn at det ikke var sannsynliggjort brudd på personopplysningsloven forbundet med det gjenværende kameraet. Nemnda la til grunn at tilsynet hadde foretatt en forsvarlig behandling av saken. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at det monterte kameraet fanget opp områder utenfor husets egen tomt og at behandlingen dermed var omfattet av unntaket for lovens virkeområde i personopplysningsloven § 2 andre ledd bokstav a. Nemnda opprettholdt tilsynets vedtak. Saken har tidligere vært behandlet av nemnda i PVN-2016-03.
PVN-2020-02 Sletting av personopplysninger på Tilsynsrådets nettside
Klage fra A på Datatilsynets vedtak 2. oktober 2019 der Datatilsynet avslo kravet om å pålegge Tilsynsrådet for advokatvirksomhet (Tilsynsrådet) å slette publiserte personopplysninger på sin nettside.
As advokatbevilling ble tilbakekalt av Advokatbevillingsnemnden i 2011. Tilsynsrådet mottok meldinger om at A fortsatt drev advokatvirksomhet og publiserte i oktober 2018 et varsel dette på sin nettside. Nemnda la til grunn at Tilsynsrådets behandling av personopplysninger ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b, og at Tilsynsrådets behandling av personopplysninger om A har behandlingsgrunnlag i personvernforordningen artikkel 6 nr. l bokstav e, jf. domstolloven § 225 og advokatforskriften § 1-3 og § 4-5. Nemnda la til grunn at de publiserte opplysningene er korrekte og nødvendig oppdaterte, og at publiseringen av varselet både er nødvendig og proporsjonalt for formålet. Nemnda sluttet seg til Datatilsynets konklusjon om at det foreligger tvingende eller tungtveiende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 17 nr. 1 bokstav c, jf. artikkel 21 nr. 1.
PVN-2020-03 Saken er trukket av klager
PVN-2020-04 Påstand om mangelfull informasjon fra energiselskap - klage på Datatilsynets avslutning av sak
Klage fra A på Datatilsynets vedtak 29. april 2019 om å avslutte behandlingen av en sak uten å gi pålegg.
A mente hun hadde fått mangelfull informasjon fra Midt-Telemark Energi i forbindelse med innføringen av avanserte måle- og styringssystemer, omtalt som smarte strømmålere. Norske nettselskap ble pålagt å installere smarte strømmålere i alle målepunkt i sitt konsesjonsområde innen 1. januar 2019. A ba Datatilsynet om bistand til å få informasjon fra Midt-Telemark Energi AS i henhold til EUs personvernforordning. Tilsynet mente at A har fått slik informasjon som personvernforordningen pålegger virksomheten å gi ut, og avsluttet saken uten å gi pålegg eller foreta ytterligere undersøkelser. I likhet med tilsynet la nemnda til grunn at A har fått slik informasjon som personvernforordningen pålegger den behandlingsansvarlige å gi, jf. artiklene 12, 13 og 14. Nemnda mente at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt og at tilsynets avslutning av saken uten ytterligere undersøkelser var forsvarlig og i tråd med loven.
PVN-2020-05 Sletting av personopplysninger i elevmappe
Saken gjelder klage fra X kommune på Datatilsynets vedtak 20. august 2019 der Datatilsynet påla kommunen å slette personopplysninger i elevmappen til A.
En barneskole sendte en bekymringsmelding til kommunens barne- og familietjeneste vedrørende eleven A. Opplysningene knyttet til bekymringsmeldingen ble lagret i As elevmappe i saksbehandlingssystemet ESA Sikker. Barneverntjenesten henla saken uten å iverksette tiltak. Foreldrene ba skolen om å slette alle opplysninger knyttet til bekymringsmeldingen fra elevmappen da A skulle over til ungdomsskolen. Kommunen avslo kravet om sletting, men sperret de aktuelle dokumentene slik at de ikke var tilgjengelige for ansatte. Nemnda tok ikke stilling til om det blant opplysningene som var krevd slettet også var opplysninger som er arkivpliktig etter arkivloven, jf. Riksarkivarens forskrift § 7-28. Nemnda kom til at unntaket for sletteplikt i personvernforordningen artikkel 17 nr. 3 bokstav d uansett kom til anvendelse. Etter nemndas vurdering er fortsatt lagring av opplysningene i elevmappen nødvendig for arkivformål i allmennhetens interesse og sletting av opplysningene vil gjøre det umulig eller i alvorlig grad hindre at målene med nevnte behandling nås. Målene med fortsatt lagring av opplysningene er å sikre at opplysningene ikke blir kassert før rettslige og forvaltningsmessige dokumentasjonsbehov er bortfalt. Det foreligger tvingende berettigede grunner for fortsatt oppbevaring av de aktuelle opplysningene i kommunens arkiv, som går foran den registrertes interesser, rettigheter og friheter, jf. artikkel 21 nr. 1. Nemnda omgjorde Datatilsynets vedtak.
PVN-2020-06 Sletting av personopplysninger i kommunal journal
Saken gjelder klage fra A på Datatilsynets vedtak 16. januar 2020 der tilsynet avslo kravet om sletting av personopplysninger i to journaler hos vedtakskontoret for helse- og omsorgstjenester i X kommune.
A søkte om kommunale helse- og omsorgstjenester som følge av psykiske plager. Kommunen utarbeidet journalnotater med vurderinger av As oppfølgingsbehov. A anmodet om sletting av flere opplysninger. Kommunen imøtekom delvis slettekravet, men avslo å slette notatene i to journaler fra 2014 og 2017 under henvisning til at det var arkivpliktig materiale. A fikk anledning til å supplere journalnotatetene slik at det framkommer hva hun mener er feil. Nemnda mente at kommunen med dette har ivaretatt sin plikt til dataminimering. Nemnda la til grunn at formålet med innsamling av opplysningene opprinnelig var knyttet til kommunens behandling av As søknad om kommunale helse- og omsorgstjenester og at formålet med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene om arkivverdig materiale arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste videre til Riksarkivarens forskrift hvor det er fastsatt hvilke sakstyper som ikke kan slettes, men skal bevares for ettertiden og ikke kasseres. Nemnda kunne derfor ikke pålegge kommunen å slette disse opplysningene, jf. personvernforordningen § 17 nr. 3 bokstav b, jf. arkivlova § 9 bokstav d, og personvernforordningen artikkel 17 nr. 3 bokstav d. Nemnda opprettholdt Datatilsynets vedtak.
PVN-2020-07 Klage over valg av reaksjon ved konstatert brudd på personopplysningssikkerheten - avvisning av klage
Saken gjelder klage fra A og B på Datatilsynets avgjørelse 20. januar 2020 der Datatilsynet avsluttet en sak fra X kommune om brudd på personopplysningssikkerheten uten å gi pålegg eller ilegge overtredelsesgebyr.
A og B sendte et høringssvar i en sak etter plan- og bygningsloven der de vedla et dokument med konfidensielle helseopplysninger om A. Setningen med de konfidensielle opplysningene var sladdet av A før innsendelse, men teksten var likevel synlig. Dokumentet ble publisert på kommunens offentlige saksliste, via kommunens nettsted. A kontaktet kommunen som umiddelbart fjernet dokumentet fra nettstedet. Personvernombudet sendte avviksmelding om hendelsen til Datatilsynet. A kontaktet også Datatilsynet og viste til kommunens brudd på personvernforordningen, samt fremsatte krav om erstatning. Datatilsynet avsluttet avvikssaken overfor kommunen uten å gi pålegg eller ilegge sanksjoner. Datatilsynet avsluttet også saken overfor A og B og viste til at saken var avsluttet overfor kommunen og at de iverksatte tiltakene var vurdert som tilstrekkelige. Datatilsynet orienterte om at et eventuelt erstatningskrav må fremmes for domstolene. A og B klaget til nemnda på Datatilsynets avgjørelse. Klagen ble avvist av Personvernnemnda. I likhet med Datatilsynet henviste nemnda til domstolene som rett instans for erstatningskravet. I tillegg kom Personvernnemnda til at Datatilsynets avgjørelse om å avslutte avvikssaken – etter å ha konstatert brudd – men uten å ilegge sanksjoner eller pålegg, ikke er et enkeltvedtak som kan påklages av A og B, jf. forvaltningsloven § 2 første ledd. Valg av reaksjon er ikke en avgjørelse som retter seg mot A og B og er heller ikke bestemmende for deres rettigheter og plikter.
PVN-2020-08 Sletting av søketreff i søkemotoren Google
Klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av treff i søkemotoren Google.
Saken gjelder klage fra A på Datatilsynets vedtak 18. november 2019 der tilsynet avslo anmodningen om bistand til sletting av søketreff i søkemotoren Google. Søketreffene A krevde slettet ledet hovedsakelig til flere avisartikler som omtalte en straffesak mot A i 2014 der han ble domfelt for flere straffbare forhold. A ble i samme dom dømt til å betale erstatning og ilagt kontaktforbud mot flere personer. Handlingene han ble domfelt for var knyttet til As rolle et turoperatørselskap hvor A var eier og daglig leder. Ett søketreff A krevde slettet leder til en avisartikkel fra 2003 som omtaler As erstatningssøksmål mot en avis. Nemnda tok utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 av 13. mai 2014, og G.C. & Others v CNIL C-136/17 av 24. september 2019. Det forbudet og de restriksjoner som følger av GDPR artikkel 10 må tolkes i lys av de særlige forhold som gjør seg gjeldende for søkemotortilbyderens behandling av personopplysninger. En anmodning om sletting av søketreff må avgjøres på grunnlag av en interesseavveining (en nødvendighetsvurdering) der hensynet til personvernet skal veies mot hensynet til ytrings- og informasjonsfriheten. Den samme tilnærmingsmåten er kommet til uttrykk i personvernforordningen artikkel 17 som i nr. 3 anerkjenner en begrensning i retten til å få slettet personopplysninger av hensyn til ytrings- og informasjonsfriheten, selv om behandlingen f.eks. mangler behandlingsgrunnlag. Etter en samlet vurdering kom en enstemmig nemnd til at hensynet til informasjons- og ytringsfriheten veier tyngst når det gjaldt de fleste søketreffene som omtalte dommen fra 2014 og at disse søketreffene ikke skulle slettes. A fikk derimot medhold i kravet om sletting av søketreffet som ledet til avisartikkelen fra 2003, da artikkelen er svært gammel og ikke gir informasjon av betydning utover det som følger av de øvrige søketreffene som Google fortsatt vil ha rett til å presentere i den strukturerte oversikten over informasjon som framkommer ved et navnesøk på A.
PVN-2020-09 Behandling av personopplysninger i AutoPASS
Klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven.
A klaget over at bompengeselskapet får lagre passeringsdata i fem år, samt at selskapet kan kreve at kundene registrerer sitt mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte tjenesten «Min side». Datatilsynet hadde i sitt vedtak lagt til grunn at det i utgangspunktet var Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med personvernforordningen. Personvernnemnda var uenig i dette og påpeker at det er Datatilsynets oppgave, som uavhengig tilsynsorgan, å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Nemnda la til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) gir behandlingsgrunnlag for å lagre opplysningene i denne tiden. Nemnda var uenig med tilsynet i at det forelå gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle en avtale) for å kreve registrering av As telefonnummer for å inngå avtale om AutoPASS-brikke eller for å benytte tjenestene på «Min side». Selv om manglende telefonnummer vil kunne gi en noe dårligere kundebehandling, må det være opp til kunden selv å velge dette. Nemnda la også vekt på at kundeforholdet med et bompengeselskap, for alle som kjører bil, skiller seg fra andre kundeforhold hvor det i langt større grad er frivillig om man ønsker å bli kunde eller ikke.
PVN-2020-10 Sletting av personopplysninger i barnevernssak
Klage fra A og B på Datatilsynets vedtak 20. desember 2019 der Datatilsynet blant annet avslo anmodningen om å få slettet personopplysninger i en barnevernssak i X kommune.
Etter en bekymringsmelding åpnet barneverntjenesten undersøkelsessak, innhentet opplysninger om barnas mor fra DPS uten samtykke fra henne og traff et akuttvedtak om å plassere barna midlertidig utenfor hjemmet med samtykke fra foreldrene. I vedtaket, der foreldrenes personnummer framkommer, gjengis blant annet barnas beskrivelser av voldshendelser i hjemmet. Barneverntjenesten utleverte vedtaket til beredskapshjemmet. Foreldrene klaget på barneverntjenestens behandling av deres personopplysninger. Nemnda kom til at barneverntjenesten hadde behandlingsgrunnlag for utleveringen av opplysningene i vedtaket (med unntak av personnummeret) til beredskapshjemmet i artikkel 6 nr. 1 bokstav e, sammenholdt med barnevernloven og forvaltningslovens regler om taushetsplikt, opplysningsplikt og opplysningsrett. Datatilsynets avgjørelse om ikke å ilegge noen reaksjon for ulovlig utlevering av personnummeret var ikke en avgjørelse som kunne påklages, jf. PVN-2020-07. Videre hadde barneverntjenesten behandlingsgrunnlag for å innhente helseopplysninger uten samtykke i personvernforordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav b, jf. barnevernloven § 4-3 og § 6-4. Foreldrenes krav om at opplysningene i barnevernssaken skulle slettes førte ikke fram. Kommunen kunne ikke pålegges å slette disse opplysningene. Det følger både av personvernforordningen § 17 nr. 3 bokstav b (rettslig forpliktelse), jf. arkivlova § 9 bokstav d, og av personvernforordningen artikkel 17 nr. 3 bokstav d (arkivformål i allmennhetens interesse).
PVN-2020-11 Bruk av personopplysninger innsamlet ved kameraovervåking – irettesettelse
Klage fra X Misjonsforsamling på Datatilsynets avgjørelse 19. mars 2020 hvor tilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysninger fra kameraopptak ulovlig, jf. personvernforordningen artikkel 58 nr. 2 bokstav b.
I forbindelse med en nabokonflikt mellom A og hennes tidligere nabo B, mente begge seg trakassert av hverandre. B varslet misjonsforsamlingens styre, hvor A var styremedlem, om det hun oppfattet som trakasserende oppførsel fra A. Hun oversendte også private kameraopptak som hun mente viste As trakasserende oppførsel til ett styremedlem C. C og forsamlingens styreformann, D, så på og lagret opptakene, samt foreviste disse til A og hennes ektemann. Opptakene ble senere slettet. På bakgrunn av det opptakene viste, stilte C og D spørsmål ved As egnethet til styrevervet og det endte med at A trakk seg fra styret. A kontaktet Datatilsynet og ba om hjelp for det hun oppfattet som svært urettferdig behandling av henne fra misjonsforsamlingen. Datatilsynet ga misjonsforsamlingen en irettesettelse for å ha behandlet personopplysningene uten gyldig behandlingsgrunnlag. Nemnda la til grunn at tilsynets irettesettelse overfor den behandlingsansvarlige, jf. artikkel 58 nr. 2 bokstav b, er et enkeltvedtak som gir klagerett etter forvaltningsloven. Misjonsforsamlingens formål med å bruke opptakene var å avklare riktigheten av innholdet i varselet de hadde mottatt om A, og undersøke de faktiske forholdene, før de tok saken opp med A. Dette var en berettiget interesse. I den konkrete interesseavveiningen etter artikkel 6 nr. 1 bokstav f, delte nemnda seg i et flertall og et mindretall (6:1). Etter flertallets syn var misjonsforsamlingens lagring og bruk av de mottatte filmopptakene nødvendig for å ivareta den berettigede interessen hos misjonsforsamlingen og hensynet til As personvern gikk etter en avveining av de ulike interessene ikke foran. Mindretallet var enig med Datatilsynet i at misjonsforsamlingen kunne oppnådd det samme formålet på en mindre inngripende måte, og at en irettesettelse var en passende reaksjon.
PVN-2020-12 Klage over Datatilsynets pålegg om redegjørelse – forholdet mellom ekomloven og personopplysningsloven
Klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.
Datatilsynet påla annonseselskapet OpenX å redegjøre for selskapets behandling av personopplysninger knyttet til mobiltelefonapplikasjonen Grindr, jf. personvernforordningen artikkel 58 nr. 1. Kravet om redegjørelse ble sendt etter at Forbrukerrådet, i forbindelse med lansering av rapporten «Out of Control» klaget både Grindr LLC og flere annonseselskaper Grindr bruker, inn til Datatilsynet for det de mente var ulovlig behandling av personopplysninger. OpenX klaget over pålegget, jf. forvaltningsloven § 14 og anførte at Datatilsynet ikke har hjemmel for å gi et slikt pålegg. Selskapet viste til at behandlingen uttømmende er regulert av ekomloven § 2-7b og at rett tilsynsmyndighet for den behandlingen Forbrukerrådet har klaget på er Nasjonal kommunikasjonsmyndighet (Nkom). Nemnda la til grunn at selv om ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av hva en eventuell innsendt klage over virksomheten gjelder. Nemnda konkluderte med at OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt.
PVN-2020-13 Arendal kommunes behandling av personopplysninger i kartleggingsverktøyet Spekter
Klage fra Arendal kommune på Datatilsynets vedtak 23. oktober 2019 der tilsynet nedla forbud mot behandling av personopplysninger innhentet ved bruk av kartleggingsverktøyet Spekter, og påla kommunen å slette de innhentede personopplysningene.
Datatilsynet konkluderte blant annet med at opplæringslova kapittel 9 A ikke ga tilstrekkelig supplerende rettsgrunnlag, jf. personvernforordningen artikkel 6 nr. 3. Nemnda kom til at Arendal kommune har behandlingsgrunnlag for behandlingen av personopplysninger i Spekter i personvernforordningen artikkel 6 nr. 1 bokstav c, jf. opplæringslova kapittel 9 A. Nemnda la til grunn at kartleggingen i Spekter i utgangspunktet ikke etterspør særlige kategorier av personopplysninger, og skolen må derfor ikke ha behandlingsgrunnlag for innsamling av opplysningene i artikkel 9. Nemnda konkluderte videre med at kommunen ikke oppfylte de øvrige reglene i personvernforordningen, herunder prinsippene for behandling av personopplysninger i artikkel 5 nr. 1, og reglene om de registrertes rettigheter etter forordningen kapittel III. For å benytte Spekter i fremtiden må kommunen etablere internkontrolldokumentasjon og rutiner som sikrere etterlevelse av personvernforordningen, blant annet når det gjaldt informasjon til elevene og retten til innsyn.
PVN-2020-14 Sletting av søketreff i søkemotoren Google
Klage fra A på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.
Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.
PVN-2020-15 Skrivemåte for personnavn
Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.
Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter personvernforordningen artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.
2.8 Vurdering av framtidsutsikter
Et stadig mer digitalisert samfunn hvor teknologien utvikles med stor hastighet innenfor stadig nye områder setter personvernet til enkeltpersoner under press. Samfunnets ivaretagelse og sikring av personvernhensyn forutsetter et velfungerende håndhevingsapparat med tilstrekkelige ressurser, særlig hos Datatilsynet, men også i nemnda for å sikre en effektiv klagenemnd.
Gjennomføringen av personvernforordningen i norsk rett, der de registrertes rettigheter på flere punkter er styrket, og pliktene til de behandlingsansvarlige og databehandlere er skjerpet, har uten tvil medført en økt bevissthet om personvern både hos privatpersoner, private virksomheter og i offentlig forvaltning. Hvilken betydning dette har for saksmengden og arbeidsmengden til Personvernnemnda, er det fortsatt for tidlig å si noe sikkert om. Vi har opplevd en 50 % økning i sakstilfanget fra 2019 til 2020, men om dette er innenfor normal variasjon eller tegn på en varig økning er for tidlig å si. Basert på den generelle samfunnsutviklingen med økt bevissthet på rettigheter og klagemuligheter, er det likevel lite sannsynlig at saksmengden vil gå ned. Med en omfattende og ny lovtekst er det nemndas vurdering at sakene blir mer komplekse.
Et annet moment som kan tilsi økt saksmengde er at nye regler medfører et økt behov for å få avklart ulike tolknings- og grensedragningsspørsmål, noe også forordningen legger opp til må skje gjennom praksis. At nemnda gjennom sin klagesaksbehandling bidrar til rettsutviklingen er forutsatt i forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018). Antall klagesaker, samt de enkelte sakers kompleksitet, er styrende for hvor stor arbeidsmengden blir for nemnda og derigjennom hva som er nødvendig ressursbruk.
Personvernnemnda er av den oppfatning at nemnda gjennom sin virksomhet fungerer etter sin hensikt og bidrar til rettsavklaringer og til å høyne kunnskapsnivået på personvernområdet.