Vedtak 2005
KLAGESAK 2005/17Sletting av personopplysninger i Trygdeetaten. Klager ba om at en legeerklæring og et legenotat i sak om uførepensjon skulle slettes. Datatilsynet la Fylkestrygdekontoret i Oslos vurdering om at dokumentene fortsatt var nødvendige til grunn og påla ikke sletting. Personvernnemnda tilskrev Fylkestrygdekontoret og ba om å få vite klagers nåværende alder. Det følger av personopplysningsloven § 28 at man ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Fylkestrygdekontoret svarte at etter en ny vurdering har de kommet til at dokumentene kunne slettes, blant annet under henvisning til at klager har gått over på alderspensjon.
KLAGESAK 2005/16Norsk Pasientregister (NPR). Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.
KLAGESAK 2005/15Tannum Tekstil AS sendte ut direktereklame til klager til tross for at klager hadde reservert seg mot direkte markedsføring i det sentrale reservasjonsregisteret. Klager fikk ikke svar fra Tannum Tekstil AS da vedkommende klaget på dette. Videre gikk det mer enn tre måneder over svarfristen fra Datatilsynet før Tannum AS besvarte henvendelsen. Tannum AS vedgikk senere feilen, slettet klager fra sine registre og erkjente sin plikt til å følge reglene i personopplysningsloven § 26. Klager fikk ikke medhold i at Datatilsynet burde ha brukt sanksjoner mot Tannum Tekstil AS. Det forelå heller ikke brudd på forvaltningsloven.
KLAGESAK 2005/14SKAN. Saken gjelder Datatilsynets pålegg om å slette personopplysninger på hjemmesiden til karatestilartsorganisasjonen Shorin Ryu Karate Association Norway. Personvernnemnda kom til at klubbens hjemmeside var omfattet av personopplysningslovens § 7 og denne bestemmelsens begrep "journalistisk formål"; og dermed vernet av ytringsfriheten. Klager kunne derfor ikke kreve at personopplysningene skulle slettes. Et motsatt resultat ville medført at en person kan "redigere" historien og gjøre den ufullstendig.
KLAGESAK 2005/13 saksomkNSB - saksomkostningsvedtak, jf forvaltningsloven § 36.
NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.
KLAGESAK 2005/12Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.
KLAGESAK 2005/11PVN-2005-11. Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.
Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.
Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.
KLAGESAK 2005/9Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.
- Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
- Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.
I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.
KLAGESAK 2005/8Klage på
Datatilsynets vedtak om delvis avslag på søknad
fra Kreftregisteret om konsesjon for to forskningsprosjekter:
"Kreftrisiko blant ansatte i mineralullindustrien" og "Kreftrisiko
blant ansatte i aluminiumsindustrien"
Kreftregistret søkte om forlenget konsesjon bl a for to
prosjekter som tok sikte på å klarlegge kreftrisiko
blant ansatte i mineralullindustrien og aluminiumsindustrien.
Datatilsynet avslo konsesjon under henvisning til at det ikke
forelå samtykke, og at interesseavveining i
personopplysningsloven § 9, 1.ledd litra
h ikke klart oversteg den enkeltes interesse i personvern.
Personvernnemnda presiserte at samtykke fra den registrerte er
hovedregelen, og at denne regelen bare kan avvikes når det
foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I
dette tilfellet anså Personvernnemnda at risikoen for frafall
av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven
§ 8 litra
d. Personvernnemnda anså også at samfunnets
interesse i bedre å forstå og kunne forebygge kreft
klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble
sendt tilbake til Datatilsynet, som har kompetanse til å gi
konsesjon for prosjektene.
Klage på vedtak om
delvis avslag på konsesjon til å behandle
helseopplysninger
Statens folkehelseinstitutt (FHI) søkte tillatelse til
å opprette forskningsfil for studier av sosiale og etniske
forskjeller i perinatal helse. Registeret innebærer en
sammenstilling av to etablerte registre, Medisinsk
fødselsregister og
Dødsårsaksregisteret, og videre sammenstilling med
fødelandsregister og utdanningsfil fra Statistisk
sentralbyrå. Den registrerte pasientgruppen omfatter mor, far
og barn som er registrert i Medisinsk fødselsregister,
totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under
forutsetning av sletting etter fem år, og at utlevering til
ekstern bruk krevde ny konsesjon. Dette ble påklaget.
Personvernnemnda kom til at helseregisterloven § 8, 1.ledd
må tolkes slik at registeret krever hjemmel i forskrift.
Klagen ble ikke tatt til følge.
Statens folkehelseinstitutt
(FHI) søkte tillatelse til å opprette
forskningsfil for studier av sosiale og etniske forskjeller i perinatal
helse. Registeret innebærer en sammenstilling av to etablerte
registre, Medisinsk fødselsregister og
Dødsårsaksregisteret, og videre sammenstilling med
fødelandsregister og utdanningsfil fra Statistisk
sentralbyrå. Den registrerte pasientgruppen omfatter mor, far
og barn som er registrert i Medisinsk fødselsregister,
totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under
forutsetning av sletting etter fem år, og at utlevering til
ekstern bruk krevde ny konsesjon. Dette ble påklaget.
Personvernnemnda kom til at helseregisterloven § 8, 1.ledd
må tolkes slik at registeret krever hjemmel i forskrift.
Klagen ble ikke tatt til følge.
Securitas ønsket
å innføre testing for rusmisbruk av alle sine
ansatte, og å oppbevare vandelsattest innhentet i forbindelse
med ansettelse i sitt personalsystem.
Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven,
som i kapittel 9 regulerer kontrolltiltak, herunder medisinske
undersøkelser (jfr arbeidsmiljøloven §
9-4). Hjemmelen for å gjøre det
nødvendige inngrep måtte finnes i
arbeidsmiljøloven, mens vurderingen av hvorvidt de
resulterende, sensitive personopplysninger kan behandles,
følger personopplysningslovens bestemmelser, jfr
arbeidsmiljøloven § 9-1 nr 2. Forholdet til
biobankloven påpekes.
Personvernnemnda finner at det ikke er adgang til å
gjennomføre behandling av opplysninger innhentet ved testing
av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter
ansettelse ikke kan tillates under henvisning til både
personopplysningsloven og lov om strafferegistrering.
Klage på
Datatilsynets avgjørelse om å trekke tilbake en
tidligere uttalelse om at fakturautstedere skal kunne få
utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved
inngåelse av tjenesteavtale om e-faktura
Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank
i forbindelse med avtale om e-faktura. Personvernnemnda kom til at
banken var behandlingsansvarlig, og derfor ikke kunne utlevere
opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist
saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at
saken fortoner seg "mer som en interessekonflikt mellom to
næringsdrivende om funksjonelle sider ved e-fakturatjenesten
enn et spørsmål om å ivareta kundenes
personvern og rettssikkerhet". Klagen førte ikke frem.
HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det - rent teoretisk- for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.
KLAGESAK 2005/3Klage på
Datatilsynets vedtak om avvisning
Saken gjelder nettsted som inneholder kritiske kommentarer til
behandlingen av barnevernsaker og relaterte
spørsmål. Personvernnemnda kommer til at
nettstedet behandler personopplysninger, men faller innenfor
personopplysningsloven § 7, som begrenser lovens anvendelse
for "journalistiske, herunder opinionsdannende, formål". Det
vises til forarbeidenes diskusjon av forholdet til Grunnloven
§ 100 og Den europeiske menneskerettighetskonvensjon, jf Ot
prp nr 92 (1998-1999) Om lov
om behandling av personopplysninger (personopplysningsloven),
særlig pkt 11.6. Personvernnemnda presiserer at nettstedene
må, i likhet med andre media, overholde og respektere
bestemmelser som gjelder omtale av enkeltpersoner.
Klage på
Datatilsynets vedtak om å avvise sak med krav om innsyn i
innbetalt forsikringspremie
Saken gjaldt spørsmål om innsyn i to typer
opplysninger i forbindelse med en ytelsesbasert, kollektiv
personforsikringsavtale mellom et forsikringsselskap og tidligere
arbeidsgiver. Opplysningene utgjorde konkrete
tallstørrelser, men var resultatet av en beregning og da
derfor "ingen anvendelig informasjon om hvilken innbetaling som
forsikringstaker reelt sett har gjort for det enkelte medlem".
Personvernnemnda kom til at det var personopplysninger, og derfor
gjenstand for innsyn.
Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet
taushetsplikt i forsikringsavtaleloven § 17-2. Under
henvisning til klare uttalelser i forarbeidene kom man til at
innsynsretten kunne gjøres gjeldende.
Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet
taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til
at opplysningene ikke angikk "andres forretningsmessige forhold".
Personvernnemnda uttaler også at taushetsplikten i
forsiktingsvirksomhetsloven § 1-3 vil stå tilbake
for innsynsretten etter personopplysningsloven.
Klage på
Datatilsynets avvisning av å pålegge Wiersholm,
Mellbye & Bech advokatfirma å slette
lydbåndopptak
En advokat hadde gjort opptak av samtaler med den annen part i en sak
som sto for retten. Opptakene var gjort uten å informere den
annen part. Den annen part krevde opptakene slettet. Personvernnemnda
kom til at lydopptakene ikke representerte noe personregister under
henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og
derfor ikke falt inn under personopplysningslovens saklige
virkeområde etter personopplysningsloven § 3, 1.ledd
litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd
litra a vil også behandling av personopplysninger med
"elektroniske hjelpemidler" falle inn under lovens saklige
virkeområde. Personvernnemnda kom til at dette kriteriet
måtte forstås slik at behandlingen skjedde
automatisk, dvs uten at mennesker styrte opptaket. Henvisning til
forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om
tilfellet ikke faller inn under personopplysningslovens saklige
virkeområde, kan det ha betydning for den enkeltes
personvern, og viser i den aktuelle sak til karakteristikk av opptak av
telefonsamtaler uten å informere den annen part i Rt-1997-795.