Vedtak 2016

Personvernnemndas årsmelding 2016

Vedlagt ligger Personvernnemndas årsmelding for 2016.

PVN-2016-18

NAV. Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medfører ikke dette at NAV underkjenner hans faglige kompetanse. Nemnda kan ikke se at det er dokumentert at NAV behandler opplysninger som er utilstrekkelige eller irrelevante, jf personopplysningsloven § 11 bokstav d), eller at NAV bruker uriktige eller ufullstendige personopplysninger som må rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Nemnda konkluderte med at klagen ikke tas til følge.

PVN-2016-17

AA-registeret. Sak vedrørende retting av opplysninger i AA-registeret. Nemnda kom til samme resultat som Datatilsynet. Bakgrunnen for kravet var en tvist med klagers tidligere arbeidsgiver. Tvisten ble behandlet i tingretten. Tingretten beskrev i sin sakskostnadsavgjørelse at saken var anlagt "uten grunn". Selv om nemnda står fritt i sin bevisvurdering, påpekte nemnda at terskelen for å fravike et faktum som retten har funnet bevist må legges relativt høyt. Nemnda kunne ikke se at det hadde kommet frem andre eller nye opplysninger som tilsa en annen bevisvurdering. As krav om retting kunne derfor ikke føre frem. Nemnda kunne heller ikke se at det var grunnlag for As krav etter personopplysningsloven §§ 16 og 18.

PVN-2016-16

Gastronet. Saken gjelder overprøving av enkelte av vilkårene for konsesjon til Gastronet. Nemnda vurderte tidsbegrensningen av konsesjonen. Nemnda fant at en tidsbegrenset konsesjon var hensiktsmessig i denne saken, idet det gir Datatilsynet en viktig mulighet for kontroll med registerets premisser og at Gastronet etterlever konsesjonsvilkårene. Nemnda la vekt på at tilsynet har både utvidet og forlenget konsesjonen flere ganger tidligere, og har uttalt at Gastronet kan påregne å få forlenget konsesjonen ut over 30. juni 2018. Nemnda vurderte deretter vilkåret om informasjon til de registrerte i etterkant av undersøkelsen. Personvernnemnda mener kravet til informasjon er grunnleggende for at pasientene skal kunne ivareta sine rettigheter. Dersom pasienter skal registreres uten samtykke, men med reservasjonsadgang, bør pasientene motta informasjon om dette. Nemnda fant at det er forskjell på pasienter som registreres i koloskopidelen og ERCP-delen av Gastronet. For pasienter som omfattes av koloskopidelen mener nemnda det ikke er nødvendig å gi ytterligere informasjon i etterkant av samtykket til registreringen, med mindre registeret har endret seg vesentlig siden samtykket ble gitt. Nemnda legger derfor til grunn at pasienter som har samtykket, eller som har mottatt pasientsvarskjema med informasjonsskriv om reservasjonsretten uten å reservere seg, ikke omfattes av den etterfølgende informasjonsplikten som følger av konsesjonsvilkåret. I likhet med Datatilsynet mener nemnda at pasientene i ERCP-delen må få tilsendt informasjon om reservasjonsretten etter undersøkelsen. Nemnda kan imidlertid ikke se at det er påkrevet at informasjonen gjentas innen en viss periode etter at undersøkelsene har funnet sted. Nemnda er enig i Datatilsynets vurdering av personvernulempene.

PVN-2016-15 omgjøring

Tromsø kommune II. Begjæring om omgjøring.
Nemnda tok begjæring om omgjøring av vedtak i nemndas sak PVN 2016-15 til følge da nemnda har overskredet sin kompetanse. Nemnda fant at flertallet i nemnda i vedtak fattet 30. desember 2016 gikk for langt i å bruke forvaltningsloven § 18 flg. som direkte anvendelig i saken, i motsetning til et moment ved tolkingen av personopplysningsloven.
Nemnda konkluderte med at vedtak fattet 30. desember 2016 er ugyldig på grunn av manglende kompetanse og at A ikke med hjemmel i personopplysningsloven har rett til innsyn i samtalereferat og underlagsmateriale. Det har skjedd feil som tilsier at vedtaket må anses ugyldig, jf. forvaltningsloven § 35. Nemnda fattet nytt vedtak der A ikke gis rett til innsyn. Nemnda bemerket at Tromsø kommune burde gitt A bedre veiledning i denne saken.

PVN-2016-15

Tromsø kommune II. Dissens. Personvernnemndas flertall la vekt på at personopplysningsloven § 23 første ledd bokstav e) ble påberopt i saken. Når Samspill og Harmoni er databehandler for kommunen og kommunen ikke har utlevert de aktuelle referater mv til andre, får § 23 første ledd bokstav e) direkte anvendelse slik at innsynsretten etter personopplysningsloven da begrenses. Etter personopplysningsloven er det da ikke nærmere behov for å ta stilling til hvilke deler av opplysningene innsyn skulle blitt gitt i. Nemnda ser det slik at de dokumenter det ønskes innsyn i vil bli å betrakte som interne dokumenter i Tromsø kommune, og således som utgangspunkt kunne unntas fra innsyn etter forvaltningsloven § 18 a, dog slik at det da vil inntre en plikt for kommunen til å vurdere om det er grunnlag for å anvende regelen i forvaltningsloven § 18 annet ledd om meroffentlighet. For interne dokumenter vil klager ha krav på innsyn i «faktiske opplysninger» i disse. Det legges til grunn som sikker rett, at opplysninger om at det er gitt informasjon fra tredjemann, hvem dette er og hvilken informasjon dette er, betraktes som faktiske opplysninger i relasjon til bestemmelsen i forvaltningsloven § 18 c). Samlet sett kom nemndas flertall til at det ikke foreligger grunnlag for å gjøre unntak etter forvaltningsloven § 19 annet ledd b, og at klager således har krav på innsyn med de unntak som måtte følge av en konkret vurdering av forvaltningsloven § 18 første ledd, jf § 18 a), jf c). Mindretallet fastholdt sin dissens fra PVN-2015-07 i spørsmålet om innsyn.

PVN-2016-14

Årdal kommune – sensitive personopplysninger i offentlig postjournal. Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Personvernnemnda vurderte gebyrets størrelse og kom etter en helhetsvurdering til at utmålingen måtte reduseres til kr 50 000.

PVN-2016-13

Avvisningsvedtak – sletting av journalopplysninger. Klage over Datatilsynets avvisning av å realitetsbehandle klagers krav om sletting av klagers journalopplysninger samt krav om tilsyn. Personvernnemnda vurderte Datatilsynets saksbehandling, hvor tilsynet besvarte henvendelsen med et veiledningsbrev. Datatilsynet har gitt klager grundig veiledning, påpekt at tilsynet ikke er riktig instans og henvist til riktig instans og de relevante lovbestemmelsene i helsepersonelloven. Nemnda fant at tilsynet har oppfylt veiledningsplikten og det var ikke anført tilstrekkelige grunner til at nemnda vurderte saken annerledes enn Datatilsynet.

PVN-2016-12

Stange kommune – sletting av personalmappe. Nemnda vurderte sletting i personalmappe i henhold til personopplysningsloven § 28 tredje ledd, «sterkt belastende». Nemnda la vekt på at opplysningene vil være lagret i et personalarkiv, som ikke er åpent for andre enn HR-personell, det vil fremgå av dokumentene at klager er uenig i det angivelige taushetsbruddet og oppbevaring av dokumenter i kommunens arkiv vil være underlagt adekvat tilgangskontroll i samsvar med de gjeldende taushetspliktsbestemmelser. Nemnda fant på dette grunnlag at oppbevaring av opplysningene ikke vil være sterkt belastende.

PVN-2016-11

Saken er trukket av klager.

PVN-2016-10

Google II – sletting av søketreff. Problemstillingen var om Google plikter å slette søketreff på en domfelt person (A) slik de er pålagt av Datatilsynet. Pålegget er begrunnet med at Google mangler behandlingsgrunnlag i personopplysningsloven for indekseringen av det aktuelle søketreffet. Når det gjelder behandlingsgrunnlaget drøftet nemnda skillet mellom ikke-sensitive og sensitive personopplysninger ved valg av behandlingsgrunnlag. Saken gjaldt Googles indeksering av opplysninger offentliggjort på nordisk.nu om en person som er domfelt for seksuelle overgrep mot barn. De aktuelle personopplysningene er følgelig sensitive, og behandlingsgrunnlaget må etter nemndas oppfatning søkes i lovens § 9, jf. § 11 første ledd bokstav a. Datatilsynet har avgjort saken med grunnlag i personopplysningsloven § 8 bokstav f. Nemnda minnet om at behandlingsgrunnlag for sensitive personopplysninger ikke bare avgjøres med grunnlag i § 9, men at også ett av vilkårene i § 8 må være oppfylt. Koblingen mellom vilkårene i §§ 8 og 9 medfører at det også i § 9 i gitte situasjoner må gjøres en interesseavveining. I interesseavveiningen la nemnda til grunn at de kriteriene som ble utformet av EU-domstolen i sak C-131/12 (Google/Gonzáles). Nemnda la vekt på at A er domfelt for alvorlig kriminalitet. Etter at soningen er gjennomført, vil hensynene som tilsier fortsatt offentlighet om saken normalt svekkes. A er ikke en offentlig person. Nemnda la vekt på at identifiseringen på nettstedet nordisk.nu er begrunnet i hevn og sjikane. Nemnda fremhevet dog at samfunnet har et helt legitimt behov for å sette i verk tiltak som har til formål å forhindre at domfelte forgriper seg på nytt, og viste til Barnevoldsutvalget. Til støtte for at identifiseringen av A ikke har allmenn interesse, pekte også nemnda på at den domfelte ikke ble identifisert da dommen fra 2009 ble omtalt i avisen. Vedtaket fra Datatilsynet utgjør heller ikke et særlig intensivt inngrep i ytringsfriheten. I interesseavveiningen mellom ytringsfrihet og personvern kom nemnda til at Google ikke har behandlingsgrunnlag i personopplysningsloven § 9. Klagen ble ikke tatt til følge.

PVN-2016-09

Codex advokat – videresending av epost. Nemnda vurderte Codex’ videresending av en advokat/partners epost og det ilagte overtredelsesgebyr. Codex videresendte all innkommende epost til en ansatt advokat/partner som var suspendert til en annen advokat i firmaet. Dette ble gjort i fire dager uten å varsle. Videresendingsperioden var på totalt to uker. Personvernnemnda sammenlignet saken med PVN-2015-14 Viken Økonomi. Automatisk videresending av epost er innsyn. Det forelå et åpenbart brudd på § 9-3. Nemnda vurderte overtredelsesgebyret, kom til at utmålingen var lagt på linje med Datatilsynets gebyrpraksis og så ikke grunn til å endre gebyrets størrelse.

PVN-2016-08

Trondheim kommune II. Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge Trondheim kommune å slette et dokument om tjenstlig tilrettevisning fra klagers personalmappe. Nemnda vurderte § 28 første ledd og uttalte at hvor lenge det er nødvendig å oppbevare en advarsel/tilrettevisning må vurderes konkret. Etter nemndas syn kan det være nødvendig å oppbevare et slikt dokument så lenge dokumentet kan ha betydning for et eventuelt krav mot den behandlingsansvarlige. Nemnda kom til at arbeidsgiver hadde et reelt behov for å beholde dokumentene i personalmappen, jf nødvendighetsvurderingen i § 28 første ledd. Nemnda vurderte § 28 tredje ledd. Nemnda så at opplysningene kan være sterkt belastende, men veid opp mot kommunens dokumentasjonsbehov, jf § 28 tredje ledd bokstav b, kan dokumentet ikke slettes.

PVN-2016-07

Synkron Media. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr for overvåking av tidligere arbeidstakeres epostkasser og manglende sletting av disse, jf personopplysningsloven § 46. Nemnda konkluderte på samme måte som tilsynet med at virksomheten har foretatt innsyn i ansattes epost gjennom viderekobling av epost, og at det foreligger brudd på personopplysningsforskriften § 9-2 og § 9-4. Nemnda kom til at utmålingen er lagt på linje med Datatilsynets vanlige gebyrpraksis, jf PVN-2015-14 Viken Økonomi.

PVN-2016-06

Vaktmester Andersen. Personvernnemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr på kr 100 000 for klagers sammenstilling av opplysninger fra elektroniske kjøreboken ABAX med opplysninger om arbeidstid og arbeidssted for kontrollformål. Nemnda var enig med tilsynet i at bruken til kontrollformål er uforenlig med det opprinnelige formålet med innsamlingen. Nemnda vurderte personopplysningsloven § 46 annet ledd og fant at utmålingen lå på linje med Datatilsynets gebyrpraksis, jf PVN-2015-08 Windsor Door.

PVN-2016-05

Personvernnemnda vurderte krav om sletting av saksdokumenter hos Datatilsynet. Datatilsynet hadde stilt spørsmålet om tilsynet har kompetanse til å treffe vedtak når tilsynet selv er behandlingsansvarlig for personopplysningene som kreves slettet. Nemnda fant at Datatilsynet var inhabil både ved behandling av krav vurdert etter personopplysningsloven § 28 fjerde ledd, § 27 tredje ledd og ved førsteinstansbehandling av klagen, på grunn av sin rolle som behandlingsansvarlig. Imidlertid fant nemnda at dette ikke ville gi noen rettslige virkninger, idet saksbehandlingsfeilen ble reparert gjennom nemndas behandling av klagen, jf. forvaltningsloven § 41. Utgangspunktet er at saksdokumenter er arkivpliktige, jf. arkivloven § 6, og det er av vesentlig betydning at kontrollorgans sakshåndtering i ettertid kan dokumenteres. Etter en samlet vurdering fant nemnda det klart at det ikke var tilstrekkelig grunnlag for å pålegge sletting.

PVN-2016-04

Legelisten.no. Nemnda viste til at klagen gjaldt en begjæring om pålegg om fjerning av alle opplysninger om tannlegen og hennes pasienter. I oversendelsesbrevet skrev tilsynet at saken gjaldt krav om sletting av brukervurderinger på Legelisten.no. På denne bakgrunn kom Personvernnemnda til at Datatilsynet ikke hadde tatt stilling til klagers prinsipale krav. Dette var en saksbehandlingsfeil, jf fvl § 41, og saken ble sendt tilbake til Datatilsynet for realitetsbehandling.

PVN-2016-03

Klage over avvisning i sak vedrørende kameraovervåkning. Personvernnemnda vurderte saken som en klage over Datatilsynets beslutning om avvisning. Nemnda er av den oppfatning at tilsynet ikke kan bortprioritere uten klageadgang. Nemnda mener at en bortprioritering er en avvisning. Forvaltningsloven slår eksplisitt fast at avvisning er et enkeltvedtak, jf § 2 tredje ledd. Enkeltvedtak er påklagbare, jf forvaltningsloven § 28. Nemnda mener at det er selvstendig klagerett etter både forvaltningsloven og personopplysningsloven, og at disse lovbestemmelsene utfyller hverandre. Etter nemndas syn er det ikke adgang til å bortprioritere saker. Personvernnemnda mener denne saken skal realitetsbehandles.

PVN-2016-02

Hovedredningssentralen Nord-Norge. Personvernnemnda tok først stilling til om HRS behandler personopplysninger, herunder sensitive personopplysninger. HRS vil i redningsoperasjoner håndtere opplysninger om hendelser vedrørende enkeltpersoner ved innsamling, kvalitetssikring og utsending av opplysninger knyttet til hendelsen. Personopplysningslovens bestemmelser om sensitive personopplysninger kommer til anvendelse. HRS må ha behandlingsgrunnlag, jf personopplysningsloven §§ 8 og 9, jf § 11. Nemnda kom til at behandlingsgrunnlaget følger av lov, jf politiloven § 27 og International Aeronautical and Maritime Search and Rescue Manual Volum I-III (IAMSAR Vol II, 2013). Det foreligger således ikke konsesjonsplikt, jf personopplysningsloven § 33 femte ledd. Når det gjelder avvik i internkontrollen, har HRS ikke spesifikt hensyntatt personopplysningsforskriftens internkontrollbestemmelser. Nemnda var enig med tilsynet i at det foreligger mangler ved dokumentasjonen av internkontroll og rutiner. Nemnda vurderte personopplysningsloven § 46 annet ledd bokstavene a) til h) og kom etter en helhetsvurdering til at det ikke var forholdsmessig å ilegge gebyr i saken.

PVN-2016-01

Bank i butikk II. Nemnda tok stilling til bank i butikk første gang i PVN-2013-21. Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Når det gjelder overvåking av kontantsafen, finner nemnda, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, at dette ikke er spesielt personvernkrenkende. Klagen tas delvis til følge. Lagringstiden for kameraopptak ved kontantsafen utvides til 90 dager.