Vedtak
Vedtak 2013
HUNT. Klage på Datatilsynets delvise avslag på forlengelse av konsesjon. Datatilsynet ga forlengelse av konsesjonen under forutsetning av at informert samtykke innhentes fra deltakerne i HUNT 2. Personvernnemnda kom til at samtykket omfattet den ønskede kobling med Reseptregisteret.
Tysnes kommune. Klage på Datatilsynets omgjøringsvedtak i sak vedrørende sletting av opplysninger i journalnotat. Klagen ble tatt til følge. Opplysningene skal slettes etter personopplysningsloven § 28 første ledd.
Vedtak 2012
Kameraovervåkning av privat grunn. Datatilsynet besluttet å nedprioritere denne saken og realitetsbehandlet ikke saken. Personvernnemnda var enig med Datatilsynets vurderinger og kom til at personvernhensyn ikke gjorde seg sterkt nok gjeldende til at tilsynet skulle pålegges å realitetsbehandle denne saken. Nemnda la særlig vekt på tilsynets nedfelte kriterier for prioritering av henvendelser fra privatpersoner og tilsynets omfattende veileder om kameraovervåkning på www.datatilsynet.no.
Klage på Datatilsynets avvisningsvedtak. Det ble klaget over at NAV har utvekslet sensitive opplysninger i høylytte samtaler mellom klager og NAV på NAV-kontoret. Slik behandling av personopplysninger er klart uheldig, men nemnda er enig med Datatilsynet i at det faller utenfor det saklige virkeområdet til personopplysningsloven.
Klage på Datatilsynets vedtak vedrørende nektet innsyn i personalmappe hos arbeidsgiver. Arbeidsgiver anførte at dokumentene er unntatt innsynsretten etter personopplysningsloven § 23 bokstav e, og Datatilsynet ga dem medhold i det. Personvernnemnda kom til at klager skal gis innsyn i faktiske opplysninger, men ikke råd, vurderinger eller opplysninger om og fra tredjepersoner, jf forvaltningslovens regler om partsoffentlighet.
Livmorhalsprogram. Klage på Datatilsynets omgjøringsvedtak. Datatilsynet fattet i april 2010 vedtak om at Kreftregisteret må hente inn samtykke fra de registrerte med negative funn i Cervixcancerprogrammet. Kreftregisteret påklaget Datatilsynets vedtak. Etter omfattende korrespondanse og møtevirksomhet mellom Datatilsynet og Kreftregisteret omgjorde tilsynet sitt vedtak den i april 2011, slik at fristen for innhenting av samtykke ble satt til 1.3.2014. Kreftregisteret fant det utfordrende å innhente samtykker fordi kvalitetssikringen av programmet ikke ville la seg gjennomføre som følge av lav svarprosent. I mars 2012 fattet Datatilsynet et vedtak hvoretter Kreftregisteret ble gitt adgang til å oppbevare opplysningene, for kvalitetssikringsformål, i inntil ti år – uten at det ble innhentet samtykke fra kvinnene. I juni 2012 besluttet Datatilsynet å oppheve ovennevnte vedtak, med hjemmel i forvaltningslovens § 35 første ledd litra c. Tilsynet la i den forbindelse til grunn at vedtaket var ugyldig, som følge av feil lovvalg. Datatilsynets omgjøring ble påklaget av Kreftregisteret. Personvernnemnda er enig med Datatilsynet og kom til at omgjøringsvedtaket var gyldig.
Mammografiprogram. Klage på Datatilsynets avvisning av å behandle Kreftregisterets søknad om konsesjon til å behandle negative funn ved mammografiscreening uten samtykke fra den registrerte. Personvernnemnda tok bare stilling til Datatilsynets avvisning av å realitetsbehandle konsesjonssøknaden fra Kreftregisteret og kom til at saken har et annet faktum enn det som lå til grunn for saken PVN-2009-06. Datatilsynet må derfor realitetsbehandle søknaden.
SUSS-telefonen. Klage på Datatilsynets vedtak om pålegg vedrørende virksomheten til stiftelsen SUSS. Datatilsynet fattet vedtak om at SUSS må slette personopplysningene som innhentes i forbindelse med SUSS' råd- og veiledning, med mindre det kan påvises et gyldig rettslig grunnlag for behandlingen, alternativt kan opplysningene som behandles anonymiseres. Nemnda var enig med Datatilsynets vurderinger og kom dessuten til at informasjonen til brukerne på SUSS' nettside, samt internkontrollsystemet, måtte skrives om. Personvernnemnda satte en to måneders frist for å implementere avgjørelsen i virksomheten.
Elektroniske pasientkurver. Klage på Datatilsynets avslag på søknad om konsesjon for prosjekt om testing av innsamling av legemiddelinformasjon fra elektroniske pasientkurver. Saken dreier seg om søknad for å utrede en løsning for innsamling av informasjon om legemiddelbruk for pasienter i institusjon. Folkehelseinstituttet ønsker å hente et begrenset antall variabler for et utvalg inneliggende pasienter og å importere informasjonen til Reseptregisterets database. Personvernnemnda kom til at reseptregisteret bare kan inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene. Testen ville derfor innebære derfor en utvidelse som ikke kan gjennomføres med mindre reseptregisterforskriften endres. Klagen ble ikke tatt til følge.
Klage på Datatilsynets avgjørelse om å avslutte sak som omhandlet krav om sletting av dokumenter i elevmappe. Nemnda tok utgangspunkt i at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, jf § 28. Videre oppbevaring kan imidlertid skje dersom det er hjemmel i arkivloven. Sletting kan likevel finne sted dersom vilkårene i personopplysningsloven § 28 tredje ledd er oppfylt. Nemnda uttrykte forståelse for at klager finner saken vanskelig og belastende. Etter nemndas syn kunne imidlertid ikke opplysningene karakteriseres som "sterkt belastende" objektivt sett. Nemnda var derfor enig med Datatilsynet i at vilkårene i personopplysningsloven § 28 tredje ledd ikke var oppfylt.
Klage på Datatilsynets standardkonsesjon til å behandle personopplysninger i kredittopplysningsvirksomhet. Klagen ble delvis tatt til følge, ved at konsesjonen utvides til å omfatte to av de fire påklagede punkter, det vil si slik at klager kan registrere hjemmel til fast eiendom og antall rettidig betalte fakturaer.
Teletopia. Klage på Datatilsynets pålegg om utlevering av opplysninger og på Datatilsynets publisering av foreløpig rapport hvor administrerende direktør navngis. Personvernnemnda vurderte først klagen over pålegget fra Datatilsynet. Datatilsynet ba om svar på fem spørsmål i pålegget. Klager påklaget pålegget fordi klager oppfatter spørsmålene som mobbing og trakassering som følge av sakens omstendigheter. Personvernnemnda påpekte at klageadgangen over pålegget følger av forvaltningsloven § 14. Pålegget kan påklages dersom parten mener at han ikke har plikt til å gi opplysningene eller lovlig adgang til å gi opplysningene. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken. De klagegrunner klager har anført er ikke klagegrunner etter forvaltningsloven § 14 og således ikke klagegrunner som klager har rettskrav på å få prøvd. Etter nemndas syn var påleggets innhold i denne saken klart innenfor det Datatilsynet har hjemmel til å kreve for å kunne utføre sine oppgaver i samsvar med personopplysningsloven § 42. Opplysningene er av den type opplysninger Teletopia plikter å oppgi etter § 44, og Teletopia har også lovlig adgang til å gi opplysningene. Personvernnemnda gikk så over til å vurdere klagen over at selskapets direktør er navngitt i den foreløpige rapporten og at den foreløpige rapporten ble tilgjengeliggjort via OEP. Personvernnemnda var enig med klager i at Datatilsynet har ordlagt seg noe upresist i den foreløpige rapporten. Et pålegg skal rettes mot foretaket, ikke mot styreleder eller daglig leder. Det er den juridiske enheten som er pliktsubjektet etter personopplysningsloven. Det er riktig at direktøren representerer selskapet og at han deltok under tilsynet, men pålegg, og eventuelt kritikk for at pålegg ikke er fulgt, må rette seg mot den juridiske enheten idet det er selskapet som er behandlingsansvarlig. Det forhold at Datatilsynet navngir direktøren i den foreløpige rapporten er imidlertid ikke et brudd på personopplysningsloven.
Klage på Datatilsynets vedtak om sletting av mangelfulle og feilaktige opplysninger vedrørende fosterforeldre. Nemnda vurderte saken og kom til at det var usikkert hvorvidt alle vurderinger og opplysninger i de påklagede saksdokumentene kunne karakteriseres som «barnevernfaglige vurderinger». Det klagerne har reagert på er ikke slike vurderinger, men heller påstander om faktiske forhold om dem selv og deres handlinger. Etter nemndas syn er dette derfor faktiske påstander som kan korrigeres. Nemnda kom til at klagers versjon av saken skulle supplere de påklagde dokumentene, slik at vedkommende som leser dokumentene, vil kunne gjøre seg kjent med også klagers fremstilling. Dette gjøres ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger, jf personopplysningsloven § 27, 2. ledd.
Klage på Datatilsynets beslutning om å ikke ilegge arbeidsgiver overtredelsesgebyr i sak vedrørende innsyn i arbeidstakers e-post. Datatilsynet hadde etter nemndas syn gjort en grundig vurdering og Personvernnemnda sluttet seg til tilsynets vurdering. Personvernnemnda er kjent med at de sakene hvor Datatilsynet har brukt sanksjoner, for eksempel sakene vedrørende Vinmonopolet, Bazar Forlag og Redningsselskapet, har vært svært mye mer graverende. Når det gjelder klagers anførsler er nemnda enig med klager i at foretaket burde være kjent med regelverket, og at hendelsen kunne ha vært forebygget ved bedre interne rutiner. Nemnda legger likevel avgjørende vekt på at personvernulempene for klager som følge av manglende varsling må anses begrenset i denne saken. Personvernnemnda er således enig med Datatilsynet i at overtredelsesgebyr ikke skal ilegges i saken.
Nettby. Klage på Datatilsynets vedtak om sletting av personopplysninger som stammer fra det nedlagte nettsamfunnet Nettby. Nemnda kom til at det foreligger avleveringsplikt for de dokumenter VG ønsker å lagre i denne saken, det vil si innholdet i de åpne fora/områdene som var åpen for indeksering i søkemotorer, og de deler som ikke var åpen for indeksering, men som var tilgjengelig for samtlige borgere av Nettby, jf pliktavleveringsloven § 1 og §§ 3 og 4. Avleveringsplikten må oppfylles før materialet slettes av VG.
Rekruttering AS. Klage på Datatilsynets beslutning om å gjennomføre stedlig tilsyn på tross av klage fra Rekruttering AS. Personvernnemnda kom til at klagen over at tilsyn var "unødvendig" å gjennomføre, ikke var en klagegrunn etter lovteksten. Hensiktsmessigheten og nødvendigheten av pålegget kunne ikke prøves. Når det gjaldt tilsynets avgjørelse om å gjennomføre kontroll uten å vente på avgjørelse av klagen, fant nemnda at det er kontrollorganet selv som må avgjøre om det er "påtrengende nødvendig", og avgjørelsen ligger under organets frie skjønn. Personvernnemnda kan ikke overprøve hvorvidt kontrollen faktisk var påtrengende nødvendig, kun hvorvidt utøvelsen av skjønnet var forsvarlig. Nemnda vurderte saken og kunne ikke se at det forelå myndighetsmisbruk.
Klage på Datatilsynets saksbehandling. Personvernnemnda tok stilling til om det forelå behandlingsgrunnlag for en rettsmedisinsk studentoppgave. Behandlingsgrunnlag for bruk av personopplysninger i politirapporter må finnes i personopplysningsloven. Nemnda kom til at behandlingsgrunnlag var personopplysningsloven § 8 bokstav f og § 9 bokstav h. Nemnda konkluderte med at behandlingen oppfylte vilkåret om at det må "klart overstige" ulempen det kan medføre for den enkelte, forutsatt at når kun aggregerte data vil bli publisert og taushetsplikten etter forvaltningsloven § 13e opprettholdes.
Vedtak 2011
Brilleland. Klage på Datatilsynets saksbehandling. Klager hadde mottatt en rekke forsendelser med direkte markedsføring fra Brilleland til tross for at han gjentatte ganger hadde bedt om å bli slettet fra kunderegisteret. Datatilsynet bisto klager med å bli slettet fra kunderegisteret, men klager påklaget Datatilsynets saksbehandling og det forhold at Datatilsynet ikke benyttet seg av sanksjoner mot Brilleland. Personvernnemnda fant at Datatilsynets saksbehandling var tilfredsstillende og fant ingen vesentlige argumenter for å fravike Datatilsynets vurdering for så vidt gjaldt bruk av sanksjoner i saken.
Fitness24Seven. Klage på Datatilsynets vedtak om pålegg om at Fitness24Seven må avslutte enhver bruk av biometriske kjennetegn i forbindelse med adgangskontroll. Personvernnemnda tok klagen til følge. Nemnda kunne ikke se at registrering av et fingeravtrykkstemplat i kundens treningskort eller kundens avgivelse av fingeravtrykk i samband med adgangskontroll innebar identifisering eller at fingeravtrykkstemplatet ble brukt som entydig identifikasjonsmiddel. Slik nemnda så det er det kundenummeret på kortet som identifiserer kunden, ikke biometrien. Kundenummeret kan imidlertid ikke kobles med andre identifikatorer. Kundenummeret er entydig i dette systemet, men ikke ut over det. Identifiseringen (ved hjelp av kundenummeret) som skjer, er med andre ord kun systemspesifikk og ikke systemovergripende. Det vil si at den ikke er «entydig» i den betydning nemnda har tolket personopplysningsloven § 12 i tidligere biometrisaker.
Visma Retail. Klage på Datatilsynets vurdering av lovligheten av automatisert kontroll av alder i selvbetjent butikk ved bruk av biometri. Personvernnemnda kunne ikke se at registrering av fingeravtrykk(mønster) i datasystemet eller kundens avgivelse av fingeravtrykk i samband med alderskontroll innebærer identifisering eller at fingeravtrykk brukes som entydig identifikasjonsmiddel i denne saken. Personopplysningsloven § 12 kommer da ikke til anvendelse. Videre kom nemnda til at den løsningen som er beskrevet i denne saken ikke innebærer behandling av personopplysninger, jf personopplysningsloven § 2 nr 1. Templatet skal ikke brukes til identifikasjon, men til ren autentisering.
Simonsen. Klage på Datatilsynets avslag på forlengelse av konsesjon til antipiratarbeid. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at man må legge avgjørende vekt på ordlyden og at Simonsen således ikke kan være behandlingsansvarlig. Etter flertallets syn er behandlingsansvaret en formell posisjon og det må være den som er beslutningstaker – det vil si den som har den juridiske befatningen og bestemmende utøvelse over formål og virkemidler – og som dessuten initierer og finansierer den aktuelle behandlingen som må være behandlingsansvarlig for personopplysningene. Mindretallet tolket personopplysningslovens definisjon i § 2 nr 4 i lys av forarbeidene og formålet med bestemmelsen og kom til at Simonsen kunne være behandlingsansvarlig. En samlet nemnd var i tvil om Datatilsynet hadde oppfylt sin veiledningsplikt etter forvaltningsloven § 11, men kom til at det uansett ikke var grunn til å regne med at en eventuell saksbehandlingsfeil kunne ha virket bestemmende inn på resultatet.
Toll. Klage på Datatilsynets vedtak om at Toll- og avgiftsdirektoratets søk vedrørende privatpersoner i valutaregisteret i kontrolløyemed må opphøre. Personvernnemnda konkluderte med at tollmyndighetene kan be om opplysninger fra privatperson. Et spørsmål om en privatperson vil bistå et forvaltningsorgan med å avklare faktum i en sak, er ikke omfattet av legalitetsprinsippet. Videre konkluderte Personvernnemnda med at merverdiavgiftsloven § 15-11 gir tolletaten hjemmel for å pålegge privatpersoner å gi opplysninger og å legge frem dokumentasjon i kontrolløyemed. Personvernnemnda konkluderte endelig med at tolletaten har hjemmel til å søke i valutaregisteret i kontrolløyemed. Slik nemnda tolket uttalelsene i forarbeidene har tolletaten i valutaregisterloven § 6, jf valutaregisterloven § 1 og tolloven § 1-5, fått hjemmel til å foreta søk i valutaregisteret ut fra behov for opplysninger i forbindelse med kontroll og tilsyn. Nemnda fant ikke rettslig grunnlag for å begrense anvendelsen av § 6 til grensepasseringstidspunktet, eller til utførelsen av en fysisk kontroll som omhandlet i tolloven § 13-1.
Klage på Datatilsynets kontroll vedrørende opplysninger og karakteristikker om klager registrert i kommunalt register. Saken dreide seg opprinnelig om en påstand om at det var registrert feilaktige opplysninger om klageren i Arendal kommunes registre, at klager ikke hadde fått tilstrekkelig innsyn i dokumentene, at tilgangsstyringen til registeret ikke var tilstrekkelig og at kommunen ikke hadde beklaget forholdet på tilstrekkelig måte overfor klager. Personvernnemnda sendte saken tilbake til Datatilsynet slik at det kunne gjennomføres tilsyn hos kommunen. Tilsyn (stedlig kontroll) ble gjennomført. Klager har påklaget kontrollen. Personvernnemnda er av den oppfatning at tilsynet har avdekket at tilgangskontrollen er i samsvar med regelverk, samt at opplysninger og karakteristikker av klageren er blitt rettet ved supplering på adekvat måte. Personvernnemnda er kommet til at Datatilsynets behandling har vært utført i samsvar med forvaltningsloven § 17.
Tilgang til fellesregister Gerica. Datatilsynet og klager er enige om helseregisterloven § 13 er til hinder for at Oslo kommune kan gi private virksomheter tilgang til kommunens helseregistre. Klager mener dog at Datatilsynets vedtak lider av saksbehandlingsfeil. Oslo kommune mener at alvorlighetsgraden av manglende etterkommelse av lovens bokstav i helseregisterloven § 13 ikke står i forhold til omfanget og alvorlighetsgraden av konsekvensene av vedtaket. Personvernnemnda har vurdert saken og er kommet til at helseregisterloven må legges til grunn. Nemnda har ingen hjemmel til å dispensere fra loven. Datatilsynets vedtak opprettholdes.
Klage på Datatilsynets vedtak om manglende behandlingsgrunnlag for screening innen ConocoPhillips-konsernet. Personvernnemnda opphevet vedtaket. Etter nemndas syn er dette tale om lovlig innsamlede opplysninger i Norge, som lovlig overføres til USA med hjemmel i § 30 bokstavene c og f. Når de registrerte opplysningene er legalt overført til USA, er det deretter amerikansk lov som regulerer de krav som stilles til behandlingen der. Opplysningene kan i USA brukes til andre formål enn det de opprinnelig ble samlet inn for, dersom det finnes hjemmel for slik bruk etter amerikansk rett.
Antidopingprogram – konsesjon. Klage på Datatilsynets standardkonsesjon for å behandle personopplysninger i antidopingprogram ved treningssentre. Klagen er begrunnet i at konsesjonen i praksis godkjenner avtalevilkårene om dopingtest, som er vurdert av Markedsrådet/Forbrukerombudet til å være i strid med markedsføringsloven og at en slik vurdering av vilkårene faller utenfor Datatilsynets ansvarsområde. Klager anfører videre at han som fastlege kan komme i den situasjon at han må skrive legeerklæringer vedrørende medikamentbruk for at pasienten skal kunne opprettholde sitt kundeforhold til treningssenteret. Personvernnemnda kommenterte at selve avtalevilkårenes rimelighet hører under Forbrukerombudet og Markedsrådet, og kan eventuelt påklages dit. Etter Personvernnemndas oppfatning var dette ikke sakens tvistepunkt. Saken gjaldt en klage på Datatilsynets standardkonsesjon utstedt med hjemmel i personopplysningsloven § 46 fjerde ledd, jf § 9 tredje ledd. Personvernnemnda var etter en totalvurdering av saken enig i Datatilsynets vurdering og vedtak. Personvernnemnda la vekt på at dopingbruk har store både samfunnsmessige og individmessige konsekvenser og at viktige samfunnsinteresser tilsier at antidopingarbeid ivaretas også på alminnelige treningssentre. Det er frivillig å bli medlem på et treningssenter og det finnes alternative treningsmuligheter. Klager hadde anført ulike klagegrunner, men nemnda fant ikke at disse veide tyngre enn de samfunnsinteressene som gjør seg gjeldende i denne saken.
Avfallsservice. Klage på Datatilsynets vedtak om at sammenstilling av personopplysninger fra GPS-systemet i Avfallsservice AS’ biler med sjåførenes timelister var uforenlig med det opprinnelige formålet og manglet behandlingsgrunnlag. Personvernnemnda var enig i Datatilsynets resonnement og konklusjon, nemnda kunne derfor tiltre Datatilsynets vurderinger og begrunnelse. Dette sammenfalt også med lagmannsrettens vurdering av spørsmålet. Personvernnemnda stadfestet Datatilsynets vedtak. Nemnda støttet også Datatilsynet i at sanksjonsapparatet bør vurderes brukt i slike tilfeller.
Arbeidsgivers attest. Saken dreier seg om et åtte år gammelt skjema i en personalmappe hos Nordea kalt ”Grunnlag for utarbeidelse av attest”. Notatet inneholder negative karakteristikker av klager. Klager ønsker notatet slettet. Nordea ønsker å beholde notatet hele ansettelsestiden, jf attestplikten i arbeidsmiljøloven § 15-15. Personvernnemnda bemerket at skjemaet ikke skal oppbevares lenger enn formålet for innsamlingen tilsier. Formålet er attestgrunnlag. Stillingen er fratrådt og klager har åpenbart en annen stilling i samme konsern. Personvernnemnda er av den oppfatning at åtte år gamle opplysninger fra en fratrådt stilling neppe er relevante opplysninger nå i relasjon til den påberopte attestplikten etter arbeidsmiljøloven § 15-15. Nemnda var enig med Datatilsynet i at dokumentet skal slettes.
BP Norge. Klage på Datatilsynets vedtak om bruk av døgnkontinuerlig videokonferanseutstyr på installasjoner offshore og på land. Datatilsynet la opprinnelig til grunn at det ikke var nødvendig med kontinuerlig overføring av lyd og bilder for å oppnå de angitte formålene. Etter befaringen på Forus finner tilsynet det imidlertid godtgjort at lyd og bildeoverføringen er egnet til å optimalisere driften og sikkerheten. Det legges til grunn at det må være en fordel at støttefunksjoner på land lettere vil kunne bistå med sin ekspertise. Det legges også vekt på at tiltaket så langt har hatt en positiv effekt og Datatilsynet konkluderte med at for å oppnå full integrering av kontrollrommene, slik hensikten er, må bildeoverføringen være kontinuerlig. Personvernnemnda var enig med Datatilsynet. Begrunnelsen for kameraovervåkningen er sikkerhet. Ved at to uavhengige miljøer kan se det samme, vil en hendelse som oppstår bli enklere å jobbe med for de to uavhengige miljøene. Nemnda har også oppfattet at de som arbeider på de to kontrollrommene er komplementære kompetansemessig, men likestilte kolleger. Etter nemndas syn vil det være mindre krenkende med kameraovervåkning som går begge veier, altså at offshore også ser kontrollrommet på land, enn enveis overvåkning. Nemnda kan forstå at de ansatte kan oppleve også toveis overvåkning stressende og ubehagelig. Nemnda finner imidlertid at de hensyn som er anført ikke er tungtveiende.
Arbeidsgivers innsyn i e-post. Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr. Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Datatilsynet vurderte å ilegge overtredelsesgebyr og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Etter nemndas syn har ikke Datatilsynet særlig vurdert de momenter som loven pålegger tilsynet å legge vekt på, jf § 46 annet ledd. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette ”skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Tilsynets vurdering er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak. Saken sendes tilbake til Datatilsynet som mangelfullt begrunnet.
Vedtak 2010
Klage vedrørende sletting av informasjon om beredskapshjem. Saken dreier seg om et internettforum med diskusjon av og informasjon om ulike barnevernssaker. En av innleggerne har oppgitt kontaktopplysninger om såkalt skjermet beredskapshjem (med sperret adresse). Datatilsynet fant at man er utenfor vernet ytringsfriheten gir når man legger ut opplysninger om et beredskapshjem, som er ment å være en skjermet adresse av hensyn til de som befinner seg der. Personvernnemnda kom til klager må gis medhold fordi ytringene på nettstedet omfattes av ytringsfriheten slik som angitt i Grunnloven § 100 og personopplysningsloven § 7.
SATK. Klage på Datatilsynets vedtak vedrørende strekningsvis automatisk trafikkontroll (SATK). Personvernnemnda måtte vurdere behandlingsgrunnlag og kom til at SATK har hjemmel i lov, jf vegtrafikkloven § 5, tredje ledd, jf § 10. Nemnda kom til at registreringen som foretas i den løsningen som er valgt synes saklig begrunnet og formålstjenlig. Valget av løsning ligger innenfor handlingsrommet til behandlingsansvarlig. Nemnda konkluderte med at klager har rettslig grunnlag for fotografering av biler som passerer punkt A og B, men at lagring og videre behandling av data kun skjer for kjøretøy som kjører for fort.
Ung i Norden. Klage på Datatilsynets delvise avslag på søknad om konsesjon i forbindelse med prosjektet ”Nordisk omfangsundersøkelse – Ung i Norden 2009”. Datatilsynet har satt som vilkår at foreldrene må samtykke til ungdommenes deltakelse i prosjektet og dessuten har Datatilsynet vurdert at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om, jf personopplysningsloven § 13, jf personopplysningsforskriften kapittel 2. Personvernnemnda mener at det ikke foreligger hjemmel for en 15 årings egensamtykke til behandling av sensitive personopplysninger i personopplysningsloven, og heller ikke i barneloven. Det kreves derfor samtykke fra foresatte for å delta i en slik undersøkelse som ikke er anonym. Foreldresamtykket må være aktivt. Når kravet til samtykke er at det skal være ”utrykkelig” er det bare det aktive samtykket som kan godtas, jf personopplysningsloven § 2 nr 7. Personvernnemnda har også vurdert informasjonssikkerhetsspørsmålet, og finner ikke grunnlag for å endre på Datatilsynets vedtak.
Fjellinjen. Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som med etterskuddsbasert fakturering. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.
E-18 Vestfold. Klage på Datatilsynets pålegg om sletting av passeringsdata. Saken gjelder spørsmålet om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år med henvisning til bokføringsregelverket. Personvernnemnda sluttet seg til Skattedirektoratets konklusjon og begrunnelsen for denne.
Anmodning om omgjøring av konsesjonsvilkår som er omhandlet i PVN-2004-08 pkt 6.4, som gjelder for behandling av personopplysninger i forsikringsvirksomhet, slik at det blir tillatt å foreta kredittvurdering som ledd i risikovurderingen. Etter en grundig analyse av aktuarrapporten er nemnda ikke enig i at dette beviser selskapenes påstand om at data om betalingsanmerkninger ville gi signifikant bedring av risikomodellen til selskapene. Klagernes påstand viser dessuten en misforståelse av KLP- og Utleiermegleren-sakene. Personvernnemnda kan ikke se at rettstilstanden er endret slik klager anfører. Etter nemndas syn er dette dessuten en annen bruk av kredittopplysninger – ikke for kredittvurdering som i KLP-saken og Utleiemegleren-saken, men for å prise en tjeneste. Nemnda har tatt saken til vurdering, men kan ikke se at det gjør seg gjeldende hensyn som burde tilsi en omgjøring av vedtaket.
Klage på Datatilsynets avvisningsvedtak vedrørende saklig behov for kredittvurdering. Klager mente at det ikke vil være saklig behov for kredittvurdering ved opprettelse av inkassosak på lave beløp. Nemnda var enig med Datatilsynet. Det avgjørende for nemnda var at det foreligger en bransjenorm som fastslår at man som hovedregel kan kredittvurdere ved registrering av nytt inkassokrav. Årsaken til kredittvurderingen på dette punktet er at man skal vurdere om kreditor kan/bør velge å ikke fortsette saken. Etter nemndas syn foreligger det da saklig behov nærmest uavhengig av beløpets størrelse.
Klage på Datatilsynets vedtak om saklig behov ved kredittvurdering. Klager anførte at det påståtte erstatningskravet ikke var den reelle grunnen til at advokaten foretok kredittvurdering av ham. Klager mente at kredittvurderingen ble foretatt for å bruke opplysningene om hans økonomi i en pågående tvist mellom advokatens klient og klagers kone. Nemnda var enig i Datatilsynets vurdering. Det forelå saklig behov for kredittvurderingen av klager idet det nærmet seg foreldelse for giftsaken mot klager og det fremsto ikke unaturlig å vurdere sivilrettslige skritt. Etter nemndas syn bør terskelen for å kredittvurdere i slike forhold være lave. Nemnda kom også til at Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.
Klage på Datatilsynets avvisningsvedtak vedrørende feilaktige opplysninger i kommunalt register. Det ligger dokumenter i kommunens sakssystem hvor klager er betegnet som ”psykisk syk” og med ”unormale personlighetstrekk”. Kommunen er dømt til å betale erstatning til klager i lagmannsretten og lagmannsretten la til grunn at klagers sykdom og uføretrygding var et resultat av kommunens håndtering av denne saken. Nemnda kom til at når det er blitt avsagt dom med et slikt innhold så bør Datatilsynet, for å sikre forsvarlig saksbehandling og resultat, undersøke hva som har skjedd og hva kommunen har gjort. Unnlatt tilsyn var således en saksbehandlingsfeil i denne saken. Klagen ble tatt til følge.
Klage på Datatilsynets avvisningsvedtak. Datatilsynet har avvist saken fordi tilsynet er av den oppfatning at kredittvurderingen omfattes av unntaket i personopplysningsloven § 7. Klager anfører at han ikke skulle vært kredittvurdert av Mastiff TV. Det stemmer at han har vært daglig leder i firmaet, men det var på et tidligere tidspunkt. Personvernnemnda var enig med Datatilsynet i at journalister kan innhente kredittopplysninger i forbindelse med journalistisk arbeid. Etter nemndas syn kan det være høyst relevant for en journalist som gjør research til et tv-program å innhente opplysninger ikke bare om nåværende ledelse i et foretak. Klagen ble ikke tatt til følge.
Vedtak 2009
Klage på Datatilsynets vedtak om at dokumenter som inneholder personopplysninger om arbeidstaker, skal utleveres til Datatilsynet for gjennomsyn, jf personopplysningsloven § 44. Klager anfører personopplysningsloven § 23 f som grunnlag for å frita klager fra å utlevere dokumenter i saken til andre enn de en ser seg tjent med. Personvernnemnda er enig med Datatilsynet i at Datatilsynets rett reguleres av § 44 og dette er en rett til å kreve opplysninger som gjelder uten unntak og uten hinder av taushetsplikt. Klagen ble ikke tatt til følge.
CoCa-banken II. I sak PVN-2009-08 CoCa-banken, behandlet Personvernnemnda spørsmålet om avslag på søknad om konsesjon til å behandle personopplysninger til forskning, samt varsel om vedtak om sletting/anonymisering. Personvernnemnda kom til at Datatilsynets vedtak skulle opprettholdes. Datatilsynet fattet deretter endelig vedtak om at UiO skal ”slette eller anonymisere” opplysningene. Datatilsynet henstilte om at opplysningene ble slettet og ikke anonymisert. UiO påklaget dette vedtaket. Personvernnemnda fant at Datatilsynets siktemål med vedtaket oppfylles ved at dataene anonymiseres. En anonymisering kan skje ved at nøkkelen mellom person og prøver slettes, slik at det ikke beholdes noen kobling som åpner for å finne tilbake til fødselsnummeret eller person. Anonymisering vil tillate at pågående doktorgradsstudier kan fullføres. Klagen ble ikke tatt til følge.
Klage på Datatilsynets avvisningsvedtak. Saken gjelder en påstand om at det er registrert feilaktige opplysninger om klager i politiets strafferegister og at klager ikke har fått innsyn i samtlige opplysninger som er registrert om vedkommende. Nemnda kom til at saken ble tilstrekkelig opplyst og Datatilsynet har oppfylt sin utredningsplikt etter forvaltningsloven § 17 og sin veiledningsplikt etter forvaltningsloven § 11.
Klage på Datatilsynets vedtak hvor Datatilsynet slår fast at informasjonsplikten i personopplysningsloven § 20 første ledd gjelder ved innhenting av pasientjournaler i kontrolløyemed. Datatilsynet og NAV er uenige om rekkevidden av unntaket i personopplysningsloven § 20 annet ledd bokstav a. Klager mener at personopplysningsloven § 20 annet ledd bokstav a, sammenholdt med folketrygdloven § 21-4, jf § 21-4 bokstav c hjemler unntak fra informasjonsplikten som følger av personopplysningsloven § 20 første ledd. Personvernnemnda kom til at en naturlig forståelse av ordlyden i folketrygdloven § 21-4c 4.ledd tilsier at hovedregelen om informasjonsplikt skal gjelde her. Det er uttrykkelig henvist til informasjonsplikten i personopplysningsloven i § 21-4c 4. ledd, og det er bare gjort unntak for de forhold som er regulert i folketrygdlovens § 21-4b.
Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt forhold knyttet til klagers advokat, blant annet manglende og mangelfull bistand. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.
Klage på Datatilsynets avslag på søknad om konsesjon for behandling av personopplysninger i IMDis kompetanseteam mot tvangsekteskap. Personvernnemnda kom til at klager har behov for ytterligere veiledning, begrepsavklaring og utredning. Av hensyn til klager, er nemnda derfor kommet til at saken sendes tilbake til Datatilsynet slik at saken eventuelt kan bli gjenstand for en reell toinstansbehandling i forvaltningsapparatet.
Klage på Datatilsynets vedtak om sletting av betalingsanmerkninger eldre enn åtte år og omlegging av kredittopplysningsbyråenes praktisering av sletting i samsvar med pålegget. Saken gjelder en tolkning av standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2, som sier at en fordring som ikke kan resultere i slik tvangsforretning, kan benyttes i kredittopplysningsøyemed i ytterligere fire år, dersom det tas nye rettslige skritt. Klager mener at det dermed ikke finnes noen maksimal oppbevaringstid, slik at bemerkningen ikke behøver å slettes før det er gått fire år siden siste rettslige skritt. Datatilsynet har tolket inn en øvre grense på maksimalt to fireårsperioder. Etter nemndas syn blir det å trekke den naturlige språklig forståelsen av ordlyden for langt. Datatilsynet kan eventuelt sette en øvre grense ved å endre konsesjonen. Klager gis medhold.
Klage på Datatilsynets vedtak hvor Datatilsynet ga avslag på søknad fra Simonsen Advokatfirma DA om forlengelse av konsesjon til å behandle personopplysninger. Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider. Datatilsynet nektet forlengelse, blant annet med den begrunnelse at det er en rekke prinsipielle problemstillinger som Datatilsynet har sett ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold. Personvernnemnda delte seg i et flertall og et mindretall. Flertallet kom til at konsesjonen skulle forlenges. Flertallet mente at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering. En særbemerkning på dette punkt. Mindretallet var enig i Datatilsynets vedtak. Mindretallet fremhever at den aktuelle registrering vil ha personvernmessige virkninger som kan ”volde ulemper”. Mindretallet mener at disse ikke kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen. Mindretallet mener at saken berører vesentlige prinsipielle personvernspørsmål, så som påregnelig feilregistrering, privat overvåkning, bruk av provokasjonslignende tiltak og endring av prinsipp for bevisvurdering.
Klage på Datatilsynets avvisningsvedtak. Klagen gjaldt behandling hos NAV og ulike personer innen helsevesenet. Personvernnemnda vurderte hvorvidt Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt i forvaltningsloven § 11. Nemnda kom til at Datatilsynet har oppfylt sin utredningsplikt og veiledningsplikt i denne saken.
Klage på Datatilsynets vedtak om at Oslo kommune ved tildeling av drosjeløyver ikke kan innhente vandelsopplysninger og andre opplysninger på grunnlag av samtykke fra løyvesøker. Klagen ble delvis tatt til følge. Nemnda konkluderte med at den behandlingen det her var tale om kunne skje på grunnlag av samtykke fra den registrerte, så fremt det var etablert en alternativ behandlingsmåte for de som velger å ikke gi samtykke. For at dette skal være tilfelle må søker få anledning og tilstrekkelig informasjon til selv å kunne fremskaffe de relevante opplysninger. Personvernnemnda vurderte samtykkeskjemaet og kom til at erklæringen måtte konkretiseres nærmere og de ulike opplysninger som skulle innhentes i samsvar med vilkårene i yrkestransportloven og forskriften måtte spesifiseres. Nemnda kom derfor til at samtykkeerklæringen ikke var utformet slik at den tilfredsstilte kravene til en frivillig, uttrykkelig og informert erklæring fra den registrerte, jf personopplysningsloven § 2 nr 7.
Klage på Datatilsynets vedtak om at Rogaland fylkeskommune ikke kan bruke fødselsnummer for administrering av skoleskyss. Datatilsynet viste til at bestemmelsen i personopplysningsloven § 12 er strengt utformet og sikker identifisering kan oppnås ved bruk av navn, adresse og fødselsdato i denne saken. Personvernnemnda kom etter en konkret vurdering til at det var ”saklig behov” for sikker identifisering og at metoden var ”nødvendig” for å oppnå slik identifisering. Bruken av personnummer i denne saken var derfor i samsvar med personopplysningsloven § 12.
Klage på Datatilsynets vedtak om at Altinn sentralforvaltning må avslutte logging av fødselsnummer og tilhørende IP-adresse. Datatilsynet mente at Altinn ikke har grunnlag for loggingen i personopplysningsforskriftens §§ 2-14 og 2-16. Forskriften pålegger tiltak for å hindre uautorisert tilgang, men ikke slik som Altinn legger opp til, nemlig å logge all trafikk for å kunne etterspore en eventuell uautorisert tilgang til systemet. Personvernnemnda var enig med Datatilsynet i at behandlingen av IP-adresser ikke hadde rettslig grunnlag i personopplysningsforskriften. Nemnda var imidlertid av den oppfatning at Altinn har behandlingsgrunnlag i personopplysningsloven § 8 f; den behandlingsansvarlige skal ivareta en berettiget interesse og hensynet til den registrertes personvern overstiger ikke denne interessen.
Klage på Datatilsynets avvisningsvedtak. Klager mener å stå oppført med feil ektefelle i folkeregisteret. Klager påklager avvisningsvedtaket og hevder at saken ikke burde avsluttes men følges opp ytterligere i forhold til Skatt Øst, jf personopplysningsloven § 13. Personvernnemnda vurderte Datatilsynets saksbehandling og kom til at saken ble tilstrekkelig opplyst før vedtak ble fattet. Datatilsynet har dermed oppfylt sin utredningsplikt etter forvaltningsloven § 17 og veiledningsplikt etter forvaltningsloven § 11.
Klage på Datatilsynets beslutning om å avslutte sak om et eventuelt brudd på politiets taushetsplikt. Saken gjaldt spørsmål om brudd på taushetsplikt hos politiet, og Personvernnemnda var enig med Datatilsynet i at det er en sak for Spesialenheten for politisaker. Saken lå dermed utenfor Datatilsynets kompetanse. Nemnda kom til at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.
Nasjonalbiblioteket påklaget Datatilsynets vedtak om tids- og innholdsmessig begrenset konsesjon for nedlasting, oppbevaring og tilgjengeliggjøring av materiale fra Internett. Personvernnemnda bemerket at avleveringsloven og avleveringsforskriften er åpenbart ikke tilpasset nettdokumenter. Nemnda mente også at lovens begrep ”allment tilgjengelig” ikke er et hensiktsmessig begrep for den lovregulerte, pliktmessige innsamling av ytringer i det offentlige rom. Begrepet er ikke lenger dekkende for det som var formålet med avleveringsloven, nemlig å samle inn de offentlige ytringer. Med Internett har ”allment tilgjengelig” blitt utvidet til å også omfatte private ytringer. Personvernnemnda gjennomgikk konsesjonsvilkårene. Nemnda opprettholdt kravet om at Nasjonalbiblioteket må respektere robots.txt. Industristandarder som robots.txt utgjør en mild beskyttelse av innhold som er lagt ut på Internett, for eksempel når intensjonen er å spre det innenfor ”ein privat krins”. Nemnda opprettholdt også vilkåret om retting/supplement, men ikke i form av en tilsvarsrett, men på den måten at klager må oppfylle plikten som følger av personopplysningsloven § 27 første og annet ledd. For så vidt gjaldt informasjonstiltak, var nemnda enig med klager i at klager bare kan informere de registrerte om retten til å komme med kommentarer. Nemnda kom til at tilgjengeliggjøring for forskning ikke kunne skje; nemnda mente at det er viktig at informasjonsplikten og muligheten til å kommentere oppfylles før det tilgjengeliggjøres for forskning. Personvernnemnda var enig med Datatilsynet i at det i denne saken måtte gis en tidsavgrenset konsesjon, men nemnda forlenget konsesjonsperioden frem til 30.6.2012.
Klage på Datatilsynets vedtak der Ila fengsel nektes fullt innsyn i den underliggende klage og det innvilges kun delvis innsyn med rettslig grunnlag i forvaltningsloven § 19, 2. ledd bokstav b. Personvernnemnda vurderte det slik at samtlige temaer som den innsatte hadde reist falt utenfor Datatilsynets kompetanse. Personvernnemnda kom dermed til at den foreliggende saken var en orienteringssak, ikke en enkeltvedtakssak. Dette medførte at det ikke forelå noen enkeltvedtakssak som Ila fengsel kunne være part i. Dermed hadde Ila heller ikke krav på partsinnsyn etter forvaltningsloven.
Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon til å behandle helseopplysninger i forbindelse med forskning. Konsesjonssøker ønsket å koble Tvillingregisteret med en rekke andre registre. Datatilsynet ville ikke gi konsesjon uten at samtykke fra utvalget først ble innhentet. Nemnda er enig i Datatilsynets interesseavveining, der Datatilsynet legger til grunn at samfunnets behov for behandlingen i dette tilfellet må vike for personverninteressene.
Klage på Datatilsynets vedtak hvor det ble gitt avslag på søknad om konsesjon angående Colon Cancer banken (CoCa-banken) til å behandle helseopplysninger. Til tross for at forsker har manglet nødvendige offentlige godkjennelser av prosjektet, ønsker klager likevel å beholde personidentifiserbare opplysninger til 2011. Nemnda kom til, som Datatilsynet, at det i denne saken ikke foreligger hjemmel for å oppbevare materialet. Uttalelse om personverntrusselen som ligger i den praksis at regelverket neglisjeres og man tror at skaden lar seg reparere. Etter Personvernnemndas syn ville en tildeling av konsesjon i etterhånd i et tilfelle som dette, skapt en uheldig presedens.
Klage på Datatilsynets vedtak om utvidelse og forlengelse av konsesjon til å behandle helseopplysninger i forbindelse med ”Gjennombruddsprosjekt keisersnitt”. Konsesjon ble gitt under forutsetning at utvalget skulle få informasjon om koblingen og adgang til å reservere seg mot deltakelse. Legeforeningen påklaget vedtaket og anførte at det blir vanskelig å innhente samtykke til kobling fordi klager ikke har navn eller personnummer som i etterkant kan identifisere deltakerne. Videre anføres det at arbeidsbyrden i MFR med å tilskrive over 3000 deltakere er for stor. Personvernnemnda kom til at klagen ikke kunne tas til følge. 3200 personer er ikke mange. Det er tvert imot tale om et ganske lite register i forhold til mange registre i Norge i dag. Nemnda bemerket at det kan ikke være slik at hovedregelen ikke skal følges når det gjelder de manges personvern, bare når det gjelder de fås personvern.
Klage på Datatilsynets vedtak om at Kreftregisteret skal slette eller anonymisere opplysninger om negativt funn som er eldre enn seks måneder. Alternativt skal Kreftregisteret utarbeide en fremdriftsplan for innhenting av lovlig samtykke og samtykkene må være innhentet innen utgangen av 2009. Personvernnemnda tok klagen delvis til følge. Nemnda er av den oppfatning at en konsesjon kan endres av en etterfølgende forskrift. Kreftregisterforskriften trådte i kraft i 2002. Det betyr at fristen på seks måneder begynte å løpe fra det tidspunktet, for alle innsamlede opplysninger. Kreftregisteret har ikke overholdt tidsfristen. Personvernnemnda mener at tidsfristen fastsatt av Datatilsynet er for kort og kom til at samtykker må være innhentet innen utgangen av 2011.
Kobling av helseregistre. Klage på Datatilsynets vedtak om at konsesjon for å gjennomføre en kobling mot Kreftregisteret krever at det blir innhentet nye samtykker fra alle registrerte pasienter i Norsk levertransplantasjonsregister. Personvernnemnda vurderte samtykkeskjemaene og kom til at kobling mot Kreftregisteret kan skje uten at man innhenter nye samtykker fra pasientene. Nemnda la særlig vekt på at det fremgikk av ordlyden at registreringen var frivillig. Nemnda anbefalte dog at ordlyden ble enda tydeligere slik at det blir klart at manglende samtykke ikke har noen betydning for plassen på ventelisten eller oppfølgningen etter en transplantasjon.
Kobling av helseregistre. Det ble søkt om konsesjon til å foreta en kobling mot Dødsårsaksregisteret uten å informere utvalget. Datatilsynet ga delvis avslag på søknaden. Klager fikk konsesjon, men Datatilsynet satte som krav at utvalget ble informert om koblingen. Personvernnemnda vurderte hvorvidt informasjon til pasientene om at det skal foretas en kobling mot Dødsårsaksregisteret er ”utilrådelig”. Nemnda bemerket at denne saken er annerledes enn de to sakene hvor Datatilsynet brukte unntaksregelen i helseregisterloven § 25, 2. ledd nr 3. Tolkning av begrepet ”utilrådelig” skal ta utgangspunkt i et faglig skjønn, men dette er ikke avgjørende selv om det er av betydning. Nemnda kom til at kravet om informasjon etter helseregisterlovens §§ 20, 23 og 24 må opprettholdes.
Klage på Datatilsynets saksbehandling vedrørende påberopte brudd på personvernlovgivningen i forskningsprosjekter. Klager mente at Datatilsynet skulle ha foretatt seg mer i denne saken. Datatilsynet svarte at det har fulgt opp saken på en adekvat måte, blant annet med både brevlig og stedlig kontroll – uten at det ble funnet noen behandling som var ulovlig. Personvernnemnda var enig med tilsynet og konkluderte med at saken var tilstrekkelig opplyst og Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven § 17.
Klage på Datatilsynets vedtak om at tilsynet ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har lovlig adgang til å innhente. Nemnda var enig med tilsynet om at de ikke har myndighet til å overprøve Lindorffs valg av metoder. Heller ikke påstandene om retting etter personopplysningsloven § 27 eller sletting etter personopplysningsloven § 28 førte frem.
Klage på vedtak fra Datatilsynet hvor Datatilsynet påla tre kredittopplysningsforetak å endre sine gjenpartsbrev slik at også ”score” fremkommer av gjenparten. Klager anfører at det ikke er rettslig grunnlag for å gi pålegg om at selve kredittvurderingen skal fremgå av gjenparten. Formålet med gjenpartsplikten er oppfylt når den registrerte får informasjon om hvilke opplysninger som er utlevert til spørrer eller lagt til grunn for kredittvurderingen. Datatilsynet mener at en score sier noe om en persons kredittverdighet og er følgelig å anse som en personopplysning. Personvernnemnda er enig med Datatilsynet og mener at når personopplysninger er definert som både fakta og vurderinger, blir det uriktig å skille mellom opplysningene og scoren. Personvernnemnda er derfor av den oppfatning at også scoren skal fremgå av gjenparten.
Vedtak 2008
Klage på Datatilsynets avvisningsvedtak. Klager mener at Datatilsynet skulle ha foretatt tilsyn hos en fysioterapeut som klager har vært pasient hos. Klager hadde klaget fysioterapeuten inn for Helsetilsynet for feilbehandling. Helsetilsynet fikk ikke pasientjournal som det ba om fordi fysioterapeuten hadde fått virus på datamaskinen og ødelagt harddisk. Fysioterapeuten sendte harddisken til IBAS, men IBAS klarte ikke å gjenopprette eller rekonstruere innholdet. Helsetilsynet ga fysioterapeuten en advarsel for brudd på journalforskriften. Etter Personvernnemndas syn, har Datatilsynet gjort det som kan gjøres i denne saken. Klager har fått innsyn i IBAS-rapporten. Når IBAS ikke klarer å gjenopprette eller rekonstruere innholdet på harddisken, er det ikke sannsynlig at andre vil klare det.
Creditinform. Klage på Datatilsynets vedtak om at Creditinform må stoppe salg av ”bransjeanalyser” inntil konsesjon for slik bruk av kredittopplysningsdatabasen foreligger. Klagen ble tatt til følge. Personvernnemnda mener at bransjeanalyser er omfattet av gjeldende konsesjon. Etter nemndas mening må Datatilsynet av eget tiltak trekke konsesjonen tilbake og regulere salg av tjenesten ”bransjeanalyse” i en ny og endret konsesjon dersom tilsynet mener at dette er nødvendig. Det vil ha den konsekvens at alle kredittopplysningsforetak vil bli behandlet likt, i og med at dette er en standardkonsesjon.
Lindorff. Klage på Datatilsynets pålegg om at Lindorff ikke kan benytte historiske adresser som variabel i kredittvurdering av en privatperson. Personvernnemnda kom til at når adresse er klassifisert under ”kontaktopplysninger”, må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Mindretallet finner også at bare aktuelle adresser kan registreres, men mener at den aktuelle adressen kan brukes som variabel i kredittvurdering.
OBOS-megleren. Klage på Datatilsynets vedtak om at OBOS-megleren må sørge for tilfredsstillende tilgangsbegrensning i henhold til ansattes tjenstlige behov ved bruken av eMegler, slik at meglerne kun har tilgang til opplysninger knyttet til sitt eget kontor. Nemnda var ikke enig i Datatilsynets rettsanvendelse og kom til at personopplysningsloven § 11 bokstavene b og d, samt personopplysningsforskriftens § 2-11 ikke krever at tilgangen til eMegler begrenses til det enkelte kontor i denne saken. Klagen ble tatt til følge. ontor i denne saken. Klagen ble tatt til følge.
SSP. Klage på Datatilsynets vedtak om at Kripos skulle slette opplysninger om en person i det sentrale straffe- og politiopplysningsregisteret (SSP). Personvernnemnda kom til at domstolens beslutning om varetekt faller innenfor personopplysningsloven, jf ordlyden i personopplysningsloven § 2 nr 8. Opplysningen ligger under Datatilsynets tilsynsmyndighet. Strafferegistreringsloven har ingen bestemmelser om sletting av opplysninger. Utfyllende regler må derfor finnes i personopplysningsloven, jf personopplysningsloven § 5. Nemnda gjennomgår politiets instrukser og praksis, men personopplysningsloven har forrang. Instrukser og praksis kan brukes for å tolke hvor lenge lagring er ”nødvendig for å gjennomføre formålet med behandlingen”, jf personopplysningsloven § 28. Nemnda finner etter en totalvurdering at i denne konkrete saken er den 20 år gamle opplysningen ikke lenger nødvendig for å gjennomføre formålet med behandlingen og skal derfor slettes. Nemnda er bekymret over den vide tilgangen til SSP og foreslår at politiet tar i bruk virkemidler for å begrense tilgangen til opplysningene.
Utleiemegleren. Klage på Datatilsynets vedtak om at Utleiemegleren skal stanse sin behandling av kredittopplysninger vedrørende interessenter til leie av boliger. Datatilsynet mente at Utleiemegleren ikke har et ”saklig behov” for å innhente kredittopplysninger om interessenter, jf personopplysningsforskriften § 4-3. Datatilsynet viste til flertallets vurderinger i KLP-saken, PVN-2006-03. Personvernnemnda kom etter en konkret vurdering kommet til at det i denne saken foreligger saklig behov for kredittopplysninger. Saken skiller seg fra KLP-saken fordi Utleiemegleren handler på vegne av enkeltpersoner. For en privatperson er det en høy forretningsmessig risiko forbundet med boligutleie. Nemnda mener at kun den som får tilbud om å leie boligen kan bli kredittvurdert som en siste sjekk før tilbudet gis.
Vedtak 2007
ung1881.no. Klage på Datatilsynets vedtak om at Opplysningen må innhente samtykke fra abonnent før Opplysningen kan benytte informasjon om brukere av mobiltelefonnummer som de får på nettstedet ung1881.no til å oppdatere sin nummeropplysningstjeneste. Nemnda tok ikke klagen til følge og viste til at dette er regulert i ekomforskriften § 6-3. Ekomforskriften gir abonnenten kontroll med hvilke opplysninger som gjøres tilgjengelig for allmennheten, og det bryter mot denne ordningen at man åpner en ”bakvei” for uavhengig av abonnenten å endre eller supplere opplysningene. Nemndas flertall kom til at Opplysningen må be om samtykke fra abonnenten før informasjonen fra ung1881.no kan brukes til å oppdatere nummeropplysningstjenesten, jf hovedregelen i personopplysningsloven § 8.
OBOS. Klage på Datatilsynets avvisningsvedtak. Klager begjærte innsyn i opplysninger i forbindelse med en konflikt mellom et OBOS-borettslag og klagers mor, jf personopplysningsloven § 18. Datatilsynet fulgte opp innsynsbegjæringen, men avsluttet saken da OBOS påberopte at innsyn ikke kunne gis fordi opplysningene er unntatt fra innsynsretten etter personopplysningsloven § 23 litra d, med bakgrunn i advokaters taushets- og konfidensialitetsplikt, jf domstolloven § 224 og advokatforskriftens kap 12 pkt 2.3. Nemnda tok ikke klagen til følge. Datatilsynet hadde oppfylt sin utredningsplikt etter forvaltningsloven. Det var ikke en saksbehandlingsfeil at Datatilsynet ikke gjennomførte en stedig kontroll hos OBOS i denne saken.
Fosterforeldre. Klage på Datatilsynets vedtak om at publisering av personopplysninger om fosterforeldre på internettside faller inn under unntaket i personopplysningsloven § 7 om behandling av personopplysninger utelukkende for journalistiske, herunder opinionsdannende, formål. Nemnda var enig med Datatilsynets vurderinger. Det var på det rene at fosterforeldrenes oppførsel, utseende etc var kommentert på nettsiden, men dette måtte likevel sies å ligge innenfor ytringsfrihetens rammer, og dermed ytringer med ”utelukkende opinionsdannende formål”. Datatilsynets vedtak ble opprettholdt.
Kolumbuskortet. Rogaland Kollektivtrafikk FKF påklagde Datatilsynets vedtak vedrørende etablering av et elektronisk reisekort, Kolumbuskortet, der passasjeren har ”reisekonto” på internett og reisemønster blir lagret. Kolumbus sendte en risikovurdering til Datatilsynet. Datatilsynet anså at denne risikovurderingen ikke var i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall var den ikke tilstrekkelig dokumentert. Tilsynet konkluderte derfor med at dette var en vesentlig mangel som gjorde at løsningen ikke kunne brukes. Personvernnemnda er kommet til at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes.
Budstikka. Norsk Eiendomsinformasjon AS påklaget Datatilsynets vedtak om at Budstikkas internettbaserte eiendomsbase er lovlig. Datatilsynet mente at Budstikkas tjeneste er et journalistisk produkt som faller innenfor unntaket i personopplysningsloven § 7, og personopplysningslovens grunnkrav kommer dermed ikke til anvendelse. Personvernnemnda er enig i Datatilsynets vurdering. Budstikka har brukt de ”tørre” tall og fakta fra NE til å lage en lesevennlig, brukervennlig og søkbar database over eiendomsoverdragelser i Asker og Bærum. Nemnda har imidlertid bemerkninger fordi partene ikke er vernet etter personopplysningsloven og Datatilsynet burde ha eksplisitt angitt lovhjemmel for vedtaket.
Bibliotek-Systemer. Bibliotek-Systemer AS har påklaget et vedtak fra Datatilsynet som går ut på at de ikke får utvikle en bibliotektjeneste som innebærer å lage knytninger mellom boktitler som ulike boklåntakerne låner – en såkalt korrelasjonsdatabase. Datatilsynet er av den oppfatning at tjenesten innebærer en personverntrussel. Det vises til at det opprinnelige formålet med bibliotekenes låneopplysninger er å administrere låneforholdet. Som en følge av dette skal opplysningene normalt slettes når boken leveres tilbake, jf personopplysningsloven § 28. Nemnda mener at personverntrusselen er liten, men kommer likevel til at Bibliotek-Systemer AS kun har adgang til å etablere en korrelasjonsdatabase dersom det innhentes samtykke fra de registrerte.
Arvelighetsregisteret. Klager har påklaget Datatilsynets vedtak om å plassere behandlingsansvaret for ”Arvelighetsregisteret”, herunder ”Tvillingregisteret”, hos Universitetet i Oslo. Plasseringen av behandlingsansvaret hos UiO innebærer samtidig et avslag på klagers søknad om konsesjon til det samme materialet. Personvernnemnda tar ikke klagen til følge og Datatilsynets vedtak blir stående. Etter nemndas mening kan man ikke søke om å få en ”arbeidskonsesjon” eller ”brukskonsesjon” til det samme materialet. Etter nemndas mening må det korrekte være å be om en tilgang til det materialet som UiO disponerer over som behandlingsansvarlig. Det vil være opp til UiO som behandlingsansvarlig å håndtere forespørsler om tilgang til forskningsmaterialet. Etter nemndas syn er en professor emeritus ved institusjonen normalt ikke en utenforstående tredjeperson ved slike forespørsler. UiO må derfor ta stilling til om videre forskning skal skje ut fra forskningsetiske prinsipper og arbeidsrettslige retningslinjer.
Vedtak 2006
PVN-2006-13Personopplysninger i forsikringssak. Saken gjelder klage fra en person vedrørende en spesialisterklæring utarbeidet for Vesta forsikring som inneholder personopplysninger om andre personer enn klager. Klager underskrev en fullmakt til Vesta – Erklæring om fritak for taushetsplikt. Legen tok likevel med informasjon om andre enn klager i sin spesialisterklæring, blant annet utleverte den personopplysninger om klagers nærmeste familie. Saken ble først klaget inn for Helsetilsynet i Vestfold, som konkluderte med at spesialisterklæringen ikke er utarbeidet i henhold til god praksis. Helsetilsynet vurderte reaksjonskapittelet i helsepersonelloven, men fant at det ikke dreide seg om så grov uaktsomhet at saken burde oversendes Statens helsetilsyn til vurdering som mulig pliktbrudd i henhold til helsepersonelloven § 55. Datatilsynet viser til at det ikke har kompetanse til å overprøve den sakkyndige vurderingen, og når Helsetilsynet i Vestfold ikke anser utlevering i strid med reglene om taushetsplikt, finner Datatilsynet at det ikke har rettslig grunnlag som gjør det naturlig å ta videre skritt i sakens anledning. Personvernnemnda mener at utlevering av personopplysninger om andre enn den som har samtykket, sannsynligvis er et brudd på taushetspliktsbestemmelsene i helseregisterloven og helsepersonelloven. Slik nemnda ser det, har Helsetilsynet i Vestfold funnet at utleveringen er et taushetspliktsbrudd etter helsepersonelloven, men Helsetilsynet konkluderer med at reaksjonskapittelet i helsepersonelloven likevel ikke skal benyttes. Personvernnemnda må derfor legge dette til grunn. Det finnes ingen ytterligere sanksjoner etter personopplysningsloven.
Bokettersyn hos advokat. Datatilsynet mottok klage fra en advokat fordi opplysning fra Tilsynsrådet for advokatvirksomhet om at det var besluttet bokettersyn hos advokaten var blitt offentliggjort. Datatilsynet vedtok at slik opplysning om en advokat ikke er en personopplysning i personopplysningslovens forstand. Personvernnemnda vurderte hvorvidt det å offentliggjøre en liste over advokater som er underlagt bokettersyn er i strid med taushetspliktsbestemmelsen i forvaltningsloven fordi dette er ”noens personlige forhold”, jf forvaltningsloven § 13, 1.ledd nr 1. Nemnda kom til at slike virksomhetsrelaterte opplysninger, herunder bokettersyn hos advokat, faller utenfor taushetsplikten om personlige forhold. Opplysningen er derfor offentlig. Personopplysningsloven § 6 angir at innsynsretten etter forvaltningsloven eller offentlighetsloven ikke begrenses. Klagen ble derfor ikke tatt til følge.
REMA 1000. Fingeravtrykkspålogging. REMA 1000 har påklaget Datatilsynets vedtak om at REMA 1000 må avslutte bruken av fingeravtrykk i forbindelse med timeregistrering for de ansatte. Registrering i terminalen skjer ved at den ansatte taster sitt ansattnummer eller ID-nummer. Deretter blir vedkommende bedt om å legge en finger på leseplaten eller sensoren for å verifisere at det er tastet riktig nummer. Datatilsynet er ikke uenig i at REMA 1000 har et saklig behov for å sikre at lønn føres korrekt. Tilsynet er imidlertid av den oppfatning at fingeravtrykket ikke benyttes for sikker identifisering slik dette er formulert i § 12. Identifisering skjer ved hjelp av ansattkoden, mens fingeravtrykket brukes til autentisering, noe som faller utenfor § 12. Datatilsynet mener at lovens krav til nødvendighet heller ikke er oppfylt. Personvernnemnda har i sak PVN-2006-10 (Esso Norge) kommet til at personopplysningsloven § 12 dekker begge former for bruk av et ”identifikasjonsmiddel” når bruk av fingeravtrykk til autentisering er en del av et system for sikker identifisering. Personvernnemnda mener at det foreligger et saklig behov for sikker identifisering i forbindelse med timeregistrering. Imidlertid finner nemnda at nødvendighetsvilkåret ikke er oppfylt. Etter nemndas oppfatning kan REMA 1000 benytte seg av ”andre og mindre sikre identifikasjonsmidler” som likevel tilfredsstiller butikkjedens behov. Klagen tas derfor ikke til følge.
Esso Norge. Fingeravtrykkspålogging. Dissens. Klage på Datatilsynets vedtak om at Esso Norge må avslutte bruken av fingeravtrykksleser på tankanlegg. Esso ønsket å benytte fingeravtrykk i tilknytning til adgangskontroll ved fire forskjellige tankanlegg, i Fredrikstad, Tønsberg, Trondheim og Bergen. Bruken skulle være basert på en samtykkeerklæring og en ”Safety Policy” og skulle sikre at kun autorisert og trenet personell ble gitt adgang til anlegget. Datatilsynet mente at klager har misforstått det første vilkåret i § 12 dit hen at et stort behov for fysisk sikring også gir et stort behov for sikker identifisering. Tilsynet fant at fingeravtrykket ikke benyttes til identifisering, men til autentisering etter at identifiseringen har funnet sted. Datatilsynet mente også at lovens krav til nødvendighet ikke var oppfylt. Etter Datatilsynets oppfatning kan klager oppnå like sikker identifisering ved døgnbemannet adgangskontroll. I følge tilsynet er manuell visuell kontroll opp mot adgangsbevis et godt alternativ til bruk av fingeravtrykk. Personvernnemnda mener at personopplysningsloven § 12 dekker begge former for bruk av fingeravtrykk som et ”identifikasjonsmiddel”, det vil si både identifisering og autentisering. Ved bruken av kort og fingeravtrykksleser ved adgangsporten vil (1) personen være identifisert, og (2) personen være autentisert. Personen vil dermed få adgang til tankanlegget. Personvernnemnda er av den oppfatning at det ikke kan pålegges – og derfor heller ikke vurderes – andre typer sikring slik som vakthold, gjerder, høye murer etc, idet dette ligger utenfor personopplysningsloven § 12 og midler for sikker identifikasjon ved adgangskontrollen. Nemnda kommer til at det foreligger et saklig behov for bruk av fingeravtrykksleser, og at bruken er nødvendig for å oppnå sikker identifisering. Et medlem kommer til at nødvendighetsvilkåret i § 12 utelukker bruk av samtykke som behandlingsgrunn, og vil avvise klagen.
Oslo trimsenter – fingeravtrykkspålogging. Klage over at Datatilsynet stanset bruk av fingeravtrykksleser i adgangskontrollen ved treningssenteret Oslo trimsenter. Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av ”andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.
Oxigeno Fitness – fingeravtrykkspålogging. Klage over at Datatilsynet stanset bruk av fingeravtrykksleser i adgangskontrollen ved treningssenteret Oxigeno Fitness i Oslo. Datatilsynet mente at det kunne sies å foreligge et saklig behov for sikker identifisering i tilknytning til adgangskontrollen, men at lovens krav til nødvendighet ikke var oppfylt. Personvernnemnda var enig i Datatilsynets vurdering og tok ikke klagen til følge. Nemnda mener at treningssenteret kan benytte seg av ”andre og mindre sikre identifikasjonsmidler”, som likevel er sikkert nok til å tilfredsstille treningssenterets behov.
Tysvær kommune - saksomkostningsvedtak, jf forvaltningsloven § 36
Tysvær kommune – fingeravtrykkspålogging. Spørsmål om Tysvær kommune må avslutte bruken av fingeravtrykk ved pålogging av datasystem. Tysvær kommune benytter biometrisk tilgangskontroll på alle nye bærbare datamaskiner og noen stasjonære maskiner. Datatilsynet forbød bruken fordi den ikke var tillatt etter personopplysningsloven § 12. Datatilsynet mente at selv om det foreligger saklig behov for sikker identifisering for å sikre at sensitive personopplysninger i datasystemet kommer på avveie, var ikke bruk av fingeravtrykksløsning nødvendig for å oppnå sikker identifisering. Etter Datatilsynets syn kunne kommunen i stedet bruke for eksempel smartkort kombinert med passord. Personvernnemnda omgjorde vedtaket. Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk. Etter en konkret avveining kom Personvernnemnda til at kommunens bruk er tillatt, jf personopplysningsloven § 12.
PVN-2006-6Datatilsynet fattet vedtak om at om at dopingtester ved treningssenteret Skullerud Sport Senter AS skal opphøre. Antidoping-programmet består av en frivillig egenerklæring som medlemmer ved senteret kan undertegne. Medlemmer som har samtykket kan bli utsatt for uanmeldte dopingprøver. Datatilsynet mente at dopingtester av treningssenterets medlemmer er et for inngripende og lite egnet virkemiddel til at personvernulempene ved testene oppveies. Tiltaket vil ikke være tilstrekkelig og relevant, herunder forholdsmessig, i forhold til formålene som begrunner tiltaket. Personvernnemnda omgjorde Datatilsynets vedtak. Etter Personvernnemndas syn er antidoping-programmet vurdert under ett ikke et uforholdsmessig tiltak. Nemnda legger blant annet vekt på at samtykke er frivillig og at antidoping-programmet bidrar til holdningsskapende arbeid blant ungdom.
PVN-2006-5Spørsmål om identitetsmisbruk. Klager hevdet at det fantes en ”falsk navnebror” ved søk på ulike telefonkataloger på Internettet. Klager henviste blant annet til søketjenesten ”sesam.no”. Klager mente at den falske navnebroren skulle være registrert med fiktiv adresse i nærheten av klager og anmodet Datatilsynet om å avklare grunnlaget for dobbeltoppføringen med Telenor. Personvernnemnda kunne ikke finne at det var opplyst eller dokumentert feilaktige opplysninger per i dag som kunne kreves rettet etter personopplysningsloven § 27. Når det ikke kan påvises feilaktige opplysninger, faller forholdet utenfor personopplysningsloven og dermed utenfor Personvernnemndas kompetanse.
PVN-2006-4Microsoft Windows XP. Klage på Datatilsynets vedtak om at saken ikke strider mot personopplysningsloven. Klager mente at Microsoft Windows XP operativsystems automatiske oppgraderingsfunksjon er personvernstridig fordi det er et forsøk på å tilsikre seg data ved at Microsoft, eller annen tredjeperson, får tilgang til informasjon i klagers datamaskin og gis mulighet til å lagre annen data på klagers maskin. Klagen førte ikke frem. Personvernnemnda finner at ingen personopplysninger behandles i forbindelse med bruk av funksjonen automatiske oppdateringer. Saken faller derfor utenfor personopplysningsloven.
PVN-2006-3KLP. Dissens 4-3. Saken gjelder hvorvidt det foreligger et saklig behov for å kredittvurdere potensielle boligleietagere, jf personopplysningsforskriften § 4-3, når husleien betales forskuddsvis. Datatilsynet vedtok pålegg om opphør av KLP Eiendom Trondheim AS’ praksis med å foreta kredittvurdering av potensielle leietakere. Datatilsynet tolket saklighetskravet i personopplysningsforskriftens § 4-3 slik at det må foreligge et kredittelement før innhenting av kredittopplysninger og slikt element av kreditt forelå ikke når husleien betales forskuddsvis. Personvernnemnda er enig med Datatilsynet i at det som hovedregel vil være i forbindelse med inngåelse av avtale hvor man har til hensikt å yte kreditt at man innhenter kredittopplysninger. Personvernnemnda delte seg imidlertid i et flertall og et mindretall ved vurderingen av om det forelå saklig behov for kredittvurdering i denne saken. Flertallet la avgjørende vekt på at det i normaltilfellene ikke ytes kreditt ved boligutleie, utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode og det finnes gode alternativer, slik som referanser og bankgaranti.
PVN-2006-2Nettbasert debattforum. Klager ønsket sine leserinnlegg på et nettbasert debattforum tilhørende en regionavis slettet, samt krevde sletting av alle registreringer som er relatert til vedkommendes navn gjennom søkemotoren Google. Personvernnemnda kom til, i likhet med Datatilsynet, at ytringer på slike debattsider faller inn under personopplysningsloven § 7 og kan derfor ikke kreves slettet. Når det gjelder det forhold at klagers debattinnlegg også kan gjenfinnes på Google, påpekte nemnda at Google indekserer og katalogiserer alle opplysninger som ligger tilgjengelig på Internettet. Regionavisen kan neppe påvirke eller hindre slik indeksering.
PVN-2006-1Publisering av personopplysninger på Internett. Svært personlige karakteristikker og vurderinger av klager og klagers familie, også avdøde personer, ble lagt ut på Internett i ca to uker. Datatilsynet besluttet å avslutte saken idet opplysningene var fjernet fra nettstedet da tilsynet kontaktet den behandlingsansvarlige. Klager mener at saken ble avsluttet for tidlig idet personopplysningene lå ute tilstrekkelig lenge til å volde skade for de omtalte og den behandlingsansvarlige burde ha blitt stilt til ansvar samt blitt pålagt å besvare Datatilsynets spørsmål om forholdet til lovverket på en tilfredsstillende måte. Personvernnemnda viser til at opplysninger om avdøde personer bare faller innenfor personopplysningsloven såfremt opplysningene også kan knyttes til en levende person. For så vidt gjaldt opplysningene om levende personer var disse publisert i strid med personopplysningsloven, men ingen sanksjoner mot den behandlingsansvarlige var anvendelige i denne saken. Uttalt at det finnes andre bestemmelser i lovverket som kan være mer anvendelige i en slik sak. Saksbehandlingsfeil at Datatilsynet ikke opplyste om klageadgangen.
Vedtak 2005
PVN-2005-17Sletting av personopplysninger i Trygdeetaten. Klager ba om at en legeerklæring og et legenotat i sak om uførepensjon skulle slettes. Datatilsynet la Fylkestrygdekontoret i Oslos vurdering om at dokumentene fortsatt var nødvendige til grunn og påla ikke sletting. Personvernnemnda tilskrev Fylkestrygdekontoret og ba om å få vite klagers nåværende alder. Det følger av personopplysningsloven § 28 at man ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Fylkestrygdekontoret svarte at etter en ny vurdering har de kommet til at dokumentene kunne slettes, blant annet under henvisning til at klager har gått over på alderspensjon.
PVN-2005-16Norsk Pasientregister (NPR). Helse- og omsorgsdepartementet søkte om en utvidelse av NPR slik at det også omfatter skade- og ulykkesdata. Datatilsynet avslo søknaden med den begrunnelse at NPR vil, etter den omsøkte utvidelse, bli et sentralt helseregister etter helseregisterloven § 8 og dermed kreve hjemmel i forskrift. Det følger av helseregisterloven § 5 at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder når behandlingen av helseopplysninger skjer med hjemmel i forskrift etter helseregisterloven §§ 6 til 8. Datatilsynet vurderte det derfor slik at det manglet kompetanse til å gi konsesjon. Tilsynet fant videre at utvidelsen heller ikke kan hjemles i personopplysningsloven § 9 litra h som krever at samfunnets interesse i at behandlingen finner sted må klart overstige ulempene den kan medføre for den enkelte. Datatilsynet la her også vekt på at behandlingen er i ferd med å bli lovfestet. Personvernnemnda gikk ikke nærmere inn på realiteten da nemnda fant at NPR er et sentralt helseregister og på bakgrunn av hovedregelen i helseregisterloven § 8, 1. ledd og uttalelsene i forarbeidene må det fremmes forslag om et forskriftsvedtak.
PVN-2005-15Tannum Tekstil AS sendte ut direktereklame til klager til tross for at klager hadde reservert seg mot direkte markedsføring i det sentrale reservasjonsregisteret. Klager fikk ikke svar fra Tannum Tekstil AS da vedkommende klaget på dette. Videre gikk det mer enn tre måneder over svarfristen fra Datatilsynet før Tannum AS besvarte henvendelsen. Tannum AS vedgikk senere feilen, slettet klager fra sine registre og erkjente sin plikt til å følge reglene i personopplysningsloven § 26. Klager fikk ikke medhold i at Datatilsynet burde ha brukt sanksjoner mot Tannum Tekstil AS. Det forelå heller ikke brudd på forvaltningsloven.
PVN-2005-14SKAN. Saken gjelder Datatilsynets pålegg om å slette personopplysninger på hjemmesiden til karatestilartsorganisasjonen Shorin Ryu Karate Association Norway. Personvernnemnda kom til at klubbens hjemmeside var omfattet av personopplysningslovens § 7 og denne bestemmelsens begrep "journalistisk formål"; og dermed vernet av ytringsfriheten. Klager kunne derfor ikke kreve at personopplysningene skulle slettes. Et motsatt resultat ville medført at en person kan "redigere" historien og gjøre den ufullstendig.
PVN-2005-13 saksomkNSB - saksomkostningsvedtak, jf forvaltningsloven § 36.
NSB klaget på Datatilsynets vedtak om begrensninger i adgangen til videoovervåking av publikumsområder på lokaltogene. Datatilsynet tillot videoovervåking av inngangsparti og inne hos togfører, men ikke i selve kupeene. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i kupeene kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på toget. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.
PVN-2005-12Sporveisbussene klaget på Datatilsynets vedtak om begrensninger i adgangen til kameraovervåking på bussenes passasjerområder. Datatilsynet tillot videoovervåking av inn- og utgangsparti samt ved bussfører, men ikke i kupeen. Personvernnemnda tolker personopplysningsloven § 8 litra f og kommer til at også videoovervåking inne i bussen kan tillates. Personvernulempene er beskjedne i og med at opptakene bare vil bli avspilt og brukt dersom det skjer en episode på bussen. Dersom det ikke registreres mistanke om straffbare forhold, vil ingen se på opptakene. Avspilling vil skje etter særlige rutiner. Nemnda kom til at avspilling krever konsesjon fordi bildene kan inneholde sensitive personopplysninger. På grunn av sammenhengen mellom systemene vil det være naturlig at konsesjonen også omfatter selve videoovervåkingen. Personvernnemnda kommer til at vilkårene for å gi konsesjon er til stede, jf personopplysningsloven § 33, jf §§ 8 og 9, 3. ledd.
PVN-2005-11PVN-2005-11. Personvernnemnda finner at Datatilsynet har kompetanse til å kvalifisere behandlingen av personopplysninger ved helautomatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.
Personvernnemnda finner at ved konsesjonen kan man legge til grunn "det sporfrie alternativ", et alternativ hvor bomselskapet har opplysninger om kunden i sitt system, men hvor opplysninger om passering normalt slettes en time etter at de er mottatt av selskapets sentralsystem. Personvernnemnda pålegger at det i konsesjonen innarbeides en plikt til årlig uavhengig revisjon for å sikre at bomselskapene overholder konsesjonens bestemmelser.
Ved kjøp av bil overfører forhandleren visse opplysninger til importør, som gjennom kjøpsavtalen blir part i denne med selvstendige plikter overfor kunden. Saken gjelder hvilke opplysninger om kunden som importør kan overføre til en ny forhandler, som kunden ikke har hatt kontakt med, og som det da heller ikke er etablert noe avtaleforhold med. Personvernnemnda kom til at når formålet for ny forhandler er kundeinformasjon og markedsføring kan bare behandling av navn, adresse og det forhold at den registrerte er kunde hos importør begrunnes i personopplysningsloven § 8 litra f. Datatilsynets vedtak stadfestes.
PVN-2005-9Spørsmål om fjernsynsovervåking av området nær Det Mosaiske Trossamfunds lokaler i Oslo. Saken gjaldt to spørsmål.
- Spørsmål om oppbevaring av opptakene utover fristen på syv dager, jfr personopplysningsforskriften § 8-4. Personvernnemnda tillot oppbevaring inntil tretti dager med særlig pålegg om sikring av opptakene, jf personopplysningsloven § 46.
- Spørsmål om å tillate overvåking av i det vesentlige offentlig sted, men hvor også en liten del av et område hvor en "begrenset krets av personer som jevnlig ferdes" (privat hage). Overvåkingen bruker et kamera med zoom-funksjon som dekket et forholdsvis stort område. Personvernnemndas kom til at den behandlingsansvarliges interesser ikke oversteg de overvåkedes interesse i personvern tilstrekkelig til at overvåkingen av det offentlige rom utenfor der hvor overvåkingen var varslet ved skilting, kunne tillates, personopplysningsloven § 37, 1.ledd jf § 8 litra f. Overvåking av nærliggende privat område, hvor en begrenset krets av personer jevnlig ferdes, ble tillatt etter personopplysningsloven § 38, jfr § 37, 1.ledd og § 8 litra f. Personvernnemnda forutsatte imidlertid samtykke av eier. Uttalelse om tolkning av personopplysningsloven § 40.
I interesseavveiningen skilte Personvernnemnda seg i et flertall og et mindretall. Vedtakets pkt 2 er utformet på grunnlag av flertallets syn.
PVN-2005-8Klage på
Datatilsynets vedtak om delvis avslag på søknad
fra Kreftregisteret om konsesjon for to forskningsprosjekter:
"Kreftrisiko blant ansatte i mineralullindustrien" og "Kreftrisiko
blant ansatte i aluminiumsindustrien"
Kreftregistret søkte om forlenget konsesjon bl a for to
prosjekter som tok sikte på å klarlegge kreftrisiko
blant ansatte i mineralullindustrien og aluminiumsindustrien.
Datatilsynet avslo konsesjon under henvisning til at det ikke
forelå samtykke, og at interesseavveining i
personopplysningsloven § 9, 1.ledd litra
h ikke klart oversteg den enkeltes interesse i personvern.
Personvernnemnda presiserte at samtykke fra den registrerte er
hovedregelen, og at denne regelen bare kan avvikes når det
foreligger tilstrekkelig tungtveiende hensyn, jfr PVN 2004-01 STAMI. I
dette tilfellet anså Personvernnemnda at risikoen for frafall
av kohorten begrunnet unntak fra regelen, jfr personopplysningsloven
§ 8 litra
d. Personvernnemnda anså også at samfunnets
interesse i bedre å forstå og kunne forebygge kreft
klart overstiger ulempene for den enkelte i dette tilfellet. Saken ble
sendt tilbake til Datatilsynet, som har kompetanse til å gi
konsesjon for prosjektene.
Klage på vedtak om
delvis avslag på konsesjon til å behandle
helseopplysninger
Statens folkehelseinstitutt (FHI) søkte tillatelse til
å opprette forskningsfil for studier av sosiale og etniske
forskjeller i perinatal helse. Registeret innebærer en
sammenstilling av to etablerte registre, Medisinsk
fødselsregister og
Dødsårsaksregisteret, og videre sammenstilling med
fødelandsregister og utdanningsfil fra Statistisk
sentralbyrå. Den registrerte pasientgruppen omfatter mor, far
og barn som er registrert i Medisinsk fødselsregister,
totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under
forutsetning av sletting etter fem år, og at utlevering til
ekstern bruk krevde ny konsesjon. Dette ble påklaget.
Personvernnemnda kom til at helseregisterloven § 8, 1.ledd
må tolkes slik at registeret krever hjemmel i forskrift.
Klagen ble ikke tatt til følge.
Statens folkehelseinstitutt
(FHI) søkte tillatelse til å opprette
forskningsfil for studier av sosiale og etniske forskjeller i perinatal
helse. Registeret innebærer en sammenstilling av to etablerte
registre, Medisinsk fødselsregister og
Dødsårsaksregisteret, og videre sammenstilling med
fødelandsregister og utdanningsfil fra Statistisk
sentralbyrå. Den registrerte pasientgruppen omfatter mor, far
og barn som er registrert i Medisinsk fødselsregister,
totalt ca 2,2 millioner personer. Datatilsynet ga konsesjon under
forutsetning av sletting etter fem år, og at utlevering til
ekstern bruk krevde ny konsesjon. Dette ble påklaget.
Personvernnemnda kom til at helseregisterloven § 8, 1.ledd
må tolkes slik at registeret krever hjemmel i forskrift.
Klagen ble ikke tatt til følge.
Securitas ønsket
å innføre testing for rusmisbruk av alle sine
ansatte, og å oppbevare vandelsattest innhentet i forbindelse
med ansettelse i sitt personalsystem.
Personvernnemnda tar opp sammenhengen med arbeidsmiljøloven,
som i kapittel 9 regulerer kontrolltiltak, herunder medisinske
undersøkelser (jfr arbeidsmiljøloven §
9-4). Hjemmelen for å gjøre det
nødvendige inngrep måtte finnes i
arbeidsmiljøloven, mens vurderingen av hvorvidt de
resulterende, sensitive personopplysninger kan behandles,
følger personopplysningslovens bestemmelser, jfr
arbeidsmiljøloven § 9-1 nr 2. Forholdet til
biobankloven påpekes.
Personvernnemnda finner at det ikke er adgang til å
gjennomføre behandling av opplysninger innhentet ved testing
av alle ansatte.
Personvernnemnda kommer til at oppbevaring av vandelsattest etter
ansettelse ikke kan tillates under henvisning til både
personopplysningsloven og lov om strafferegistrering.
Klage på
Datatilsynets avgjørelse om å trekke tilbake en
tidligere uttalelse om at fakturautstedere skal kunne få
utlevert fakturamottakers e-postadresse fra fakturamottakers bank ved
inngåelse av tjenesteavtale om e-faktura
Klager hadde krevd utlevert e-postadresser avgitt av kunder til en bank
i forbindelse med avtale om e-faktura. Personvernnemnda kom til at
banken var behandlingsansvarlig, og derfor ikke kunne utlevere
opplysningene uten etter samtykke fra kunden. Datatilsynet hadde avvist
saken, Personvernnemnda slutter seg til denne vurderingen og uttaler at
saken fortoner seg "mer som en interessekonflikt mellom to
næringsdrivende om funksjonelle sider ved e-fakturatjenesten
enn et spørsmål om å ivareta kundenes
personvern og rettssikkerhet". Klagen førte ikke frem.
HUNT hadde etablert en "koblingsbro" som gjorde det mulig å koble avidentifisert forskningsregistere med diverse sentrale helseregistre i Norge. Broen ble oppbevart og administert av Statistisk sentralbyrå. De filene som forskerne får tilgang til, vil i praksis fremstå som fullstendig anonymisert. Datatilsynet mente at koblingsbroen representerte en risiko for den registrerte. Riktignok er det slik at jo flere variable en har registrert om hvert individ, desto stårre mulighet er det - rent teoretisk- for å finne ut hvem denne personen er ("bakveisidentifisering"). Men det at koblingsbroen finnes, tilfårer i denne sammenheng ingen risiko ut over den som ligger der fra får. Personvernnemnda kom til at samfunnets interesse i at behandlingen finner sted klart overstiger ulempene for den enkelte, og tillot koblingsbroen oppbevart i ti år regnet fra 1.1.2003. Datatilsynets vedtak ble omgjort.
PVN-2005-3Klage på
Datatilsynets vedtak om avvisning
Saken gjelder nettsted som inneholder kritiske kommentarer til
behandlingen av barnevernsaker og relaterte
spørsmål. Personvernnemnda kommer til at
nettstedet behandler personopplysninger, men faller innenfor
personopplysningsloven § 7, som begrenser lovens anvendelse
for "journalistiske, herunder opinionsdannende, formål". Det
vises til forarbeidenes diskusjon av forholdet til Grunnloven
§ 100 og Den europeiske menneskerettighetskonvensjon, jf Ot
prp nr 92 (1998-1999) Om lov
om behandling av personopplysninger (personopplysningsloven),
særlig pkt 11.6. Personvernnemnda presiserer at nettstedene
må, i likhet med andre media, overholde og respektere
bestemmelser som gjelder omtale av enkeltpersoner.
Klage på
Datatilsynets vedtak om å avvise sak med krav om innsyn i
innbetalt forsikringspremie
Saken gjaldt spørsmål om innsyn i to typer
opplysninger i forbindelse med en ytelsesbasert, kollektiv
personforsikringsavtale mellom et forsikringsselskap og tidligere
arbeidsgiver. Opplysningene utgjorde konkrete
tallstørrelser, men var resultatet av en beregning og da
derfor "ingen anvendelig informasjon om hvilken innbetaling som
forsikringstaker reelt sett har gjort for det enkelte medlem".
Personvernnemnda kom til at det var personopplysninger, og derfor
gjenstand for innsyn.
Dernest tok Personvernnemnda stilling til om innsyn kunne gis uaktet
taushetsplikt i forsikringsavtaleloven § 17-2. Under
henvisning til klare uttalelser i forarbeidene kom man til at
innsynsretten kunne gjøres gjeldende.
Endelig tok Personvernnemnda stilling til om innsyn kunne gis uaktet
taushetsplikt i forsikringsvirksomhetsloven § 1-3, og kom til
at opplysningene ikke angikk "andres forretningsmessige forhold".
Personvernnemnda uttaler også at taushetsplikten i
forsiktingsvirksomhetsloven § 1-3 vil stå tilbake
for innsynsretten etter personopplysningsloven.
Klage på
Datatilsynets avvisning av å pålegge Wiersholm,
Mellbye & Bech advokatfirma å slette
lydbåndopptak
En advokat hadde gjort opptak av samtaler med den annen part i en sak
som sto for retten. Opptakene var gjort uten å informere den
annen part. Den annen part krevde opptakene slettet. Personvernnemnda
kom til at lydopptakene ikke representerte noe personregister under
henvisning til bl a Rt-1991-616 (Gatekjøkkenkjennelsen), og
derfor ikke falt inn under personopplysningslovens saklige
virkeområde etter personopplysningsloven § 3, 1.ledd
litra b. Ved tolkningen av personopplysningsloven § 3,1.ledd
litra a vil også behandling av personopplysninger med
"elektroniske hjelpemidler" falle inn under lovens saklige
virkeområde. Personvernnemnda kom til at dette kriteriet
måtte forstås slik at behandlingen skjedde
automatisk, dvs uten at mennesker styrte opptaket. Henvisning til
forarbeider og utenlandsk rett. Personvernnemnda fremhever at selv om
tilfellet ikke faller inn under personopplysningslovens saklige
virkeområde, kan det ha betydning for den enkeltes
personvern, og viser i den aktuelle sak til karakteristikk av opptak av
telefonsamtaler uten å informere den annen part i Rt-1997-795.
Vedtak 2004
PVN-2004-9Klage på
Datatilsynets vedtak om at Bakehuset Kafé AS ikke
får opprettholde fjernsynsovervåking av
butikklokalene i det eksisterende omfang
En kafé overvåket arbeidsplassen ved hjelp av
videokamera. Etter diskusjon mellom Datatilsynet var det enighet om
bruk av slike kamera. I ettertid ble ytterligere to kamera montert. Det
var enighet om at en viss overvåking kan tillates etter
nødvendighetsgrunnen i personopplysningsloven § 8
litra b jfr personopplysningsloven § 37, 1.ledd.
Personvernnemnda sluttet seg til Datatilsynet i at det må
finnes en grense for hvor intensiv overvåking som kan
tillates på en arbeidsplass, og opprettholdt vedtaket som
gikk ut på at de to siste kameraene måtte fjernes.
Klage på
konsesjonsvilkår om behandling av personopplysninger i
forsikringsbransjen
Saken gjelder en klage på konsesjon for
forsikringsselskapenes behandling av personopplysninger fra
Finansnæringens Hovedorganisasjon på vegne av
organisasjonens medlemmer. En rekke forhold ved konsesjonen ble
behandlet. Personvernnemnda ga delvis medhold i to forhold. Ett av
disse var av mer administrativ karakter, og gjaldt fristen for
fullføring av arbeidet med nye samtykkeerklæringer.
Når det gjaldt krav til skriftlighet ved innhenting av
sensitive personopplysninger, fastholdt nemnda ”som klar
hovedregel” krav til skriftlighet, men ga klager medhold i en
”sikkerhetsventil” for situasjoner hvor den
registrerte er i stand til å samtykke muntlig, men ikke i
stand til å bekrefte samtykket muntlig. Personvernnemnda tok
ikke stilling til hva som må til for at skriftlighetskravet
anses oppfylt etter konsesjonsvilkårene.
Datatilsynets vedtak om bruk av fødselsnummer ble
stadfestet. Dette henger bl a sammen med bruk av kredittopplysninger
ved risikovurdering. Personvernnemnda uttalte at det ”uansett
en mulig statistisk sammenheng” mellom betalingsudyktighet og
skadehyppighet, kan ikke kredittopplysninger ”benyttes ved
vurdering av det enkelte tilfellet”.
Klage på
Datatilsynets vedtak om at Telenor Mobil må slette
personopplysninger om tidligere kunder
Telenor Mobil ønsket å lagre enkelte opplysninger
(navn, adresse, fødselsdato, tidligere telefonnummer og
benyttede tjeneste) om kunder som avsluttet sitt kundeforhold med
også etter at kundeforholdet var avsluttet. Erfaringsmessig
vil en del av disse senere ønske å gjenopprette
kundeforholdet, og Telenor Mobil ville bruke opplysningene som bakgrunn
for å bistå kunden. Opplysningene ble ikke brukt
til andre formål. Personvernnemnda mente at et var
nærliggende at kunder qua
forbrukere forutsatte at den tidligere leverandør "husket"
telefonnummer, hva slags type abonnement man hadde hatt mv. Nemnda fant
at lagringen av opplysningene i liten grad svekker den registrertes
personvern, og at Telenor Mobil hadde en berettiget interesse i
lagringen, jfr personopplysningsloven § 8 litra
f. Klagen ble tatt til følge.
Klage på
Datatilsynets vedtak om at Ullevål Universitetssykehus ved
personvernombudet ikke selv får oppbevare
koblingsnøkler for forskningsprosjekter
Ullevål universitetssykehus (UUS) klaget på et
vilkår i konsesjon for "Etterundersøkelse av
pasienter innlagt for selvpåført forgiftning".
Datatilsynet stilte som vilkår at et koblingsregister for
pseudonymer for de registrerte ble oppbevart eksternt. UUS mente
koblingsregisteret kunne oppbevares av sykehusets personvernombud.
Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt
register bør oppbevares eksternt, bl a fordi
personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det
ble også gitt en generell tilslutning til Datatilsynets syn
om at slike oppgaver ikke burde legges til et personvernombud.
Klage på
Datatilsynets vedtak om konsesjon for behandling av personopplysninger
i kredittopplysningsvirksomhet - Norske
Kredittopplysningsbyråers Forening (NKF)
Klage på konsesjon fra Norske
Kredittopplysningsbyråers Forening (NKF). Klagen knyttet seg
til flere punkter i konsesjonen.
Personvernnemnda drøfter spørsmålet om
hvilket tidspunkt som skal legges til grunn for registrering av
inkassopplysninger. Her deler nemnda seg i et flertall og et
mindretall. Flertallet anser at en fordring først kan
tillates registrert når det er tatt rettslige skritt for
inndrivning av fordringen, og slutter seg slik til det syn som ligger
til grunn for Datatilsynets vedtak.
Når det gjelder slettefrist for fordringer som er gjort opp,
anser Personvernnemnda at de skal slettes straks de er gjort opp, og
opprettholder også her Datatilsynets vedtak.
Når det gjelder behandling av personopplysninger ved
beregning av nyetablerte foretak i tiden frem til første
regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold
i at man skal kunne basere rangeringen på kredittverdigheten
på opplysninger om de nøkkelpersoner som
står bak foretaket.
Når det gjelder frist for sletting av opplysninger om
misligholdte fordringer når foreldelsen avbrytes ved at det
tas rettslig skritt, gis klager medhold på ett punkt, nemlig
at det ikke innføres noen beløpsgrense. Dermed
tillates registrering av fordringer som ikke kan resultere i
tvangsforretninger registrert for nye fire år når
det treffes nye rettslige skritt innenfor den første
fireårsfristen.
Klage på
Datatilsynets vedtak om å nekte konsesjon for ferdigstillelse
av forskningsprosjektet "Suicidal atferd i Bergensområdet"
Klager har på grunnlag av en konsesjon fra1983 fulgt en
gruppe på 470 personer som alle var innlagt for
selvpåførte skader. Ved en ny konsesjon fra 1997
ble det tillatt kobling til Dødsårsaksregistret.
Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke
oppfylte krav til informert samtykke i personopplysningsloven
§ 2 nr 7. Klager fremmet søknad om ny konsesjon
etter utløpet av overgangsordningen i
personopplysningsloven. På denne bakgrunn unnlot Datatilsynet
å behandle søknaden, men uttalte seg likevel om
realiteten. Personvernnemnda valgte å behandle klagen som
søknad om ny konsesjon, og fant at prosjektet kan bygge
på nødvendighetsbegrunnelsen i
personopplysningsloven § 8 litra
d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra
h var tilfredsstilt. Etter dette ble klagen tatt til følge.
Uttalelse om at opplysninger om avdøde personer faller
utenfor lovens område.
Klage på
Datatilsynets vedtak om at Postens utleie av adresselister ikke kan
forankres i personopplysningsloven § 8 f) – Posten
Norge AS
Posten har et register over de fleste privatpersoner boende i Norge
(PMS). Posten ønsker å leie ut adresselister fra
dette registeret. Det ble foreslått tiltak, særlig
et eget reservasjonsregister, for å dempe ulempene for den
registrertes personvern. Personvernnemnda fant at
taushetspliktbestemmelsen i postloven § 13 ikke var til hinder
for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne
hjemles i personopplysningsloven § 11, 1.ledd litra c fordi
formålet ved utleie av adresselistene var uforenlig med
registrering av opplysningene for formidling av postsendinger. Slikt
gjenbruk krevde derfor samtykke. Personvernnemnda tolket
personopplysningsloven slik at det i en slik situasjon ikke skal legges
strengere krav til gjenbruk enn til første gangs bruk, og
vurderte derfor om bruken kunne hjemles i personopplysningsloven
§ 8 litra f. Personvernnemnda kom til at den
forretningsmessige interessen til Posten var berettiget etter denne
bestemmelsen, men fant under henvisning til forarbeidene at denne
forretningsmessige interessen ikke kunne veie tyngre enn den
registrertes interesse i privatlivets fred og personvern.
Klage på
Datatilsynets vedtak om vilkår om samtykke for fortsatt
lagring av opplysninger fra prosjektet ”Helse- og
stressreaksjoner hos oljearbeidere i Nordsjøen” -
NTNU
Etter Alexander Kielland-ulykken i 1980 ble det 1984-85
gjennomført en undersøkelse blant de overlevende
basert på muntlig samtykke fra de overlevende og skriftlig
samtykke fra en kontrollgruppe. Det er flere ganger søkt om
konsesjon for videre lagring med sikte på en
oppfølgningsundersøkelse, den siste konsesjonen
(gitt etter personregisterloven) utløp 2002. Ny
søknad ble fremmet januar 2004. Datatilsynet ga delvis
avslag, og krevde innhenting av skriftlig samtykke fra de registrerte
innen 1.6.2004. Klager ønsket først å
innhente samtykke i forbindelse med igangsettelse av
oppfølgingsstudien, og lagring for et lengre tidsrom.
Personvernnemnda ga klager tillatelse til fortsatt lagring inntil
vedtak i nemnda forelå. Klagen ble tatt til følge.
Personvernnemnda tillater lagring inntil seks måneder fra
vedtakets dato. Før oppfølgingsprosjektet blir
igangsatt, må tilfredsstillende samtykke innhentes.
Personvernnemnda fant at nødvendighetsbegrunnelsen i
personopplysningsloven § 8 litra d her kunne benyttes, og at
samfunnets interesser klart oversteg ulempene for den enkelte i dette
tilfellet, jfr personopplysningsloven § 9 litra h. Saken ble
sendt tilbake til Datatilsynet, som har kompetanse etter
personopplysningsloven § 33 til å gi konsesjon.
Klage på
Datatilsynets vedtak om vilkår om samtykke for konsesjon for
delstudie 1 og 2 - Statens Arbeidsmiljøinstitutt - STAMI
Saken gjelder en klage fra Statens arbeidsmiljøinstitutt
(STAMI) i forbindelse med en oppfølgingsstudie om kreft og
lungesykdommer blant ansatte i norsk silisiumkarbidindustri.
Hovedspørsmålet er hvorvidt det skal kreves
informert samtykke for å tillate
oppfølgingsstudien, eller om denne kan baseres på
en av nødvendighetsbegrunnelsene, jfr personopplysningsloven
§ 11 jfr §§ 8 og 9. Med utgangspunkt i
personopplysningsloven § 11, peker Personvernnemnda
på at for sensitive opplysninger må både
betingelsene i personopplysningsloven § 8 og § 9
være oppfylt. Av de tre alternative begrunnelsene i
personopplysningsloven § 8 slutter Personvernnemnda seg til
Datatilsynets tolkning av loven, som gir samtykke prioritet. Men
Personvernnemnda tolker loven slik at hvis det foreligger tilstrekkelig
begrunnelse for å avvike fra hovedregelen, kan dette
gjøres. En slik begrunnelse finner Personvernnemnda i den
konkrete saken i hensynet til undersøkelsens kvalitet.
Når personopplysningsloven § 8 er tilfredsstilt,
må man så bestemme om også
vilkårene etter personopplysningsloven § 9 er til
stede. Personvernnemnda foretar en konkret vurdering av saken, og
finner at i dette tilfellet vil samfunnets interesse i at behandlingen
finner sted klart overstiger ulempene den kan medføre for
den enkelte, jfr 9, 1.ledd litra h. Etter dette blir klagen å
ta til følge.
Vedtak 2003
PVN-2003-7Klage på
Datatilsynets vedtak om nektelse av konsesjon for regelmessige
overføringer av data fra UDI til Tuberkuloseregisteret -
Nasjonalt folkehelseinstitutt
Spørsmål om Tuberkuloseregisteret regelmessig skal
påføres opplysninger fra UDI for å sikre
kvaliteten på opplysningene. Tuberkuloseregisteret er et
sentralt register opprettet i medhold av lov. Personvernnemnda anser at
vurderingen om innhenting av opplysninger må foretas i
henhold til denne loven, og at det er et prinsipielt
spørsmål som Helsedepartementet må
vurdere, og eventuelt hjemle ved endringer i forskriften for
registeret. Datatilsynets vedtak opprettholdt.
Klage på
Datatilsynets vedtak om opphør av bruk av
fødselsnummer – Norsk Rikstoto AS
Sak nr. 2003/06: Norsk Rikstoto ønsket å bruke
fødselsnummer for identifikasjon av spillere. Etter
personopplysningsloven § 12 kan fødselsnummer bare
brukes ”når det er saklig behov for sikker
identifisering og metoden er nødvendig for å
oppnå slik identifisering” I likhet med
Datatilsynet fant Personvernnemnda at det forelå saklig grunn
for sikker identifisering, men – også i likhet med
Datatilsynet – at det den metoden som ble benyttet ikke ga
sikker identifisering. Jf klagesak 07/2002. Klagen ble ikke tatt til
følge.
Klage på
Datatilsynets vedtak om at det ikke gis konsesjon til at
konsernkunderegister skal kunne innholde opplysninger om produkttype -
Gjensidige Nor Sparebank ASA
Spørsmål om konsernkunderegister skal kunne
inneholder opplysninger om produkttype. Datatilsynet tillater at
registeret inneholder opplysninger om produktkategori
(betalingsformidling, spare- og innskuddsprodukter, lån og
kredittgivning), men ikke produkttype (f eks at lånet er et
fastrente lån). Personvernnemnda peker på at en
endring i gjeldende praksis vil ha store praktiske konsekvenser,
ettersom registrene da må endres.
Spørsmålet vil bli lovregulert på
grunnlag av NOU 2001:23 (Finansforetakenes
virksomhet), og lovproposisjon
ventes i løpet av våren 2004. På denne
bakgrunn omgjør Personvernnemnda Datatilsynets vedtak og
tillater inntil videre fortsatt registrering av produkttype i
konsernkunderegisteret.
Krav om sletting av
personopplysninger i barnevernjournal
Klager ønsket slettet opplysninger om seg selv i en journal
ført i forbindelse med en barnevernjournal. Klager var ikke
selv part i saken, men opptrådte av og til på vegne
av parten, som var klagers barn. Selve barnevernsaken gjaldt klagers
barnebarn. Journalen var omfattende (nær 400 dokumenter) og
klager påpekte en rekke opplysninger som ble hevdet
å være uriktige, f eks hvordan klagers adferd ble
oppfattet på møter, tidspunkter for
møter og telefoner mv. Personvernnemnda manglet grunnlag for
å vurdere hva som var uriktige opplysninger, og
gjennomføringen av sletting ved overstrykning i
papirdokumenter ville være praktisk vanskelig. Dokumentene
var også relevante i en barnevernssak som på
vedtakstidspunktet ikke var avsluttet, jf personopplysningsloven
§ 27, 2 ledd. Personvernnemnda opprettholdt Datatilsynets
vedtak om at klagers anførsler skulle supplere journalen,
slik at vedkommende som ser journalen, vil kunne gjøre seg
kjent med klagers fremstilling. Nemnda presiserte vedtaket dit hen at
to brev til Nemnda med kommentarer også skulle supplere
journalen, forutsatt at klager samtykket i dette.
Klage på
Datatilsynets vedtak om opphør av behandling av opplysninger
samt sletting av registre – Stavanger kommune
I forbindelse med boligadresseringsprosjektet innførte
Statens kartverk et attributt i registeret over grunneiendom, adresse
og bygning (GAB) kalt ”boligtype”. Dette ble
innført fordi et annet attributt i registeret,
”bygningstype”, i sin definisjon anga hvor mange
boliger bygningen hadde. Særlig for boliger
oppført før 1983 var det en viss inkonsistens
mellom denne definisjonen og det antall boliger som faktisk fantes i
bygningen. Boligadresseringsprosjektet hadde bl a som formål
å tildele en unik adresse til hver bolig, og det var derfor
nødvendig at GAB reflekterte det antall boliger som
bygningen faktisk inneholdt. Av praktiske og tekniske
årsaker, innførte derfor Statens kartverk et nytt
attributt i GAB (uten samtidig å endre GAB-forskriften
tilsvarende). Stavanger kommune utnyttet disse opplysningene ved
samkjøring med andre registre for å identifisere
ulovlige boliger. Personvernnemnda finner at opplysningene avgitt til
boligadresseprosjektet med formål å utarbeide
statistikk og forbedre kvaliteten på enkelte registre, bl a
GAB, ikke kan benyttes til slike kontrollformål, jfr
personopplysningsloven § 11. 1.ledd litra c. Datatilsynets
vedtak om å forby slik bruk av opplysningene, opprettholdes.
Krav om sletting i
Sentralkartoteket for alvorlig sinnslidende –
”Psykoseregisteret”
Klager var registrert i Sentralkartoteket for alvorlig sinnslidende
(”Psykoseregisteret”) med Riksarkivaren som
behandlingsansvarlig. Bakgrunnen for registreringen var en frivillig
innleggelse med diagnosen ”depressiv nevrose”.
Personvernnemnda kom til at klagen måtte behandles etter
personopplysningsloven, ikke helseregisterloven.
Personvernnemnda fant at registreringen var å betegne som
sterkt belastende for den registrerte etter personopplysningsloven
§ 28. Etter en vurdering av forholdet til samfunnsmessige
interesser kom Personvernnemnda til at hele innførselen i
registeret angående den registrerte måtte slettes.
Dissens.
Klage på
Datatilsynets vedtak i sak om avslag på
konsesjonssøknad for opprettelse av sentralt
låneregister
Personvernnemnda sluttet seg til Datatilsynets vurdering at hvis man
baserte et sentral låneregister på samtykke av de
registrerte, ville registeret knapt møte kravet til
datakvalitet i personregisterloven § 11, 1.ledd litra d og e.
Personvernnemnda mente at å gjøre samtykke til en
forutsetning for å få lån, ville
gjøre at samtykket ikke ville møtet kravet i
personregisterloven § 2 nr 7 om bl a frivillighet.
Personvernnemnda antok at etablering av et slikt sentralt register
vanskelig kan etableres uten hjemmel i lov.
Vedtak 2002
PVN-2002-8Klage på
Datatilsynets vedtak om overføring av biologisk materiale
fra Ullevål sykehus til forskeren
Datatilsynet hadde pålagt klager (et sykehus) å
slette biologisk materiale med tilhørende personopplysninger
som var blitt "gjenglemt" ved sykehuset da den forsker som hadde
konsesjon fra Datatilsynet til å behandle opplysningene,
forlot sykehuset ved skifte av stilling. Nemndas flertall kom til at
biologisk materiale ikke i seg selv representerer personopplysninger.
Nemnda sluttet seg til Datatilsynet i synet på at klager ikke
hadde rett til fortsatt å oppbevare eller behandle de
tilknyttede opplysninger. Nemnda fant imidlertid at
personopplysningsloven § 46 ikke ga hjemmel til å
påby overføring av opplysninger til forskeren som
hadde konsesjon til å utnytte dem, og
påbød derfor sletting av opplysningene. (dissens).
Klage på
Datatilsynets vedtak om opphør av bruk av
fødselsnummer
Klage på Datatilsynets vedtak om opphør av bruk av
fødselsnummer - Norskespill.no AS. PVN finner det ikke
nødvendig for identifikasjon av spillere å benytte
fødselsnummer, Datatilsynets vedtak opprettholdes.
Klage på
Datatilsynets vedtak i sak om delvis avslag på
konsesjonssøknad fra Statens institutt for
rusmiddelforskning (SIRUS)
Klage på Datatilsynets vedtak i sak om delvis avslag
på konsesjonssøknad fra Statens institutt for
rusmiddelforskning (SIRUS) - Dissens 4-3Saken gjaldt gjenbruk av
opplysninger etter forskningsprosjektet "Injiserende narkotikamisbruk i
Oslo" i et oppfølgingsprosjekt "Narkotikadødsfall
blant sprøytemisbrukere - en oppfølgingsstudie av
personer rekruttert ved sprøytebussen". Datatilsynet ga
delvis avslag for så vidt det gjaldt kobling av opplysninger
mot enkelte registre hvor respondentene ikke i mellomtiden var
avgått ved døden. Personvernnemndas flertall fant
at samfunnets interesse i behandlingen klart ville overstiger ulempene
den kunne medføre for den enkelte, og at Datatilsynet derfor
sto fritt til å gi konsesjon, jfr personopplysningsloven
§ 33 sml §§ 8.9 og 11. Nemnda fant
også at det kunne gjøres unntak fra
informasjonsplikten i personopplysningsloven § 20.
Klage på
pålegg om opphør av fjernsynsovervåkning
m.v.
Klage på pålegg om opphør av
fjernsynsovervåkning m.v. - Raddison SAS Plaza Hotell.
Fjernsynsovervåkning av bar vil lett kunne bli ansett som
krenkende i forhold til gjestenes ønske om diskresjon. Det
nødvendige sikkerhetsbehov skulle være ivaretatt
ved at baren er betjent. Monitorering av
svømmebasseng/treningsrom ble funnet akseptabelt, men ikke
opptak. Klagen ble derfor ikke tatt til følge.
Klage på vedtak om
ikke å rette eller slette opplysninger i styreprotokoll
Klage på vedtak om ikke å rette eller slette
opplysning i styreprotokoll. Spørsmål om det
forelå saksbehandlingsfeil, forholdet til
personregisterbegrepet, om uriktige eller ufullstendige opplysninger
var registrert var tema. Nemnda sluttet seg til Datatilsynets
vurderinger.
Anmodning om atPersonvernnemnda
skal gi pålegg til Datatilsynet i sak om innsyn i Den norske
Bank ASA
Anmodning om at Personvernnemnda skal gi pålegg til
Datatilsynet i sak om innsyn i Den norske Bank ASA. PVN slutter seg til
Datatilsynets lovforståelse og vurdering om at det er rett
til fullt innsyn i bankens datamaskinbaserte registre. Datatilsynets
vedtak opprettholdt.
Klage på
Datatilsynets avslag om forlenget lagring av billedopptak
Avslag på søknad om dispensasjon om forlenget
lagring av billedopptak - Posten Norge BA. Opptak ved minibank plassert
direkte utenfor banklokaler. Avslaget omgjort, blant annet under
henvisning til at overvåkingen også representerte
økt sikkerhet for brukerne av minibanken.
Klage på
Datatilsynets avslag om forlenget lagring av billedopptak
Avslag på søknad om dispensasjon om forlenget
lagring av billedopptak - A-møbler AS.
Spørsmål om lagring av videoopptak ved kasse med
sikte på sikring av bevis ved misbruk av kredittkort mv.
Avslaget opprettholdt.
Vedtak 2001
PVN-2001-1Sletting avpersonopplysninger