Datatilsynet traff vedtak om irettesettelse mot kommunen for brudd på personopplysningssikkerheten, jf. artikkel 32 nr. 1 bokstav b, og for videresending av personopplysninger uten rettslig grunnlag, jf. artikkel 5 og 6. A klaget på vedtaket om irettesettelse. I klagen fremholdt A at Datatilsynet burde ilagt et overtredelsesgebyr, for å markere alvorligheten av personvernbruddet. Datatilsynet avviste klagen. A klaget på avvisningsvedtaket og saken ble oversendt Personvernnemnda. I denne saken har A fått medhold i at kommunen har brutt reglene ved sin behandling av hennes personopplysninger. At Datatilsynet valgte å ilegge en irettesettelse, men ikke fant det nødvendige med noe overtredelsesgebyr, er ikke bestemmende for As rettigheter og plikter, jf. forvaltningsloven § 2 første ledd bokstav a, eller en avgjørelse som «retter seg mot» henne, jf. § 2 første ledd bokstav e. Nemnda viste til tidligere praksis fra nemnda og konkluderte med at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. Datatilsynets vedtak om avvisning ble opprettholdt. Nemnda omtaler også andre vedtak i saken knyttet til innhenting, utlevering og bruk av straffesaksdokumenter i en sivil sak for domstolene.

A klaget på politiets behandling av personopplysninger til Datatilsynet. Datatilsynet undersøkte saken, men avdekket ikke behandling av personopplysninger i strid med politiregisterloven og avsluttet saken. A klagde på vedtaket og saken ble oversendt Personvernnemnda. Datatilsynet har ulike virkemidler dersom det finner at opplysningene behandles i strid med bestemmelsene i politiregisterloven eller politiregisterforskriften, jf. politiregisterloven § 60. Nemnda fant at Datatilsynets kompetanse i denne saken var begrenset til å gi anmerkning. En avgjørelse om det skal gis anmerkning eller ikke, kan ikke påklages til nemnda, jf. politiregisterloven § 60 tredje ledd. Nemnda avviste klagen.

Nemnda fant at NAV hadde rettslig grunnlag for å innhente og lagre en spesialisterklæring som ble innhentet i forbindelse med NAVs oppfølging og vurdering av As ytelser etter folketrygdloven. Nemnda la til grunn at spesialisterklæringen er omfattet av NAVs arkivplikt, og at fortsatt lagring har hjemmel i artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og artikkel 9 nr. 2 bokstav j (arkivformål i allmennhetens interesse). Spesialisterklæringen skulle derfor ikke slettes, jf. artikkel 17 nr. 1. As krav om innsyn om hvilke ansatte i NAV som hadde sett spesialisterklæringen i fagsystemene førte heller ikke fram. Nemnda viste til at artikkel 15 nr. 1 bokstav c ikke gir den registrerte rett til informasjon om hvilke ansatte som har hatt tilgang til personopplysningene, jf. EU-domstolens uttalelser i C-579/21. Nemnda konkluderte videre med at NAV ikke hadde brutt informasjonsplikten. A var på det aktuelle tidspunktet under aktiv oppfølging og medisinsk utredning fra NAVs side. Nemnda la til grunn at A hadde informasjon om at NAV innhentet personopplysninger fra spesialisten han ble henvist til. Datatilsynets vedtak ble opprettholdt.

Det midlertidige forbudet ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Tvangsmulktvedtaket ble truffet med hjemmel i personopplysningsloven § 29. Nemnda tolket personopplysningsloven § 29 innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker. Nemnda viste til at det ikke var holdepunkter i forarbeidene til personopplysningsloven for at departementet mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, ville det vært nærliggende å forvente at departementet i forarbeidene hadde avklart spørsmålet om nemndas kompetanse og den behandlingsansvarliges klagerett i slike saker. Også legalitetsprinsippet tilsa at det i loven hadde vært inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Nemnda konkluderte med at tvangsmulktvedtaket ikke hadde hjemmel i lov og opphevet vedtaket.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner. Datatilsynet vurderte at arbeidsgiver hadde rettslig grunnlag for innsynet, men traff vedtak om irettesettelse mot arbeidsgiver for brudd på personvernregelverkets prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. A klagde over vedtaket når det gjaldt Datatilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsynet, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll etter artikkel 30, samt Datatilsynets valg av reaksjon overfor arbeidsgiver. Nemnda vurderte i likhet med Datatilsynet at arbeidsgiver hadde rettslig grunnlag for innsynet i As e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b. Nemnda vurderte videre at retten til å klage til en tilsynsmyndighet etter artikkel 77 ikke omfatter separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll. Når det gjaldt As klage over Datatilsynets valg av reaksjon overfor arbeidsgiver, vurderte nemnda at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. As klage over arbeidsgivers manglende protokoll og klagen over manglende ileggelse av overtredelsesgebyr ble avvist, for øvrig ble Datatilsynets vedtak opprettholdt.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot B (ekstern samarbeidspartner). Datatilsynet vurderte at B måtte regnes som en selvstendig behandlingsansvarlig, men avsluttet saken mot B og viste til at de innklagede forholdene mest hensiktsmessig ville bli behandlet sammen med klagen mot arbeidsgiver. A klagde på denne avgjørelsen og saken ble oversendt Personvernnemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot arbeidsgiver. Nemnda uttalte at det må ligge innenfor Datatilsynets hensiktsmessighetsskjønn å ta stilling til om en klage mot ulike aktører (behandlingsansvarlig, databehandler eller andre samarbeidspartnere) skal behandles samlet i én sak eller om klagen skal behandles i flere saker. Dette er ikke et forhold som kan styres av den registrerte. As klage ble dermed avvist.

A klaget til Datatilsynet etter at arbeidsgiver hadde foretatt innsyn i hennes e-postkasse Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra C, som databehandler for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot databehandleren, C. Datatilsynet avsluttet klagen mot databehandler uten nærmere undersøkelser og uten å ta stilling til realiteten, med henvisning til at Datatilsynet allerede behandlet en klage mot arbeidsgiver (behandlingsansvarlig) for den samme behandlingen av personopplysninger. A klaget på dette og saken ble oversendt nemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot den behandlingsansvarlige. Når Datatilsynet konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av As klage.

A og B kontaktet Datatilsynet og klaget over behandlingen av personopplysninger om deres sønn ved to barnehager og en barneskole, samt i barneverntjenesten. A og B ønsket flere dokumenter rettet og slettet. Tilsynet avsluttet saken uten å gi pålegg om retting eller sletting, under henvisning til reglene om arkivplikt i arkivlova. Nemnda vurderte at arkivregelverket ikke kan tolkes slik at den enkelte kommune eller fylkeskommune står helt fritt til å avgjøre hvilke dokumenter som skal arkiveres og hvilke som skal/kan slettes. Det må foretas en avveining av om det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 21 nr. 1. Nemnda var ikke enig med Datatilsynet i at tilsynet ikke har kompetanse til å foreta denne vurderingen og foretok en selvstendig prøving av om det forelå tvingende berettigede grunner for fortsatt oppbevaring. Nemnda opprettholdt Datatilsynets vedtak når det gjaldt opplysningene fra skolen og barneverntjenesten. Når det gjaldt kravet om sletting av opplysninger fra barnehagene delte nemnda seg i et flertall og et mindretall. Flertallet fant at det ikke forelå tvingende berettigede grunner for fortsatt oppbevaring av opplysningene fra barnehagene, slik at vilkårene for fortsatt lagring ikke var oppfylt.

A kontaktet Datatilsynet og varslet om flere forhold ved SSBs behandling av personopplysninger som han mente var ulovlig. Datatilsynet avsluttet saken uten å gjøre nærmere undersøkelser og uten å ta stilling til om behandlingen av personopplysninger var ulovlig. Datatilsynet viste til personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda vurderte hvilket handlingsrom tilsynet, når det mottar en henvendelse om mulige brudd på personopplysningsloven, har til å velge ikke å ta stilling til om den beskrevne behandlingen i henvendelsen er ulovlig eller ikke. Nemnda la til grunn at tilsynet i utgangspunktet plikter å ta stilling til de klagene som fremsettes, jf. artikkel 77, men at det er klagers oppgave å redegjøre for saken og legge frem dokumentasjon for det forholdet som påklages. I mangel av en viss konkretisering av at det er vedkommendes egne personopplysninger som er behandlet på en måte som er i strid med forordningen, kan det etter nemndas syn argumenteres for at henvendelsen ikke skal regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser. I dette tilfellet hvor SSB driver en lovregulert virksomhet og hvor de opplysningene som er gitt i henvendelsen ikke i seg selv gir tilstrekkelig grunn til å mistenke en ulovlig behandling av personopplysninger, kan ikke henvendelsen anses som en klage som gir tilsynet plikt til å gjøre nærmere undersøkelser etter artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt Datatilsynets vedtak.

Det var enighet om at Datatilsynets vedtak 14. juli 2023 er hjemlet i personvernforordningen kapittel VII og at Personvernnemnda ikke har kompetanse til å behandle klager over dette vedtaket, jf. personopplysningsloven § 22 andre ledd. Klagerne anførte at selskapene har rett til forvaltningsklage etter forvaltningsloven § 28 og ba nemnda ta stilling til om vedtaket kunne klages inn for departementet. Nemnda la til grunn at når nemnda ikke har kompetanse til å behandle klagen, tilligger det heller ikke Personvernnemnda å ta stilling til de prosessuelle reglene for hvordan disse sakene skal behandles. Gyldigheten av Datatilsynets vedtak vil imidlertid kunne bringes inn for domstolene. Nemnda opprettholdt Datatilsynet avvisning av klagen.