Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak og meldinger

Personvernnemndas årsmelding 2017

I løpet av 2017 kom det inn tilsammen 19 klagesaker. Totalt 14 av de 19 sakene var ferdigbehandlet ved utgangen av 2017. I tillegg ble fem saker fra 2016 avgjort av nemnda i 2017. Personvernnemnda avgjorde således totalt 19 saker i 2017, mot totalt 27 saker i 2016. Klagebehandlingen medførte endring eller opphevelse av vedtaket i 7 av de 19 sakene. Ingen av sakene ble avsagt med dissens. Saksmengden har vært stabil i forhold til tidligere år. Flere av sakene har vært prinsipielle

PVN-2017-16 Kolbotn Bil

Klage på Datatilsynets vedtak om overtredelsesgebyr for publisering på Facebook av stillbilder fra kameraopptak.

Publiseringen av bildene på Facebook representerte en utlevering av personopplysninger i strid med med personopplysningsloven § 39. Nemnda vurderte overtredelsesgebyr etter personopplysningsloven § 46. Selv om § 37 ikke skiller mellom sensitive og ikke-sensitive opplysninger, vil dette skillet ha betydning for vurderingen av overtredelsens alvorlighet etter § 46 bokstav a. Nemnda fant at bildene, sammenholdt med teksten i innlegget, gjorde publiseringen belastende for den avbildede, uten at nemnda tok konkret stilling til om personopplysningene var sensitive. Billedopptakene viste ingen kriminelle handlinger, og koblingen til det oppgitte tyveriet er gjort av Kolbotn Bil AS selv. I en slik situasjon gjør hensynet til den avbildedes personlige integritet seg sterkere gjeldende enn ved publisering av bilder som viser at den avbildede begår kriminelle handlinger vel vitende om at det foretas kameraovervåking på stedet. Personvernnemnda var enig med Datatilsynet i at det skulle utmåles et gebyr, jf. § 46. Når det gjaldt gebyrets størrelse mente nemnda at en vesentlig skjerping av overtredelsesgebyrets størrelse, ut fra hensynet til likebehandling og forutberegnelighet, bør skje gradvis. Klagen ble derfor delvis tatt til følge, ved at overtredelsesgebyrets størrelse ble redusert fra kr. 75.000 til kr. 50 000.

PVN-2017-14 Journalføring av talemelding og innsyn i logg

Klage på Datatilsynets avgjørelse om at kommunens journalføring av en talemelding var lovlig og at personopplysningsloven § 18 ikke gir rett til innsyn i loggen i kommunens saksbehandlingssystem.

Dissens.
Nemnda fant at det var behandlingsgrunnlag i personopplysningsloven § 8, jf. arkivloven §§ 1, 2a og 6, jf. forskrift om offentlig arkiv § 2-6, for journalføring av en talemelding en privatperson hadde lagt igjen på rådmannens telefonsvarer. Nemnda fant videre at den fortsatte lagringen av talemeldingen var i overensstemmelse med personopplysningsloven § 28. Nemnda vurderte klagers innsynsrett etter personopplysningsloven § 18. Nemnda fant det åpenbart at klager ikke kunne få innsyn i kommunikasjonen mellom Datatilsynet og kommunen, i og med at denne kommunikasjonen hadde skjedd muntlig. Når det gjaldt klagers krav om innsyn i loggen i kommunens saksbehandlingssystem var nemnda enig med Datatilsynet i at personopplysningsloven § 18 ikke ga hjemmel for slikt innsyn.

Når det gjaldt den videre forståelsen av hva klagen gjaldt, delte nemnda seg i et flertall og et mindretall. Nemndas flertall mente at verken faktum eller den innsendte klagen, ga grunnlag for å vurdere andre mulige innsynsretter etter § 18, eller mulige brudd på personopplysningsloven §§ 13 og 14. Mindretallet vurderte klagen også etter disse bestemmelsene og fant at det forelå brudd på personopplysningsloven. Nemndas flertall konkluderte med at klagen over Datatilsynets avgjørelse ikke tas til følge. En samlet nemnd avviste klagen over saksbehandlingstiden.

PVN-2017-15 Innsyn i personopplysninger hos barneverntjenesten

Klage på Datatilsynets avvisningsvedtak

Saken gjelder klage over avslag på innsyn etter personopplysningsloven i opplysninger registrert i saksdokumenter hos barneverntjenesten. Nemnda påpeker at det er misvisende å kalle vedtaket avvisning, jf. nemndas tilsvarende vurdering i PVN- 2017-09. Datatilsynet har foretatt en materiell vurdering av fosterforeldrenes rett til innsyn i registrerte opplysninger om dem selv, jf. personopplysningsloven § 18, og kommet til at det innsynet fosterforeldrene er gitt med hjemmel i forvaltningsloven er mer vidtrekkende enn hva personopplysningsloven i dette tilfellet ville gi dem. Nemnda påpeker at personopplysningsloven ikke gir hjemmel for å kreve innsyn i saksdokumenter. Etter personopplysningsloven kan man bare få informasjon om hvilke opplysninger som er registrert om en selv, og det er ikke det samme som at man får innsyn i selve dokumentet. Personvernnemda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn.

PVN-2017-13 NORCCAP Helseforskningsloven og helseregisterlovens anvendelsesområder

Klage på Datatilsynets vedtak om forlengelse av konsesjon på vilkår om nye samtykker i NORCCAP-prosjektet

Klagen gjaldt hvorvidt det skal stilles vilkår om innhenting av nye samtykker fra de registrerte ved en forlengelse av NORCCAP-prosjektet til 31. desember 2036. Nemnda fant at man først måtte ta stilling til det rettslige grunnlaget for behandling av personopplysninger i NORCCAP-prosjektet. Det er tre alternative regelverk som kan regulere behandling av helseopplysninger i NORCCAP-prosjektet: helseforskningsloven, kreftregisterforskriften (helseregisterloven § 8 jf. kreftregisterforskriften § 1-9, jf. § 1-2 tredje ledd) eller konsesjon gitt av Datatilsynet (helseregisterloven § 5, jf. personopplysningsloven § 33). Nemnda kom til at NORCCAP er regulert av helseforskningsloven etter en gjennomgang av det saklige virkeområdet i helseregisterloven og helseforskningsloven og forarbeidenes uttalelser. Nemnda la vekt på at forskningsprosjektet faller inn under ordlyden i helseforskningsloven, at det dreier seg om et tidsbegrenset forskningsprosjekt i motsetning til et permanent helseregister og at NORCCAP er mer enn et typisk helseregister, idet det også omfatter opplysninger om en kontrollgruppe som blir sammenlignet med intervensjonsgruppen ved koblinger mot Kreftregisteret og Dødsårsaksregisteret. Datatilsynet har ikke kompetanse til å treffe vedtak om utvidet konsesjon, eller stille vilkår i den forbindelse, idet denne kompetansen i henhold til helseforskningsloven er lagt til REK.

PVN-2017-10 Kameraovervåkning Brumunddal

Klage på Datatilsynets vedtak om pålegg – opphør av politiets kameraovervåking i Brumunddal

Saken gjaldt klage på Datatilsynets pålegg om at Innlandet politidistrikt måtte avslutte kameraovervåkningen i Brumunddal sentrum fordi behandlingen manglet hjemmel i personopplysningsloven § 8 f) jf. § 37. Nemnda kom etter en interesseavveining til at politiets berettigede interesse i å benytte kameraovervåking i dette tilfellet oversteg hensynet til de registrertes personvern. Det tas utgangspunkt i kriminalitetsbildet i Brumunddal noen år tilbake, nedgangen i straffesaker etter at overvåkingen ble iverksatt, politiets opplysninger om antall straffesaker som er oppklart som følge av opptakene, samt den utrygghetsfølelsen befolkningen hadde. Disse interessene ble veid opp mot ulempene ved overvåking av det offentlige rom. Nemnda la vekt på at det var forsøkt andre, mindre personverninngripende tiltak først, samt at personverninngrepet var avdempet noe ved begrenset lagringstid, begrensninger i hvem som hadde tilgang til opptakene og ved at det ikke dreide seg om en kontinuerlig overvåking i den forstand at noen kontinuerlig fulgte opptakene i sanntid. Nemnda viste til PVN-2005-12 (Sporveibussene) og PVN-2005-13 (NSB). Uttalelser om betydningen og vektingen av politifaglige vurderinger som Datatilsynet og nemnda bør være forsiktige med å overprøve.

PVN-2017-12 Fredensborg – kredittvurdering av leietakere

Klage på Datatilsynets vedtak om overtredelsesgebyr for å ha innhentet kredittvurdering uten saklig behov

Saken gjelder profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen. Nemnda vurderte først behandlingsgrunnlaget for å innhente kredittopplysninger, og kom til at rett behandlingsgrunnlag i saken er personopplysningsloven § 8 bokstav a. Deretter tolket nemnda kravet til «saklig behov» i personopplysningsforskriften § 4-3 første ledd. Nemnda kom til at klager hadde saklig behov for å innhente kredittopplysninger om potensielle leietakere. Avgjørelsen innebærer en endring av praksis, særlig PVN-2006-03 KLP og PVN-2008-01 Utleiemegleren. Nemnda fant at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig og at det er sannsynlig at en kredittvurdering av potensielle leietakere bidrar til å redusere utleiers økonomiske risiko. Nemnda fant ikke grunn til å opprettholde skillet mellom profesjonelle og private utleiere og fant heller ikke grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller leiegaranti fra en garantist. Nemnda uttaler at kriteriet «saklig grunn» i personopplysningsforskriften § 4-3 ikke åpner for en bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko.

PVN-2017-11 Begjæring om innsyn hos det danske advokatfirmaet Njord Law Firm

Klage på Datatilsynets vedtak om ikke å pålegge et dansk advokatfirma å gi en privatperson innsyn etter personopplysningsloven § 18 første ledd

Problemstillingen var om personopplysningslovens bestemmelser om innsyn kom til anvendelse, jf. personopplysningsloven § 18 første ledd. Klager hadde anført at personopplysningsloven kommer til anvendelse uavhengig av hvem som er behandlingsansvarlig og uavhengig av hvor den behandlingsansvarlige er etablert, jf. åndsverkloven § 56b siste ledd. Personvernnemnda var enig med Datatilsynet i at åndsverklovens bestemmelser §§ 56a og b ikke kan forstås slik at de utvider personopplysningslovens geografiske anvendelsesområde. For å ta stilling til om personopplysningsloven kommer til anvendelse må man derfor først ta stilling til hvem som er behandlingsansvarlig. Personvernnemnda fant ikke saken tilstrekkelig utredet til at det var mulig å treffe noen avgjørelse, jf. forvaltningsloven § 17. Det var ikke grunnlag for å ta stilling til hvem som var behandlingsansvarlig før sakens faktum var bedre redegjort for, og før Njord Law Firm, som det er krevet innsyn hos, var varslet om saken og gitt anledning til å uttale seg, jf. fvl § 16. Vedtaket ble derfor opphevet og sendt tilbake til Datatilsynet.

PVN-2017-09 Behandling av personopplysninger hos Lotteri- og stiftelsestilsynet – Datatilsynets avvisning av sak

Klage på Datatilsynets vedtak om å avvise en sak på grunn av prioriteringshensyn

Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet har foretatt en realitetsvurdering av klagen og kommet til at behandlingen er lovlig. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.