Hjem

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2020-23 Krav om retting av registrerte passeringsdata hos bompengeselskap

Klage fra A på Datatilsynets vedtak 20. desember 2018 der Datatilsynet avsluttet en sak mot bompengeselskapet Vegfinans AS om uriktige passeringsdata, uten å gi pålegg om retting.

Bomstasjonen på Bommestad på E18 ved Larvik ble satt i drift 9. mai 2018. Etter åpning ble det oppdaget at klokka på bomstasjonen gikk ca. 7 minutter feil, noe som ga tilsvarende uriktig tidsregistrering på passerende biler. Feilen ble rettet i begynnelsen av juni 2018 med virkning for nye passeringer. A klaget Vegfinans AS inn for Datatilsynet etter å ha mottatt en faktura der passeringene i mai 2018 var oppgitt med uriktig tidsregistrering. A ville ha feilen slettet eller rettet, og klaget også på manglende overholdelse av informasjonsplikten. Datatilsynet kom til at personopplysningsloven var overholdt og avsluttet saken uten å ilegge pålegg. A klaget på vedtaket. Nemnda la til grunn at retten til å kreve retting etter personvernforordningen artikkel 16 må vurderes i lys av formålet opplysningene behandles for, jf. artikkel 5 nr. 1 bokstav d. Dette har betydning for hvor langt retteplikten strekker seg, og for hvor omfattende tiltak som kreves for at den behandlingsansvarlige skal rette uriktige opplysninger. Nemnda var enig med tilsynet i at Vegfinans AS ikke skulle pålegges å rette eller slette de registrerte opplysningene. Nemnda var også enig med Datatilsynet i at den uriktige tidsregistreringen åpenbart ikke medførte noen høy risiko for As rettigheter og friheter, og at Vegfinans AS ikke brøt personopplysningsloven ved ikke å gi A informasjon om de uriktige opplysningene. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-21 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra Flisleggingsfirma AS på Datatilsynets vedtak 25. september 2020 om ileggelse av overtredelsesgebyr på 150 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag, samt pålegg om å utbedre sine systemer for internkontroll vedrørende bruk av kredittsjekk.

A kontaktet kredittopplysningsbyrået Bisnode da hun mottok et gjenpartsbrev om at Flisleggingsfirma AS, som hun ikke hadde noe kundeforhold til, hadde kredittvurdert hennes enkeltpersonforetak. Daglig leder i flisleggingsfirmaet, som også var As nabo, hadde foretatt kredittsjekken som privatperson fordi han var bekymret for at iverksatte byggearbeider på As tomt, og ville finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene medførte problemer for han som nabo. Datatilsynet ila Flisleggingsfirmaet AS et overtredelsesgebyr på 150 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet ble også pålagt å utarbeide rutiner for innhenting av kredittvurderinger for å sikre etterlevelse av forordningen og bedre selskapets system for internkontroll. Selskapet klaget vedtaket inn for nemnda. Nemnda kom til at selskapet åpenbart ikke hadde noen berettiget interesse i å foreta en kredittvurdering av A, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Det er åpenbart i strid med loven og en grunnleggende krenkelse av As personvernrettigheter at daglig leder bruker firmaets onlinetilgang til Bisnode for private formål. Nemnda, som har begrenset adgang til å sette tilsynets gebyr høyere, jf. forvaltningsloven § 34 tredje ledd, mente at et gebyr på 150 000 i alle fall ikke er for høyt. Nemnda opprettholdt Datatilsynets vedtak om ileggelse av gebyr, samt pålegg om å utarbeide rutiner for bedre internkontroll ved innhenting av kredittvurderinger.

PVN-2020-20 Kameraovervåking fra privat bolig

Klage fra A på Datatilsynets vedtak 12. mai 2020 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var ulovlig etter personopplysningsloven fordi overvåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a.

A klaget på kameraovervåking fra en privat bolig i området han bor, der eier av eiendommen hadde montert to kameraer under takmønet på boligens fasade. Boligen ligger rett ut mot offentlig vei der parkeringsmulighetene langs veien er allmenn og tilgjengelig for alle. Nemnda la til grunn at personer som går langs veien, og passerer boligen der kameraene er montert, kan fanges opp av kameraene. Det samme gjelder de som parkerer langs veien utenfor boligen. Nemnda la til grunn at kameraovervåking montert på private hus ikke omfattes av unntaket for «rent personlige eller familiemessige aktiviteter», dersom overvåkingen også dekker deler av et offentlig område, jf. EU-domstolen sak C-212/13 (Ryneš). Nemnda konkluderte videre med at huseieren ikke hadde lovlig behandlingsgrunnlag idet han ikke hadde noen berettiget interesse i vedvarende overvåking av et område åpent for alminnelig ferdsel, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Nemnda omgjorde Datatilsynets vedtak.

PVN-2020-22 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 8. september 2020 der Datatilsynet kom til at Æ barneverntjenestes behandling av personopplysninger var lovlig.

I forbindelse med en undersøkelsessak etter barnevernloven i barneverntjenesten i Y knyttet til klagernes datter, D, og hennes barn, utleverte Æ barneverntjeneste opplysninger til barneverntjenesten i Y, herunder en uttalelse fra Æ barneverntjeneste der det framkommer opplysninger om oppveksten til D og barnevernets vurdering av omsorgssituasjonen i foreldrehjemmet og bakgrunnen for omsorgsovertakelsessaken den gangen. Det er spørsmål om behandlingsgrunnlag for utlevering av personopplysninger fra én barneverntjeneste til en annen, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om retting og sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved Æ barnevern er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningen artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-19 Innhenting og publisering av kredittopplysninger i en artikkel i Bergens Tidende

Klage fra A på Datatilsynets vedtak 18. februar 2020 om at innhenting og publisering av kredittopplysninger om ham i en avisartikkel i Bergens Tidende sommeren 2019 er gjort utelukkende for journalistiske formål og dermed ikke er i strid med personopplysningsloven, jf. personopplysningsloven § 3.

Nemnda redegjør for sin forståelse av journalistunntaket i § 3 og uttaler at bestemmelsen ikke kan forstås så absolutt som ordlyden tilsier. I vurderingen av hvor langt unntaket rekker, må det i noen tilfeller foretas en avveining av hensynet til ytringsfrihet og hensynet til personvernet til den personen som omtales. Slik loven i dag lyder må dette gjøres ved en mulig innskrenkende tolkning av «utelukkende journalistisk virksomhet». Innsamlingen og publiseringen av personopplysninger i denne saken skjedde i forbindelse med en nyhetsartikkel i Bergens Tidende. Bergens Tidende er en mediebedrift med en sentral redaktørfunksjon, tilsluttet en pressefaglig selvdømmeordning. Avisens innsamling og publisering av personopplysninger i forbindelse med en nyhetsartikkel representerer kjerneområdet for journalistisk virksomhet. I en slik situasjon gir ikke personopplysningsloven § 3 rom for å foreta noen interesseavveining mellom ytringsfriheten og personvernet. Det er ikke personvernmyndighetenes oppgave å overprøve redaksjonens vurdering av denne typen nyhetsartikler, herunder hvilken informasjon som bør formidles til publikum, og hvorvidt den aktuelle informasjonen har generell samfunnsmessig interesse eller ikke. Dette gjelder uavhengig av om opplysningene som publiseres er korrekte eller ikke. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-18 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at Z barneverns behandling av personopplysninger var lovlig.

Saken gjelder barnevernet i Z kommunes behandling av personopplysninger da det ble åpnet barnevernsak etter bekymringsmelding fra Y kommune vedrørende klagernes datter C og hennes barn. Sammen med bekymringsmeldingen mottok Z barneverntjeneste blant annet et brev fra helsestasjonen i X som barneverntjenesten i Y hadde hentet inn og et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om behandlingsgrunnlag og krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at Z kommunes behandling av personopplysninger er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-17 Behandling av personopplysninger i barneverntjenesten

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at barneverntjenesten i Ys behandling av personopplysninger var lovlig.

Saken gjelder barneverntjenestens innhenting og utlevering av personopplysninger i to forskjellige undersøkelsessaker knyttet til to av klagernes barn, C og D. Da C flyttet til Z sendte barneverntjenesten i Y en bekymringsmelding til Z, og oversendte samtidig et over 20 år gammelt notat om C fra helsestasjonen i X som omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. I et familieråd vedrørende D og hennes barn la barnevernet i Y fram opplysninger i et skriftlig innlegg, hvor det framkom at D hadde opplevd omsorgssvikt og vold fra egne foreldre. Opplysningene ble gjort tilgjengelig for alle deltakerne i møtet. Det er spørsmål om behandlingsgrunnlag, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at behandlingen av personopplysninger ved barneverntjenesten i Y er lovlig og i tråd med personvernforordningen. De registrerte opplysningene kan ikke kreves slettet etter personvernforordningen artikkel 17 eller begrenses etter artikkel 18. A og B har ikke krav på ytterligere innsyn i opplysningene etter artikkel 15. Retten til retting etter artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-16 Behandling av personopplysninger på helsestasjonen

Klage fra A og B på Datatilsynets vedtak 16. januar 2020 der Datatilsynet kom til at helsestasjonen i X kommunes behandling av personopplysninger var lovlig.

Saken gjelder utlevering av personopplysninger fra helsestasjonen i X kommune sendt til kommunens barneverntjeneste i forbindelse med en undersøkelsessak knyttet til klagernes datter C og hennes barn. De utleverte opplysningene inneholdt blant annet et over 20 år gammelt notat om C og omtaler omsorgssituasjonen i foreldrehjemmet (hos A og B) og Cs oppvekstsituasjon. Det er spørsmål om utlevering av personopplysninger fra helsestasjonen til barneverntjenesten, spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt krav om innsyn, retting, sletting, eventuelt begrenset behandling av opplysninger. Nemnda konkluderte med at kommunes utlevering av opplysninger til barneverntjenesten var lovlig og i tråd med personvernforordningen. A og B har ikke rett til innsyn, og de registrerte opplysningene kan ikke kreves slettet etter forordningen artikkel 17 eller begrenses etter artikkel 18. Retten til retting etter forordningens artikkel 16 er oppfylt gjennom en supplerende erklæring. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2020-15 Skrivemåte for personnavn

Klage fra Sbanken på Datatilsynets vedtak 18. mai 2020 der tilsynet påla Sbanken å rette navnet Navn Van Navnesen til Navn van Navnesen i bankens behandlingssystemer.

Sbanken avslo As krav om retting fra stor til liten bokstav i prefikset «van» under henvisning til at personvernforordningen ikke kom til anvendelse. Tilsynet påla Sbanken å rette As navn i alle bankens behandlingssystemer til «Navn van Navnesen». Nemnda la, som Datatilsynet, til grunn at personnavn utgjør en personopplysning slik at personvernforordningen kommer til anvendelse. Nemnda kom til at navnet skrevet på en annen måte enn slik innehaveren av navnet ønsket, eller på en annen måte enn slik navnet skrives i det landet hvor navnet har sin opprinnelse, ikke representerte en uriktig personopplysning som kunne kreves rettet etter personvernforordningen artikkel 16. Personopplysningers riktighet må vurderes i lys av formålet de behandles for, jf. artikkel 5 nr. 1 bokstav d. Formålet med bankens behandling av As navn er å administrere kundeforholdet, noe banken oppnår ved nåværende skrivemåte av As navn. Bruk av stor eller liten bokstav medfører ingen fare for feilidentifisering. Nemnda omgjorde tilsynets vedtak slik at Sbanken ikke pålegges å endre skrivemåten for As navn i sine behandlingssystemer.

PVN-2020-14 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 5. juli 2019 om avslag på krav om sletting av søketreff i søkemotoren Google.

Søketreffet A krevde slettet ledet til en avisartikkel i en lokal nettavis som omtaler As oppsigelse som leder ved en utdanningsinstitusjon. Nemnda la til grunn at når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette opplysningene med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda påpeker at Googles svar til A, slik det er formulert, ikke gjenspeiler at det er foretatt en reell interesseavveining hos Google. I interesseavveiningen tok nemnda utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). Etter en samlet vurdering, men under en viss tvil, kom nemnda til at As interesse i å få søketreffet slettet veide tyngre enn hensynet til informasjonsfriheten og allmennhetens interesse i å ha tilgang til søketreffet ved navnesøk. Nemnda påpeker at lang saksbehandlingstid i denne typen saker bidrar til at retten til å bli glemt etter artikkel 17 langt på vei mister sin realitet. Nemnda påla Google å slette søketreffet. Datatilsynets vedtak ble omgjort.