Hjem

Personvernnemnda

Personvernnemnda (PVN) er klageorgan for vedtak fattet av Datatilsynet.

Personvernnemnda skal behandle klager på vedtak som Datatilsynet fatter i medhold av personopplysningsloven og enkelte andre lover.

Personvernnemnda fatter fortløpende vedtak etter mottatte klager.

Personvernnemnda møtes ca en gang i måneden.

Siste vedtak/beslutninger og årsmeldinger

PVN-2018-15 - Sletting av personopplysninger i personalmappe etter avsluttet arbeidsforhold

Klage fra A på Datatilsynets vedtak 23. april 2018 om avslag på krav om sletting av dokumenter i personalmappe hos X videregående skole og Y fylkeskommune.

Saken gjelder spørsmål om lærer A, etter avslutning av arbeidsforholdet, kan kreve at tidligere arbeidsgiver (X/Y) sletter dokumenter fra hans personalmappe med opplysninger om en arbeidskonflikt A var involvert i da han arbeidet der. Etter at arbeidsforholdet var avsluttet har A tatt ut søksmål mot X/Y. Datatilsynet avslo As begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR) og redegjorde nærmere for sitt syn på lovvalget. Nemnda fastslo at arbeidsgivers opprinnelige behandlingsgrunnlag for lagringen var personaladministrasjon, jf. GDPR artikkel 6 nr. 1 bokstav f, men etter at A avsluttet arbeidsforholdet var begrunnelsen for fortsatt lagring endret til skolens behov for å dokumentere saksbehandlingshistorikken. Nemnda la til grunn at den nye bruken av opplysningene er forenlig med det opprinnelige formålet, jf. GDPR artikkel 6 nr. 4, jf. artikkel 5 nr. 1 bokstav b og c. Nemnda viste til at A har en pågående klagesak mot X/Y i Diskrimineringsnemnda der A mener seg utsatt for aldersdiskriminering. Nemnda konkluderte med at fortsatt lagring er nødvendig for å ivareta X/Ys berettigede interesser, jf. GDPR artikkel 6 nr. 1 bokstav f, og avslo As krav om sletting.

PVN-2018-13 - Sletting av personopplysninger i fylkesmannens arkiv

Klage fra A på Datatilsynets vedtak 17. april 2018 om avslag på krav om sletting av saksdokumenter i arkivet til Fylkesmannen i X.

Saken gjelder spørsmål om en privatperson (A) kunne kreve å få slettet sine personopplysninger fra fylkesmannens arkiv. Dokumentene, som inneholder opplysninger om As helse og innleggelse på psykiatrisk avdeling, er knyttet til en klagesak på en kommunelege som fylkesmannen tidligere hadde behandlet. Datatilsynet, som ikke ga A medhold i kravet om sletting, vurderte saken etter personopplysningsloven 2000. Nemnda redegjorde for lovvalgsspørsmålet, og vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). I likhet med Datatilsynet konkluderte nemnda med at fylkesmannen ikke kunne pålegges å slette dokumentene selv om A hadde protestert mot behandlingen, jf. GDPR artikkel 17 nr. 3 bokstav d. Nemnda la vekt på at Riksarkivaren var hørt og hadde uttalt at fortsatt lagring var nødvendig ut fra rettssikkerhetshensyn, arkivformål og forskningsformål. Nemnda fant at fylkesmannen har behandlingsgrunnlag for fortsatt lagring av opplysningene til arkivformål i allmennhetens interesse, jf. GDPR artikkel 6 nr. 1 bokstav e, jf. personopplysningsloven 2018 § 8 og GDPR artikkel 9 nr. 2 bokstav j.

PVN-2018-10 Utlevering av kundeopplysninger fra NextGenTel AS – klage over Datatilsynets avslutning av sak uten å gi pålegg

Klage fra A på Datatilsynets vedtak 16. april 2018 om å avslutte saken fordi Datatilsynet ikke fant at det forelå brudd på personopplysningsloven 2000, samt at de opplysningene som forelå ikke foranlediget nærmere undersøkelser fra tilsynet.

Saken gjelder spørsmål om bredbåndselskapets NextGenTels behandling, herunder utlevering, av As kundeopplysninger. A står registrert i folkeregisteret med «Sperret adresse -FORTROLIG», som innebærer at hennes adresse og telefonnummer ikke skal legges ut offentlig, heller ikke utleveres til nummeropplysningstjenester. NextGentel avsluttet kundeforholdet til A i 2016 etter å ha blitt ilagt overtredelsesgebyr av Datatilsynet for utlevering av hennes personopplysninger, gjennomgått rettsprosser og inngått flere forlik med A, som også innebar erstatningsutbetaling for urettmessig utlevering av personopplysninger. A brakte saken inn for Datatilsynet igjen og anførte at saken gjaldt spørsmål om hvorvidt NextGenTel hadde solgt hennes personopplysninger. Tilsynet avsluttet saken uten å gi pålegg. Nemnda la som Datatilsynet til grunn at personopplysningsloven 2000 og 2018 ikke skiller mellom salg eller annen utlevering av personopplysninger, men at det avgjørende er om det foreligger behandlingsgrunnlag for den behandlingen av personopplysninger den behandlingsansvarlige foretar. Nemnda konkluderte med at NextGenTels behandling av As personopplysninger da hun var kunde var tilstrekkelig og forsvarlig vurdert av Datatilsynet. Det forelå ingen nye brudd på personopplysningsloven. Det var heller ikke behov for ytterligere undersøkelser fra tilsynets side.

PVN-2018-12 Publisering av saksframlegg på kommunens nettside

Klage på at X kommune har gitt allmennheten innsyn i personopplysninger ved å publisere på Internett kommunens saksframlegg til et kommunestyremøte. Saksframlegget inneholdt personopplysninger som klagerne anfører var taushetsbelagte.

Saken gjelder en kommunes publisering av et saksframlegg til et kommunestyremøte på kommunens nettside som inneholdt opplysninger om mulig personalsak mot tre av kommunens ansatte, som alle hadde sluttet seg til en varslersak knyttet til rådmannens lederstil. De tre ansatte, som var omtalt med navn i saksframlegget, mente publiseringen innebar et brudd på personopplysningsloven og at de publiserte personopplysningene var taushetsbelagte etter forvaltningsloven. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fant i likhet med Datatilsynet at saksframlegget ikke inneholdt sensitive personopplysninger og konkluderte med at det ikke var skjedd en utlevering av personopplysninger som omfattes av bestemmelsene i personopplysningsloven 2018. Nemnda var enig med Datatilsynet i at de ikke hadde kompetanse til å vurdere hvorvidt kommunens tolkning av taushetspliktbestemmelsene i forvaltningsloven var korrekt eller ikke. I vedtaket uttaler nemnda seg om innsyn i offentlige dokumenter og forholdet mellom personopplysningsloven (både 2000-loven og 2018-loven) og offentleglova.

PVN-2019-01 Dekning av sakskostnader, jf. forvaltningsloven § 36

Saken gjelder krav om dekning av sakskostnader fra Legelisten.no, jf. forvaltningsloven § 36.

Saken gjelder Legelistens krav på dekning av sakskostnader etter at Personvernnemnda i vedtak 21. januar 2019 i sak PVN-2018-14 ga Legelisten delvis medhold i sin klage på Datatilsynets vedtak, ved at tilsynets vedtak ble omgjort på to punkter. Omgjøringen var samsvar med Legelistenssubsidiære anførsel i klagen. Det totale kravet på kroner 248 972,80 omfattet salærutgifter til prosessfullmektig for 80 timers arbeid utført i perioden 9. mars 2017 til 24. januar 2019, totalt kroner 173 972,80, samt et skjønnsmessig fastsatt beløp på kroner 75 000 for Legelistens eget arbeid med saken. Nemnda la til grunn at vedtaket i sak PVN-2018-14 ble endret til gunst for Legelisten og at det var forståelig at Legelisten pådro seg vesentlige utgifter ved å engasjere juridisk bistand i forbindelse med klagen over Datatilsynets vedtak i en så omfattende og prinsipiell sak. Nemnda anså 50 000 kroner til prosessfullmektigens bistand som nødvendig for å få endret vedtaket, men øvrig arbeid ikke var nødvendig, jf. forvaltningsloven § 36. Legelistens godtgjørelse for eget arbeid ble ikke dekket.

PVN-2018-14 Behandling av personopplysninger på nettstedet Legelisten.no

Saken gjelder flere spørsmål knyttet til om behandlingen av personopplysninger på nettstedet Legelisten.no er i tråd med personopplysningsloven 2018 og GDPR.

Nemnda konkluderer blant annet med at Legelisten.no er behandlingsansvarlig for alle person­opplysningene som behandles på nettstedet, og at Legelistens publisering av vurderinger av helsepersonell ikke er omfattet av journalistunntaket i personopplysningsloven § 3. Nemnda konkluderer videre med at Legelisten.no ikke skal pålegges å offentliggjøre identiteten til brukere som sender inn vurderinger av helsepersonell til nettstedet. Nemnda kom til et annet resultat enn Datatilsynet på to punkter; hvorvidt samtykke er gyldig behandlingsgrunnlag for å samle inn og lagre e-postadresser til brukere som sender inn vurderinger av helsepersonell, og hvorvidt Legelisten.no har behandlingsgrunnlag for å samle inn og publisere vurderinger av helsepersonell uten at helsepersonellet gis en generell reservasjonsadgang. På disse punktene delte nemnda seg i et flertall og et mindretall (5:2).

Nemndas flertall konkluderer med at Legelisten.no har gyldig samtykke fra de som sender inn vurderinger av helsepersonell til også å samle inn og lagre deres kontaktinformasjon (e-post­adresse). Det samme flertallet konkluderer videre med at Legelisten.no har behandlings­grunnlag for å samle inn og publisere subjektive brukervurderinger av helsepersonell på nettstedet uten at helsepersonell gis en generell reservasjonsadgang. Den berettigede interessen til Legelisten.no i å formidle brukernes subjektive ytringer veier, etter en bred interesseavveining, tyngre enn hensynet til helsepersonellets personvern.

PVN-2018-11-Sletting av personopplysninger i personalmappe

Saken gjelder klage fra A på Datatilsynets vedtak 16. november 2017 om avslag på begjæring om sletting av personopplysninger i personalmappe hos X.

Saken gjaldt en statlig arbeidstaker (A) som hadde klaget til Datatilsynet på at arbeidsgiveren hadde lagret to tilrettevisninger i personalmappen. Den første tilrettevisningen var lagret i personalmappen i syv år, den andre i tre år og ni måneder. Datatilsynet avslo A’s begjæring om sletting. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda fastslo at behandlingsgrunnlaget for lagringen var GDPR artikkel 6 nr. 1 bokstav f). Nemnda ga imidlertid klageren medhold og påla arbeidsgiveren å slette begge tilrettevisningene fra personalmappen, jf. GDPR artikkel 17 nr. 1 bokstav a) og bokstav c). Nemnda viste blant annet til at A hadde protestert på behandlingen, jf. GDPR artikkel 21 nr.1, og at saken gjaldt to tilrettevisninger og ikke ordensstraffer, som er av mer alvorlig karakter. Videre påpekte nemnda at lagring av personopplysninger forutsetter at arbeidsgiver foretar en konkret vurdering og påviser en konkret og reell grunn til fortsatt lagring. Det er ikke tilstrekkelig å vise til generell personaladministrasjon og et potensielt behov ved en mulig, helt uspesifisert fremtidig prosess, med mindre det dreier seg om svært alvorlige forhold eller situasjoner hvor det det behov for stadige tilrettevisninger. Det var ikke tilfellet i denne saken.

PVN-2018-08 Begjæring om innsyn i politioperativt register - Avvisning av klage

Klage fra A på Datatilsynets beslutning 7. juli 2017 om avslutning av sak om innsynsbegjæring.

Politiet avslo en begjæring fra en privatperson (A) om innsyn i politioperativt register fordi opplysningene var unntatt fra innsynsrett etter politiregisterloven § 49. A kontaktet deretter Datatilsynet som iverksatte en kontroll. Datatilsynet fant ingen grunn til å gi politiet noen anmerkning i forbindelse håndteringen av innsynsbegjæringen. I saker som er unntatt innsynsrett etter politiregisterloven § 49 er Datatilsynets myndighet begrenset til å gi en anmerkning dersom innsynsreglene i lov og forskrift ikke er fulgt. Nemnda la til grunn at en beslutning om ikke å gi en anmerkning ikke er et vedtak i forvaltningslovens forstand, og gir ikke klagerett. Vilkårene for å behandle klagen i nemnda var derfor ikke oppfylt. Nemnda aviste klagen.

PVN-2018-07 Sletting av søketreff i søkemotoren Google

Saken gjelder klage fra Google Inc./Google Norway på Datatilsynets vedtak 6. juni 2017 der Google fikk pålegg om sletting av søketreff i søkemotoren Google.

En privatperson (A) klaget til Datatilsynet etter at Google hadde avslått A's begjæring om slette et søketreff fra søkemotoren Google som inneholdt A's navn. Søketreffet leder til en anonym blogg der bloggeren har skrevet et artikkellignende innlegg om A’s påståtte mentale helse, og hvordan A angivelig har opptrådt i sin tidligere stilling som seksjonsleder i en statlig virksomhet. A opplever påstandene i blogginnlegget som sjikanerende.

Nemnda konkluderte at Google ikke har behandlingsgrunnlag for å publisere søketreffet som inneholder A's navn, og opprettholdt Datatilsynets vedtak der Google ble pålagt å slette søketreffet på A’s navn fra søkemotoren Google.

PVN-2018-06 Begjæring om innsyn

Klage fra A på Datatilsynets vedtak 24. januar 2018 om avslutning av sak om innsynsbegjæring.

Dissens (5-1).
Saken gjaldt klagers innsynsbegjæring i sine barns elevmapper på skolen/kommunen etter at skolen hadde sendt en bekymringsmelding til barnevernet. Datatilsynet undersøkte saken, og fant at kommunen hadde gitt A innsyn. Datatilsynet avsluttet saken. Nemnda vurderte saken etter personopplysningsloven 2018 og EU's personvernforordning (GDPR). Nemnda var enig med Datatilsynet i at kommunen/skolen hadde etterkommet A’s anmodning og gitt tilstrekkelig innsyn. Flertallet la til grunn at Datatilsynet hadde oppfylt sin utredningsplikt og foretatt et forsvarlig skjønn når tilsynet avsluttet saken uten å utferdige noe pålegg.