Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2023-25 Klage over Datatilsynets avvisning av sak om uriktig/mangelfull registrering i Konkursregisteret m.m.

Klage fra A på Datatilsynets vedtak hvor tilsynet avviste hans sak om ulike feilregistreringer i Brønnøysundregistrene uten å gi pålegg.

Nemnda la til grunn at registrering av konkursåpning i Brønnøysundregistrene, som skjer etter melding fra retten, ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b. Registreringen av de aktuelle opplysningene hadde behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. nr. 3, med supplerende rettsgrunnlag i konkursloven og konkursregisterforskriften. A hadde ikke sannsynliggjort at Konkursregisteret hadde registrert uriktige opplysninger som han kunne kreve rettet eller slettet. Når det gjaldt registering av fusjon i Foretaksregisteret mellom aksjeselskaper og sletting av registrerte kunngjøringer om selskaper i Brønnøysundregistrene, var nemnda enig med Datatilsynet i at slike opplysninger ikke er personopplysninger, men opplysninger om juridiske personer. Slik registrering faller utenfor personopplysningsloven og personvernforordningens virkeområde, jf. personopplysningsloven § 2 første ledd. A fikk ikke medhold i klagen.

PVN-2023-21 Klage på Datatilsynets avslutning av sak om kredittvurdering

Klage fra A på Datatilsynets vedtak der Datatilsynet avsluttet sak om Qliro ABs kredittvurdering av ham uten ytterligere undersøkelser og uten å gi pålegg.

Etter at A fikk et gjenpartsbrev fra Bisnode, henvendte han seg til Datatilsynet og klaget over at det han mente var en ulovlig kredittvurdering av ham fra det svenske betalingsløsningsselskapet Qliro AB. Datatilsynet ba A om å kontakte Qliro for å få klarhet i faktum før tilsynet eventuelt kunne be om bistand fra det svenske datatilsynet. A ønsket ikke det og Datatilsynet avsluttet saken. Nemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages. Da A valgte ikke å bidra ytterligere til å opplyse saken, mente nemnda at det forsvarlig av Datatilsynet å avgjøre saken med bakgrunn i de opplysningene som forelå. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at personopplysningsloven eller kredittopplysningsloven var brutt. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-23 Klage over Datatilsynets avgjørelse om å avslutte sak uten å gi pålegg – behandling av personopplysninger hos NAV

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om ulovlig behandling av personopplysninger hos NAV, uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

PVN-2023-20 Sletting av dokument i personalmappe hos tidligere arbeidsgiver

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at A hadde fått oppfylt sin innsynsrett etter personvernforordningen artikkel 15, og ikke ga ham medhold i sitt slettekrav etter personvernforordningen artikkel 17.

Spørsmålet for nemnda var om As tidligere statlige arbeidsgiver skulle pålegges å slette et arkivert dokument som inneholdt personopplysninger om A fra hans personalmappe. Arbeidsgivers formål med innsamling av personopplysningene opprinnelig var knyttet til hans arbeidsforhold. Arbeidsforholdet var avsluttet og arbeidsgivers formål med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til at de aktuelle personopplysningene representerte materiale som er underlagt bevaringsplikt etter arkivlova § 6 jf. § 9 og Riksarkivarens forskrift § 7-11 første ledd, og at arbeidsgiver har en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Nemnda kunne derfor ikke pålegge arbeidsgiver å slette opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Datatilsynets vedtak ble opprettholdt.

PVN-2023-18 Innsyn i pasientjournal

Klage fra A på Datatilsynets avgjørelse der Datatilsynet konkluderte med at A ikke hadde krav på ytterligere innsyn etter personvernforordningen.

Personvernforordningen artikkel 15 har generelle regler om den registrertes rett til innsyn i egne personopplysninger som behandles. For helseopplysninger er dette videre regulert i helselovgivningen, herunder i pasientjournalforskriften og pasient- og brukerrettighetsloven. Retten til innsyn i pasientopplysninger gjelder pasientjournal (med eventuelle vedlegg) og innsynslogg. Når det gjelder øvrige tekniske data om helsepersonellets handlinger knyttet til journalen, er dette ikke opplysninger som er omfattet av retten til innsyn. Nemnda sluttet seg til Datatilsynets vurdering om at innsynsretten var oppfylt i dette tilfellet, jf. pasientjournalforskriften §§ 11 og 14, pasient- og brukerrettighetsloven § 5-1 og personvernforordningen artikkel 15.

PVN-2023-13 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at det ikke foregikk ulovlig kameraovervåking etter at Datatilsynets varslede pålegg om opphør var oppfylt

Klage fra A på Datatilsynets avgjørelse der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke lenger var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a, da varslet pålegg om å avslutte overvåking av deler av eiendommen ble ansett oppfylt.

Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2. Loven gjelder likevel ikke «ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter», jf. personopplysningsloven § 2 andre ledd bokstav a. På bakgrunn av partenes forklaringer og de framlagte bildene, la nemnda, som Datatilsynet, til grunn at det ikke er sannsynliggjort at noen av Bs kameraer lenger var montert slik at de overvåker As eiendom, verken hagen, huset eller inn i huset gjennom vindu eller døråpninger. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-22 Klage over Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger hos NAV

Klage fra A v/B på Datatilsynets avgjørelse om å avslutte sak om retting/sletting av personopplysninger uten å gi pålegg.

A henvendte seg til Datatilsynet og klaget over at NAV ikke hadde gitt ham medhold i hans krav om sletting/retting av det han mener er ulovlige vedtak truffet av NAV. Nemnda fastslo at dersom NAV tolker en rettsregel feil eller foretar en uriktig vurdering av faktum, vil dette kunne resultere i et uriktig vedtak, som kan endres ved at vedtaket påklages, omgjøres eller endres gjennom et nytt vedtak. Vedtaket kan ikke rettes eller slettes etter bestemmelsene i personvernforordningen artiklene 16 og 17. Nemnda la til grunn at Datatilsynet hadde oppfylt sin plikt til å behandle As klage, jf. personvernforordningen artikkel 77. Nemnda var enig med Datatilsynet i at det ikke er lagt frem dokumentasjon for, eller redegjort for, et faktum som ga grunnlag for å pålegge NAV å rette eller slette opplysninger om A i hans saker i NAV. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda viste til at det er opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å innhente ytterligere opplysninger i saken fra innklagede eller om saken behandles på bakgrunn av den informasjonen klager har sendt inn. I utgangspunktet er det klagers oppgave å redegjøre for saken og legge fram nødvendig dokumentasjon for å sannsynliggjøre sitt krav. Nemnda opprettholdt tilsynets vedtak.

PVN-2023-15 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om avslutning av sak

Saken gjelder klage fra A på Datatilsynets avgjørelse om å avslutte sak om kameraovervåking fra privat bolig (nabo) uten ytterligere undersøkelser og uten å gi pålegg.

Nemnda var enig med Datatilsynet i at det ikke var sannsynliggjort at den innklagede naboen hadde montert kameraovervåkingsutstyr som innebar at det ble gjort opptak av A. Personopplysningsloven var dermed ikke brutt. Etter nemndas vurdering hadde Datatilsynet oppfylt sin utredningsplikt slik at saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Datatilsynets avgjørelse om ikke å gjøre ytterligere undersøkelser var etter nemndas vurdering forsvarlig og innenfor lovens rammer. Nemnda påpekte at det må være opp til Datatilsynet å vurdere om det er hensiktsmessig og nødvendig å foreta befaring for å kontrollere påstander om ulovlig montert kameraovervåkingsutstyr, og at det i utgangspunktet er klagers oppgave å legge fram dokumentasjon for det forholdet som påklages. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2023-16 Klage over Datatilsynets avgjørelse om å avslutte saken uten å ta stilling til om personvernforordningen er brutt

Klage fra A på Datatilsynets avgjørelse om å avslutte sak om DNB Banks behandling av legitimasjonsdokument med ansiktsfoto, uten å ta stilling til om den innklagede behandlingen av personopplysninger var lovlig eller ikke.

Nemnda la til grunn at tilsynet etter artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge hvilke klager de skal ta til behandling. Loven åpner for at tilsynet kan utvise en viss fleksibilitet når det gjelder hvor omfattende undersøkelser av faktum som er nødvendig og/eller hensiktsmessig i en sak. I denne saken var det ikke var tvil om faktum, men et spørsmål om tolkning av loven, og tilsynet kunne ikke velge ikke å ta stilling til om behandlingen er lovlig eller ikke. En slik valgfrihet vil etter nemndas vurdering være i strid med personvernforordningen artikkel 77. Saken ble returnert til Datatilsynet for en materiell vurdering av om As personopplysninger er behandlet ulovlig eller om banken har gyldig behandlingsgrunnlag.

PVN-2023-12 Krav om innsyn i interne dokumenter, samt spørsmål om gyldig behandlingsgrunnlag for personopplysninger i en personalsak

Klage fra A på Datatilsynets vedtak der Datatilsynet konkluderte med at en arbeidsgiver ikke hadde brutt personopplysningsloven.

Etter en personalsak hvor det ble inngått sluttavtale, ble det tvist mellom partene om innsyn i As personalmappe. A fikk delvis innsyn i sin personalmappe, men ble nektet innsyn i et internt notat utarbeidet av arbeidsgiver i forbindelse med personalsaken. Nemnda la til grunn at innsynsbegjæringen gjaldt opplysninger som framkom i dokumenter utarbeidet for den interne saksforberedelsen og som ikke var utlevert til andre. Lovens krav om at unntak fra innsynsretten må være «nødvendig for å sikre forsvarlige interne avgjørelsesprosesser» ble ansett oppfylt. Nemnda var enig med Datatilsynet i at personopplysningsloven ikke ga rett til ytterligere innsyn, jf. personvernforordningen artikkel 15 jf. personopplysningsloven § 16 første ledd bokstav e. Nemnda var også enig med tilsynet i at arbeidsgiver hadde behandlingsgrunnlag for å bruke de private e-postene i personalsaken i artikkel 6 nr. 1 bokstav c, jf. nr. 3, med supplerende rettsgrunnlag i arbeidsmiljøloven § 2-2. Datatilsynets vedtak ble opprettholdt.