Tre privatpersoner klaget på at Lotteri- og stiftelsestilsynet utleverte personopplysninger i strid med loven og de vilkårene som var stilt i vedtaket om tilgang til Aa-registeret og Folkeregisteret, i forbindelse med at Lotteri- og stiftelsestilsynet gjennomførte tilsyn hos en stiftelse og utarbeidet en tilsynsrapport. Datatilsynet «avviste» saken under henvisning til prioriteringshensyn. Nemnda påpekte at det faller innenfor Datatilsynets plikter etter loven å ta stilling til om den aktuelle behandlingen av personopplysninger er lovlig eller ikke, og at det derfor er misvisende å kalle dette avvisning. Nemnda mente at Datatilsynet har foretatt en realitetsvurdering av klagen og kommet til at behandlingen er lovlig. Nemnda legger til grunn at Datatilsynet, som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. Dette forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse fremstår forsvarlig og ikke medfører en vilkårlig forskjellsbehandling. Nemnda fant, under noe tvil, at Datatilsynets behandling av denne saken var tilstrekkelig og forsvarlig. Klagen ble ikke tatt til følge.

Nemnda vurderte Datatilsynets avgjørelse om ikke å pålegge arbeidsgiver å slette et dokument om tilrettevisning fra klagers personalmappe. Klager har anført personopplysningsloven § 28 første ledd som grunnlag for sitt krav om sletting. Hvor lenge det er nødvendig å oppbevare en tilrettevisning må vurderes konkret i hvert individuelle tilfelle. I denne saken har kommunen vurdert behovet for oppbevaring, og konkludert med at det er tilstrekkelig å oppbevare dokumentet ut skoleåret 2016/17. Nemnda har vært varsom med å overprøve arbeidsgivers skjønn i tidligere saker vedrørende sletting av dokumenter i personalmapper. Kommunen har definert formålet og behovet for oppbevaringen, og legger slik nemnda forstår det stor vekt på behovet for veiledning av A. Nemnda la til grunn at dokumentet vil bli slettet i samsvar med det arbeidsgiver har skissert. Nemnda kom til at klagen ikke tas til følge.

Personvernnemnda tok stilling til om arbeidsgiver skulle ilegges overtredelsesgebyr for brudd på grunnkravene til behandling av personopplysninger i lovens § 11 bokstav a, jf. § 8 og § 11 bokstav c, samt eventuelt gebyrets størrelse. Datatilsynet har ilagt arbeidsgiver et gebyr på kr 100 000. Tilsynet har konkludert med at klagers sammenstilling av opplysninger fra GPS-loggen med innleverte timelister var uforenlig med det opprinnelige formålet og at behandlingen derfor var ulovlig på grunn av manglende behandlingsgrunnlag, jf. personopplysningsloven § 11 bokstav a), jf. § 8, samt § 11 bokstav c). Nemnda fant at overtredelsen, som besto i å ha sammenstilt ulike innsamlede data uten et rettslig grunnlag for å kontrollere en ansatt, representerer forholdsvis grove brudd på personopplysningsloven. Etter en gjennomgang av § 46 bokstavene a-h, fant nemnda at arbeidsgiver bør ilegges overtredelsesgebyr. Utmåling av gebyret på kr 100 000 synes å ligge på linje med Datatilsynets gebyrpraksis i tilsvarende saker, jf. PVN-2015-08 og PVN-2016-06.

Problemstillingen for nemnda var om klager kunne pålegges å fjerne publiserte politianmeldelser og nedsettende kommentarer fra ulike nettsider på grunn av manglende behandlingsgrunnlag eller om publiseringene var omfattet av personopplysningsloven § 7.

Personopplysningsloven § 7 regulerer forholdet til ytringsfriheten. Etter denne bestemmelsen gjelder blant annet ikke kravet til behandlingsgrunn §§ 8 og 9 for behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske formål. 

Nemnda fant at enkeltvedtaket var utformet og begrunnet på en måte som ikke oppfyller forvaltningslovens krav til enkeltvedtak. Etter nemndas syn kan ikke tilsynet pålegge en person helt generelt å slette «politianmeldelser og nedsettende kommentarer» fra «nettsider» uten at det samtidig konkretiseres hvilke opplysninger som må fjernes og hvorfra de må slettes. Nemnda kom til at vedtaket måtte oppheves og sendes tilbake til Datatilsynet for ny behandling, jf. forvaltningsloven § 34 siste ledd. Nemnda mente videre at Datatilsynet må vurdere på nytt om As publiseringer omfattes av personopplysningsloven § 7, slik at det ikke er krav om behandlingsgrunnlag etter personopplysningsloven § 8 eller § 9. Nemnda mente at Datatilsynet hadde lagt til grunn en for snever forståelse av hva som skal regnes som «journalistiske formål», jf. personopplysningsloven § 7. Nemnda viste også til en svensk høyesterettsavgjørelse i den såkalte «Ramsbro-dommen», NJA 2001 s 409. Nemnda fant at vedtaket led av lovanvendelsesfeil, i tillegg til saksbehandlingsfeil knyttet til vedtakets utforming og begrunnelse. Nemnda fant også at Datatilsynets lovtolkning av begrepet "mistenkt" i § 2 nr. 8 bokstav b var uriktig. Klager hadde også bedt om Personvernnemndas bistand til å få legejournaler utlevert/overlevert, men nemnda har ikke kompetanse til å overprøve tingrettens beslutning.

Problemstillingen var om opplysningene klager ønsker korrigert omfattes av personopplysningsloven § 7, slik at bestemmelsene om retting av mangelfulle personopplysninger i § 27 ikke kommer til anvendelse. Datatilsynet har avvist saken, med begrunnelse at det gjelder en publikasjon som ikke er omfattet av personopplysningsloven, jf. § 7, og at dette er en konflikt om plagiat eller faglig uenighet som ikke egner seg for retting etter personopplysningslovens regler om retting, jf. § 27. Nemnda fant det klart at opplysningene i publikasjon som klager ønsker fjernet er omfattet av personopplysningsloven § 7. Bestemmelsene i § 27 kom derfor ikke til anvendelse.

Saken gjaldt klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner, jf. personopplysningsforskriften § 8-4 siste ledd hvor det fremgår at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, kan Datatilsynet gjøre unntak, det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering. Personvernnemnda bemerket at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. En utvidet lagringstid er personverninngripende og nemnda la vekt på minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn fant nemnda at det ikke forelå et «særlig behov» som tilsa at lagringstiden bør utvides.

Nemnda vurderte Datatilsynets ileggelse av overtredelsesgebyr. Saken gjaldt hvorvidt et kredittopplysningsselskap har drevet med kredittopplysningsvirksomhet i forskriftens forstand, jf personopplysningsforskriften § 4-2. Nemnda fant at anførselen om videreformidling ikke var vurdert grundig nok i Datatilsynets varsel om vedtak og vedtak. Det er fremholdt i juridisk teori og tilsynets tidligere praksis at videreformidling ikke vil være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand. På denne bakgrunn konkluderte nemnda med at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling, jf. forvaltningsloven §§ 17 og 25, jf. forvaltningsloven § 34 siste ledd.

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og størrelsen på gebyret. Nemnda la vekt på at daglig leder og medeier av et bilverksted brukte virksomhetens onlinetilgang til Bisnode for et privat formål. Det forelå ikke et kundeforhold mellom den som ble kredittvurdert og bilverkstedet. Nemnda fant at dette var i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda vurderte ileggelsen av gebyret og dets størrelse. Nemnda fant at utmålingen var lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker.

Nemnda kom til samme resultat som Datatilsynet. Nemnda vurderte ileggelsen av overtredelsesgebyr for innsyn i ansatts epostkasse, jf. personopplysningsloven § 46. Husbyggerfirmaet Hereid Hus AS har brutt personopplysningsforskriften § 9-2. Nemnda fant at virksomhetens innsyn i privat epost innebar et omfattende inngrep i grunnleggende personvernrettigheter. Arbeidsgiver har brutt personopplysningsforskriften § 9-3. Nemnda kunne ikke se at det fremgikk av tingrettens dom at varsel ble gitt i samsvar med kravene i personopplysningsforskriften. Nemnda mener at usikkerheten i dette tilfellet må gå ut over arbeidsgiver. Nemnda gjennomgikk momentene i personopplysningsloven § 46 andre ledd bokstav a til h og konkluderte med at det ikke var grunn til å endre gebyrets størrelse.

Nemnda antok at As anførsel om at NAV gir feil informasjon til arbeidsgivere om As utdannelse, må oppfattes som at det fremsettes et krav om retting, jf. personopplysningsloven § 27. Det var ubestridt at NAV faktisk hadde registrert As korrekte faglige kompetanse. NAV hadde imidlertid bestemt at A måtte søke på stillinger som A mente lå utenfor hans primærkompetanse og utdannelse. Etter nemndas syn medfører ikke dette at NAV underkjenner hans faglige kompetanse. Nemnda kan ikke se at det er dokumentert at NAV behandler opplysninger som er utilstrekkelige eller irrelevante, jf. personopplysningsloven § 11 bokstav d), eller at NAV bruker uriktige eller ufullstendige personopplysninger som må rettes, jf. personopplysningsloven § 11 bokstav e), jf. § 27. Nemnda konkluderte med at klagen ikke tas til følge.