Landingsforskriften § 8a fastslår at landings- og sluttsedler skal undertegnes elektronisk ved bruk av elektronisk signatur godkjent av Fiskeridepartementet. Landingsforskriften gjelder ved landing, mottak og omsetning av fisk fra norske fartøy, uansett hvor de befinner seg. Fra 1. desember 2020 skal alle sedler undertegnes elektronisk via ny signeringsapplikasjon på mobil eller nettbrett. Bestemmelsen åpner i tredje ledd for at salgslaget kan gi dispensasjon fra kravet når det foreligger særlige grunner. Nemnda sluttet seg til Datatilsynets vurdering om at Fiskeridirektoratets behandling av opplysninger om posisjonsdata er lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav e, jf. landingsforskriften §§ 8 og 8a. Behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Behandlingen var også lovlig etter artikkel 5. Nemnda opprettholdt Datatilsynets vedtak.

Nemnda var enig med tilsynet i at treningssenterets bruk av kameraovervåkingsutstyr i inngangspartiet (både selve kameraopptaket og lagring av bilde som skjer ved hver passering), ikke innebar en behandling av biometriske opplysninger og opprettholdt tilsynets vedtak om dette. For øvrig ble saken returnert til Datatilsynet for videre behandling i det tilsynet ikke hadde tatt stilling til spørsmålet om treningssenteret hadde behandlingsgrunnlag for sin registrering og lagring av ansiktsbilder ved passering av inngangspartiet. Også dette forholdet var påklaget.

Nemnda la til grunn utleveringen av personopplysninger innsamlet ved bruk av butikkens monterte kamerautstyr representerte et brudd på artikkel 5 og artikkel 6 nr. 1 bokstav f. Nemnda var ikke enig med Datatilsynet i at det dreide seg om en grov overtredelse av personvernforordningen. Det ble tillagt vekt i formildende retning at behandlingsansvarlige selv raskt avdekket den ulovlige behandlingen, umiddelbart iverksatte tiltak for å unngå eller minimere skaden ved å kontakte alle de involverte, samt meldte hendelsen til Datatilsynet. Nemnda vurderte om en irettesettelse ville vært en tilstrekkelig reaksjon, men kom til at den behandlingsansvarlige skulle ilegges et gebyr. Skyldkravet var oppfylt, jf. HR-2021-797-A. Nemnda mente at gebyret i denne saken, etter det nivået som følger av personvernforordningen, i utgangspunktet burde ligge rundt 50 000 kroner. Ved den endelige fastsettelsen av gebyrets størrelse måtte den lange saksbehandlingstiden hos Datatilsynet på over to år tillegges vekt, jf. PVN-2021-03. Datatilsynet hadde ikke vurdert saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda konkluderte med at Datatilsynets vedtak om ileggelse av gebyr falt bort på grunn av lang saksbehandlingstid. Datatilsynets vedtak ble omgjort.

Datatilsynets vedtak i saken om fastlegens behandling av personopplysninger var datert 13. januar 2021, og ble sendt i posten til As oppgitte postadresse 14. januar 2021. I vedtaket opplyser tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. Nemnda la til grunn at vedtaket kom fram til A senest sju dager senere, dvs. 21. januar 2021. A sendte klagen med e-post fredag 12. mars 2021, som er åtte uker og én dag etter at brevet med Datatilsynets vedtak ble postlagt og sju uker og én dag etter det tidspunktet nemnda la til grunn at brevet senest ble mottatt. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

A klaget til Datatilsynet på at overlegen ved X distriktspsykiatriske senter (X DPS) etter avslutning av behandlingstilbudet skrev til fastlegen at A er «Opprinnelig av Romanifolket». Fastlegen hadde tidligere i henvisningen av A til DPS oppgitt «Tilhørende "Romanifolket"». Ifølge X DPS framkom informasjonen fra fastlegen om As etniske opprinnelse i sammenheng med en utfyllende beskrivelse av As bakgrunn og dannet grunnlag for å innvilge ham rett til helsehjelp innenfor psykisk helsevern. Nemnda er, som Datatilsynet, varsom med å overprøve fagmyndighetens helsefaglige vurderinger av hvilke opplysninger helsetjenesten har behov for å få tilgang til for å yte forsvarlig helsehjelp. Nemnda konkluderte med at X DPS hadde behandlingsgrunnlag for sin behandling av opplysninger om As etniske opprinnelse i artikkel 6 nr. 1 bokstav c og artikkel 9 nr. 2 bokstav h, jf. artikkel 9 nr. 3 da behandlingen var nødvendig for X DPS’ yting av helse- eller sosialtjenester i henhold til helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og spesialisthelsetjenesteloven § 2-2, og bare ble behandlet av fagpersoner underlagt taushetsplikt. Nemnda opprettholdt Datatilsynets vedtak.

A mottok et gjenpartsbrev fra et kredittopplysningsbyrå med opplysning om at X AS hadde forsøkt å foreta en kredittvurdering av henne. Da det var registrert en kredittsperre på A, ble kredittvurdering ikke foretatt. A kontaktet Datatilsynet og meldte fra om det hun mener er en ulovlig kredittvurdering av henne. Datatilsynet avsluttet saken med et brev til selskapet der tilsynet påpekte hvilke plikter selskapet har etter personvernforordningen. A ble ikke orientert om at saken var avsluttet uten at det var truffet vedtak. A klaget på Datatilsynets beslutning om å avslutte saken. Datatilsynet avviste klagen på grunn av manglende klagerett. Nemnda kom til at Datatilsynets avgjørelse om å avslutte en sak, uten å ta stilling til om klagerens personopplysninger er behandlet ulovlig, må anses som en avgjørelse som er bestemmende for As rettigheter, og dermed et enkeltvedtak som gir henne klagerett, jf. forvaltningsloven § 2 første ledd bokstav a og b og § 28 første ledd. Saken ble sendt tilbake til Datatilsynet for realitetsvurdering.

A ønsket bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som hadde logget seg på hans Microsoft hotmail-konto fra utlandet. Han ønsket også informasjon om all aktivitet på e-postkontoen for å avdekke om han var utsatt for identitetstyveri og om det var sendt ukjente e-poster i hans navn som han ikke var kjent med. Nemnda la til grunn at IP-adresser etter omstendighetene vil være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at Microsofts behandling av IP-adressene representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen. A har rett til innsyn i registrerte aktiviteter på sin e-postkonto og han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Nemnda var enig med Datatilsynet i at personvernforordningen artikkel 15 ikke gir A rett til å kreve innsyn og utlevering av andre personers personopplysninger (identiteten til personene bak IP-adressene som er knyttet til de ulike aktivitetene). Nemnda anså dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 var oppfylt, og ikke et spørsmål om Datatilsynets kompetanse.

Nemnda la til grunn at arbeidsgivers handlinger var å anse som en grov overtredelse av reglene, og at et overtredelsesgebyr i størrelsesorden 400 000 kroner i alle fall ikke var for strengt. Med henvisning til grunnleggende strafferettslige og forvaltningsrettslige prinsipper kom nemnda til at gebyret måtte reduseres skjønnsmessig med 150 000 kroner på grunn av tilsynets lange saksbehandlingstid, jf. personvernforordningen artikkel 83 nr. 2 bokstav k. Etter at arbeidsgiver, på Datatilsynets anmodning, hadde redegjort for saken, tok det nærmere 16 måneder før tilsynet sendte selskapet varsel om pålegg og overtredelsesgebyr. Lang saksbehandlingstid ble av tilsynet begrunnet med begrensede ressurser. Saken var verken faktisk eller rettslig særlig kompleks, og det er sikker konvensjonsrett at ressursmangel ikke anerkjennes av EMD som unnskyldningsgrunn. Nemnda påpekte Datatilsynets plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet i slike saker. Nemnda opprettholdt Datatilsynets vedtak om å ilegge arbeidsgiver overtredelsesgebyr med den endring at gebyret ble satt til 250 000 kroner.

A krevde slettet et søketreff på sitt navn hos Google. Søketreffet leder til et publisert intervju fra tv-programmet «TV2 hjelper deg». I intervjuet uttaler A, som er serviceleder hos en bobilforhandler, seg om en sak hvor kjøper av en bobil krever kjøpet hevet. Nemnda la til grunn at når A protesterer mot behandlingen, jf. artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

Etter at Datatilsynet oversendte klagesaken til nemnda er aksjeselskapet oppløst og slettet fra enhetsregisteret i Brønnøysund. Nemnda la til grunn at et aksjeselskap etter oppløsning og sletting ikke lenger eksisterer som selvstendig rettssubjekt, og det har da i utgangspunktet heller ikke partsevne, jf. forvaltningsloven § 2 første ledd bokstav e. Nemnda fant ingen forhold som tilsa en annen vurdering. Heller ikke eier og styreleder av selskapet kunne i dette tilfellet kreve å få opptre som part. Avgjørelsen rettet seg ikke mot ham og ble heller ikke ansett direkte å gjelde ham. Det var heller ikke noe ved Datatilsynets vedtak som tilsa en ny behandling av de materielle spørsmålene i saken. Klagen ble derfor ikke tatt til behandling på grunn av manglende partsrettigheter. Det innebærer at Datatilsynets vedtak blir stående.