Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2004-06 Ullevål Universitetssykehus (UUS)

Klage på Datatilsynets vedtak om at Ullevål Universitetssykehus ved personvernombudet ikke selv får oppbevare koblingsnøkler for forskningsprosjekter.

Ullevål universitetssykehus (UUS) klaget på et vilkår i konsesjon for “Etterundersøkelse av pasienter innlagt for selvpåført forgiftning”. Datatilsynet stilte som vilkår at et koblingsregister for pseudonymer for de registrerte ble oppbevart eksternt. UUS mente koblingsregisteret kunne oppbevares av sykehusets personvernombud. Personvernnemnda sluttet seg til Datatilsynets vurdering om at et slikt register bør oppbevares eksternt, bl a fordi personvernombudet i prinsippet kan instrueres av ledelsen ved UUS. Det ble også gitt en generell tilslutning til Datatilsynets syn om at slike oppgaver ikke burde legges til et personvernombud.

PVN-2004-05 Norske Kredittopplysningsbyråers Forening (NKF)

Klage på Datatilsynets vedtak om konsesjon for behandling av personopplysninger i kredittopplysningsvirksomhet – Norske Kredittopplysningsbyråers Forening (NKF)

Personvernnemnda drøfter spørsmålet om hvilket tidspunkt som skal legges til grunn for registrering av inkassopplysninger. Her deler nemnda seg i et flertall og et mindretall. Flertallet anser at en fordring først kan tillates registrert når det er tatt rettslige skritt for inndrivning av fordringen, og slutter seg slik til det syn som ligger til grunn for Datatilsynets vedtak.

Når det gjelder slettefrist for fordringer som er gjort opp, anser Personvernnemnda at de skal slettes straks de er gjort opp, og opprettholder også her Datatilsynets vedtak.

Når det gjelder behandling av personopplysninger ved beregning av nyetablerte foretak i tiden frem til første regnskap er offentlig tilgjengelig, gir Personvernnemnda klager medhold i at man skal kunne basere rangeringen på kredittverdigheten på opplysninger om de nøkkelpersoner som står bak foretaket.

Når det gjelder frist for sletting av opplysninger om misligholdte fordringer når foreldelsen avbrytes ved at det tas rettslig skritt, gis klager medhold på ett punkt, nemlig at det ikke innføres noen beløpsgrense. Dermed tillates registrering av fordringer som ikke kan resultere i tvangsforretninger registrert for nye fire år når det treffes nye rettslige skritt innenfor den første fireårsfristen.

PVN-2004-04 “Suicidal atferd i Bergensområdet”

Klage på Datatilsynets vedtak om å nekte konsesjon for ferdigstillelse av forskningsprosjektet "Suicidal atferd i Bergensområdet"

Klager har på grunnlag av en konsesjon fra 1983 fulgt en gruppe på 470 personer som alle var innlagt for selvpåførte skader. Ved en ny konsesjon fra 1997 ble det tillatt kobling til Dødsårsaksregistret. Datatilsynet fant at det samtykke som i sin tid ble innhentet, ikke oppfylte krav til informert samtykke i personopplysningsloven § 2 nr 7. Klager fremmet søknad om ny konsesjon etter utløpet av overgangsordningen i personopplysningsloven. På denne bakgrunn unnlot Datatilsynet å behandle søknaden, men uttalte seg likevel om realiteten. Personvernnemnda valgte å behandle klagen som søknad om ny konsesjon, og fant at prosjektet kan bygge på nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d, og at betingelsene i personopplysningsloven § 9, 1.ledd litra h var tilfredsstilt. Etter dette ble klagen tatt til følge. Uttalelse om at opplysninger om avdøde personer faller utenfor lovens område.

PVN-2004-03 Posten Norge AS

Klage på Datatilsynets vedtak om at Postens utleie av adresselister ikke kan forankres i personopplysningsloven § 8 f) – Posten Norge AS

Posten har et register over de fleste privatpersoner boende i Norge (PMS). Posten ønsker å leie ut adresselister fra dette registeret. Det ble foreslått tiltak, særlig et eget reservasjonsregister, for å dempe ulempene for den registrertes personvern. Personvernnemnda fant at taushetspliktbestemmelsen i postloven § 13 ikke var til hinder for slik gjenbruk. Nemnda fant imidlertid at gjenbruk ikke kunne hjemles i personopplysningsloven § 11, 1. ledd litra c fordi formålet ved utleie av adresselistene var uforenlig med registrering av opplysningene for formidling av postsendinger. Slikt gjenbruk krevde derfor samtykke. Personvernnemnda tolket personopplysningsloven slik at det i en slik situasjon ikke skal legges strengere krav til gjenbruk enn til første gangs bruk, og vurderte derfor om bruken kunne hjemles i personopplysningsloven § 8 litra f. Personvernnemnda kom til at den forretningsmessige interessen til Posten var berettiget etter denne bestemmelsen, men fant under henvisning til forarbeidene at denne forretningsmessige interessen ikke kunne veie tyngre enn den registrertes interesse i privatlivets fred og personvern.

PVN-2004-02 NTNU

Klage på Datatilsynets vedtak om vilkår om samtykke for fortsatt lagring av opplysninger fra prosjektet «Helse- og stressreaksjoner hos oljearbeidere i Nordsjøen» - NTN

Etter Alexander Kielland-ulykken i 1980 ble det 1984-85 gjennomført en undersøkelse blant de overlevende basert på muntlig samtykke fra de overlevende og skriftlig samtykke fra en kontrollgruppe. Det er flere ganger søkt om konsesjon for videre lagring med sikte på en oppfølgningsundersøkelse, den siste konsesjonen (gitt etter personregisterloven) utløp 2002. Ny søknad ble fremmet januar 2004. Datatilsynet ga delvis avslag, og krevde innhenting av skriftlig samtykke fra de registrerte innen 1.6.2004. Klager ønsket først å innhente samtykke i forbindelse med igangsettelse av oppfølgingsstudien, og lagring for et lengre tidsrom. Personvernnemnda ga klager tillatelse til fortsatt lagring inntil vedtak i nemnda forelå. Klagen ble tatt til følge. Personvernnemnda tillater lagring inntil seks måneder fra vedtakets dato. Før oppfølgingsprosjektet blir igangsatt, må tilfredsstillende samtykke innhentes. Personvernnemnda fant at nødvendighetsbegrunnelsen i personopplysningsloven § 8 litra d her kunne benyttes, og at samfunnets interesser klart oversteg ulempene for den enkelte i dette tilfellet, jfr personopplysningsloven § 9 litra h. Saken ble sendt tilbake til Datatilsynet, som har kompetanse etter personopplysningsloven § 33 til å gi konsesjon.

PVN-2004-01 Statens Arbeidsmiljøinstitutt – STAMI

Klage på Datatilsynets vedtak om vilkår om samtykke for konsesjon for delstudie 1 og 2 – Statens Arbeidsmiljøinstitutt – STAMI

Saken gjelder en klage fra Statens arbeidsmiljøinstitutt (STAMI) i forbindelse med en oppfølgingsstudie om kreft og lungesykdommer blant ansatte i norsk silisiumkarbidindustri. Hovedspørsmålet er hvorvidt det skal kreves informert samtykke for å tillate oppfølgingsstudien, eller om denne kan baseres på en av nødvendighetsbegrunnelsene, jfr personopplysningsloven § 11 jfr §§ 8 og 9. Med utgangspunkt i personopplysningsloven § 11, peker Personvernnemnda på at for sensitive opplysninger må både betingelsene i personopplysningsloven § 8 og § 9 være oppfylt. Av de tre alternative begrunnelsene i personopplysningsloven § 8 slutter Personvernnemnda seg til Datatilsynets tolkning av loven, som gir samtykke prioritet. Men Personvernnemnda tolker loven slik at hvis det foreligger tilstrekkelig begrunnelse for å avvike fra hovedregelen, kan dette gjøres. En slik begrunnelse finner Personvernnemnda i den konkrete saken i hensynet til undersøkelsens kvalitet. Når personopplysningsloven § 8 er tilfredsstilt, må man så bestemme om også vilkårene etter personopplysningsloven § 9 er til stede. Personvernnemnda foretar en konkret vurdering av saken, og finner at i dette tilfellet vil samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte, jfr 9, 1.ledd litra h. Etter dette blir klagen å ta til følge.

Personvernnemndas årsmelding 2016

I løpet av 2016 kom det inn tilsammen 18 klagesaker. Totalt 14 av de 18 sakene var ferdigbehandlet ved utgangen av 2016. I tillegg ble 13 saker innkommet i 2015 ferdigbehandlet i 2016. Personvernnemnda avgjorde således totalt 27 saker i 2016, mot totalt 16 saker i 2015. Klager er gitt helt eller delvis medhold i 11 av de 27 sakene. To av sakene ble avsagt med dissens (PVN-2015-07 Tromsø kommune og PVN-2016-15 Tromsø kommune II). Saksmengden har vært noe høyere i forhold til tidligere år, og flere av sakene har vært prinsipielle.

PVN-2003-07 Nasjonalt folkehelseinstitutt

Klage på Datatilsynets vedtak om nektelse av konsesjon for regelmessige overføringer av data fra UDI til Tuberkuloseregisteret – Nasjonalt folkehelseinstitutt

Spørsmål om Tuberkuloseregisteret regelmessig skal påføres opplysninger fra UDI for å sikre kvaliteten på opplysningene. Tuberkuloseregisteret er et sentralt register opprettet i medhold av lov. Personvernnemnda anser at vurderingen om innhenting av opplysninger må foretas i henhold til denne loven, og at det er et prinsipielt spørsmål som Helsedepartementet må vurdere, og eventuelt hjemle ved endringer i forskriften for registeret. Datatilsynets vedtak opprettholdt.

PVN-2003-06 Norsk Rikstoto AS

Klage på Datatilsynets vedtak om opphør av bruk av fødselsnummer – Norsk Rikstoto AS

Norsk Rikstoto ønsket å bruke fødselsnummer for identifikasjon av spillere. Etter personopplysningsloven § 12 kan fødselsnummer bare brukes ”når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering” I likhet med Datatilsynet fant Personvernnemnda at det forelå saklig grunn for sikker identifisering, men – også i likhet med Datatilsynet – at det den metoden som ble benyttet ikke ga sikker identifisering. Jf klagesak 07/2002. Klagen ble ikke tatt til følge.

PVN-2003-05 Gjensidige Nor Sparebank ASA

Klage på Datatilsynets vedtak om at det ikke gis konsesjon til at konsernkunderegister skal kunne innholde opplysninger om produkttype – Gjensidige Nor Sparebank ASA

Spørsmål om konsernkunderegister skal kunne inneholder opplysninger om produkttype. Datatilsynet tillater at registeret inneholder opplysninger om produktkategori (betalingsformidling, spare- og innskuddsprodukter, lån og kredittgivning), men ikke produkttype (f eks at lånet er et fastrente lån). Personvernnemnda peker på at en endring i gjeldende praksis vil ha store praktiske konsekvenser, ettersom registrene da må endres. Spørsmålet vil bli lovregulert på grunnlag av NOU 2001:23 (Finansforetakenes virksomhet), og lovproposisjon ventes i løpet av våren 2004. På denne bakgrunn omgjør Personvernnemnda Datatilsynets vedtak og tillater inntil videre fortsatt registrering av produkttype i konsernkunderegisteret.