Home

Personvernnemnda


Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak, jf. personopplysningsloven § 22 andre ledd. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse.

Personvernnemnda har et eget sekretariat som forbereder sakene til behandling i nemnda.

Lenke til Datatilsynet: www.datatilsynet.no.

Siste avgjørelser og årsmeldinger

PVN-2022-06 Kameraovervåking fra privat bolig – klage på Datatilsynets vedtak om at overvåkingen ikke var regulert av personopplysningsloven

Klage fra A på Datatilsynets vedtak 9. november 2021 der tilsynet konkluderte med at den påklagede kameraovervåkingen ikke var regulert av personopplysningsloven, jf. personopplysningsloven § 2 andre ledd bokstav a.

Nemnda sluttet seg til Datatilsynets vurdering av de faktiske forholdene. I likhet med tilsynet fant nemnda det sannsynliggjort at B hadde aktivert blokkeringsfunksjoner på kameraene slik at kameraene bare fanget opp egen privat eiendom. Kameraovervåkingen skjer da som en rent personlig eller familiemessig aktivitet, og behandlingen faller inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2022-05 Statsforvalterens innhenting av helseopplysninger i forbindelse med stadfestelse av en fremtidsfullmakt

Klage fra A v/B på Datatilsynets vedtak 7. januar 2022 der tilsynet avsluttet sak om Statsforvalterens innhenting av helseopplysninger fra pasientjournal i forbindelse med stadfesting av en fremtidsfullmakt. Datatilsynet konkluderte med at saken falt utenfor tilsynets myndighet etter personvernforordningen artikkel 57 nr. 1 bokstav a, jf. artikkel 55, og avsluttet saken uten å ta stilling til om Statsforvalterens innhenting av helseopplysninger hadde behandlingsgrunnlag.

Nemnda viste til at innhenting av helseopplysninger representerer en behandling av personopplysninger og omfattes av reglene i personopplysningsloven og personvernforordningen, hvor Datatilsynet er tilsynsmyndighet. Tilsynet skal bl.a. vurdere om det foreligger gyldig behandlingsgrunnlag for behandlingen. Nemnda kom til at Statsforvalteren ikke har gyldig behandlingsgrunnlag i artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 1, jf. artikkel 9 nr. 2 bokstav f for innhenting av helseopplysninger i forbindelse med stadfesting av fremtidsfullmakt. Kravet i artikkel 6 nr. 3 til tilstrekkelig lovhjemmel i nasjonal rett er ikke oppfylt. Nemnda omgjorde Datatilsynets vedtak.

PVN-2022-03 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

B, som var daglig leder i selskapet X AS, benyttet selskapets abonnement på kredittopplysningstjenester til å innhente kredittopplysninger om A som han var i en privat arvetvist med. Datatilsynet ila selskapet et overtredelsesgebyr på 125 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag. Selskapet påklaget vedtaket. Nemnda fant det åpenbart at Bs innhenting av kredittopplysninger om A ikke var saklig begrunnet i selskapets virksomhet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig. Nemnda uttaler at sett hen til selskapets økonomi var et utgangspunkt på 175 000 kroner i gebyr for overtredelsen i alle fall ikke for høyt. Nemnda sluttet seg til at den lange saksbehandlingstiden tilsa en reduksjon av gebyret og satte gebyret i tråd med Datatilsynets vedtak til 125 000 kroner.

PVN-2022-01 Arbeidsgivers deling av informasjon med ekstern advokat og med representanter fra administrasjonen i selskapets styre

Klage fra A på Datatilsynets vedtak 7. september 2021 der Datatilsynet blant annet konkluderte med at arbeidsgiver ikke pliktet å inngå databehandleravtale etter personvernforordningen artikkel 28 da de benyttet ekstern advokat. Tilsynet mente det heller ikke representerte et brudd på kravet til konfidensialitet i artikkel 5 nr. 1 bokstav f da to ansatte fra administrasjonen var til stede under styrets behandling av en varslingssak.

Nemnda sluttet seg til Datatilsynets vurdering om at advokatvirksomheter normalt behandler personopplysninger ut fra eget formål og med eget behandlingsgrunnlag, jf. artikkel 4 nr. 7. Det representerte derfor ikke et brudd på personvernforordningen artikkel 28 at man ikke inngikk en databehandleravtale med advokatfirmaet. Nemnda var også enig med Datatilsynet i at det ikke forelå noe brudd på personvernforordningen artikkel 5 ved styrets behandling av saken. Bestemmelsen regulerer ikke hvem som lovlig kan delta på et styremøte hvor saker meldt inn fra administrasjonen behandles. Nemnda viste til at det er opp til styret selv å avgjøre hvordan administrasjonen skal være representert i et styremøte. Nemnda opprettholdt Datatilsynets vedtak.

Vedtaket er unntatt offentlighet etter offentleglova § 13 og foreligger heller ikke i anonymisert form.

PVN-2021-21 Oslo Universitetssykehus’ utlevering av pasienters helseopplysninger til samarbeidende helsepersonell ved utenlandske laboratorier

Klage fra Oslo universitetssykehus HF (OUS) på Datatilsynets vedtak 26. april 2021 der tilsynet blant annet påla sykehuset å regulere sin utlevering av helseopplysninger til utenlandske laboratorier for helsehjelpsformål i egne databehandleravtaler, jf. personvernforordningen artikkel 28, eller i avtaler om felles behandlingsansvar, jf. artikkel 26 samt at det til grunn for slike avtaler skulle foreligge en risikovurdering og en vurdering av personvernkonsekvenser fra sykehusets side, jf. personvernforordningen artikkel 24, 32 og 35. Sakens hovedproblemstilling er om OUS fortsatt er behandlingsansvarlig for opplysningene som utleveres til utenlandske laboratorier og om det er nødvendig å inngå databehandleravtale med laboratoriene som mottar opplysningene.

Nemnda konkluderte med at OUS’ adgang, og i mange tilfeller plikt, til å utlevere helseopplysninger til samarbeidende helsepersonell i utenlandske laboratorier er uttømmende regulert i helselovgivningen og at det ikke i tillegg kan oppstilles et krav om at utlevering forutsetter at det inngås en databehandleravtale eller avtale om felles behandlingsansvar jf. personvernforordningen artikkel 28 og/eller 26. Nemnda opprettholdt Datatilsynets vedtak om å pålegge OUS å utarbeide en protokoll over behandlingsaktiviteter i samsvar med artikkel 30, som også omfatter utlevering av helseopplysninger til utenlandske laboratorier. Pasientjournalloven har ingen bestemmelser som tilsvarer eller erstatter plikten til å ha behandlingsprotokoll etter personvernforordningen artikkel 30. Kravene til dokumentasjon i helsepersonelloven §§ 39 og 40 trer ikke i stedet for reglene om behandlingsprotokoll og har til dels et annet formål.

PVN-2022-04 Avvisning av klage på grunn av oversittet klagefrist

Klage fra A på Datatilsynets vedtak om avvisning av hans klage 2. februar 2022 fordi den var for sent framsatt.

Datatilsynet avsluttet sak overfor Nasjonalt register for leddproteser (NRL) etter å ha fattet vedtak 26. august 2021 om at NRL ikke hadde behandlet opplysninger om A i strid med personopplysningsloven. Datatilsynets vedtak ble sendt i posten til As oppgitte postadresse 27. august 2021. I vedtaket opplyste tilsynet om klageadgang og at klagefristen er tre uker fra mottakelse av vedtaket. As klage er sendt 2. februar 2022, dvs. mer enn fem måneder senere. Nemnda la til grunn at selv om postgangen noen ganger bruker lang tid, er det ingen tvil om at klagefristen er overskredet med flere måneder. Nemnda konkluderte med at klagen var for sent fremsatt, jf. forvaltningsloven § 29. Fristoversittelsen var ikke unnskyldelig og nemnda var enig med Datatilsynet i et det heller ikke forelå særlige grunner til at saken skulle tas til behandling, jf. forvaltningsloven § 31 andre ledd bokstav a og b. Vilkårene for å behandle klagen var ikke oppfylt. Nemnda opprettholdt Datatilsynets vedtak om avvisning, jf. forvaltningsloven § 33 andre ledd.

PVN-2021-22 Kameraovervåking fra privat bolig – klage på Datatilsynets avslutning av sak

Klage fra A på Datatilsynets vedtak 4. oktober 2021 om å avslutte sak om ulovlig kameraovervåking hos nabo B fordi den hadde opphørt. Datatilsynet konkluderte med at kameraovervåkingen skjedde som ledd i rent personlig eller familiemessig aktivitet, jf. personopplysningsloven § 2 andre ledd bokstav a, og dermed var lovlig.

Nemnda viste til at innsamling og lagring av bilder fra kameraovervåking anses som behandling av personopplysninger og derfor i utgangspunktet må ha et gyldig behandlingsgrunnlag. Unntaket fra lovens virkeområde for «rent personlige eller familiemessige aktiviteter» skal tolkes strengt, jf. EU-domstolen sak C-212/13 (Ryneš). Kameraovervåking som fanger opp områder utenfor den private sfære regnes som utgangspunkt ikke som ledd i rent personlig eller familiemessig aktivitet. Nemnda sluttet seg til Datatilsynets vurdering av framlagte skjermbilder og kartutsnitt, og fant det sannsynliggjort at B hadde iverksatt tilstrekkelige skjermingstiltak slik at det monterte kameraet bare fanget opp egen eiendom. Behandlingen falt inn under unntaket i personopplysningsloven § 2 andre ledd bokstav a og forordningen artikkel 2 nr. 2 bokstav c.

PVN-2021-20 Kameraovervåking i virksomhet - overtredelsesgebyr

Klage fra en X AS på Datatilsynets vedtak 14. juli 2021 der tilsynet ila selskapet et overtredelsesgebyr på 100 000 kroner for å ha kameraovervåket virksomhetens lokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav a og f, for mangelfull informasjon til ansatte og kunder, jf. artikkel 12 nr. 1 og 13, og for brudd på prinsippene om åpenhet og dataminimering, jf. artikkel 5 nr. 1 bokstav a og c.

Salongen benyttet sanntidsmonitorert kameraovervåking i virksomhetens lokaler uten å ha rettslig grunnlag for overvåkingen i perioden fra februar/mars 2019 til kameraet sluttet å virke i august samme år. Kameraet filmet både ansatte og kunder. Nemnda la til grunn at kameraet ble brukt til å overvåke de ansatte og at anskaffelsen av overvåkingsutstyret ikke var drøftet med de ansatte i forkant. Kameraovervåkingen var heller ikke tydelig skiltet. Nemnda kom til at den kontinuerlige overtredelsen var alvorlig og kritikkverdig, og at virksomheten skulle ilegges et gebyr for overtredelsen. Datatilsynet hadde ilagt selskapet et gebyr på 100 000 kroner. Nemnda mente at overtredelsens alvor i utgangspunktet tilsa et høyere gebyr. Under henvisning til forvaltningsloven § 34 ble det utmålte gebyret opprettholdt. Lang saksbehandlingstid var da også hensyntatt. Nemnda la til grunn at en samlet saksbehandlingstid på 2 ½ år var for lang sett hen til sakens mangel på kompleksitet. Nemnda opprettholdt Datatilsynets vedtak.

PVN-2021-18 Sletting av søketreff i søkemotoren Google

Klage fra A på Datatilsynets vedtak 17. august 2021 der Datatilsynet avslo krav om sletting av to søketreff i søkemotoren Google.

A, som søketreffene gjelder, ble i 2012 dømt til fengsel i fire år og seks måneder for blant annet grov korrupsjon. A ble også dømt til å betale erstatning til et annet selskap og fradømt retten til å drive selvstendig næringsvirksomhet på ubestemt tid. De straffbare handlingene foregikk i årene 2003 til 2010 og var knyttet til As rolle som styreleder og daglig leder i selskapet X AS. A krevde å få slettet søketreff i Google som ledet til avisartikler som omtalte straffesaken. Når A protesterer mot behandlingen, jf. personvernforordningen artikkel 21 nr. 1, følger det av artikkel 17 nr. 1 bokstav c at Google skal slette søketreffet med mindre det foreligger mer tungtveiende berettigede grunner for behandlingen som går foran As interesser, rettigheter og friheter. Retten til å få søketreffet slettet står enda sterkere når det dreier seg om opplysninger som er omfattet av personvernforordningen artikkel 10. Nemnda tok i interesseavveiningen utgangspunkt i EU-domstolens avgjørelser i Google Spain og Google C-131/12 og G.C. & Others v CNIL C-136/17 og Personvernrådets veileder om retten til å bli glemt av en søkemotor (Guidelines 5/2019). I den konkrete interesseavveiningen delte nemnda seg i et flertall og et mindretall (4:3). Etter en samlet vurdering kom flertallet til at det forelå tvingende berettigede grunner til fortsatt behandling av opplysningene og at allmennhetens rett til informasjon ved søk på As navn veide tyngre enn As rett til personvern ved å få søketreffet slettet. Datatilsynets vedtak ble opprettholdt.

Personvernnemndas årsmelding 2021

Personopplysningsloven består både av nasjonale regler og EUs personvernforordning. Forordningen gjelder for alle EU/EØS-land og fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Datatilsynet er tilsynsmyndighet etter loven.

Personvernnemnda er klageorgan for Datatilsynets avgjørelser, jf. personopplysningsloven § 22. Det betyr at Datatilsynet i første instans, og Personvernnemnda som klageorgan, er satt til å forvalte personopplysningsloven og avveie relevante personvernhensyn mot øvrige samfunnshensyn. Det er en spennende og viktig oppgave.

Året 2021 har vært spennende, men også krevende for Personvernnemnda. Vi har, som i de to forutgående årene, merket overgangen til ny lov godt. Også i 2021 har nemnda måttet forholde seg til ny og delvis «upløyd mark» i sakene som har vært fremmet, noe som er arbeidskrevende.