Personvernnemnda
Personvernnemnda ble opprettet da den forrige personopplysningsloven trådte i kraft i 2001. Nemndsordningen ble videreført etter at dagens personopplysningslov, som iverksetter EUs personvernforordning (GDPR) i norsk lov, ble vedtatt i 2018.
Som tidligere, behandler og avgjør Personvernnemda klager på alle typer enkeltvedtak fattet av Datatilsynet. Det kan for eksempel handle om klager fra offentlige eller private virksomheter som er uenige i pålegg og irettesettelser fra Datatilsynet, eller overtredelsesgebyr ilagt for brudd på reglene i personvernregelverket. Men det kan også handle om klager fra enkeltpersoner på vedtak som omhandler disse personenes opplysninger, for eksempel at de ikke har fått medhold fra Datatilsynet i krav om at virksomheter sletter opplysninger om dem.
Klageomfang og lærdommer
De siste 6-7 årene (2018-2024) har nemnda mottatt og behandlet omkring 120 slike klager. Bare fem av disse klagene kommer fra kommunesektoren. Dette utgjør ca. 4 prosent av den totale saksmengden i denne perioden.
Den begrensede saksmengden gjør at det er relativt få sikre lærdommer som kan hentes ut av Personvernnemndas behandling av klager fra kommunene. Det er likevel to momenter som kan fremheves og som det kan være verdt å merke seg:
1. Det kan lønne seg å klage.
I 3 av de 5 klagesakene fikk kommunene enten helt eller delvis medhold i Personvernnemnda. Sakene gjaldt sletting av personopplysninger og det rettslige grunnlaget for behandling av slike opplysninger.
I den første saken hvor kommunen fikk full støtte fra Personvernnemnda, hadde skolen sendte en bekymringsmelding om én av elevene til barne- og familietjenesten. Tjenesten henla saken, og foreldrene til eleven ba om at skolen slettet alle opplysninger i elevmappen knyttet til bekymringsmeldingen. Dette påla Datatilsynet kommunen å gjøre. Etter klage fra kommunen kom nemnda frem til at fortsatt lagring av opplysningene i elevmappen likevel var nødvendig for arkivformål. Datatilsynets slettevedtak ble derfor omgjort.
Også i en annen sak fikk kommunen medhold. I denne saken ga Datatilsynet kommunen en irettesettelse fordi tilsynet mente at den manglet rettslig grunnlag da barnehageansatte tok videoopptak av et barn under et sinneutbrudd. Dette klaget kommunen på, og nemnda kom frem til at kommunen hadde rettslig grunnlag. Nemnda mente likevel at kommunen hadde gjort enkelte feil i saken – den hadde ikke overholdt informasjonsplikten overfor barnets foreldre – men feilen var ikke så alvorlig at det var grunnlag for irettesettelse. Datatilsynets irettesettelsesvedtak ble derfor omgjort.
I en tredje sak fikk en kommune delvis medhold. Her nedla Datatilsynet forbud mot behandling av personopplysninger i et kartleggingsverktøy brukt i skolen på grunn av at kommunen manglet rettslig grunnlag for behandlingene. Kommunen klaget på dette, og nemnda kom frem til at kommunen hadde rettslig grunnlag. Nemnda mente likevel at kommunen ikke hadde overholdt sine øvrige plikter i personvernforordningen. Kommunen ble derfor pålagt å etablere internkontrolldokumentasjon og rutiner for etterlevelse av reglene i forordningen.
2. Gebyrvedtak kan være krevende å endre.
De to siste sakene som ble klaget inn til Personvernnemnda, gjaldt overtredelsesgebyr for brudd på kravene til sikkerhet og internkontroll ved behandling av personopplysninger. I begge sakene ble kommunens klage avvist av nemnda og Datatilsynets vedtak opprettholdt.
I den første saken ble kommunen ilagt et overtredelsesgebyr på 300 000 kroner for manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Det førte til at alle opplysninger, inkludert helseopplysninger, var tilgjengelige for et stort antall ansatte i helse- og omsorgssektoren. Nemnda var enig med Datatilsynet i at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. Nemnda la blant annet vekt på at det tok tre uker fra kommunen oppdaget feilen til den ble rettet, og at Datatilsynet mottok melding om avviket lenge etter fristen på 72 timer.
I den siste saken klaget kommunen på et overtredelsesgebyr på 4 000 000 kroner fra Datatilsynet. Også i denne saken gjaldt gebyret brudd på kravene til personopplysningssikkerhet og internkontroll ved behandling av personopplysninger. Bakgrunnen var at kommunen hadde blitt utsatt for et omfattende løsepengevirusangrep. Hele den kommunale tjenesteleveransen ble berørt og store mengder personopplysninger kom på avveie. Nemnda vurderte vilkårene for ileggelse av overtredelsesgebyr, blant annet kravet til skyld/uaktsomhet, og konkluderte med at vilkårene var til stede. Nemnda mente i tillegg at sikkerhetsbruddet var alvorlig og at kommunen derfor skulle ilegges et gebyr på 4 000 000 kroner.
Gå rettens vei?
Dersom kommunene er misfornøyde med Personvernnemndas avgjørelser, er neste steg å gå rettens vei. Vi kjenner ikke til at dette har skjedd etter at den nye personopplysningsloven ble vedtatt i 2018.
For KiNS – Tommy Tranvik - Forsker
