archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    bestemmelsen således vil kunne hjemle innhentingen og den videre behandling av personopplysninger Til det vil Datatilsynet bemerke at kravet om lovgrunnlag innebærer at hjemmelsbestemmelsenes ordlyd eksplisitt eller forutsetningsvis konkret omhandler behandlingen av personopplysninger Videre bemerkes det at det fremgår av forarbeidene til personopplysningsloven at kravene som stilles til hvor konkret et lovgrunnlag må være er relativt i den forstand at kravene til konkretisering skjerpes jo mer personverninngripende behandlingen er jf Ot prp nr 92 1998 99 I denne sammenheng behandles det sensitive personopplysninger som kan gi grunnlag for straffeforfølgning En bestemmelse som gir den behandlingsansvarlige virksomheten adgang til montere opp utstyr i veikanten bør da ikke kunne tjene som et rettslig grunnlag Tilsynet har sett hen til de vurderinger som er gjort av henholdsvis Justisdepartementet og Samferdselsdepartementet ved vurderingen av hjemmelsspørsmålet i forbindelse med ATK og SATK Justisdepartementet bemerker i et brev til Samferdselsdepartementet datert 17 juni 2008 at ingen av de øvrige kontrollmetodene som benyttes i trafikken er hjemlet i egne hjemmelsbestemmelser Tilsynet kan ikke se at dette momentet kan tilsi at det kan gjøres unntak fra kravet om et behandlingsgrunnlag etter personopplysningsloven Når det gjelder Datatilsynets krav om at det må dokumenteres at det er nødvendig å fotografere alle førerne ikke bare de som har passert strekningen i for høy hastighet har Statens vegvesen anført at det er nødvendig å ta bilder av kjøretøyet og sjåføren ved begge registreringspunktene for å kunne dokumentere at det var samme person som var sjåfør under hele strekningen Datatilsynet kan ikke se at det er en særlig praktisk problemstilling Det vurderes som lite sannsynlig at Statens vegvesen vil bli møtt med påstander om at det ble foretatt et bytte av sjåfør mellom de to kontrollpunktene når det er målt en gjennomsnittshastighet over fartsgrensen Det er videre opplyst at Statens vegvesen har bedt Politidirektoratet om å vurdere konsekvensene av en løsning som innebærer at det først tas et bilde etter at strekningen er passert og det er konstatert at et kjøretøy har holdt for høy hastighet Datatilsynet har ikke fått opplysninger om hvorvidt dette arbeidet er avsluttet eller når resultatet av direktoratets vurderinger kan ventes å foreligge Å fotografere sjåfører som har overholdt fartsgrensene innebærer etter tilsynets vurdering at det behandles overskuddsinformasjon som ikke er relevant for å oppnå det angitte formålet Dette er i strid med grunnkravet i personopplysningslovens 11 bokstav d og prinsippet om at den behandlingsansvarlige bør velge personvernfremmende løsninger der dette vil være mulig uten at den ønskede effekten av et tiltak forringes Sett fra et personvernperspektiv er det er nettopp det forhold at det behandles personopplysninger om alle som passerer kontrollstrekningen også de sjåfører som overholder fartsgrensene som skiller SATK fra tradisjonell ATK der kun fartsovertrederne registreres Datatilsynet har fått opplyst fra Statens vegvesen at en slik løsning som tilsynet har skissert fotografering av lovovertrederne og bare disse er valgt i et annet europeisk land Det legges derfor til grunn at en slik løsning lar seg gjennomføre teknisk uten at det går utover kvaliteten til opplysningene som innhentes

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_10.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    Det ble i denne saken avgjort at hensynet til den enkeltes autonomi utgjør et hovedprinsipp etter personverndirektivet og den norske implementeringen av direktivet Det uttales i saken at For at man skal kunne gjøre avvik fra hovedprinsippet må det derfor foreligge en begrunnelse Denne begrunnelsen kan som nevnt ovenfor ikke bare være en ren hensiktsmessighetsbetraktning f eks unngå kostnader spare tid eller lignende selv om slike begrunnelser selvsagt må vurderes i forhold til den enkelte sak For å kunne fastslå om barnas samtykke kan være behandlingsgrunnlag må det vurderes om de har selvstendig samtykkekompetanse I henhold til personopplysningslovens 2 nr 7 jf lov om vergemål 2 er hovedregelen at bare myndige personer kan avgi et gyldig samtykke Det vil si personer som har fylt 18 år Utgangspunktet etter personopplysningsloven 2 nr 7 er at foreldre har samtykkekompetanse på vegne av sine barn i kraft av foreldreansvaret Dette følger av Ot prp nr 92 side 103 hvor følgende er uttalt om definisjonen av samtykke i personopplysningsloven 2 nr 7 Samtykke må i utgangspunktet gis av den registrerte selv For mindreårige og umyndiggjorte som ikke kan samtykke selv må spørsmålet om samtykke skal gis vurderes av vergen Datatilsynet anser det som klart at foreldrene i utgangspunktet har samtykkekompetanse på vegne av barna etter personopplysningsloven 2 nr 7 Personopplysningsloven inneholder ingen særskilte regler om behandling av mindreåriges personopplysninger og må derfor suppleres av barnelova og annen spesiallovgivning Det følger av barnelova 30 første ledd annet punktum at de som har forelderansvaret har rett og plikt til å ta avgjørelser for barnet i personlige forhold Dette omfatter i utgangspunket også samtykke til behandling av personopplysninger Foreldrenes bestemmelsesrett overfor barna er imidlertid ikke absolutt For det første nevnes den generelle begrensning i at foreldreansvaret må utøves ut fra barnets interesser og behov For det andre nevnes at foreldreansvaret må begrenses ut fra barnets medbestemmelsesrett og barnets selvbestemmelsesrett jf barnelova 31 og 33 Datatilsynet mener medbestemmelsesretten i denne saken er ivaretatt ved det fastsatte kravet om samtykke fra barna For det tredje nevnes at foreldreansvaret kan være begrenset med hjemmel i lov Datatilsynet nevnte i sitt delvise avslag at den helserettslige myndighetsalder etter pasientrettighetsloven og helseforskningsloven er 16 år Dette var ment som eksempler på lovbestemte begrensninger i foreldreansvaret Datatilsynet presiserer at lovene ikke får direkte anvendelse for dette prosjektet Pasientrettighetsloven 4 3 regulerer hvem som har myndighet til å samtykke til helsehjelp Bestemmelsens bokstav b fastslår at den helserettslige myndighetsalder er 16 år med mindre annet er bestemt i lov eller noe annet fremkommer av tiltakets art Det som reguleres av bestemmelsen er altså kompetansen til å ta avgjørelser i spørsmål om helsehjelp Pasientrettighetsloven regulerer altså ikke adgangen til å samtykke til deltakelse i dette forskningsprosjektet Helseforskningslovens saklige virkeområde er definert i lovens 2 Det følger av 2 første ledd første punktum at loven gjelder for medisinsk og helsefaglig forskning på mennesker humant biologisk materiale eller helseopplysninger Bestemmelsen regulerer altså medisinsk og helsefaglig forskning Etter Datatilsynets vurdering er ikke dette et medisinsk og helsefaglig forskningsprosjekt Datatilsynet legger dermed til grunn at helseforskningsloven ikke får direkte anvendelse for gjennomføringen av dette prosjektet I samme retning taler at den forskningsetiske vurderingen av prosjektet er foretatt av Nasjonal forskningsetisk komité for humaniora og samfunnsfag NESH Det er de regionale komiteer for medisinsk og helsefaglig forskningsetikk REK som vurderer om forskningsprosjekter faller innenfor helseforskningslovens virkeområde Det er også REK som godkjenner forskningsprosjekter etter helseforskningsloven Datatilsynet har i praksis lagt til grunn at personer under 18 år kan avgi et gyldig samtykke for behandling av personopplysninger Det kan i denne sammenheng nevnes at Datatilsynet og Forbrukerombudet har utarbeidet en veileder om barn og unges samtykkekompetanse Det er en veiledning ved innhenting og bruk av personopplysninger på internett Veilederen er basert på prinsippet i blant annet barneloven om barns rett til gradvis selvbestemmelse og gir anvisning på anbefalte aldersgrenser på ulike områder Det følger av veilederen at mindreårige som har fylt 15 år som hovedregel selv kan samtykke til innhenting av og bruk av egne personopplysninger For barn som er under 15 år må foreldre samtykke til innhenting av og bruk av personopplysninger Behandling av sensitive personopplysninger forutsetter foreldrenes samtykke inntil barnet er 18 år Justisdepartementet vurderer i sitt høringsnotat om etterkontroll av personopplysningsloven om disse retningslinjene bør kodifiseres Det er særlig barnelova 33 som vil kunne føre til at foreldrenes bestemmelsesrett bortfaller før barnet har fylt 18 år Det vil si at barnet kan få selvbestemmelsesrett før det fyller 18 år også på andre områder enn de som er direkte lovregulerte I praksis vil spørsmålet om samtykkekompetanse bero på en konkret vurdering av behandlingens art og omfang og sakens kompleksitet for øvrig Det må kunne forutsettes av barnet er i stand til å vurdere konsekvensene av å avgi et samtykke herunder tilegne seg nødvendig informasjon Barnets alder og modenhet må vurderes i forhold til behandlingens formål art og omfang samt opplysningenes innhold Barnelova 33 gir ikke noen klar anvisning på når barn kan oppnå selvbestemmelsesrett og det kan derfor oppstå mange tvilstilfeller i praksis Det må derfor vurderes om det foreligger andre lovbestemmelser som det er naturlig å analogisere fra Datatilsynet mener det er mest naturlig å vurdere om myndighetsalderen for deltakelse i helseforskningsprosjekter etter helseforskningsloven 17 kan gis analogisk anvendelse Forskning på helseopplysninger etter helseforskningsloven og denne type forskning på sensitive personopplysninger kan være nokså likartede Likhetsargumentet kan dermed tale for at myndighetsalderen også bør være den samme Etter helseforskningsloven 17 første ledd er myndighetsalderen som hovedregel 16 år En analogisk fortolkning av helseforskningsloven 17 første ledd tilsier dermed at dette utvalget fra 14 15 år ikke har selvstendig samtykkekompetanse Datatilsynet mener imidlertid at en slik analogisk fortolkning ikke kan legges entydig til grunn Bestemmelsen utgjør etter Datatilsynets vurdering likevel et tolkningsbidrag i retning av at utvalget ikke har selvstendig samtykkekompetanse Datatilsynet påpeker at det er gjort et begrenset unntak fra hovedregelen om myndighetsalder på 16 år i helseforskningsloven 17 siste ledd Der heter det at Departementet kan i forskrift bestemme at for spesielle typer forskningsprosjekter kan barn mellom 12 og 16 år selv samtykke til forskning på helseopplysninger Departementet kan i forskrift gi nærmere regler om kravene til et slikt samtykke Forskrift til denne begrensede unntaksbestemmelsen er ikke gitt på nåværende tidspunkt Datatilsynet mener derfor at dette unntaket ikke kan gis analogisk anvendelse Det er også uklart hvilke krav og vilkår som vil bli fastsatt i forskriften Datatilsynet kan ikke se at høringen om etterkontroll av personopplysningsloven kan tillegges vekt i retning av at barna har samtykkekompetanse for deltakelse i dette prosjektet Datatilsynet vil generelt fremheve at forslag til lovendringer normalt har liten rettskildemessig vekt I denne sammenheng fremgår det dessuten av oversendelsesbrevet fra departementet at siktemålet med høringen var å undersøke om loven virker etter sin hensikt I høringen presenterer også departementet kun foreløpige merknader til enkelte utvalgte problemstillinger Mindreåriges personvern omtales i punkt 8 flg Datatilsynet kan ikke se at departementets foreløpige merknader kan tas til inntekt for at personopplysningsloven bør åpne for at barn har samtykkekompetanse for deltakelse i et forskningsprosjekt av denne art Klager har vist til flere undersøkelser hvor det ikke har blitt stilt krav om aktivt samtykke fra foreldre Datatilsynet påpeker at spørsmålet om samtykkekompetanse må vurderes konkret i hver enkelt sak Datatilsynet vil presisere at det ikke ble gitt konsesjon for prosjektet Ung i Oslo Datatilsynet så derimot alvorlig på NOVAS gjennomføring av dette prosjektet og det ble fattet vedtak med krav om sletting anonymisering av innsamlede opplysninger Prosjektet Roland og Auestad 2009 ble vurdert av NSD og ikke Datatilsynet NSD la til grunn at elevundersøkelsen var anonym Datatilsynet har ikke funnet konsesjon for undersøkelsen Schou Dyp og Iversen 2007 i arkiv Første innsamling av opplysninger om utvalget i prosjektet Ung i Norge skjedde i 1992 Etter Datatilsynets vurdering kan ikke et vedtak fattet for omkring 17 år siden med hjemmel i dagjeldende personregisterlov tillegges nevneverdig vekt i denne sammenheng I vurderingen av om barna har samtykkekompetanse legger Datatilsynet avgjørende vekt på at undersøkelsen innebærer en omfattende og detaljert kartlegging av det enkelte barns liv Det skal registreres over hundre spørsmål av svært inngående og sensitiv karakter jf personopplysningsloven 2 nr 8 bokstav a til d Datatilsynet fremhever at spørsmålene omhandler barnas fysiske og psykiske helse Undersøkelsen skal også avdekke vold overgrep uønskede seksuelle erfaringer og det innhentes opplysninger om tredjepersoner Det er altså studiens sensitivitet målt opp mot barnas alder 14 15 år som tilsier at det av hensynet til barna må kreves foreldresamtykke Datatilsynet legger til grunn at foreldre i hovedsak er de som kjenner barna best vet deres modenhet livserfaringer og individuelle fysiske og psykiske forutsetninger For hovedparten av utvalget vil det dermed ivareta hensynet til barna at foreldrene samtykker I et utvalg på omkring 10 000 vil det variere hvilke forutsetninger barn har for å samtykke til deltakelse i et forskningsprosjekt av denne art Etter Datatilsynet vurdering må det imidlertid foreligge relativt klare holdepunkter for å legge til grunn at hele utvalget har selvstendig samtykkekompetanse I denne saken trekker som nevnt også helseforskningsloven 17 første ledd klart i retning av at barna ikke har selvstendig samtykkekompetanse Etter Datatilsynets vurdering må også tvil vedrørende barns samtykkekompetanse trekke i retning av at hovedregelen om foreldresamtykke gjør seg gjeldende I denne saken anser Datatilsynet det som høyst tvilsomt at det kan legges til grunn at utvalget har selvstendig samtykkekompetanse På bakgrunn av det ovennevnte fastholder Datatilsynet at utvalget ikke har selvstendig samtykkekompetanse Når det gjelder alternativt hjemmelsgrunnlag til samtykke har NSD anført at personopplysningsloven 8 bokstav d jf 9 bokstav h bør kunne utgjøre behandlingsgrunnlag for prosjektet hvoretter personopplysninger kan behandles når behandlingen er nødvendig for vitenskapelige formål og samfunnets interesse i å gjennomføre behandlingen klart overstiger de ulempene dette kan medføre for den enkelte Datatilsynet ser at krav om samtykke fra foreldre kan medføre lavere deltakelse i forskningsprosjektet Noen foreldre kan også ha en egeninteresse i at det ikke forskes på barna Dette kan samlet sett medføre at datamaterialet får alvorlige mangler Datatilsynet bestrider heller ikke den samfunnsmessige interesse i å få kunnskap om de temaer undersøkelsen tar sikte på å frembringe Datatilsynet mener imidlertid at behandling av personopplysninger hvor det er nødvendig at den registrerte bidrar aktivt gjennom å fylle ut et skjema vanskelig vil kunne hjemles i andre behandlingsgrunnlag enn samtykke Dette gjør seg spesielt gjeldende når det skal innhentes svært mange sensitive opplysninger om barn som ikke i samme grad har mulighet til å ivareta sine egne personverninteresser Etter Datatilsynets vurdering foreligger det en informasjonsplikt til foresatte når det samles inn opplysninger fra deres barn jf personopplysningsloven 19 Dette følger ikke direkte av ordlyden i personopplysningslovens 19 men må bero på en tolkning av bestemmelsens bokstav e annet som gjør den registrerte i stand til å bruke sine rettigheter Bestemmelsen regulerer uttrykkelig de tilfeller hvor informasjonen skal gis til samme person som skal gi fra seg sine opplysninger den registrerte I disse tilfellene vil det nødvendigvis fremgå hvilke opplysninger som skal behandles For at den foresatte skal kunne foreta en grundig vurdering av om eleven skal delta i undersøkelsen er det etter tilsynets vurdering nødvendig at den foresatte også får informasjon om hvilke opplysninger som skal behandles Datatilsynet påpeker at det i dette tilfellet er snakk om innhenting av svært sensitive og omfattende opplysninger Dette vil skjerpe kravet til informasjonens klarhet og det må kunne forventes at det informeres mer konkret om hvilke opplysninger som skal behandles for eksempel ved at en kopi av spørreskjemaet legges ved Etter Datatilsynet vurdering har det derfor begrenset vekt i interesseavveiningen at prosjektet tar sikte på at foreldrene til en viss grad skal informeres om prosjektet og gis anledning til å reservere barnet Datatilsynet mener videre at kravet til lovhjemlenes klarhet styrkes når tilsynet skal gjøre unntak fra hovedregelen om foreldresamtykke for deltakelse i et forskningsprosjekt av denne art jf legalitetsprinsippet Behandlingsgrunnlaget i personopplysningsloven 8 d og 9 h beror på en skjønnsmessig interesseavveining Datatilsynet legger til grunn at unntak fra hovedregelen om foreldresamtykke for deltakelse i dette forskningsprosjektet også må være i samsvar med barnelova Barnelova 33 gir ikke noe klar anvisning på når barn kan oppnå selvstendig selvbestemmelsesrett for deltakelse i denne typen forskningsprosjekt På bakgrunn av dette mener Datatilsynet hjemmelsgrunnlaget for å gjøre unntak fra hovedregelen om foreldresamtykke fremstår som meget vagt I motsetning til helseforskningsloven 17 siste ledd Der er det utformet en særskilt lovhjemmel for å gjøre et begrenset unntak fra hovedregelen om foreldresamtykke Datatilsynet mener dette trekker i retning av at hovedregelen om foreldresamtykke gjør seg gjeldende for deltakelse i dette prosjektet Etter Datatilsynets vurdering trekker også helseforskningsloven i retning av at behandlingsgrunnlaget i dette tilfellet bør være samtykke fra foreldre Et tilsvarende helseforskningsprosjekt måtte vært basert på samtykke fra foreldre jf helseforskningsloven 17 fjerde ledd I tillegg måtte vilkårene for forskning på mindreårige vært oppfylt jf helseforskningsloven 18 Det bemerkes at forskningsprosjektet ikke har til formål å følge opp barn ved behov eller yte helsehjelp Elever informeres om hvem de kan ta kontakt med dersom de i etterkant av undersøkelsen føler behov for å snakke med noen Datatilsynet fastholder at behandlingsgrunnlaget er samtykke fra foreldre jf personopplysningsloven 8 og 9 første ledd bokstav a 5 2 Klage på Datatilsynets vurdering av informasjonssikkerheten For det annet skal det foretas en vurdering av informasjonssikkerheten 5 2 1 NOVA NOVA klager over Datatilsynets vurdering av at informasjonssikkerheten ikke er tilfredsstillende ivaretatt ved den omsøkte gjennomføringen av prosjektet NOVA slutter seg til klagen fra QuestBack og legger denne til grunn ved sin klage Enkelt punkter i QuestBacks klage gjentas Det pekes på at skjema ikke lagres i lesbar form verken på den enkeltes PC proxy er eller andre mellomstasjoner NOVA uttaler at det optimale ville vært en anonym innsamling Men at dette ikke er gjennomførbart da det vil gi manglende kontroll med datainngangen Personvernet anføres styrket ved at NOVA kun har tilgang til anonymiserte datafiler Skole vil ikke figurere på datafila og de ønsker også å fjerne variabelen om hvilket språk som snakkes hjemme Dette for å øke konfidensialiteten Det redegjøres for at autoriserte teknikere har tilgang og en teoretisk mulighet til å knytte besvarelser med registrert e post adresse Det gjøres videre rede for strenge rutiner for teknikeres tilgang Det anføres også at identifiserbare data kun vil være tilgjengelige i et kort tidsrom Anonymiseringsdato er satt til tre måneder etter planlagt prosjektavslutning 5 2 2 Datatilsynets vurdering Datatilsynet vurderte i sitt delvise avslag at informasjonssikkerheten ikke var tilstrekkelig ivaretatt i løsningen slik det var søkt om jf personopplysningsloven 13 jf personopplysningsforskriften kapittel 2 Konklusjonen i det delvise avslaget av 12 11 2009 opprettholdes Informasjonssikkerheten anses ikke tilfredsstillende ivaretatt jf personopplysningsloven 13 jf personopplysningsforskriften kapittel 2 Begrunnelsen for konklusjonen er imidlertid endret På bakgrunn av klagen innrømmes klager ne at avslaget kunne leses urettmessig mot QuestBack som leverandør Det bemerkes at anførslene ikke skulle vært anført mot QuestBack direkte men mot innsamling over Internett generelt Videre har Datatilsynet sett blant annet gjennom NOVAs klage at behandlingen kan gjennomføres med alternativ løsning En slik løsing kan aksepteres med enkelte forutsetninger Hovedanførselen i QuestBacks brev er at Datatilsynets utsagn i brev av 12 11 2009 urettmessig rammer virksomheten Det pekes her på uttalelser om at QuestBack har manglende informasjonssikkerhet og ikke tilfredsstillende infrastruktur QuestBack er i denne saken en valgt leverandør av en løsning for innsamling av identifiserbare sensitive personopplysninger med et særlig høyt beskyttelsesbehov Datatilsynet står fast ved at løsningen ikke er egnet for dette Som QuestBack er kjent med er kravene til informasjonssikkerhet forholdsmessige og Datatilsynets har i sine uttalelser ikke hatt til hensikt å konstatere generelle mangler hos QuestBack men å fastsette at arkitekturen som nettbaserte innsamlingstjenester er basert på ikke er egnet for innsamling av denne typen opplysninger Det har ikke vært til hensikt å påpeke mangler hos QuestBack knyttet til det alminnelige bruksområdet for tjenesten Datatilsynet er kjent med og forstår QuestBacks bruk av krypteringsteknologi for å hindre at opplysningen blir lagret i kommunikasjonskjeden Datatilsynet slutter seg til QuestBacks innsigelser på dette punkt med unntak for utfordringer knyttet til sikkerhet på lokal maskin Det vises til endret begrunnelse for vedtaket Videre peker QuestBack på at bruk av eID nivå 4 ikke er nødvendig for å oppnå tilfredsstillende sikkerhet i en tjeneste som den omsøkte Datatilsynet slutter seg også til denne anførselen Datatilsynet legger til grunn at tilsynssak 09 01161 og dette brev korrigerer Datatilsynets forståelse av QuestBacks løsning Det presiseres at det under tilsynet ble fremhevet av QuestBack at tjenesten i liten grad ble brukt for behandling av sensitive personopplysninger For så vidt gjelder brev fra NSD viser NSD til behovet for en offisiell uttalelse fra Datatilsynet knyttet til bruk av nettundersøkelser og innsamling av sensitive personopplysninger Datatilsynet legger til grunn at vedtaket vil tilfredsstille det umiddelbare behov for klargjøringer Videre har tilsynet til intensjon å gjøre vurderingene i denne sak generelle og tilgjengelige slik NSD ber om sitt brev Datatilsynet slutter seg til NSDs syn om at tilsynets vurderinger må gjøres kjent også for en videre krets Når det gjelder brev fra NOVA viser NOVA i hovedsak til QuestBacks brev Utover dette redegjør NOVA for en mulig avidentifisert eller nær anonym innsamling Datatilsynet ser positivt på at disse alternative innsamlingsmetodene er fremmet av NOVA Disse alternativene er videre diskutert i nytt vedtak hvor det fremgår at Datatilsynet slutter seg til at en nær anonym løsning kan være akseptabel for innsamlingen Datatilsynet omgjør sitt vedtak vedrørende informasjonssikkerhet Det er søkt om at kommunikasjon og innsamling av opplysninger fra utvalget skal skje ved at deltakerne får invitasjon på e post over Internett til å fylle ut spørreskjema via leverandøren av nettundersøkelser QuestBack Datatilsynet har kommet til at informasjonssikkerheten ikke er tilfredsstillende ivaretatt i denne løsningen jf personopplysningsloven 13 jf personopplysningsforskriften kapittel 2 Dette er å anse som delvis avslag på det omsøkte Når det gjelder informasjonssikkerhet reiser den omsøkte løsningen to sentrale problemstillinger håndtering av identifiserbare opplysninger hos leverandør av spørreundersøkelsen utenfor spesielt beskyttede nettverk og besvarelse av spørreundersøkelse gjennomført fra utstyr i et trusselutsatt miljø Disse to forhold diskuteres i det videre Kravene til informasjonssikkerhet etter personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 er basert

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_9.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    innehavere av forskuddsbasert konto innen en måned etter passering jf også den endelige rapportens avsnitt 5 4 1 Fjellinjen har i klagen anført Vegdirektoratet har informert oss om at det er nedsatt en arbeidsgruppe med representanter fra Samferdsels og Justisdepartementet der både Vegdirektoratet og Datatilsynet er representert Vi synes det vil være naturlig å vente på resultatene fra denne arbeidsgruppen før det gjøres endringer i lagringstidene Tilsynet viser til at den omtalte arbeidsgruppen ikke har konkludert i de omtalte spørsmål Det skal tilføyes at Datatilsynet har avventet eventuelle avklaringer som et mulig resultat av gruppens arbeid i tiden etter kontrolltidspunktet Dette er også blant årsakene til at det har gått noe lengre tid enn hva ønskelig er mellom tidspunktet for Fjellinjens klage og nærværende oversendelse av saken til Personvernnemnda Ettersom en eventuell enighet eller kompromissløsning fremdeles ser ut til å ligge et stykke frem i tid har Datatilsynet nå funnet det hensiktsmessig å gå videre med saken Når det gjelder Fjellinjens forslag om utvidet lagringstid vises det til Datatilsynets vurderinger i den endelige kontrollrapportens punkt 5 4 1 Pålegg 5 Datatilsynet opprettholder sitt standpunkt Når det gjelder pålegg 5 opprettholder Datatilsynet sitt standpunkt Datatilsynets pålegg 5 fastslår at virksomheten må slette passeringsdata som følge av etterskuddsbasert fakturering innen fem måneder etter passering jf også den endelige rapportens avsnitt 5 4 2 Tilsynet har i vedtaket tatt forbehold for det tilfelle at annen lovgivning skulle pålegge Fjellinjen å lagre passeringsopplysningene Fjellinjen har i klagen vist til at resultatene av den omtalte arbeidsgruppens arbeid avventes Datatilsynet viser derfor til det som er sagt over vedrørende pålegg 4 I Fjellinjens tilsvar av 8 juni 2009 til Datatilsynets foreløpige rapport og varsel om vedtak har Fjellinjen anført følgende Et vesentlig punkt når det gjelder lagring av opplysninger er forholdet mellom personopplysningsloven 28 som åpner for oppbevaring av passeringsopplysninger i henhold til annen lovgivning og Regnskapsloven og Bokføringsloven spesielt 5 5 i sistnevnte I de tilhørende forskriftenes 5 1 1 fremgår det et krav om at salgsdokumentasjon skal utstedes med blant annet tidspunkt og sted for ytelsen Fakturaer til kunder som ikke har avtale med Fjellinjen inneholder i overensstemmelse med dette relevante passeringsopplysninger Disse opplysningene må da også tas vare på som regnskapsopplysninger Datatilsynet vurderer i sin rapport relevansen i Bokføringslovens krav og synes disse er urimelige Fjellinjen har ikke juridisk kompetanse til å kunne vurdere de aktuelle lovbestemmelsene verken isolert eller opp mot hverandre Tilsynet er kjent med at det i bokføringsloven med tilhørende forskrift er oppstilt krav om at visse opplysninger skal dokumenteres av den bokføringspliktige I enkelte tilfeller vil dette kunne omfatte opplysninger om individer forskriftens 5 1 1 nr 2 bestemmer for eksempel at partene i en kjøpsavtale skal angis jf 5 1 2 Det samme gjelder tidspunkt og sted for levering av ytelsen jf 5 1 1 nr 4 Datatilsynet mener det ville være svært uheldig dersom regler i bokføringslovgivningen skulle medføre at Fjellinjen har anledning til å lagre detaljerte opplysninger om trafikanters passeringer av bomstasjoner i flere år fremover

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_8.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    til dette varselet Tilsynet tar derfor selvkritikk for at de korrigeringer som er gitt i punkt 2 i virksomhetens tilsvar til Datatilsynets varsel om vedtak og foreløpige rapport ikke ble tatt med som en del av det faktiske grunnlaget for det endelige vedtaket På bakgrunn av E18s innsigelser og de opplysninger som er oversendt i E18s brev av 28 oktober 2009 har Datatilsynet besluttet å oppheve eget vedtak jf forvaltningsloven 33 annet ledd annet punktum Pålegg 2 i Datatilsynet vedtak av 6 august 2009 trekkes følgelig med dette tilbake Pålegg 3 Datatilsynet opprettholder sitt standpunkt Datatilsynets pålegg 3 fastslår at virksomheten må slette passeringsdata til innehavere av forskuddsbasert konto innen en måned etter passering jf også den endelige rapportens avsnitt 5 4 1 Til dette har E18 anført Det spørsmålet som Datatilsynet reiser her er noe komplisert da det er ulike lovbestemmelser som kan komme til anvendelse her og som må sees opp mot hverandre Hvis lagringstiden for brikketransaksjoner på forskuddsbetalte konti settes ned til 30 dager etter at passeringen er utført er vi redd mange kunder ikke vil kunne få kunnskap om tid og sted for de tjenester de betaler for slik de etter gjeldende fortolkning har rett til i henhold til regnskapsloven Etter hva Datatilsynet er kjent med skal den regnskapspliktige etter regnskapsloven opplyse om en rekke forhold Imidlertid kan ikke tilsynet se at det eksisterer noen regler i selve regnskapsloven som pålegger lagring av personopplysninger for de formål som er nevnt i sitatet over Når E18 viser til at den enkelte kunde har en rett til å få lagret opplysninger om seg etter regnskapsloven må det bero på en misforståelse Regnskapsloven pålegger den regnskapspliktige det vil si det enkelte foretak å følge visse regler men det gis ingen motsvarende rettigheter for den som får registrert opplysninger om seg Tilsynet har kjennskap til at det i bokføringsloven med tilhørende forskrift er oppstilt krav om at visse opplysninger skal dokumenteres av den bokføringspliktige I visse tilfeller vil dette kunne omfatte opplysninger om enkeltindivider forskriftens 5 1 1 nr 2 bestemmer for eksempel at partene i en kjøpsavtale skal angis jf 5 1 2 Det samme gjelder tidspunkt og sted for levering av ytelsen jf 5 1 1 nr 4 Datatilsynet vil understreke at de opplysninger som er gjenstand for pålegget av 6 august 2009 er opplysninger om at en av E18s abonnenter har passert en bestemt bomstasjon til et angitt tidspunkt jf det anvendte uttrykket passeringsdata Tilsynet kan ikke se at de passeringsdata som E18 er pålagt å slette i nærværende sak er omfattet av dokumentasjonsplikten i bokføringsregelverket Denne dokumentasjonsplikten er knyttet til leveringstidspunktet og leveringstidspunktet må i dette tilfellet være sammenfallende med avtaleinngåelsestidspunktet og ikke det enkelte passeringstidspunkt Det kan i den forbindelse vises til www autopass no betaling autopass avtale hvor det fremgår at den enkelte avtale inngås når kunden har betalt inn et forskuddsbeløp til bompengeselskapet E18 har videre vist til at selskapet ikke har tilstrekkelig juridisk kompetanse til å vurdere hva som er rett å

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_7.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    en dyrere pris til mennesker som kanskje har økonomiske problemer i utgangspunktet Dette kan igjen føre til at enkelte velger å ikke inngå avtale om forsikring En slik løsning vil være uheldig for samfunnet Tanken med forsikring er jo nettopp å spre risikoen på flere personer Videre vil et register med personer som har betalingsanmerkninger vanskelig inneha tilfredsstillende datakvalitet I tillegg vil et slikt register virke stigmatiserende Datatilsynet finner det viktig å påpeke at en kredittvurdering er et øyeblikksbilde En kredittvurdering viser kun betalingsanmerkninger som er registrert på det tidspunktet da kredittvurderingen faktisk skjer Forsikringspremien regnes normalt for et helt år Forsikringsselskapet vil således ikke kunne sikre seg mot at vedkommende ikke sic får en betalingsanmerkning i morgen Betalingsanmerkninger som innfris skal slettes omgående fra kredittopplysningsdatabasen Forsikringsselskapet vil derfor heller ikke kunne vite hvorvidt vedkommende hadde en betalingsanmerkning i går En rekke praktiske problemstillinger vil oppstå i forhold til å holde et eventuelt register over personer med betalingsanmerkninger oppdatert Bør eksempelvis forsikringssøkeren som har en betalingsanmerkning på søknadstidspunktet og som innfrir kravet kort tid etter avtaleinngåelse få mulighet til å få et nytt pristilbud innen rimelig tid Tilsynet er av den oppfatning at den uheldige situasjonen som forsikringsselskapene påpeker er av konkurranserettslig karakter Tilsynet kan overfor nemnda opplyse om at Konkurransetilsynet har ønsket å avvente med å saksbehandle saken inntil Datatilsynet har behandlet den etter personvernregelverket Datatilsynet vil til slutt nevne at det kun er i overkant av 4 av Norges befolkning som har en betalingsanmerkning Tilsynet finner det lite proporsjonalt at forsikringsselskapene skal kunne benytte kredittopplysninger som ledd i risikovurderingen for alle nordmenn Tilsynet er av den oppfatning at forsikringsselskaper ikke bør kunne benytte betalingsanmerkninger i risikovurderingen og at utfallet av tolkning av kravet til saklig behov jf personopplysningsforskriften 4 3 bør være det samme i dag For at bruk av kredittvurderinger skal kunne benyttes som parameter i risikovurderingen finner tilsynet at det må opprettes en særlig bestemmelse som går foran personvernregelverket med mindre konkurranseregelverket tilsier noe annet 6 Personvernnemndas merknader I denne saken er Personvernnemnda anmodet om å omgjøre et vedtak fra 2004 Selskapene som ber om omgjøring viser til at nemnda har kommet med uttalelser i senere saker som skulle tilsi at nemnda har endret oppfatning siden 2004 dessuten har selskapene utarbeidet statistikk som de hevder viser at det er en sammenheng mellom betalingsanmerkninger og skaderisiko som bør tilsi at selskapene skal få rett til å benytte kredittvurderinger i beregning av forsikringspremie 6 1 Vilkår for omgjøring Vilkår for omgjøring følger av forvaltningsloven 35 første ledd bokstav a 35 omgjøring av vedtak uten klage Et forvaltningsorgan kan omgjøre sitt eget vedtak uten at det er påklaget dersom a endringen ikke er til skade for noen som vedtaket retter seg mot eller direkte tilgodeser eller Foreligger vilkårene etter første ledd kan vedtaket omgjøres også av klageinstansen eller av annet overordnet organ Spørsmålet Personvernnemnda skal vurdere er om nemnda bør omgjøre vedtaket i PVN 2004 08 som følge av nemndas uttalelser i etterfølgende saker og den fremlagte statistikk Hvorvidt vedtaket skal omgjøres vil måtte avgjøres ut fra en helhetsvurdering der en må sammenholde på den ene side de offentlige hensyn og på den annen side partenes interesse i å kunne innrette seg etter vedtaket samt i hvilken grad de har innrettet seg og vil få ulempe ved en eventuell omgjøring Det må tas hensyn til så vel behovet for endringer og for stabilitet på vedkommende saksområde som de helt konkrete forhold i det enkelte tilfelle herunder også om omgjøring vil virke urimelig 6 2 KLP og Utleiemegleren Selskapene viser særlig til Personvernnemndas uttalelser i sak PVN 2006 03 KLP og i sak PVN 2008 01 Utleiemegleren Nemnda kom da med uttalelser om kredittelement og forretningsmessig risiko I KLP saken uttales det at Slik Personvernnemnda tolker kravet om saklig behov vil det dermed ikke alltid være tilstrekkelig at det foreligger et kredittelement dersom den forretningsmessige risiko er lav og motsatt vil det ikke alltid være nødvendig med et kredittelement dersom den forretningsmessige risiko er høy Formålet med en kredittvurdering er normalt å kartlegge hvorvidt en potensiell kunde er kredittverdig og dermed om selskapet ønsker å inngå avtale med vedkommende Det vil si at når det bes om kredittopplysninger vil saklighetskravet være oppfylt når bestilleren skal benytte kredittopplysningene i forbindelse med sin vurdering av kredittrisiko for eksempel ved et tilsagn om lån eller avtale om løpende ytelser som faktureres etterskuddsvis typisk mobiltelefonabonnement abonnement på satellittfjernsyn etc En husleieleiekontrakt innebærer normalt ikke at utleier yter leietaker kreditt Boligen stilles til leietakers disposisjon mot at leietaker innbetaler et depositum og betaler husleien forskuddsvis hver måned I normaltilfellet foreligger det derfor ikke et element av kreditt Slik Personvernnemnda ser det kan det likevel være et saklig behov for kredittopplysninger selv om det ikke foreligger et kredittelement Personvernnemnda viser til at formålet for KLPs kredittvurdering av leietakere er å sjekke en potensiell leietakers økonomiske vederheftighet det vil si soliditet og pålitelighet i forbindelse med inngåelse av en boligleieavtale Kredittvurderingen benyttes med andre ord for å unngå avtaleinngåelse med personer med svak økonomi dårlig betalingsevne eller en historikk med betalingsanmerkninger som kan si noe om vedkommendes evne og vilje til å oppfylle sine økonomiske forpliktelser Spørsmålet for Personvernnemnda er om dette kvalifiserer som saklig behov for kredittopplysninger I vurderingen av dette spørsmålet har Personvernnemnda delt seg i et flertall og et mindretall Personvernnemndas flertall Gro Hillestad Thune Leikny Øgrim Jostein Halgunset og Hanne I Bjurstrøm legger til grunn at det er denne potensielle kredittrisiko som KLP ønsker å beskytte seg mot ved å foreta en kredittvurdering av en mulig leietaker Etter flertallets syn er imidlertid denne risikoen fare for økonomisk tap dersom kunden ikke betaler en normal risiko ved all forretningsdrift Denne alminnelige forretningsrisiko vil alltid til en viss grad være til stede en eventuell kredittvurdering vil ikke fjerne en slik risiko Videre legger flertallet vekt på at utleie av boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode Dette fremgår blant annet av tvangsfullbyrdelsesloven 1992 86 kapittel 13 som gir anvisning på

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_6.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    ikke kunnet redegjøre for hva de skulle bruke opplysningene til i denne konkrete saken Klager mener at inkassobyrået bare kan gjøre en slik kredittopplysningsforespørsel ved registrering av et inkassokrav dersom resultatet av den kan påvirke hvordan de behandler saken videre For å kunne foreta en kredittvurdering må byrået som et minimum ha kommet til et beslutningspunkt hvor en kredittforespørsel med et minimum av sannsynlighet vil påvirke hvordan de tar saken videre Dette var ikke tilfelle i denne saken Risikoen de utsetter seg for er et innledende inkassosalær på kr 295 Dette kan heller ikke være høyt nok for å være saklig 5 Datatilsynets vurdering Datatilsynet forstår klagen som at den gjelder tilsynets tolkning og forståelse av kravet om saklig behov i personopplysningsforskriftens 4 3 Etter forvaltningslovens 11 har et forvaltningsorgan en alminnelig veiledningsplikt innenfor sitt saksområde I medhold av forvaltningslovens 17 skal et forvaltningsorgan påse at saken er så godt opplyst som mulig før vedtak treffes Avvisningsvedtak regnes som vedtak etter denne paragrafen Hvor langt utredningsplikten går skal vurderes konkret i det enkelte tilfellet det skal blant annet vurderes om ressursbruken står i forhold til sakens alvorlighetsgrad Sakens primære problemstilling slik Datatilsynet forstår det er at klageren mener det ikke foreligger saklig behov for å kredittvurdere ved opprettelse av ny inkassosak dersom inkassobyrået ikke skal bruke opplysningene i en beslutning som kan påvirke saken Klageren anfører videre at inkassobyrået også faktisk skal gjennomføre vurderingene i en enkelt sak for å ha saklig grunn Det følger av personopplysningsforskriftens 4 3 at kredittopplysninger bare kan utleveres til den som har saklig behov for opplysningene Dette vilkåret vil som hovedregel være oppfylt dersom det foreligger et element av kreditt mellom partene typisk ved at man står overfor en avtaleinngåelse som innebærer at det skal ytes kreditt I forbindelse med arbeidet med ny bransjenorm for behandling av personopplysninger for inkassobyråene sluttet Datatilsynet seg til vurderingen til Norsk Inkassobyråers Forening og fant at inkassoselskapene som hovedregel vil ha saklig behov for å kredittvurdere i forbindelse med registrering av en ny sak Om det foreligger saklig behov skal likevel vurderes i hver enkel sak jf bransjenormen punkt 5 1 3 Den klare hovedregelen er at det foreligger saklig behov for kredittvurdering ved åpning av en inkassosak Dette fordi inkassobyrået trenger å få informasjon om kredittverdigheten til kunden i forbindelse med inndrivelsen av kravet Informasjon om en persons kredittverdighet vil være en indikasjon på hva som er sannsynligheten for at inkassobyrået vil få innfridd det utestående kravet Datatilsynet er av den oppfatning at innhenting av kredittopplysninger som regel er relevante i inkassosaker For øvrig kan det nevnes at saklig behov anses å foreligge ved vurdering av om rettslig skritt skal igangsettes ved vurdering av hel eller delvis gjeldsettergivelse og ved forespørsel om avdragsordning Datatilsynet har foretatt en konkret vurdering av om det foreligger saklig behov i den foreliggende saken Det er foretatt en kredittvurdering i forbindelse med registrering av en ny inkassosak Etter tilsynets vurdering er kravet om saklig behov oppfylt og det har derfor ikke blitt

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_5.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    nytt inkassokrav ved vurdering av hvorvidt det skal foretas rettslige skritt ved vurdering av hel eller delvis gjeldsettergivelse og ved forespørsel eller tilbud om avdragsordning Datatilsynet er av den oppfatning at en tilsvarende norm må tillegges andre virksomheter eller personer som ønsker å vurdere en skyldners betalingsevne Disse momentene er også gjennomgående vektlagt i Datatilsynets øvrige forvaltningspraksis Klager viser til advokatens brev til CreditInform 10 november 2008 samt tilsvar til Datatilsynet 24 februar 2009 der advokaten blant annet informerer om at bakgrunnen for kredittvurderingen av klager var en tvist mellom klienten og klagers kone Datatilsynet vil i den forbindelse presisere at advokaten i tilsvar til Datatilsynet 24 februar 2009 også viser til forgiftningen av drikkevannet Tilsynet fant dette forholdet noe uklart og ba om en nærmere redegjørelse av forholdet i brev av 1 oktober 2009 Advokaten gir tilsvar i brev av 21 oktober 2009 som nevnt ovenfor På bakgrunn av advokatens svar legger tilsynet til grunn at kredittvurderingen også ble foretatt i forbindelse med klientens erstatningskrav mot klager Det vises i den forbindelse til følgende utdrag fra brev av 21 oktober 2009 Derfor vil man fra denne side nøye seg med å understreke at klager selv erkjenner å ha forestått den sprøytingen som ligger til grunn for det erstatningskravet som klienten mener å ha mot ham og at dette erstatningskravet lå til grunn for de undersøkelsene som ble gjort rundt klager herunder den innhentede kredittvurderingen Problemstillingen blir så om kredittvurderingen ble innhentet for å vurdere klagers finansielle situasjon i tilknytning til klientens erstatningskrav Det må her presiseres at det i vurderingen av om kredittvurderingen er i tråd med regelverket ikke stilles som vilkår at erstatningskravet må føre frem eller at et erstatningssøksmål blir reist For at kredittvurderingen skal kunne tilfredsstille kravet til saklig behov etter personopplysningsforskriften 4 3 må imidlertid kredittvurderingen brukes i en reell vurdering av vedkommendes finansielle situasjon i tilknytning til et relevant erstatningskrav Klager viser til at klienten anmeldte ham til politiet og deretter til statsadvokaten Saken ble henlagt av politidistriktet og deretter statsadvokaten 2 november 2006 Datatilsynet vil i den anledning bemerke at påtalemyndighetens henleggelse av saken ikke avskjærer klientens adgang til å gå til et sivilt søksmål Advokaten forklarer i brev av 21 oktober 2009 at Foreløpig har imidlertid klienten ikke reist sak mot klager Begrunnelsen ligger ikke på et rettslig plan Det er av hensyn til egen livskvalitet at klienten har unnlatt å reise sak mot klager Advokaten skriver videre at klagers kone har klaget klienten inn for forliksrådet Av hensyn til egen livskvalitet vil klienten som er klagers svoger nøye seg med å avvise søsterens krav Datatilsynet la etter dette til grunn at kredittvurderingen som ble foretatt dels var innhentet for å vurdere klagers finansielle situasjon i forhold til den tvist som verserte mellom klienten og klagers kone samt delvis i relasjon til det erstatningskravet han mener å ha overfor klager Det er i relasjon til erstatningskravet mot klager at kravet til saklig behov ble ansett til å være oppfylt Avslutningsvis bemerker Datatilsynet

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_4.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    bes rettet opp delvis er dokumenter i forvaltningssaker og delvis prosesskriv i forbindelse med rettssak Disse kunne derfor ikke rettes på en slik måte at opplysninger tas ut eller sladdes overskrives Kommunen opplyser også å ikke kunne imøtekomme klagerens krav om at opplysninger avgitt av vitner i tidligere rettssak skulle rettes Datatilsynet valgte på bakgrunn av redegjørelsen å avslutte saken da redegjørelsen fra kommunen ble funnet å være tilfredsstillende Klageren tok på nytt kontakt med Datatilsynet i e poster datert 7 8 16 17 24 og 25 februar samt 5 mars 2010 med hennes kommentarer vedrørende Datatilsynets avslutning av saken samt kommentarer til redegjørelsen fra Arendal kommune Arendal kommune sendte også bekreftelse til Datatilsynet om at saken var avsluttet fra deres side samt kopi av beklagelsen til klager Etter Datatilsynets vurdering fremkom det ingen nye opplysninger i denne korrespondansen som kunne føre til at saken ble gjenopptatt og med henvisning til den tidligere saksgangen avsluttet Datatilsynet på nytt saken og veiledet om klageadgangen til Personvernnemnda i brev av 5 mars Klageren henvendte seg på nytt til Datatilsynet 21 mars og klaget på Datatilsynets avgjørelse om å avslutte saken Datatilsynet tolket henvendelsen slik at dette var en klage på tilsynets saksbehandling i denne saken Saken ble oversendt Personvernnemnda 26 3 2010 som mottok saken 29 3 2010 Klager ble orientert om dette i brev fra nemnda datert 30 3 2010 med frist til uttalelse innen 19 4 2010 Brev fra klager kom inn 2 4 2010 og 7 4 2010 med vedlegg Personvernnemnda tilskrev Datatilsynet med kopi til klager 5 10 2010 og ba om ytterligere opplysninger Klager tilskrev Datatilsynet 6 10 2010 og ba om å være kopimottaker på Datatilsynets svar Datatilsynet besvarte brevet 8 10 2010 3 Faktum Saken dreier seg i hovedsak om en påstand om at det er registrert feilaktige opplysninger om klageren i Arendal kommunes registre at klager ikke har fått tilstrekkelig innsyn i dokumentene at tilgangsstyringen til registeret ikke er tilstrekkelig og at kommunen ikke har beklaget forholdet på tilstrekkelig måte 4 Klagers anførsler Klager anfører at Datatilsynet ikke gjennom sin behandling av saken har kunnet bistå med at alle uønskede opplysninger om klageren har blitt slettet fra kommunens registre samt at Datatilsynet ikke har kunnet pålegge kommunen å beklage forholdet på tilfredsstillende vis 5 Datatilsynets vurdering Datatilsynet viser til at klager har fått innsyn i samtlige opplysninger om seg selv i kommunens registre Klager hadde også fått uttalt seg om hvilke opplysninger hun mente var uriktige og kommunen hadde korrigert og beklaget de opplysningene som kommunen var enig i var uriktige Noen opplysninger kunne ikke rettes men disse var partsutsagn i forvaltningssaker og rettssaker og var supplert av klagerens fremstilling av forholdet Etter forvaltningslovens 11 har et forvaltningsorgan en alminnelig veiledningsplikt innenfor sitt saksområde I medhold av forvaltningslovens 17 skal et forvaltningsorgan påse at saken er så godt opplyst som mulig før vedtak treffes Avvisningsvedtak regnes som vedtak etter denne paragrafen Hvor langt utredningsplikten etter forvaltningsloven går må vurderes konkret i det enkelte tilfellet

    Original URL path: http://www.personvernnemnda.no/vedtak/2010_3.htm (2014-09-28)
    Open archived version from archive



  •