A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner. Datatilsynet vurderte at arbeidsgiver hadde rettslig grunnlag for innsynet, men traff vedtak om irettesettelse mot arbeidsgiver for brudd på personvernregelverkets prosessuelle regler knyttet til gjennomføring av innsyn i arbeidstakers e-postkasse. A klagde over vedtaket når det gjaldt Datatilsynets vurdering av faktum, spørsmålet om arbeidsgiver hadde rettslig grunnlag til å foreta innsynet, Bs rolle under innsynet, arbeidsgivers manglende behandlingsprotokoll etter artikkel 30, samt Datatilsynets valg av reaksjon overfor arbeidsgiver. Nemnda vurderte i likhet med Datatilsynet at arbeidsgiver hadde rettslig grunnlag for innsynet i As e-postkasse, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og e-postforskriften § 2 bokstav b. Nemnda vurderte videre at retten til å klage til en tilsynsmyndighet etter artikkel 77 ikke omfatter separate klager over eventuell manglende overholdelse av den behandlingsansvarliges generelle forpliktelser etter kapittel IV, herunder plikten til å føre protokoll. Når det gjaldt As klage over Datatilsynets valg av reaksjon overfor arbeidsgiver, vurderte nemnda at Datatilsynets valg av reaksjon ikke er et enkeltvedtak som gir A klagerett. As klage over arbeidsgivers manglende protokoll og klagen over manglende ileggelse av overtredelsesgebyr ble avvist, for øvrig ble Datatilsynets vedtak opprettholdt.

A klaget til Datatilsynet etter at arbeidsgiveren hennes hadde foretatt innsyn i hennes e-postkasse. Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra B, som ekstern samarbeidspartner for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot B (ekstern samarbeidspartner). Datatilsynet vurderte at B måtte regnes som en selvstendig behandlingsansvarlig, men avsluttet saken mot B og viste til at de innklagede forholdene mest hensiktsmessig ville bli behandlet sammen med klagen mot arbeidsgiver. A klagde på denne avgjørelsen og saken ble oversendt Personvernnemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot arbeidsgiver. Nemnda uttalte at det må ligge innenfor Datatilsynets hensiktsmessighetsskjønn å ta stilling til om en klage mot ulike aktører (behandlingsansvarlig, databehandler eller andre samarbeidspartnere) skal behandles samlet i én sak eller om klagen skal behandles i flere saker. Dette er ikke et forhold som kan styres av den registrerte. As klage ble dermed avvist.

A klaget til Datatilsynet etter at arbeidsgiver hadde foretatt innsyn i hennes e-postkasse Innsynet i As e-postkasse ble gjennomført av arbeidsgiver med bistand fra C, som databehandler for arbeidsgiver. A sendte senere en ny klage i samme sak rettet mot databehandleren, C. Datatilsynet avsluttet klagen mot databehandler uten nærmere undersøkelser og uten å ta stilling til realiteten, med henvisning til at Datatilsynet allerede behandlet en klage mot arbeidsgiver (behandlingsansvarlig) for den samme behandlingen av personopplysninger. A klaget på dette og saken ble oversendt nemnda. Nemnda vurderte saken og fant at As rett til å klage til en tilsynsmyndighet dersom hun anser at behandlingen av hennes personopplysninger er i strid med personvernforordningen etter artikkel 77, var ivaretatt gjennom klagen mot den behandlingsansvarlige. Når Datatilsynet konstaterer at den behandlingsansvarlige har brutt personvernforordningen i forbindelse med innsyn i e-postkassen til en arbeidstaker, er det opp til Datatilsynet å vurdere om dette er noe som også foranlediger korrigerende tiltak overfor databehandleren eller andre samarbeidspartnere til den behandlingsansvarlige. Nemnda opprettholdt Datatilsynets avvisning av As klage.

A og B kontaktet Datatilsynet og klaget over behandlingen av personopplysninger om deres sønn ved to barnehager og en barneskole, samt i barneverntjenesten. A og B ønsket flere dokumenter rettet og slettet. Tilsynet avsluttet saken uten å gi pålegg om retting eller sletting, under henvisning til reglene om arkivplikt i arkivlova. Nemnda vurderte at arkivregelverket ikke kan tolkes slik at den enkelte kommune eller fylkeskommune står helt fritt til å avgjøre hvilke dokumenter som skal arkiveres og hvilke som skal/kan slettes. Det må foretas en avveining av om det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, jf. personvernforordningen artikkel 21 nr. 1. Nemnda var ikke enig med Datatilsynet i at tilsynet ikke har kompetanse til å foreta denne vurderingen og foretok en selvstendig prøving av om det forelå tvingende berettigede grunner for fortsatt oppbevaring. Nemnda opprettholdt Datatilsynets vedtak når det gjaldt opplysningene fra skolen og barneverntjenesten. Når det gjaldt kravet om sletting av opplysninger fra barnehagene delte nemnda seg i et flertall og et mindretall. Flertallet fant at det ikke forelå tvingende berettigede grunner for fortsatt oppbevaring av opplysningene fra barnehagene, slik at vilkårene for fortsatt lagring ikke var oppfylt.

A kontaktet Datatilsynet og varslet om flere forhold ved SSBs behandling av personopplysninger som han mente var ulovlig. Datatilsynet avsluttet saken uten å gjøre nærmere undersøkelser og uten å ta stilling til om behandlingen av personopplysninger var ulovlig. Datatilsynet viste til personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda vurderte hvilket handlingsrom tilsynet, når det mottar en henvendelse om mulige brudd på personopplysningsloven, har til å velge ikke å ta stilling til om den beskrevne behandlingen i henvendelsen er ulovlig eller ikke. Nemnda la til grunn at tilsynet i utgangspunktet plikter å ta stilling til de klagene som fremsettes, jf. artikkel 77, men at det er klagers oppgave å redegjøre for saken og legge frem dokumentasjon for det forholdet som påklages. I mangel av en viss konkretisering av at det er vedkommendes egne personopplysninger som er behandlet på en måte som er i strid med forordningen, kan det etter nemndas syn argumenteres for at henvendelsen ikke skal regnes som en klage som forplikter tilsynet til å gjøre visse undersøkelser. I dette tilfellet hvor SSB driver en lovregulert virksomhet og hvor de opplysningene som er gitt i henvendelsen ikke i seg selv gir tilstrekkelig grunn til å mistenke en ulovlig behandling av personopplysninger, kan ikke henvendelsen anses som en klage som gir tilsynet plikt til å gjøre nærmere undersøkelser etter artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt Datatilsynets vedtak.

Det var enighet om at Datatilsynets vedtak 14. juli 2023 er hjemlet i personvernforordningen kapittel VII og at Personvernnemnda ikke har kompetanse til å behandle klager over dette vedtaket, jf. personopplysningsloven § 22 andre ledd. Klagerne anførte at selskapene har rett til forvaltningsklage etter forvaltningsloven § 28 og ba nemnda ta stilling til om vedtaket kunne klages inn for departementet. Nemnda la til grunn at når nemnda ikke har kompetanse til å behandle klagen, tilligger det heller ikke Personvernnemnda å ta stilling til de prosessuelle reglene for hvordan disse sakene skal behandles. Gyldigheten av Datatilsynets vedtak vil imidlertid kunne bringes inn for domstolene. Nemnda opprettholdt Datatilsynet avvisning av klagen.

Nemnda la til grunn at registrering av konkursåpning i Brønnøysundregistrene, som skjer etter melding fra retten, ikke er omfattet av rettspleielovunntaket i personopplysningsloven § 2 andre ledd bokstav b. Registreringen av de aktuelle opplysningene hadde behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e, jf. nr. 3, med supplerende rettsgrunnlag i konkursloven og konkursregisterforskriften. A hadde ikke sannsynliggjort at Konkursregisteret hadde registrert uriktige opplysninger som han kunne kreve rettet eller slettet. Når det gjaldt registering av fusjon i Foretaksregisteret mellom aksjeselskaper og sletting av registrerte kunngjøringer om selskaper i Brønnøysundregistrene, var nemnda enig med Datatilsynet i at slike opplysninger ikke er personopplysninger, men opplysninger om juridiske personer. Slik registrering faller utenfor personopplysningsloven og personvernforordningens virkeområde, jf. personopplysningsloven § 2 første ledd. A fikk ikke medhold i klagen.

Etter at A fikk et gjenpartsbrev fra Bisnode, henvendte han seg til Datatilsynet og klaget over at det han mente var en ulovlig kredittvurdering av ham fra det svenske betalingsløsningsselskapet Qliro AB. Datatilsynet ba A om å kontakte Qliro for å få klarhet i faktum før tilsynet eventuelt kunne be om bistand fra det svenske datatilsynet. A ønsket ikke det og Datatilsynet avsluttet saken. Nemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages. Da A valgte ikke å bidra ytterligere til å opplyse saken, mente nemnda at det forsvarlig av Datatilsynet å avgjøre saken med bakgrunn i de opplysningene som forelå. Nemnda var enig med tilsynet i at det ikke var sannsynliggjort at personopplysningsloven eller kredittopplysningsloven var brutt. Etter nemndas vurdering hadde tilsynet oppfylt sin utredningsplikt. Saken var tilstrekkelig opplyst, jf. forvaltningsloven § 17 og personvernforordningen artikkel 57 nr. 1 bokstav f. Nemnda opprettholdt tilsynets vedtak.

A henvendte seg til Datatilsynet og klaget over snoking i hans personopplysninger fra en ansatt hos NAV. NAV innrømmet at det var avdekket oppslag i As personopplysninger uten tjenstlig behov fra ansatte i NAV. Datatilsynet avsluttet saken uten å ta stilling til om personopplysningsloven var brutt, men opplyste blant annet at tilsynet følger opp NAV sentralt på områder som loggkontroll og styring av tilgang til personopplysninger. Tilsynet viste til at informasjonen fra A ble tatt med videre inn i dette arbeidet. Nemnda har i flere tidligere avgjørelser lagt til grunn at Datatilsynet etter personvernforordningen artikkel 57 nr. 1 bokstav f har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, men at tilsynet ikke fritt kan velge ikke å ta en klage til behandling. I dette tilfellet kom nemnda til at det var forsvarlig å la informasjonen fra denne enkeltsaken inngå i den mer omfattende tilsynssaken Datatilsynet har gående hos NAV. Saken omfatter loggkontroll og styring av tilgang til personopplysninger hos NAV og tilsynet har varslet NAV om et pålegg om å rette opp brudd på informasjonssikkerheten og et gebyr på 20 millioner kroner for brudd på loven. Nemnda la til grunn at enkelttilfeller av «unødvendige» oppslag ikke nødvendigvis medfører at den behandlingsansvarlige har brutt personvernforordningen artikkel 24 og 25, slik at det kan lede til «korrigerende tiltak», jf. artikkel 58 nr. 2. Datatilsynet må i slike tilfeller ha mulighet for å la en enkelthenvendelse inngå i en bredere anlagt tilsynssak mot en behandlingsansvarlig uten å ta stilling i den enkelte saken. Datatilsynets vedtak ble opprettholdt.

Spørsmålet for nemnda var om As tidligere statlige arbeidsgiver skulle pålegges å slette et arkivert dokument som inneholdt personopplysninger om A fra hans personalmappe. Arbeidsgivers formål med innsamling av personopplysningene opprinnelig var knyttet til hans arbeidsforhold. Arbeidsforholdet var avsluttet og arbeidsgivers formål med fortsatt oppbevaring av opplysningene var begrunnet i arkivformål i allmennhetens interesse i tråd med bestemmelsene i arkivlova. Slik viderebehandling er ikke uforenlig med det opprinnelige formålet, jf. personvernforordningen artikkel 5 nr. 1 bokstav b. Nemnda viste til at de aktuelle personopplysningene representerte materiale som er underlagt bevaringsplikt etter arkivlova § 6 jf. § 9 og Riksarkivarens forskrift § 7-11 første ledd, og at arbeidsgiver har en rettslig forpliktelse til å oppbevare opplysningene jf. personvernforordningen artikkel 6 nr. 1 bokstav c. Nemnda kunne derfor ikke pålegge arbeidsgiver å slette opplysningene, jf. personvernforordningen artikkel 17 nr. 3 bokstav b og d. Datatilsynets vedtak ble opprettholdt.