Aktuelle saker fra Personvernnemda
Sist oppdatert: 05.05.2022
Behandlingsgrunnlag for kartleggingsverktøy (Spekter-saken) - Arendal kommune
Saken gjelder innsamling og videre behandling av personopplysninger i kartleggingsverktøyet Spekter. Formålet med innsamlingen var å avdekke mobbing og kartlegge læringsmiljø i en skoleklasse. Datatilsynet kom til at kommunen manglet behandlingsgrunnlag, og at det forelå brudd på flere av personvernprinsippene og de registrertes rettigheter.
Personvernnemda vurderer at kommunen har behandlingsgrunnlag basert på en konkret tolkning av opplæringsloven som supplerende behandlingsgrunnlag, sett i lys av ordlyd og forarbeider. Når det gjelder vurdering av personvernprisnippen og de registrertes rettigheter, er nemnda enig med Datatilsynet om at det forelå brudd da det ikke var gitt tilstrekkelig informasjon om behandlingen, ikke gjennomført en personvernkonksekvensvurdering, og at det var mangel på etablerte rutiner for å følge opp den registrertes rettigheter.
Basert på saken må virksomhetene sikre at de har etablert rutiner for å følge opp den registrertes rettigheter. Virksomheten må videre sørge for internkontrolldokumentasjon og rutiner som sikrer etterlevelse av GDPR.
Brudd på personopplysningssikkerheten (sikkerhet og internkontroll) – Sykehuset Østfold HF
Saken gjelder brudd på personopplysningssikkerheten knyttet til tilgangsstyring av mapper med særlige kategorier av personopplysninger. Personvernnemnda slutter seg til Datatilsynets vurdering av forholdene.
Sykehuset hadde lister som inneholdt særlige kategorier som lå tilgjengelig for medarbeidere (som hadde signert taushetserklæring), men som ikke hadde tjenstlig behov for å se innholdet. Det forelå ikke indikasjoner på at personopplysninger hadde kommet på avveie eller at taushetsplikten var brutt. Nemnda kom fortsatt til at det forelå brudd på personopplysningssikkerheten. De legger til grunn at sykehusets ledelse måtte sikre at det er etablert et teknisk støttesystem som ivaretar kravene til personvern og informasjonssikkerhet i forbindelse med at ansatte skal kunne gjøre pålagte arbeidsoppgaver.
Basert på saken må virksomhetene sikre at de har iverksatt tilstrekkelige tiltak for å ivareta den enkeltes personvern, slik som tilgangsstyring på riktig nivå. Systemene må kunne ivareta behandling av særlige kategorier av personopplysninger når dette er en del av oppgavene, og samtidig tilfredsstille lovens krav.
Overføring av personopplysninger mellom helsestasjon og barnevern
Saken tar for seg spørsmål om utlevering av personopplysninger mellom etater (fra helsestasjonen til barneverntjenesten), spørsmål om behandlingsgrunnlag for fortsatt behandling av opplysningene, samt oppfyllelse av de registrertes rettigheter.
I saken vurderes det om de registrertes rettigheter er ivaretatt, blant annet ved å se innholdet opp mot dataminimeringsprinsippet. Sletteplikten blir videre vurdert mot arkivplikt i allmennhetens interesse. Datatilsynet konkluderer med at kommunen har behandlet personopplysningene lovlig, og at retten til retting er oppfylt, men ikke sletting eller begrensning. Personvernnemnda slutter seg til Datatilsynets konklusjon.
Basert på saken må virksomhetene sikre at de har et gyldig behandlingsgrunnlag dersom det er aktuelt å overføre personopplysninger mellom etater. Dette må vurderes konkret i den enkelte sak, der en ser på formålet med overføringen og personvernprinsippene. Virksomhetene må videre undersøke om det finne regler som hindrer at personopplysninger kan slettes etter at formålet med behandlingen er oppnådd, i forbindelse med et krav fra den registrerte.