top of page

Datatilsynet har allerede brukt 16 måneder uten å etterkomme innsynskrav etter GDPR artikkel 15: Hvem kontrollerer kontrolløren?

  • Jun 27
  • 11 min read

Updated: Jun 29


Introduksjon: Når kontrolløren selv blir kontrollert

Datatilsynet skal håndheve GDPR overfor andre.


Det er Datatilsynet som skal fortelle norske virksomheter at innsynskrav etter GDPR artikkel 15 må tas på alvor. Det er Datatilsynet som skal reagere når behandlingsansvarlige trenerer, bagatelliserer eller feilklassifiserer innsynskrav. Det er Datatilsynet som skal være garantisten for at retten til innsyn ikke blir en papirrettighet.


Men hva skjer når Datatilsynet selv får et innsynskrav etter GDPR artikkel 15?


Hva skjer når Datatilsynet selv er behandlingsansvarlig?


Hva skjer når Datatilsynet allerede har brukt 16 måneder uten å etterkomme alle deler av innsynskravet?


Og hva skjer når Datatilsynet samtidig veksler mellom rollen som behandlingsansvarlig og rollen som tilsyns-/klageorgan?


Da er spørsmålet ikke lenger bare juridisk. Det er demokratisk.


For hvem kontrollerer kontrolløren?


GDPR artikkel 15: Retten til å se makten i kortene

GDPR artikkel 15 gir den registrerte rett til innsyn i egne personopplysninger.


Det høres teknisk ut. Det er det ikke.


Innsynsretten er et maktmiddel for borgeren. Den gjør det mulig å kontrollere hvilke opplysninger som behandles, hvorfor de behandles, hvor de kommer fra, hvem de deles med, hvor lenge de lagres, og hvilke vurderinger som knytter seg til personen.


  • Uten innsyn finnes ingen reell kontroll.

  • Uten kontroll finnes ingen reell rettighet.

  • Og uten reelle rettigheter er personvern bare dekorasjon i offentlige festtaler.


Derfor er retten til innsyn etter GDPR artikkel 15 grunnleggende. Den skal gjøre det mulig for enkeltmennesket å kontrollere om behandlingen av egne personopplysninger er lovlig.


Det gjelder også når den behandlingsansvarlige er Datatilsynet selv.


Innsyn etter GDPR artikkel 15 er ikke partsinnsyn

En av de mest alvorlige feilene i slike saker er sammenblandingen av ulike innsynsregimer.


Innsyn etter GDPR artikkel 15 er ikke det samme som partsinnsyn etter forvaltningsloven.


Det er heller ikke det samme som dokumentinnsyn etter offentleglova.


Dette er tre forskjellige rettslige spor:

  • Partsinnsyn gjelder partens rett til å gjøre seg kjent med dokumenter i en forvaltningssak.

  • Dokumentinnsyn gjelder offentlighetens rett til innsyn i forvaltningens dokumenter.

  • GDPR-innsyn etter artikkel 15 gjelder den registrertes rett til innsyn i egne personopplysninger og informasjon om behandlingen av disse.


Forskjellen er ikke akademisk. Den er avgjørende.


Når et innsynskrav etter GDPR artikkel 15 behandles som om det bare var et nytt forsøk på partsinnsyn, forsvinner selve personvernretten inn i forvaltningens arkivlogikk.


Da blir spørsmålet feil.


Spørsmålet er ikke bare: Har du krav på dokumentet?


Spørsmålet er: Behandler Datatilsynet personopplysninger om deg, hvor, hvordan, hvorfor og på hvilket grunnlag?


Det er et helt annet spørsmål.


Og det krever et helt annet svar.

Faktaboks: Hva er Datatilsynet?

Datatilsynet er Norges nasjonale personvernmyndighet.


Datatilsynet fører tilsyn med at GDPR og personopplysningsloven etterleves i Norge.


Men Datatilsynet er også en offentlig virksomhet som selv behandler personopplysninger.


Når Datatilsynet behandler personopplysninger i egne saker, opptrer Datatilsynet som behandlingsansvarlig.


Når Datatilsynet behandler klager over andre virksomheter, opptrer Datatilsynet som tilsynsmyndighet.


Når Datatilsynet mottar en klage over sin egen behandling av personopplysninger, oppstår den vanskelige dobbeltrollen:


Datatilsynet blir både kontrollør og den som kontrolleres.

Innsynskravet etter GDPR artikkel 15 har allerede ligget i 16 måneder uten full etterlevelse

I denne saken ble innsynskravet etter GDPR artikkel 15 fremsatt 5. februar 2025.


Kravet viste uttrykkelig til GDPR artikkel 15, fortalepunkt 63 og Personvernrådets retningslinjer om retten til innsyn.


Det var ikke en utydelig hentydning. Det var ikke et løst ønske om dokumenter. Det var ikke et alminnelig partsinnsyn.


Det var et innsynskrav etter GDPR artikkel 15.


Allerede 21. februar 2025 ble det purret. Kravet ble senere opprettholdt og presisert flere ganger, blant annet i mai og juni 2025.


Likevel ble kravet ikke behandlet som et fullt og selvstendig innsynskrav etter GDPR artikkel 15. I stedet ble det gjentatte ganger skjøvet inn i andre spor: tidligere partsinnsyn, tidligere dokumentinnsyn, tidligere vurderinger og dokumentoversikter.


Poenget er derfor ikke bare at Datatilsynet har brukt lang tid.


Poenget er mer alvorlig:


Datatilsynet har allerede brukt 16 måneder uten å etterkomme alle deler av innsynskravet etter GDPR artikkel 15.

Det er ikke en bagatell.


Det er ikke bare “lang saksbehandlingstid”.


Det er en vedvarende unnlatelse av å gi fullt og etterprøvbart innsyn i tråd med det rettslige grunnlaget som faktisk ble påberopt.


Når en registrert ber om innsyn etter GDPR artikkel 15, holder det ikke å sende en dokumentliste. Det holder ikke å vise til tidligere partsinnsyn. Det holder ikke å si at dokumenter tidligere er sendt eller at enkelte opplysninger fremgår av saksdokumenter.


Den behandlingsansvarlige må faktisk identifisere hvilke personopplysninger som behandles, hvilke systemer og behandlingsspor som er undersøkt, hvilke opplysninger som eventuelt unntas, og hvilket konkret rettslig grunnlag som brukes for å nekte innsyn.


Etter 16 måneder står fortsatt sentrale deler av innsynskravet ubesvart eller utilstrekkelig besvart.


Da er spørsmålet ikke: Hvorfor tok det så lang tid?


Spørsmålet er: Hvorfor er kravet fortsatt ikke fullt etterkommet?


Én måneds frist kan ikke bli til 16 måneder

GDPR artikkel 12 nr. 3 er ikke skrevet med usynlig blekk.


Den behandlingsansvarlige skal svare uten ugrunnet opphold og senest innen én måned.


Fristen kan forlenges med inntil to måneder dersom det er nødvendig på grunn av kompleksitet eller antall anmodninger. Men da må den registrerte varsles innen én måned og få en begrunnelse.


Dette er ikke valgfri veiledning. Det er en rettslig plikt.


En frist på én måned kan ikke bli til 16 måneder fordi forvaltningen synes saken er krevende, upraktisk eller ubehagelig.


Det rettslige problemet er firedelt:


1. Fristbrudd etter GDPR artikkel 12 nr. 3

Når et innsynskrav etter GDPR artikkel 15 ikke etterkommes fullt ut innen én måned, og det heller ikke gis gyldig og begrunnet forlengelse innen fristen, oppstår et fristproblem.


Seksten måneder er ikke en forlengelse.


Seksten måneder er et sammenbrudd i rettighetsoppfyllelsen.


2. Feilklassifisering av innsynskravet

Når et uttrykkelig innsynskrav etter GDPR artikkel 15 behandles som om det er partsinnsyn eller dokumentinnsyn, er ikke problemet bare tidsbruk. Problemet er at hele vurderingen skjer på feil rettslig premiss.


Man kan ikke behandle en GDPR-rettighet som et arkivspørsmål.


3. Svekket effektivitet i innsynsretten

Innsyn etter GDPR artikkel 15 skal gjøre den registrerte i stand til å kontrollere lovligheten av behandlingen.


Hvis innsyn kommer stykkevis, forsinket og ufullstendig etter 16 måneder, blir kontrollfunksjonen alvorlig svekket.


En rettighet som kommer for sent, er ofte en rettighet uten reell virkning.


4. Brudd på ansvarlighetsprinsippet

GDPR bygger på ansvarlighet. Den behandlingsansvarlige skal kunne vise at reglene er fulgt.


Når Datatilsynet først behandler kravet som partsinnsyn, deretter omtaler artikkel 15-sporet som uklart, deretter viser til dokumentoversikter, og senere svarer som

behandlingsansvarlig, oppstår et dokumentasjonsproblem.


Hva er egentlig behandlet?


Når ble det behandlet?


I hvilken rolle ble det behandlet?


Og hvorfor er alle deler av kravet fortsatt ikke etterkommet?


Hva ville Datatilsynet sagt til en privat virksomhet?

Her ligger den ubehagelige testen.


Hvis en bank, et forsikringsselskap, et advokatfirma eller en teknologileverandør hadde brukt 16 måneder uten å etterkomme alle deler av et innsynskrav etter GDPR artikkel 15 – hva ville Datatilsynet sagt?


  • Ville Datatilsynet akseptert at virksomheten svarte med dokumentoversikter?

  • Ville Datatilsynet akseptert at virksomheten blandet sammen innsyn etter GDPR med andre innsynsregimer?

  • Ville Datatilsynet akseptert at virksomheten viste til lang klagebehandlingstid?

  • Ville Datatilsynet akseptert at virksomheten etter 16 måneder fortsatt ikke hadde dokumentert full kartlegging av relevante systemer og behandlingsspor?


Svaret gir seg selv.


Datatilsynet ville ikke godtatt det fra andre.


Da bør Datatilsynet heller ikke godta det fra seg selv.


Når Datatilsynet reagerer mot andre – men pakker inn egen praksis i tåke

Det mest avslørende spørsmålet er ikke hva Datatilsynet sier om seg selv.


Det mest avslørende spørsmålet er hva Datatilsynet sier om andre.


For Datatilsynet har allerede vist at brudd på innsynsretten etter GDPR artikkel 15 kan få konsekvenser.


I Timegrip-saken ila Datatilsynet et overtredelsesgebyr på 250 000 kroner fordi ansatte ikke fikk innsyn i egne opplysninger om timeføring. Altså: Manglende innsyn etter artikkel 15 var ikke en formalitet. Det var et gebyrgrunnlag.


I saken mot Arbeidstilsynet ila Datatilsynet en irettesettelse fordi Arbeidstilsynet feilaktig hadde informert en klager om at personopplysninger ikke ble behandlet. Altså: Feilaktig eller mangelfull informasjon etter artikkel 15 var ikke en bagatell. Det var et brudd.


Personvernnemnda har også opphevet Datatilsynets vedtak i innsynssaker når Datatilsynet ikke har utredet og begrunnet saken godt nok. I PVN-2024-22 ble Datatilsynets avslutning av en innsynssak opphevet og sendt tilbake til ny behandling. Altså: Datatilsynet kan ikke bare lene seg på generelle vurderinger og avslutte en innsynssak uten reell, konkret og etterprøvbar behandling.


Dette er ikke perifere eksempler.


Dette er Datatilsynets og Personvernnemndas egen målestokk.


Og den målestokken må også gjelde for Datatilsynet selv.


  • Hvis andre behandlingsansvarlige kan få gebyr for manglende innsyn, hvorfor skal Datatilsynet slippe unna med 16 måneder uten full etterlevelse av et innsynskrav etter GDPR artikkel 15?

  • Hvis andre offentlige organer kan få irettesettelse for feilaktig informasjon om behandling av personopplysninger, hvorfor skal Datatilsynet kunne gi ufullstendige, skiftende og prosessuelt uklare svar uten konsekvens?

  • Hvis Personvernnemnda kan oppheve Datatilsynets vedtak når tilsynets behandling av en innsynssak er mangelfull, hvorfor skal Datatilsynet kunne holde en klage unna Personvernnemnda ved å si at det “ikke er fattet et forvaltningsrettslig vedtak”?


Dette er kjernen:


  • Datatilsynet har selv brukt sanksjoner mot andre for brudd på retten til innsyn.

  • Da kan ikke Datatilsynet behandle egen manglende etterlevelse som en administrativ misforståelse.

  • Det som er brudd hos andre, er ikke plutselig “saksbehandlingstid” hos Datatilsynet.

  • Det som er manglende innsyn hos andre, er ikke plutselig “tidligere besvart” hos Datatilsynet.

  • Det som er gebyrgrunnlag hos andre, kan ikke bli semantikk når kontrolløren selv sitter på tiltalebenken.


Når klagebehandlingstid brukes som røykteppe

Datatilsynet har i sakskomplekset vist til omfattende saksbehandlingstid på ett år for klager.


Men det er ikke et svar på et innsynskrav etter GDPR artikkel 15.


Dersom Datatilsynet svarer som behandlingsansvarlig, gjelder GDPR artikkel 12 nr. 3. Da er fristen én måned, med begrenset adgang til forlengelse.


En generell henvisning til lang klagebehandlingstid er da irrelevant.


Hvis Datatilsynet derimot viser til klagebehandlingstid, forteller det noe annet: At saken faktisk behandles som en klage- eller tilsynssak.


Og da oppstår neste spørsmål:


Hvorfor hevder Datatilsynet senere at de bare svarer som behandlingsansvarlig?


Dette er ikke semantikk. Det er rettssikkerhet.


Enten behandles saken som et innsynskrav etter GDPR artikkel 15. Da gjelder artikkel 12-fristen.


Eller så behandles saken som en klage. Da må den behandles som klage, med tilhørende prosessuelle rettigheter og eventuell oversendelse til Personvernnemnda.


Det tredje alternativet – et uformelt tåkelandskap hvor Datatilsynet er litt

behandlingsansvarlig, litt tilsynsorgan og litt portvokter mot klageorganet – bør ikke aksepteres i en rettsstat.


Behandlingsansvarlig eller klageinstans? Datatilsynet må velge rolle

Datatilsynet kan ikke skifte rolle etter prosessuelt behov.


Når Datatilsynet svarer som behandlingsansvarlig, er Datatilsynet den virksomheten som selv har behandlet personopplysningene.


Når Datatilsynet opptrer som tilsynsorgan, er Datatilsynet myndigheten som skal kontrollere om GDPR er fulgt.


Når Datatilsynet mottar klage over egen behandling av personopplysninger, oppstår en dobbeltrolle som krever særlig ryddighet.


Det må være klart:

  • hvem som behandlet innsynskravet,

  • hvem som vurderte klagen,

  • hvem som vurderte habilitet,

  • hvem som vurderte om saken skulle sendes til Personvernnemnda,

  • hvilket saksnummer som gjelder hvilket spor,

  • og hvilke organisatoriske skiller som er etablert.


Hvis dette ikke er klart, er det ikke bare et internt administrativt problem.


Det er et rettssikkerhetsproblem.


Habilitet: Forvaltningen skal ikke bare være upartisk – den skal se upartisk ut

Habilitet handler ikke bare om faktisk partiskhet.


Det handler også om tillit.


Forvaltningen skal ikke bare være nøytral. Den skal fremstå som nøytral.


Når Datatilsynet vurderer Datatilsynets egen behandling av personopplysninger, må terskelen for å dokumentere habilitet og organisatorisk skille være høy.


Det holder ikke å si: Stol på oss.


Det holder ikke å si: Vi har svart som behandlingsansvarlig.


Det holder ikke å si: Dette er ikke et forvaltningsrettslig vedtak.


Datatilsynet må vise hvordan rollene er skilt.


  • Hvem har gjort hva?

  • I hvilken rolle?

  • På hvilket grunnlag?

  • Med hvilken klageadgang?


Uten slike svar risikerer Datatilsynet å fremstå som både part, dommer og dørvakt.


Det er en dårlig rollebesetning for en tilsynsmyndighet.


Personvernnemnda må ikke stenges ute med tåkelegging

Personvernnemnda er klageorgan for Datatilsynets vedtak.


Hvis Datatilsynet treffer en avgjørelse som faktisk bestemmer den registrertes rett til innsyn, kan ikke Datatilsynet trylle bort klageadgangen ved å skrive at det ikke er fattet et forvaltningsrettslig vedtak.


Hva er det ellers, dersom Datatilsynet tar stilling til:

  • hvilke personopplysninger som behandles,

  • hvilke systemer som er undersøkt,

  • hvilke opplysninger som ikke finnes,

  • hvilke opplysninger som ikke gis ut,

  • hvilke unntak som brukes,

  • og hvilken klageadgang den registrerte har?


Det er ikke en uformell prat.


Det er en rettslig avgjørelse med betydning for den registrertes rettigheter.


Et rettssystem som lar forvaltningen definere bort klageadgang med språkbruk, har et hull der rettssikkerheten skulle stått.


Samfunnsperspektivet: Dette handler om mer enn én sak

Denne saken handler ikke bare om én registrert.


Den handler om makt.


Den handler om offentlig forvaltning.


Den handler om retten til å kontrollere dem som kontrollerer oss.


  • Hvis Datatilsynet kan bruke 16 måneder uten å etterkomme alle deler av et innsynskrav etter GDPR artikkel 15, hva signaliserer det til andre behandlingsansvarlige?

  • Hvis Datatilsynet kan blande sammen GDPR-innsyn med partsinnsyn, hvorfor skal ikke andre offentlige organer gjøre det samme?

  • Hvis Datatilsynet kan skifte mellom rollen som behandlingsansvarlig og tilsynsorgan uten tydelig prosessuell avklaring, hvor står borgeren da?

  • Og hvis Datatilsynet kan holde Personvernnemnda utenfor ved å kalle en avgjørelse noe annet enn et vedtak, hvor effektiv er egentlig klageadgangen?


Dette er ikke småjus.


Dette er forvaltningsmakt i praksis.


Konklusjon: Datatilsynet må tåle Datatilsynet-testen

Datatilsynet ville neppe akseptert at en privat virksomhet brukte 16 måneder uten å etterkomme alle deler av et innsynskrav etter GDPR artikkel 15.


Datatilsynet ville neppe akseptert at en virksomhet feilklassifiserte et GDPR-krav som dokumentinnsyn.


Datatilsynet ville neppe akseptert at en behandlingsansvarlig viste til klagekø for å forklare manglende etterlevelse av en én-månedsfrist.


Datatilsynet ville neppe akseptert at en virksomhet kontrollerte sin egen klagebehandling uten klar rolleavklaring.


Hvorfor skal Datatilsynet da akseptere det av seg selv?


Rettssikkerhet måles ikke i festtaler.


Den måles når borgeren ber makten om innsyn – og makten helst vil slippe.


Her er testen enkel:


Følg fristene. Skille rollene. Dokumenter habiliteten. Etterkom innsynskravet. Send klagen videre hvis vedtaket ikke omgjøres. Slutt å kalle et innsynskrav etter GDPR artikkel 15 for noe annet.


Call to Action

Har du sendt et innsynskrav etter GDPR artikkel 15 og fått et uklart, forsinket eller unnvikende svar?


Ikke godta tåkelegging.


Be om skriftlig fristavklaring. Krev konkret hjemmel for avslag eller begrensning. Krev oversikt over hvilke systemer og behandlingsspor som er undersøkt.Ikke godta at GDPR-innsyn blandes sammen med partsinnsyn. Purr skriftlig. Klag videre når forvaltningen lar saken skli.


Rettigheter som ikke brukes, dør stille.


Rettigheter som brukes, tvinger makten ut i lyset.


FAQ

Hva er et innsynskrav etter GDPR artikkel 15?

Det er retten til å få vite hvilke personopplysninger en behandlingsansvarlig behandler om deg, hvilke vurderinger som kan knyttes til deg, hvorfor de behandles, hvor de kommer fra, hvem de deles med, og å få kopi av opplysningene.


Er GDPR-innsyn det samme som partsinnsyn?

Nei. Partsinnsyn gjelder saksdokumenter i en forvaltningssak. GDPR-innsyn gjelder personopplysninger. Når forvaltningen blander dem sammen, svekkes rettighetene dine.


Hvor lang frist har en behandlingsansvarlig?

Hovedregelen er én måned. Fristen kan bare forlenges med inntil to måneder dersom vilkårene er oppfylt, og du må varsles innen én måned. Seksten måneder er ikke en frist. Det er et fareskilt.


Kan Datatilsynet være både behandlingsansvarlig og tilsynsmyndighet?

Ja, men ikke i tåkeland. Rollene må skilles tydelig. Habilitet må vurderes. Klageadgang må respekteres.


Hvorfor er denne saken viktig?

Fordi Datatilsynet er kontrolløren. Hvis kontrolløren selv ikke følger fristene og rollekravene i GDPR, blir personvernretten en fasade. Da handler saken ikke bare om innsyn. Den handler om makt.



English Short Version: Norway’s Data Protection Authority Has Already Spent 16 Months Without Fully Complying With a GDPR Article 15 Access Request

Norway’s Data Protection Authority, Datatilsynet, is supposed to enforce GDPR. But what happens when the authority itself becomes the controller?


In this case, a GDPR Article 15 access request was submitted on 5 February 2025. The request was explicit. It referred to GDPR Article 15, recital 63 and the European Data Protection Board’s guidance on the right of access.


Yet, after 16 months, all parts of the access request have still not been fully complied with.


That is not a minor delay. GDPR Article 12(3) requires controllers to respond without undue delay and, as a rule, within one month. Extensions are limited and must be justified.


The deeper problem is not only time. It is role confusion. Datatilsynet appears both as controller, supervisory authority, complaint handler and gatekeeper to the appeals body. If a private company had handled an access request this way, Datatilsynet would likely have reacted sharply.


The controller must be controlled – especially when the controller is the authority itself.


If the watchdog cannot follow the rules it enforces, the public has every reason to ask: who watches the watchdog?






Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page