Introduksjon

Datatilsynet vet nå hva retten krever. Det er ikke lenger tvil om at klager etter personvernforordningen artikkel 77 skal behandles, og at reelle avslutninger ikke kan kamufleres som uforpliktende prioriteringsgrep. Likevel viser Datatilsynets saksmanual for 2026 at problemet ikke er borte. Det er bare blitt mer sofistikert.

Det er heller ikke mulig å lese 2026-manualen isolert, som om den lever i et juridisk vakuum.

Den må leses i lys av det som tidligere er dokumentert offentlig: først Aftenpostens avdekking av at over 200 personer ble fratatt klagerett, og deretter Personvernvokterens egen dokumentasjon av at praksisen etter alt å dømme fortsatte også i 2024 og 2025. Det ene innlegget konkluderte i praksis med at Datatilsynet ofret rettssikkerheten på effektivitetens alter. Det andre gikk enda lenger og beskrev en situasjon der tilliten til tilsynet var brutt ned og politisk opprydding var nødvendig.

Spørsmålet er derfor ikke bare hva manualen sier. Spørsmålet er langt skarpere: Er 2026-manualen et brudd med fortiden – eller bare en mer juridisk polert metode for å fortsette den?

2026-manualen erkjenner det Datatilsynet lenge motsatte seg

Det mest prinsipielle ved 2026-manualen er at den ikke lenger kan opprettholde den gamle fortellingen om at slike saker faller utenfor vedtaks- og klagesporet. Manualen bygger på at klager etter GDPR artikkel 77 må behandles, og at Datatilsynet bare har et begrenset handlingsrom når det gjelder hvor omfattende undersøkelsene skal være. Den legger også opp til vedtaksspor i saker der det konkluderes med brudd eller ikke-brudd.

Det er i seg selv et sammenbrudd for Datatilsynets gamle rettslige posisjon. Når et tilsyn først bruker år på å nekte borgerne klagerett, for så å innrømme gjennom egne styringsdokumenter at slike saker faktisk må behandles og ofte må avsluttes ved vedtak, er det ikke en justering. Det er en tilståelse – bare skrevet på forvaltningsspråk.

Men den virkelige testen ligger i det Datatilsynet kaller “forenklet saksbehandling”

Og her kommer problemet tilbake.

2026-manualen opprettholder et eget spor for forenklet saksbehandling i flere typer klagesaker: saker om uoppfylte rettigheter, kameraovervåking i naboforhold, mindre alvorlige brudd, saker der brudd anses lite sannsynlig, og saker som anses egnet for løsning per telefon.

"Påpeking av plikt” fremstår som et prosesskritt – men kan fungere som en sluttbehandling

I dette sporet beskriver manualen en modell der Datatilsynet sender “påpeking av plikt” til virksomheten og et informasjonsbrev til klager. Deretter kan saken lukkes i saksbehandlingssystemet P360. Hvis klager ikke kommer tilbake, kan Datatilsynet legge til grunn at saken er løst eller avsluttet fra deres side.

Det er her den juridiske kjernen ligger. For GDPR bryr seg ikke om hva Datatilsynet velger å kalle et brev. GDPR bryr seg om rettsvirkningen. Hvis virkningen er at klagen faller ut av aktiv behandling, at videre behandling krever nytt initiativ fra borgeren, og at det ikke gis ordinær informasjon om klagerett eller rettsmiddel, da har man i realiteten skapt et slags skyggespor: ikke formelt avvist, men like fullt effektivt lukket.

Det er en farlig konstruksjon. For det er nettopp slik rettigheter uthules i praksis – ikke ved åpne avslag, men ved prosedyrer som lar retten fordampe i stillhet.

Datatilsynets egen etikett er ikke avgjørende

Manualen sier uttrykkelig at brevet til klager i disse sporene ikke anses som en avvisning, at Datatilsynet ikke har konkludert i saken, og at det derfor ikke gis informasjon om klagerett.

Men dette er et klassisk feilspor. Et forvaltningsorgan kan ikke bestemme rettsstillingen alene ved å gi et svakere navn til et sterkere inngrep. En realitetsnær vurdering må spørre: Hva skjer faktisk med klagen? Hvis svaret er at saken legges bort med mindre klager selv trekker den opp igjen, er dette ikke lenger et nøytralt mellomsteg. Det er en materiell beslutning forkledd som prosess.

Derfor må 2026-manualen leses sammen med de senere blogginnleggene

Her blir henvisningen til de to tidligere innleggene hos Personvernvokteren avgjørende.

Innlegget om Aftenpostens sak trekker den prinsipielle konklusjonen at Datatilsynet fratok over 200 borgere en grunnleggende rettighet, og at ressursargumentet ikke kan brukes som unnskyldning for å svekke selve retten til å klage. Hovedbudskapet er enkelt og brutalt: når effektivitet brukes som vern mot kontroll, er det rettssikkerheten som taper.

Det andre innlegget går enda lenger. Der er det dokumentert, basert på saksdokumenter fra 2024 og 2025, at praksisen ikke bare var historisk, men pågående. Flere saker listes opp som eksempler på avslutningsbrev uten klageinformasjon, og innleggets konklusjon er at dette ikke lenger kan avfeies som uklar praksis eller gammel feilforståelse, men må forstås som en vedvarende rettssikkerhetssvikt som krever opprydding fra departement og Storting.

Og det er nettopp dette som gjør 2026-manualen så problematisk: Den må ikke vurderes mot Datatilsynets egne forsikringer, men mot de faktiske sporene den legger for praksis. Når manualen fortsatt åpner for et løp der reelle klager kan gli ut av formell behandling uten klageinformasjon, samtidig som senere dokumentasjon hevder at dette faktisk fortsatt skjer, blir manualen ikke et frikjennende dokument. Den blir et mulig bevis på hvorfor praksisen kunne fortsette.

GDPR tåler ikke dette

Det er ikke bare et spørsmål om god eller dårlig norsk forvaltningsskikk. Det er et spørsmål om EØS-rettslig lojalitet og rettslig forrang.

GDPR gjelder som norsk lov, og ved motstrid går forordningen foran annen norsk lovgivning om samme forhold. Det betyr at forvaltningsloven ikke kan brukes på en måte som reduserer de rettighetene GDPR gir klageren. Og det betyr i enda større grad at en intern saksmanual ikke kan brukes til å skape praktiske unntak fra disse rettighetene.

Hvis et spor i manualen brukes til å avslutte en artikkel 77-klage uten vedtak, uten begrunnelse som utløser reelle rettsmidler, og uten tydelig informasjon om hvordan klageren kan gå videre, er man i klar juridisk risikosone. Da er ikke spørsmålet om manualen er elegant formulert. Da er spørsmålet om den faktisk åpner for en praksis som GDPR ikke tillater.

2026-manualen er bedre enn 2016 – men det er en mager trøst

Ja, 2026-manualen er bedre enn 2016-manualen. Den inneholder flere korrekte rettslige premisser. Den erkjenner behandlingsplikt. Den åpner for vedtak. Den viser at Datatilsynet ikke lenger kan forsvare den gamle læren fullt ut.

Men det er en farlig komfort i å si at noe er “bedre”. Bedre enn tidligere er ikke en høy terskel. Spørsmålet er om manualen er god nok til å sikre borgernes rettigheter i møte med en myndighet som allerede er blitt kritisert for å misforstå loven og frata borgere klagerett. På det punktet er svaret etter min vurdering nei.

For når et organ først har brukt år på å tøye grensene for klageretten, og deretter skriver en ny manual som fortsatt bevarer en gråsone mellom “behandling” og “reell avslutning”, da er det ikke nøktern administrasjon. Det er institusjonell uvilje til full kontroll.

Manualen løser ikke problemet – den flytter det

Datatilsynets 2026-manual er ikke bevis på at alt er ryddet opp. Den er bevis på at problemet er blitt mer raffinert.

Manualen viser at Datatilsynet nå forstår at artikkel 77-klager må behandles, og at noen avslutninger må være vedtak med klageinformasjon. Men den viser også at tilsynet fortsatt vil bevare et mellomspor der saken kan falle ut av aktiv behandling uten ordinær opplysning om klagerett.

Det er derfor treffende å lese manualen i lys av konklusjonene fra de to tidligere blogginnleggene på Personvernvokteren: først at Datatilsynet lot effektivitet gå foran borgernes klagerett, og deretter at praksisen ifølge dokumentasjonen ikke stanset, men fortsatte under nye forklaringer. Når det er bakteppet, blir 2026-manualen ikke et reparasjonsbevis. Den blir et dokument som fortsatt må møtes med offentlighet, kontroll og mistanke.

Et tilsyn som krever ansvarlighet av andre, må tåle å bli målt med samme målestokk selv. Hvis ikke ender vi i den mest ubehagelige av alle demokratiske situasjoner: et kontrollorgan som krever innsyn, begrunnelse og lovlydighet fra alle andre – men som selv vil operere i halvmørket.

Call to Action

Del innlegget. Krev at Datatilsynet offentliggjør en entydig instruks: Alle reelle avslutninger av artikkel 77-klager skal være skriftlige, begrunnede og ledsaget av klar informasjon om klagerett og videre rettsmidler. Alt annet innebærer en uthuling av rettssikkerheten.

FAQ

Er 2026-manualen bedre enn tidligere praksis?

Ja. Men den er fortsatt ikke trygg nok. Den bygger inn et spor som kan fungere som en de facto avslutning uten klageinformasjon.

Hvorfor er de tidligere blogginnleggene relevante?

Fordi de viser hvordan manualens svake punkter kan få praktiske konsekvenser. Det ene innlegget bruker Aftenpostens avsløring til å vise at klagerett ble fratatt over 200 personer. Det andre hevder at praksisen fortsatte også etter at Datatilsynet sa den var endret.

Er “påpeking av plikt” i seg selv ulovlig?

Nei, ikke nødvendigvis. Problemet oppstår når dette brukes som et funksjonelt sluttpunkt uten tydelig rettsmiddelinformasjon.

Hvorfor er dette også et GDPR-problem?

Fordi GDPR krever reell behandling av klager og effektive rettsmidler ved avvisning, forkastelse eller manglende håndtering. En intern manual kan ikke redusere disse rettighetene.

Hva er den skarpeste kritikken av 2026-manualen?

At den ikke avskaffer gråsonen. Den forsøker å regulere den. Og nettopp der ligger risikoen.

The Norwegian DPA’s 2026 Manual: Appeal Rights on Paper, Rights Lost in Practice

Meta description: Norway’s Data Protection Authority says GDPR complaints are handled, yet its 2026 manual still leaves room for rights without remedies.

The Norwegian DPA’s 2026 manual must not be read in isolation. It has to be read against what was earlier documented publicly: first, that more than 200 citizens were denied appeal rights, and second, that later documentation claimed the same practice continued into 2024 and 2025.

Yes, the manual is better than the old line. It now accepts that GDPR Article 77 complaints must be handled and that some closures require formal decisions. But it still preserves a “simplified processing” track built around guidance and “pointing out obligations,” where cases may fall out of active treatment without ordinary information on appeal rights.

That is the core problem. Under GDPR, the issue is not what the authority calls the step. The issue is what the step does. If the practical effect is that the complaint is shelved unless the complainant pushes again, then this is dangerously close to a dismissal in substance.

That is why the earlier blog posts matter. One concluded that appeal rights had been sacrificed in the name of efficiency. The next concluded that the practice had not really stopped at all, and that political intervention was now required.

Conclusion: the 2026 manual does not solve the problem. It relocates it. And when a regulator writes itself a grey zone after years of criticism, trust does not recover. It collapses.