top of page
Search

Når Datatilsynet (og Personvernnemnda) snur ryggen til utredningsplikten

  • troenaas
  • Sep 9
  • 3 min read
ree

Introduksjon

Datatilsynet – Norges vaktbikkje for personvern – liker å omtale seg selv som borgernes beskytter mot maktmisbruk og rettighetsbrudd. Men hva skjer når tilsynet selv overser sin egen plikt etter forvaltningsloven § 17? Når uriktige erklæringer legges til grunn i en GDPR-sak, og tilsynet trekker på skuldrene fordi forholdene «hører under andre myndigheter», står vi igjen med et ubehagelig spørsmål: Er Datatilsynet i ferd med å undergrave sin egen legitimitet?


Utredningsplikten er ikke valgfri

Forvaltningsloven § 17 er krystallklar: Et forvaltningsorgan skal påse at en sak er så godt opplyst som mulig før vedtak treffes. Det betyr at uriktige erklæringer ikke kan feies under teppet. At de er konstruert «ex post» i et forsøk på å dokumentere et allerede gjennomført GDPR-brudd, gjør dem ikke mindre relevante – tvert imot. De går rett til kjernen av faktum.


Forvaltningsloven § 17 pålegger forvaltningen både en utredningsplikt og en samordningsplikt. Denne plikten forsterkes av kravene i personvernforordningen:

  • GDPR artikkel 5 nr. 1 bokstav a og d, som krever at all behandling skal være lovlig, rettferdig, åpen og bygge på riktige opplysninger.

  • GDPR artikkel 31, som pålegger behandlingsansvarlige en samarbeidsplikt overfor tilsynsmyndighetene. Bevisst feilinformasjon eller ex post utarbeidede uriktige erklæringer er uforenlig med denne plikten.

  • GDPR artikkel 58, som gir Datatilsynet kompetanse til å innhente nødvendige opplysninger og kreve retting.

  • GDPR artikkel 83 nr. 5 bokstav e, som åpner for administrative bøter ved manglende samarbeid eller villedende informasjon til tilsynsmyndigheten.


Videre følger det av EDPB Guidelines on Administrative Fines) at fremlæggelse av uriktige eller villedende erklæringer skal anses som skjerpende momenter ved vurdering av sanksjoner.


På denne bakgrunn kan ikke Datatilsynet lovlig se bort fra dokumentert uriktige erklæringer, enten de er relevante for GDPR-vurderingen direkte eller indikerer mulige straffbare forhold. Enten må disse opplysningene inngå i Datatilsynets vurdering, eller så må de oversendes til rette myndigheter i tråd med samordningsplikten.


Hvorfor velger Datatilsynet å overse dette? Frykt for å måtte innrømme feil? Eller en bevisst strategi for å skyve ansvar over på domstoler, påtalemyndighet og Arbeidstilsynet?


Samordningsplikten – den glemte forpliktelsen

Utredningsplikten innebærer også en samordningsplikt. Dersom Datatilsynet avdekker forhold som kan tyde på dokumentfalsk eller uriktige forklaringer, kan de ikke late som om dette er irrelevant. De plikter å:

  • Vurdere bevisverdien av uriktige erklæringer i GDPR-sammenheng.

  • Oversende saken til rette myndigheter dersom straffbare forhold kan være på tale.


Å la være, er en saksbehandlingsfeil. Punktum.


Et spørsmål om rettssikkerhet

Når Datatilsynet snevrer inn sin egen vurdering til det de selv «anser relevant», skaper de en farlig presedens. Rettsikkerheten uthules når viktige bevismoment ikke vurderes. Er dette personvernmyndighetens nye doktrine – å gjøre minst mulig for å unngå ansvar?


Konklusjon

Datatilsynet kan ikke både påberope seg å være borgernes beskytter og samtidig se bort fra utrednings- og samordningsplikten. Når uriktige erklæringer ignoreres, og samordningsplikten brytes, er det ikke bare en saksbehandlingsfeil – det er et tillitsbrudd.


Spørsmålet er enkelt: Skal vi ha et Datatilsyn som faktisk verner om rettigheter, eller et tilsyn som gjemmer seg bak formaliteter?


Call to Action

Borgernes tillit til Datatilsynet står på spill. Krev åpenhet, krev redegjørelse – og krev at § 17 tas på alvor.


FAQ

Hva er forvaltningsloven § 17? En bestemmelse som pålegger forvaltningen å sørge for at en sak er så godt opplyst som mulig før vedtak treffes.

Hva er samordningsplikten? En plikt til å koordinere og videreformidle opplysninger til rette myndigheter dersom forhold faller utenfor eget ansvarsområde.

Kan Datatilsynet velge å overse uriktige erklæringer? Nei. Å ignorere slike opplysninger er en saksbehandlingsfeil.

Hvorfor er dette en rettssikkerhetsutfordring? Fordi borgere ikke kan stole på at alle relevante fakta blir vurdert før vedtak fattes.

Hva bør skje videre? Saken må vurderes på nytt, og eventuelle straffbare forhold oversendes påtalemyndigheten.


English Short Version

When the Data Protection Authority turns its back on the duty of investigation

Norway’s Data Protection Authority (Datatilsynet) claims to protect citizens’ rights. Yet in a GDPR case, it dismissed false declarations as “outside its mandate.” The result? A dangerous precedent: a watchdog that refuses to bite.


The duty of investigation is non-negotiable

Administrative Law §17 requires authorities to fully investigate before making decisions. False statements are not irrelevant – they strike at the core of the case. Ignoring them isn’t just lazy; it undermines justice.


The forgotten duty of coordination

With investigation comes coordination. When false evidence suggests perjury or forgery, Datatilsynet must:

  • Assess its weight in GDPR terms.

  • Forward it to prosecutors or relevant bodies. Failing to do so is a procedural error. Period.


Conclusion

A data protection authority that ignores its duties betrays trust. Citizens deserve guardians, not bureaucrats hiding behind formalities.


The question is clear: Do we want an authority that protects rights, or one that protects itself?


Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page