top of page
Search

Når storkapitalen gjør saken ressurskrevende: Datatilsynet under press og redusert avskrekking.

  • 5 days ago
  • 6 min read

Introduksjon: Personvernbrudd skal ikke kunne druknes i prosess

Datatilsynet skal håndheve GDPR og personopplysningsloven. Ikke bare mot småbedrifter, kommuner og enkeltstående feil. Også mot de store konsernene, bankene, teknologimiljøene, lojalitetsprogrammene og kapitalsterke aktørene som faktisk har ressurser til å bygge omfattende systemer for innsamling og bruk av personopplysninger.


Men her oppstår et ubehagelig spørsmål:


Hva skjer når den som bryter personvernregelverket, også har ressursene til å gjøre håndhevingen dyr, langvarig og prosessuelt krevende?


Da holder det ikke at Datatilsynet konstaterer brudd i vedtak som knapt blir synlige for andre. Da må offentligheten få vite hva som skjedde, hvilke regler som ble brutt, hvilken reaksjon som ble valgt – og hvorfor gebyr, pålegg eller irettesettelse eventuelt ikke ble brukt.


Datatilsynet bør derfor publisere alle vedtak hvor det konstateres brudd på personvernregelverket, også når det ikke ilegges overtredelsesgebyr eller korrigerende tiltak.


I Datatilsynets egne tall blinker varsellampene

I årsrapporten for 2025 skriver Datatilsynet at bruk av korrigerende tiltak og sanksjoner gir mer omfattende prosesser og saksbehandling, og at tilsynet bevisst har forsøkt å unngå dette der det er mulig. Samme sted opplyser Datatilsynet at det i 2025 fattet 36 vedtak med sanksjoner eller korrigerende tiltak, ned fra 44 i 2024, og at det sendte ut 132 vedtak hvor det ble konkludert med brudd på personvernregelverket uten sanksjoner eller korrigerende tiltak.


Det er ikke en teknisk detalj. Det er en håndhevingspolitisk bekjennelse.


Selvsagt skal ikke Datatilsynet ilegge overtredelsesgebyr i alle saker. GDPR artikkel 83 krever konkrete vurderinger. Gebyr skal være effektivt, forholdsmessig og avskrekkende, og det skal blant annet legges vekt på overtredelsens art, alvor, varighet, skyldgrad, samarbeid, tidligere brudd og økonomiske fordeler.


Men når Datatilsynet konstaterer brudd og likevel ikke bruker synlige reaksjoner, må offentligheten få vite hvorfor.


For skjønn uten innsyn er ikke rettssikkerhet. Det er myndighetsmakt i halvmørke.


Den onde sirkelen: Mindre reaksjon, mindre offentlighet, mindre avskrekking

Problemet er ikke bare hvor mange overtredelsesgebyr som ilegges. Problemet er kombinasjonen:

  • Datatilsynet har begrensede ressurser.

  • Storkapitalen gjør saken ressurskrevende.

  • Sanksjoner og korrigerende tiltak krever mer saksbehandling.

  • Flere brudd avsluttes uten tiltak.

  • Mange slike saker publiseres ikke.

  • Andre virksomheter lærer mindre av praksis.

  • Risikoen ved lovbrudd oppleves lavere.

  • Avskrekkingen svekkes.


Slik oppstår en ond sirkel. Jo mindre synlig håndhevingen er, desto mindre lærer markedet. Jo mindre markedet lærer, desto svakere blir etterlevelsen. Og jo svakere etterlevelsen blir, desto mer press legges på et tilsyn som allerede mangler ressurser.


Et brudd som bare finnes i arkivet, avskrekker ingen.


Når storkapitalen kan gjøre håndhevingen dyr

Her kommer det mest ubehagelige poenget: Ressursmangel rammer ikke likt.


En liten virksomhet møter Datatilsynet med daglig leder, kanskje en ekstern rådgiver og begrenset evne til å føre saken videre. Norsk storkapital møter med advokatfirmaer, tekniske eksperter, personvernrådgivere, prosessfullmektiger og nok fakturaevne til å gjøre saken lang, tung og prinsipiell.


Det er ikke ulovlig. Rettssikkerhet gjelder også for store selskaper. Også kapitalsterke aktører har rett til kontradiksjon, forsvar, dokumentasjon og klage.


Men maktforholdet er ikke nøytralt.


Når den ene parten har prosesskapasitet nok til å vidløftiggjøre saken, og den andre parten er et offentlig tilsyn med stramme bevilgninger, oppstår en strukturell risiko: Håndhevingen kan bli dyrere jo sterkere motparten er.


Da blir spørsmålet brutalt:


Belønner systemet den som kan gjøre lovbruddet mest ressurskrevende å håndheve?


Dersom Datatilsynet velger minste motstands vei i tunge saker, får vi et personvernregime hvor håndhevingen ikke bare styres av lovbruddets alvor, men av motpartens prosesskraft.


Det er en rettsstatlig skjevhet forkledd som saksbehandlingsprioritering og ressursmangel.


GDPR krever ikke mekaniske gebyrer – men den krever reell håndheving

EU-domstolen har i Land Hessen slått fast at en tilsynsmyndighet ikke alltid er forpliktet til å bruke korrigerende myndighet eller ilegge overtredelsesgebyr når det er konstatert brudd på GDPR. Men domstolen knytter dette til om tiltak er nødvendig for å avhjelpe mangelen og sikre full håndheving av regelverket.


Det betyr: Datatilsynet har skjønn. Men skjønnet er ikke et mørkerom.


EDPBs retningslinjer om administrative gebyrer understreker at gebyrutmåling skal bygge på en konkret vurdering, og at gebyrer i hver enkelt sak skal være effektive, forholdsmessige og avskrekkende. Retningslinjene fremhever også at tilsynsmyndighetene fortsatt er bundet av prosessuelle plikter, inkludert plikten til å begrunne beslutninger.


Nettopp derfor må Datatilsynet forklare seg bedre:

  • Dersom gebyr ikke ilegges: hvorfor ikke?

  • Dersom pålegg ikke gis: hvorfor ikke?

  • Dersom irettesettelse ikke brukes: hvorfor ikke?

  • Dersom brudd konstateres, men saken avsluttes uten tiltak: hva skal da avskrekke neste lovbryter?


Stillhet er ikke håndheving.


Hva med norsk storkapital?

Datatilsynets side for «sentrale avgjørelser» er ikke en komplett oversikt. Tilsynet skriver selv at siden inneholder «noen sentrale avgjørelser» som kan ha betydning for andre virksomheter.


Per 29. mai 2026 viser siden 63 avgjørelser fordelt på årene 2021–2025: 2025: 2, 2024: 8, 2023: 7, 2022: 17, 2021: 29.

Legger man en streng forståelse av «norsk storkapital» til grunn – store norske konsern, børsnoterte selskaper eller tungt kapitaliserte private aktører – er det påfallende få klare eksempler. De tydeligste er Telenor ASA, Norwegian Air Shuttle ASA, SATS, Trumf og Mowi ASA. Telenor-saken gjaldt pålegg og gebyr for manglende oppfølging av personvernombud og internkontroll, Norwegian-saken gjaldt irettesettelse etter unødvendig krav om legitimasjon, SATS-saken gjaldt gebyr på 10 millioner kroner, Trumf-saken gjaldt gebyr på fem millioner kroner, og Mowi-saken gjaldt irettesettelse og pålegg.


Det betyr ikke at Datatilsynet aldri håndhever overfor store norske aktører. Det gjør de.


Men på listen over sentrale avgjørelser fremstår vedtak mot norsk storkapital som unntaket, ikke hovedregelen. Omtrent fem av 63 avgjørelser faller klart i denne kategorien, avhengig av definisjon.


Det reiser et spørsmål som fortjener offentlig debatt:


Er de største norske kapitalaktørene virkelig så mye flinkere til å etterleve GDPR – eller er håndhevingen mindre synlig der makten, pengene og prosesskraften sitter tyngst?


Forslag: Publiser alle bruddvedtak anonymisert

Datatilsynet bør innføre én enkel hovedregel:


Alle vedtak hvor det konstateres brudd på personvernregelverket, bør publiseres i sammendragsform.


Sammendragene bør minst inneholde:

  • type virksomhet

  • kort faktum

  • hvilke GDPR-regler som er brutt

  • hvorfor Datatilsynet mener det foreligger brudd

  • hvilken reaksjon som er valgt

  • hvorfor gebyr eller andre tiltak eventuelt ikke brukes

  • om vedtaket er endelig eller påklaget

  • om saken gjelder offentlig sektor, små virksomheter, store private aktører eller konsern


Dette handler ikke om å henge ut enkeltpersoner eller små virksomheter. Det handler om å vise hvor grensen går og avskrekking i praksis.


Forvaltningen sladder dokumenter hver dag. Taushetsplikt er ikke et argument mot offentlighet. Det er et argument for bedre publisering.


Datatilsynet bør lage en reaksjonsmatrise

Årsrapporten bør også inneholde en tydelig reaksjonsmatrise:

  • antall overtredelsesgebyr

  • antall irettesettelser

  • antall pålegg

  • antall advarsler

  • antall bruddvedtak uten tiltak

  • antall saker avsluttet med veiledning

  • antall ikke-brudd

  • hovedbegrunnelser for at tiltak ikke ble brukt

  • fordeling på sektor og virksomhetstype

  • fordeling mellom små, mellomstore og store virksomheter


Da får offentligheten vite mer enn bare hvor mange saker Datatilsynet behandler. Vi får vite hva personvernbrudd faktisk fører til.


Det er forskjellen på statistikk og ansvarliggjøring.


Konklusjon: Skjønn må tåle dagslys

Datatilsynet skal ikke ilegge gebyr i alle saker. Det ville vært juridisk useriøst.


Men det er heller ikke godt nok at brudd konstateres, arkiveres og forsvinner ut av offentligheten. Når Datatilsynet finner lovbrudd, må samfunnet få vite hva slags brudd det var, hvordan det ble vurdert, og hvorfor reaksjonen ble som den ble.


Ikke nødvendigvis med navn.

Ikke nødvendigvis med gebyr.

Men med åpenhet.


For når ressurssterke aktører kan gjøre håndhevingen dyrere, må Datatilsynet gjøre vurderingene mer synlige. Ellers risikerer vi et system hvor personvernbrudd ikke håndteres etter alvor, men etter motpartens evne til å tåkelegge, forlenge og prosessualisere saken.


En personvernmyndighet som vil ha tillit og avskrekking, kan ikke bygge praksis i mørket.


Call to Action

Datatilsynet bør gjøre full åpenhet om bruddvedtak til ny normal:


Publiser alle konstaterte brudd anonymisert eller sladdet – og forklar hvorfor reaksjonen ble som den ble.


Personvern handler ikke bare om regler. Det handler om konsekvenser.


FAQ

Skal Datatilsynet ilegge gebyr i alle saker?

Nei. GDPR krever konkrete vurderinger. Men når gebyr ikke ilegges, bør Datatilsynet forklare hvorfor.


Hvorfor er publisering viktig?

Fordi andre virksomheter må kunne lære av praksis. Hemmelige brudd skaper ikke etterlevelse og avskrekking.


Kan bruddvedtak publiseres uten å krenke personvernet?

Ja. De kan anonymiseres og sladdes. Prinsippet kan offentliggjøres selv om identiteten skjermes.


Er norsk storkapital fredet?

Det kan man ikke konkludere med. Men store norske kapitalaktører fremstår som få på listen over sentrale avgjørelser. Det alene fortjener debatt.


Hva er den strukturelle risikoen?

At ressurssterke virksomheter kan gjøre saker så omfattende at håndhevingen blir for dyr, for treg og for krevende for et underfinansiert tilsyn.


Norway’s DPA Must Stop Letting GDPR Breaches Disappear

Norway’s Data Protection Authority, Datatilsynet, does not have to impose administrative fines in every GDPR case. That would be bad law. GDPR Article 83 requires a concrete assessment: fines must be effective, proportionate and dissuasive.


But this is not an argument for automatic fines. It is an argument for transparency.


In its 2025 annual report, Datatilsynet stated that it issued 132 decisions where breaches of privacy law were found without sanctions or corrective measures. That should concern anyone who cares about enforcement.


The problem becomes sharper when viewed through resource asymmetry. Large companies can deploy lawyers, consultants, technical experts and procedural capacity to make supervisory cases complex and expensive. Smaller organisations cannot. If enforcement becomes most burdensome exactly where economic power is greatest, the system risks rewarding those who can make GDPR violations costly to pursue.


Datatilsynet should therefore publish anonymised or redacted summaries of all decisions where a GDPR breach is established. Each summary should explain the facts, the breached provisions, the chosen reaction, and why stronger measures were not used.

 
 
 

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page