top of page
Search

Personvernets tannløse papirtiger: Datatilsynet.

  • May 12
  • 8 min read

Introduksjon: Når Datatilsynet gjør ressursmangel til håndhevingspolitikk

Datatilsynet skriver i årsrapporten for 2025 at det fattet 36 vedtak med sanksjoner eller andre korrigerende tiltak, ned fra 44 året før. Begrunnelsen er ikke at personvernbruddene ble mindre alvorlige. Begrunnelsen er langt mer urovekkende: en presset ressurssituasjon, behov for raskere løsning av saker, og at korrigerende tiltak og sanksjoner medfører mer omfattende prosesser som tilsynet «bevisst har forsøkt å unngå der det er mulig». Samtidig opplyser Datatilsynet at det fattet 132 vedtak hvor det ble konkludert med brudd på personvernregelverket uten sanksjoner eller korrigerende tiltak.


La oss si det enkelt: Når lovbrudd konstateres, men reaksjon uteblir fordi reaksjonen er arbeidskrevende, er vi ikke lenger bare i en diskusjon om prioritering. Vi er i en diskusjon om rettsstatens nerve.


For hva er GDPR verdt dersom brudd kan møtes med et skuldertrekk, bare fordi håndheving tar tid?


Faktaboks: Tallene Datatilsynet selv legger frem

I 2025 rapporterte Datatilsynet blant annet:

  • 5 532 nye saker

  • 1 848 klager fra privatpersoner

  • 667 vedtak og pålegg

  • 36 vedtak om korrigerende tiltak og sanksjoner

  • 132 vedtak med konstatert brudd, men uten sanksjon eller korrigerende tiltak

  • 463 brev med “påpeking av plikt”, omtrent dobbelt så mange som året før


Tallene viser et tilsyn under press. Men de viser også noe mer: en håndhevingsmodell hvor volum håndteres ved å gjøre reaksjonen mildere, smalere og mindre farlig for den som bryter regelverket.


Det er effektiv saksavvikling. Men er det effektiv rettsbeskyttelse?


GDPR artikkel 58: Datatilsynet har virkemidler — ikke pyntegjenstander

GDPR artikkel 58 gir tilsynsmyndighetene omfattende korrigerende myndighet. Datatilsynet kan blant annet gi irettesettelser, pålegg om å etterleve registrertes rettigheter, pålegg om å bringe behandling i samsvar med regelverket, begrense eller forby behandling, og ilegge overtredelsesgebyr. Artikkel 58 nr. 2 bokstav i sier også at gebyr kan ilegges i tillegg til eller i stedet for andre tiltak, avhengig av omstendighetene i hver enkelt sak.


Dette betyr ikke at Datatilsynet må ilegge gebyr i alle saker. Det betyr heller ikke at alle brudd automatisk skal møtes med maksimal straff. GDPR er ikke en bøteautomat.

Men det betyr at reaksjonsvalget må bygge på sakens forhold, ikke på tilsynets ubehag ved å bruke tid.


Ressursmangel kan forklare hvorfor saker tar lengre tid. Ressursmangel kan forklare behovet for prioritering. Men ressursmangel er noe annet enn en rettslig begrunnelse for å konstatere lovbrudd og deretter unnlate korrigerende tiltak fordi tiltaket krever prosess.

Det er forskjellen på prioritering og abdikasjon.


GDPR artikkel 83: Gebyrer skal være effektive, forholdsmessige og avskrekkende

GDPR artikkel 83 nr. 1 krever at overtredelsesgebyr i hvert enkelt tilfelle skal være effektive, forholdsmessige og avskrekkende. Ved vurderingen skal tilsynet blant annet se på overtredelsens art, alvor, varighet, skyld, tidligere overtredelser, samarbeid med tilsynet, berørte kategorier av personopplysninger og økonomiske fordeler oppnådd ved bruddet.

Legg merke til hva som ikke står der:“Datatilsynets saksbehandlingsbyrde.”


EDPB — European Data Protection Board, altså Det europeiske personvernrådet — understreker det samme i sine retningslinjer om overtredelsesgebyr. Beregningen og vurderingen må skje konkret, og resultatet må være effektivt, forholdsmessig og avskrekkende.


Enda mer sprengstoff ligger i EDPBs omtale av avskrekking: Et gebyr virker bare avskrekkende dersom det faktisk skaper en reell frykt for at gebyret blir ilagt. EDPB peker uttrykkelig på at sannsynligheten for at gebyr faktisk ilegges er relevant for avskrekking.

Der ligger problemet nakent på bordet.


Hvis budskapet til markedet blir at kompliserte, tidkrevende eller prosessvillige saker sjeldnere møtes med reaksjon, hva tror vi skjer? Tror vi virkelig at de mest profesjonelle aktørene blir mer lovlydige? Eller lærer de bare at den som gjør saken tung, gjør risikoen lett?


Den farlige logikken: Jo mer krevende saken er, desto mildere blir reaksjonen

Datatilsynets formulering skaper en pervers insentivstruktur.


Den behandlingsansvarlige som legger seg flat, rydder opp og dokumenterer feilen, kan få en normal vurdering. Den som derimot bestrider alt, trenerer, kompliserer, overlesser saken og gjør prosessen dyr, bidrar til at saken blir nettopp det Datatilsynet sier de forsøker å unngå: omfattende.


Da blir signalet dette:

Gjør saken arbeidskrevende nok, så øker sjansen for at Datatilsynet velger minste motstands vei.

Slik kan ikke et rettssystem bygges. Det er ikke avskrekking. Det er opplæring i prosessøkonomisk opportunisme.


“Påpeking av plikt” er ikke alltid håndheving

Datatilsynet opplyser at mange klagesaker besvares med veiledning til innklagede, såkalt “påpeking av plikt”. Tilsynet mener dette er effektivt sett opp mot de store saksmengdene, og i 2025 ble det sendt ut 463 slike brev.


I enkle saker kan dette være fornuftig. Ingen seriøs personvernjurist mener at alle mindre feil må møtes med gebyr. Veiledning har en plass. Dialog har en plass. Forholdsmessighet har en plass.


Men når veiledning blir standardsvaret også etter konstaterte brudd, og når korrigerende tiltak bevisst unngås fordi de gir mer arbeid, oppstår spørsmålet: Er dette fortsatt håndheving — eller bare høflig arkivering?


GDPR artikkel 57 pålegger tilsynsmyndigheten å overvåke og håndheve forordningen, behandle klager og undersøke klagens innhold i den utstrekning det er passende.


Håndheving kan ikke reduseres til et standardbrev dersom rettighetene faktisk er krenket og bruddet krever reparasjon, stans eller reell preventiv reaksjon.


Klagerens rettsstilling: Borgeren kan klage på brudd, men ikke på mildhet?

Dette blir særlig alvorlig i norsk praksis fordi klagerens mulighet til å angripe Datatilsynets reaksjonsvalg synes å være innsnevret etter GDPR.


Personvernvokteren har tidligere påpekt paradokset: Før GDPR ble klage over manglende overtredelsesgebyr realitetsbehandlet i Personvernnemnda, mens nyere praksis synes å stenge klageren ute når spørsmålet gjelder om Datatilsynet har reagert for mildt. Artikkelen viser også til Sivilombudets kritikk av at den registrerte ikke får et tilstrekkelig effektivt rettsmiddel dersom valg av korrigerende tiltak ikke kan prøves.


GDPR artikkel 78 gir rett til effektivt rettsmiddel mot rettslig bindende avgjørelser fra tilsynsmyndigheten, og artikkel 77 krever at klageren informeres om utfallet og muligheten for rettsmiddel.  EU-domstolen har dessuten slått fast at en klageavgjørelse fra en tilsynsmyndighet er underlagt full domstolsprøving etter artikkel 78 nr. 1.


Da blir den norske situasjonen krevende: Borgeren kan klage på personvernbrudd.


Datatilsynet kan konstatere brudd uten reaksjon. Og dersom borgeren ikke kan klage på at reaksjonen er fraværende eller for mild, hvem kontrollerer da håndhevingen?


Virksomheten kan klage når reaksjonen er for streng. Men borgeren stenges ute når reaksjonen er for svak. Det er ikke balanse. Det er institusjonalisert slagside.


Ressursmangel: Et norsk ansvar, ikke en unnskyldning overfor borgeren

Norge er bundet av GDPR gjennom EØS. Datatilsynet skriver selv at GDPR er innlemmet i EØS-avtalen og gjelder i Norge på samme måte som for EU-medlemsstater.


GDPR artikkel 52 nr. 4 pålegger staten å sørge for at tilsynsmyndigheten har menneskelige, tekniske og finansielle ressurser, lokaler og infrastruktur som er nødvendig for effektiv utførelse av oppgaver og utøvelse av myndighet.


Dette er ikke pyntespråk. Det er en plikt.


Datatilsynets hovedinstruks sier også at Datatilsynet skal føre tilsyn med og håndheve etterlevelse av regler om behandling av personopplysninger etter personopplysningsloven og GDPR artikkel 58. Samtidig har departementet det overordnede administrative og budsjettmessige ansvaret, uten å gripe inn i tilsynets faglige uavhengighet.


Dermed må ansvaret plasseres riktig: Datatilsynet skal ikke instrueres i enkeltsaker. Men staten må sørge for at tilsynet faktisk kan håndheve loven.


Og her blir årsrapporten selv et bevisdokument. Datatilsynet skriver at effektivisering alene ikke er tilstrekkelig for å ivareta oppdraget fullt forsvarlig, og at økende sakstilfang, kompleksitet og nye oppgaver har betydning for departementets styring og oppfølging. I fremtidsvurderingen går tilsynet enda lenger: Manglende ressurser til oppgaver som tilsyn og målrettet veiledning vil “i verste fall føre til brudd på forordningens krav”.


Det er en oppsiktsvekkende erkjennelse.


Når tilsynet selv varsler at ressursmangel kan føre til brudd på GDPR, bør departementet lytte. Ikke med etatsstyringens dempede nikking, men med budsjettmessig alvor.


Det mest relevante i årsrapporten utover sitatet

Ja, det er flere forhold i årsrapporten som bør inn i blogginnlegget:


1. Saksvolumet øker kraftig

Antall klager fra privatpersoner økte fra 902 i 2024 til 1 848 i 2025. Datatilsynet peker særlig på KI-genererte klager som mer omfattende og ressurskrevende.


Dette forklarer presset. Men det frikjenner ikke reaksjonsnivået.


2. Reaksjonsnivået faller samtidig som vedtaksmengden øker

Datatilsynet fattet flere vedtak og pålegg totalt, men færre vedtak om korrigerende tiltak og sanksjoner. Dette er kjernen: mer produksjon, mindre håndhevingstyngde.


3. Bare et fåtall økonomiske reaksjoner

Årsrapporten viser blant annet overtredelsesgebyr på 250 000 kroner til Kristiansand kommune og 4 millioner kroner til Telenor ASA, sistnevnte til klagebehandling. Det er ikke mengden som er avgjørende alene, men sett opp mot 132 bruddvedtak uten tiltak reiser dette et prinsipielt spørsmål om hvor terskelen faktisk ligger.


4. Datatilsynet sier selv at korrigerende tiltak virker preventivt

På side 6 i årsrapporten fremhever Datatilsynet at korrigerende tiltak og sanksjoner kan virke preventivt. Det gjør årets senere formulering enda mer problematisk: Tilsynet vet at reaksjoner virker preventivt, men sier samtidig at slike reaksjoner bevisst er forsøkt unngått der det er mulig.


5. Ressursmangel handler også om kapasitet til å bruke bevilgningen

Årsregnskapet viser at Datatilsynet søker å overføre 4,349 millioner kroner til 2026. Forklaringen er blant annet for høy prognose mot Statens pensjonskasse og perioder med ubesatte stillinger.


Dette bør ikke brukes som et enkelt argument om at «Datatilsynet hadde penger til overs». Slik retorikk blir for lettvint. Men tallet viser likevel noe viktig: Ressurskrisen handler ikke bare om størrelsen på bevilgningen. Den handler også om bemanning, rekruttering, ubesatte stillinger, intern kapasitet og evnen til å omsette budsjettmidler til faktisk håndheving.


Når tilsynet samtidig opplyser at sanksjoner og korrigerende tiltak bevisst er forsøkt unngått fordi de krever mer saksbehandling, blir spørsmålet ikke bare om Datatilsynet har nok penger. Spørsmålet er om Norge har organisert og finansiert personvernhåndhevingen slik GDPR krever.


Konklusjon: Effektivitet kan ikke bli et skjold for svak eller manglende håndheving

Datatilsynet har et legitimt problem: flere saker, mer kompleksitet, KI-genererte klager og begrensede ressurser. Men løsningen kan ikke være at brudd på GDPR møtes med stadig mildere reaksjoner fordi ekte håndheving er arbeidskrevende.


Ressursmangel kan forklare en krise. Den kan ikke bli rettskilde.


Når tilsynet konstaterer brudd, må reaksjonsvalget begrunnes i lovens kriterier: alvor, risiko, skyld, skade, gjentakelse, samarbeid, behov for gjenoppretting og avskrekking. Ikke i at korrigerende tiltak tar tid.


For dersom håndheving blir for brysomt for håndheveren, blir rettighetene for tilfeldige for borgeren.


Og da har vi fått et personvern på papiret, et tannløst tilsyn — og et frikort i praksis.


Call to Action

Datatilsynet og Digitaliserings- og forvaltningsdepartementet bør svare offentlig på tre spørsmål:


  1. Hvilket rettslig grunnlag har Datatilsynet for å unnlate korrigerende tiltak etter konstaterte GDPR-brudd fordi tiltakene gir mer saksbehandling?

  2. Hvordan sikres avskrekkende effekt når 132 bruddvedtak avsluttes uten sanksjoner eller korrigerende tiltak?

  3. Vil departementet sikre ressursene GDPR artikkel 52 krever — eller akseptere at Norge bygger personvern på kølapp og kapasitetsmangel?


Personvern er ikke et servicekontor. Det er en rettighet. Og rettigheter som ikke håndheves, er bare brosjyretekst.


FAQ

Kan Datatilsynet velge bort overtredelsesgebyr i enkeltsaker?

Ja. GDPR krever ikke gebyr i alle saker. Men valget må bygge på konkrete lovlige kriterier, ikke på at gebyrsaker er arbeidskrevende.


Kan Datatilsynet konstatere brudd uten korrigerende tiltak?

I noen helt spesielle tilfeller kan det tenkes at bruddet er opphørt og at videre tiltak ikke er nødvendig. Men som generell praksis er det rettslig og demokratisk problematisk. Et lovbrudd uten konsekvens er en invitasjon.


Er ressursmangel et gyldig moment etter GDPR artikkel 83?

Ikke som reaksjonsformildende moment for den behandlingsansvarlige. Artikkel 83 handler om overtredelsen og overtrederen — ikke om tilsynets kalender.


Bryter dette kravet om avskrekking?

Det kan det gjøre dersom praksisen gir virksomheter grunn til å tro at alvorlige eller kompliserte saker ikke får reell reaksjon. Avskrekking forutsetter at reaksjon faktisk kan forventes.


Har Norge plikt til å gi Datatilsynet nok ressurser?

Ja. GDPR artikkel 52 nr. 4 krever at staten sikrer nødvendige menneskelige, tekniske og finansielle ressurser for effektiv utførelse av tilsynets oppgaver.


Can Norway’s Data Protection Authority avoid sanctions because enforcement takes work?

Norway’s Data Protection Authority has admitted something remarkable in its 2025 annual report: it deliberately tried to avoid corrective measures and sanctions where possible because such measures require more extensive procedures and casework. At the same time, it issued 132 decisions finding GDPR breaches without imposing sanctions or corrective measures.


That is not just an administrative footnote. It is a warning sign.


GDPR does not require fines in every case. But when breaches are established, the choice of reaction must be based on legal criteria: seriousness, duration, intent, harm, cooperation, previous infringements and deterrence. The regulator’s own workload is not a legal defence for the controller — and should not become a shortcut for the regulator.


EDPB guidance makes the point sharper: fines must be effective, proportionate and dissuasive. Deterrence depends not only on the size of a fine, but on the real likelihood that a fine will actually be imposed. If complex or resource-heavy cases are less likely to trigger sanctions, the message to repeat offenders is obvious: make the case difficult, and the risk goes down.


Norway is bound by GDPR through the EEA. Under Article 52, the state must ensure that the supervisory authority has the human, technical and financial resources necessary to perform its tasks effectively.

 
 
 

Comments

Rated 0 out of 5 stars.
No ratings yet
Add a rating

Har du et spørsål eller en kommentar? Ta kontakt med Personvernvokteren idag.

Takk for at du tar kontakt

© 2021 Personvernvokteren. All rights reserved.

Privacy policy

bottom of page