Innledning

Personvernnemnda er klageorganet for Datatilsynets vedtak. For mange privatpersoner er nemnda siste reelle mulighet til å få prøvd om Datatilsynet har behandlet en personvernsak riktig.

Derfor er det avgjørende at klagebehandlingen er reell.

Ikke bare formell.

Ikke bare delvis.

Og ikke begrenset til de spørsmålene klageorganet selv finner mest bekvemme å behandle.

Når en klager fremsetter sentrale anførsler som ligger innenfor klagesaken, og disse kan ha betydning for utfallet, må klageren kunne forvente at anførslene faktisk blir vurdert.

Hvis ikke, oppstår et grunnleggende rettssikkerhetsproblem.

Personvernnemnda kan prøve alle sider av saken

Forvaltningsloven § 34 bygger på et klart utgangspunkt: Når en klage tas under behandling, kan klageinstansen prøve alle sider av saken.

Dette er også slik Personvernnemnda selv beskriver sin rolle. Nemnda opplyser at den kan prøve alle sider av saker som tas til behandling, herunder Datatilsynets skjønnsutøvelse.

Det betyr at Personvernnemnda ikke bare kan kontrollere om Datatilsynet har fulgt riktig saksbehandling. Nemnda kan også vurdere faktum, rettsanvendelse, bevisvurdering og skjønnsutøvelse.

Dette er viktig. Klageordningen skal ikke være en ren formalitet. Den skal gi den enkelte en reell mulighet til å få prøvd om Datatilsynet har gjort en riktig vurdering.

«Kan» betyr ikke at sentrale anførsler kan ignoreres

Det er riktig at forvaltningsloven bruker ordet «kan». Klageinstansen kan prøve alle sider av saken.

Men dette må ikke misforstås.

Ordet «kan» betyr at klageinstansen har kompetanse til å prøve alle sider. Det betyr ikke at klageinstansen står fritt til å ignorere vesentlige anførsler som er relevante for utfallet.

Det avgjørende skillet går mellom perifere argumenter og sentrale klagepunkter.

Ingen kan kreve at et forvaltningsorgan kommenterer hver eneste detalj i en klage. Men dersom en anførsel:

1. ligger innenfor klagesaken,

2. er uttrykkelig gjort gjeldende,

3. og kan påvirke resultatet,

da er det vanskelig å se hvordan klagebehandlingen kan være reell dersom anførselen ikke behandles.

En klageinstans som hopper over avgjørende spørsmål, har ikke fullt ut prøvd saken.

Sivilombudet skjerper bildet

Sivilombudets uttalelse i 2024/4601 om klagerett over Datatilsynets vedtak gjør dette enda tydeligere.

Ombudet har lagt til grunn at en klager i en GDPR-sak i utgangspunktet har rett til domstolskontroll av alle sider av Datatilsynets vedtak i saken. Dette omfatter ikke bare spørsmålet om det foreligger et personvernbrudd, men også om Datatilsynet har behandlet saken på en måte som gir effektiv rettsbeskyttelse, og om valget av korrigerende tiltak ligger innenfor den skjønnsmarginen Datatilsynet har etter GDPR.

Dette er et sentralt poeng.

For dersom en klager har krav på domstolskontroll av alle sider ved Datatilsynets avgjørelse, er det vanskelig å forsvare at den Personvernnemnda skal kunne avskjære eller unnlate å realitetsbehandle de samme spørsmålene.

Personvernnemnda er nettopp ment å være et lavterskelalternativ til domstolene.

Klageordningen mister mye av sin funksjon dersom den enkelte må gå til domstolene for å få prøvd spørsmål som klageorganet selv kunne og burde ha behandlet.

Reaksjonsvalget er ikke et sidespor

Et særlig viktig punkt gjelder Datatilsynets valg av reaksjon.

I personvernsaker kan Datatilsynet velge ulike korrigerende tiltak. Det kan for eksempel gis veiledning, pålegg, irettesettelse eller overtredelsesgebyr.

For den registrerte er reaksjonsvalget ofte ikke et teknisk sidespørsmål. Det kan være selve kjernen i saken.

Dersom Datatilsynet konstaterer brudd på personvernregelverket, men velger en mild reaksjon, kan klageren ha en legitim interesse i å få prøvd om reaksjonen var tilstrekkelig, forholdsmessig og egnet til å sikre effektiv håndheving.

Sivilombudets uttalelse peker nettopp i denne retningen: Reaksjonsvalget kan være en del av den kontrollen klageren har krav på.

Det betyr ikke at klageren har krav på en bestemt reaksjon, for eksempel overtredelsesgebyr. Men det betyr at klageren kan ha krav på at valget av reaksjon blir reelt vurdert.

Det er en viktig forskjell.

Når vesentlige anførsler forsvinner

Problemet oppstår når Personvernnemnda tar en sak til behandling, men unnlater å behandle sentrale anførsler.

Det kan for eksempel gjelde anførsler om at:

• Datatilsynet ikke har vurdert alle relevante personvernbrudd,

• saken ikke er tilstrekkelig opplyst,

• Datatilsynet har lagt feil faktum til grunn,

• Datatilsynet har tolket GDPR feil,

• reaksjonsvalget er mangelfullt begrunnet,

• eller at valget av korrigerende tiltak ikke gir effektiv rettsbeskyttelse.

Dersom slike anførsler er tydelig reist og kan ha betydning for resultatet, bør de behandles uttrykkelig.

Hvis ikke, blir det uklart om nemnda faktisk har vurdert dem, eller om de ganske enkelt er oversett.

Begge deler er problematisk.

Manglende behandling kan være en saksbehandlingsfeil

Dersom Personvernnemnda unnlater å behandle en vesentlig anførsel, kan det utgjøre en saksbehandlingsfeil.

Det gjelder særlig der anførselen kunne ha påvirket utfallet.

En slik feil kan knyttes til flere grunnleggende krav i forvaltningsretten:

• kravet til reell klagebehandling,

• kravet til forsvarlig utredning,

• kravet til begrunnelse,

• retten til kontradiksjon,

• og prinsippet om effektiv rettsbeskyttelse.

Poenget er ikke at nemnda alltid må gi klageren medhold.

Poenget er at klageren har krav på at de sentrale spørsmålene faktisk vurderes.

En avvisning, en taushet eller en summarisk formulering er ikke nødvendigvis nok dersom anførselen går til kjernen av saken.

Informasjon til klager skaper berettigede forventninger

Når Personvernnemnda selv opplyser til klageren at den kan prøve alle sider av saken, skaper det en forventning om at sentrale deler av saken faktisk blir vurdert.

Dette er ikke nødvendigvis et selvstendig løfte som alene gjør et senere vedtak ugyldig.

Men det er relevant for vurderingen av om klagebehandlingen har vært forsvarlig.

Klageren innretter seg etter den prosessen nemnda beskriver.

Dersom nemnda opplyser at den kan prøve alle sider av saken, men i praksis unnlater å behandle et sentralt spørsmål, oppstår et avvik mellom det klageren er forespeilet og det klageren faktisk får.

Det svekker tilliten til klageordningen.

Lavterskel klageordning eller prosessuell blindgate?

Formålet med Personvernnemnda er å gi borgere og virksomheter en administrativ klagemulighet uten å måtte gå direkte til domstolene.

Det er viktig fordi domstolsbehandling ofte er kostbart, tidkrevende og risikofylt.

Men dersom nemnda ikke realitetsbehandler sentrale deler av klagen, blir klageordningen mindre effektiv. Da kan klageren bli tvunget til å gå til domstolene for å få prøvd spørsmål som burde vært avklart administrativt.

Det er verken effektivt eller rettssikkert.

En lavterskelordning må være mer enn en postkasse for misnøye. Den må være en reell kontrollmekanisme.

Det avgjørende spørsmålet

Det sentrale spørsmålet er derfor ikke bare om Personvernnemnda formelt hadde kompetanse til å prøve alle sider av saken.

Det hadde den.

Spørsmålet er om nemnda faktisk behandlet de sidene av saken som klagen ga grunn til å behandle.

Dersom svaret er nei, må man stille et nytt spørsmål:

Har klageren da fått den overprøvingen loven, klageordningen og prinsippet om effektiv rettsbeskyttelse forutsetter?

Konklusjon

Personvernnemnda har en sentral rolle i norsk personvernrett. Nemnda skal kontrollere Datatilsynets vedtak og sikre at klagere får en reell administrativ overprøving.

Når en sak tas til behandling, og klageren reiser vesentlige anførsler som ligger innenfor klagesaken og kan påvirke utfallet, må disse anførslene behandles.

Sivilombudets uttalelse om klagerett over Datatilsynets vedtak styrker dette utgangspunktet. Den viser at klagerens rett til effektiv kontroll i GDPR-saker kan omfatte alle sider av Datatilsynets avgjørelse, også reaksjonsvalget.

Det betyr ikke at klageren alltid skal få medhold.

Men det betyr at klageren skal få en reell vurdering.

For hvis klageorganet kan velge bort de mest sentrale spørsmålene, er ikke klagebehandlingen lenger et effektivt rettsmiddel.

Da blir den en formalitet.

Og i personvernsaker er formaliteter ikke nok.

Call to action

Har du opplevd at Datatilsynet eller Personvernnemnda ikke har behandlet sentrale deler av din klage?

Da bør du undersøke om anførslene dine faktisk er vurdert i vedtaket. Dersom sentrale klagepunkter er utelatt, kan det være grunnlag for å be om ny vurdering, klage til Sivilombudet eller vurdere domstolsprøving.

Rettssikkerhet forutsetter at myndighetene ikke bare svarer, men faktisk behandler saken.

FAQ

Kan Personvernnemnda prøve alle sider av en sak?

Ja. Personvernnemnda kan prøve alle sider av saker som tas til behandling, også Datatilsynets skjønnsutøvelse.

Betyr det at nemnda må kommentere alle argumenter?

Nei. Men nemnda bør behandle vesentlige anførsler som ligger innenfor klagesaken og kan påvirke utfallet.

Kan reaksjonsvalget påklages?

Sivilombudet har lagt til grunn at klageren i en GDPR-sak kan ha rettslig klageinteresse også i Datatilsynets valg av korrigerende tiltak. Det betyr ikke at klageren har krav på en bestemt reaksjon, men at reaksjonsvalget kan måtte realitetsbehandles.

Hva er reaksjonsvalg?

Reaksjonsvalg er Datatilsynets valg av korrigerende tiltak etter et konstatert personvernbrudd. Det kan for eksempel være irettesettelse, pålegg eller overtredelsesgebyr.

Er manglende behandling av en sentral anførsel en saksbehandlingsfeil?

Det kan det være. Særlig dersom anførselen var relevant, tydelig fremsatt og kunne ha påvirket resultatet.

Kan et vedtak bli ugyldig?

Ja, dersom saksbehandlingsfeilen kan ha virket inn på vedtakets innhold. Det må vurderes konkret.