Datatilsynet kan ha brutt loven i over 200 saker. Har ikke varslet dem som ble rammet av feilen.

Torstein Rønaas fikk beskjed om at han ikke kunne klage på Datatilsynets avgjørelse om å avslutte saken hans. Nå viser det seg at Datatilsynet kan ha tolket loven feil i flere år.

Torstein Rønaas har brukt fritiden på å grave i Datatilsynets praksis. Fra hjemmekontoret på Heggedal har han laget en egen blogg. Foto: Rodrigo Freitas

Har naboen satt opp et overvåkingskamera som også filmer din tomt? Sender nettbutikken deg nyhetsbrev skreddersydd for deg uten at du har gitt samtykke? Eller tror du sjefen har gått gjennom e-posten din?

Hvert år får Datatilsynet inn hundrevis av saker fra personer som er bekymret for at personvernreglene er blitt brutt. Noen av disse sakene har Datatilsynet avsluttet uten å gjøre nærmere undersøkelser.

Men i flere år informerte ikke Datatilsynet borgere om at de har klagerett i disse sakene. Over 200 nordmenn er rammet, kan Aftenposten avdekke.

Torstein Rønaas er én av dem som fikk beskjeden av Datatilsynet.

Kunne ikke klage

Rønaas meldte inn flere saker til Datatilsynet på vegne av sin kone i 2021. Han klaget på flere forhold, som han mente Datatilsynet burde se nærmere på.

19 måneder senere fikk han beskjed om at Datatilsynet hadde avsluttet to av sakene uten å gjøre nærmere undersøkelser. Dette var ikke et enkeltvedtak, og han kunne derfor ikke klage, skrev tilsynet.

Datatilsynet begrunnet dette med at de allerede hadde fattet vedtak i én av klagene hans, som dreide seg om samme sakskompleks.

Han ble skuffet og sjokkert av svaret. Klageadgangen skal sikre at borgere har mulighet til å få vurdert avgjørelser de mener er feil, og er et viktig rettssikkerhetsprinsipp i forvaltningen.

– For meg så skurrer det voldsomt. Jeg tenkte at det ikke kunne stemme, sier Rønaas.

Og det skurret ikke uten grunn.

Etter litt graving i avgjørelsene til Personvernnemnda fant Rønaas ut at nemnda, som er klageinstansen til Datatilsynet, i ettertid har kritisert Datatilsynet for nettopp dette:

Datatilsynets avgjørelser om å avslutte saker uten nærmere undersøkelser er enkeltvedtak med klagerett, slår nemnda fast.

Foto: Rodrigo Freitas

Datatilsynet rettet seg etter dette i mars 2023.

«Loven fastslår at slike saker skal behandles, og Personvernnemnda har bidratt til å avklare at vi ikke kan avslutte saksbehandlingen uten å fatte vedtak», skriver de i årsrapporten for 2023.

Har brutt loven

Datatilsynets opprinnelige praksis var i samsvar med norsk forvaltningsrett for øvrig, påpeker jusprofessor Hans Petter Graver. Han er en av landets fremste eksperter på området.

Han mener det ikke er grunn til å bebreide Datatilsynet, fordi det har vært snakk om et vanskelig og uavklart fortolkningsspørsmål. EU-domstolen skal snart behandle en sak som kan gi nye avklaringer. Siste ord er dermed ikke sagt.

Likevel:

– Hvis man legger Personvernnemndas tolkning til grunn, er det klart at Datatilsynet ikke har gitt de rettighetene de skulle ha gitt, på grunn av en feil tolkning av loven. Man kan da godt etter min mening si at de har brutt loven, sier Graver.

Over 200 er rammet

Aftenposten har kontaktet Datatilsynet for å få brakt på det rene hvor mange som er berørt av Datatilsynets tolkning.

Etter å ha gjort manuelle søk fant Datatilsynet ut at dette kan gjelde opp mot 225 saker siden 2018. Disse er blitt avsluttet uten å gjøre nærmere undersøkelser. Datatilsynet mente dette ikke var enkeltvedtak som gir klagerett, opplyser direktør Line Coll.

Grunnen er at Datatilsynet etter en juridisk vurdering mente det ikke var klagerett på den type beslutning.

– Personvernnemnda var ikke enig i denne vurderingen. Datatilsynet endret dermed praksis og opplyser nå om klagerett i slike typer avgjørelser, sier Coll.

Datatilsynet mener at deres opprinnelige praksis var i tråd med hvordan personvernforordningenpersonvernforordningenDen norske personvernloven bygger på personvernforordningen som alle EU- og EØS-land må følge. Også kjent som GDPR. tolkes i andre europeiske land.

Hvorfor gjorde Datatilsynet dette?

– Bakgrunnen var et behov for å kunne bruke ressursene våre på de mest alvorlige sakene, både små og store.

Hun opplyser at Datatilsynet kun har 30 klagesaksbehandlere.

– Vi må derfor behandle sakene vi mottar, på en mest mulig hensiktsmessig måte og som gir best personvern for flest mulig for å oppfylle samfunnsoppdraget vårt.

Har ikke varslet

Datatilsynet endret praksis i mars i fjor. Da hadde de tolket regelverket feil i nesten fire år.

Selv om Datatilsynet endret praksis, har ikke personene i de over 200 sakene som er rammet av feilen, fått beskjed om dette. Det bekrefter direktøren til Aftenposten.

– Vi har ikke aktivt tatt kontakt med klagerne som har mottatt et slikt brev fra oss etter Personvernnemndas avgjørelse.

– Hvordan skal disse personene få vite at de hadde klagerettigheter når dere ikke har fortalt dem om det?

– Etter at avklaringen kom, har vi forholdt oss til det, og det vil vi også gjøre fremover. Vi har imidlertid vurdert at vi ikke er forpliktet til å sende noe mer informasjon til dem som har fått et slikt brev fra oss i den aktuelle tidsperioden.

Dersom noen likevel har tatt kontakt, er dette blitt behandlet. Og klagere kan sende saker på nytt til tilsynet, opplyser Coll.