Sakens bakgrunn
En arbeidsgiver gjennomførte innsyn i en arbeidstakers – As – e-postkasse etter mistanke om medvirkning til underslag. I etterkant klaget A saken inn for Datatilsynet, fordi hun mente arbeidsgiveren hadde brutt flere bestemmelser i personvernforordningen (GDPR) ved gjennomføringen av innsynet. Datatilsynet kom til at arbeidsgiveren hadde hatt rettslig grunnlag for å foreta innsynet i e-postkassen, men mente at prosessuelle bestemmelser i e-postforskriften var brutt. I vedtak 28. november 2022 påla Datatilsynet virksomheten å etablere internkontroll og rutiner for innsyn i ansattes og tidligere ansattes e-postkasser og annet elektronisk lagret materiale, jf. GDPR artikkel 58 nr. 2 bokstav d.
På vegne av A klaget B (fullmektigen) 18. desember 2022 over vedtaket. I klagen gjorde han blant annet gjeldende at virksomheten skulle fått overtredelsesgebyr. Fullmektigen hevdet at det utgjorde et brudd på GDPR artikkel 83 å unnlate å gi overtredelsgebyr for bruddene i saken.
Datatilsynet fant på bakgrunn av klagen grunn til å delvis endre vedtaket. I endringsvedtak 5. september 2023 konkluderte Datatilsynet med at virksomheten hadde brutt GDPR artikkel 5, 6, 13 og 14 ved gjennomføringen av innsynet i e-postkassen. Bruddene gjaldt prosessuelle plikter, herunder krav til ansvarlighet, åpenhet, forhåndsvarsling og dataminimering. I endringsvedtaket ble virksomheten også pålagt å utbedre sin internkontroll. Datatilsynet utstedte en irettesettelse til virksomheten som korrigerende tiltak (reaksjon) for overtredelsene, jf. GDPR artikkel 58 nr. 2 bokstav b. Datatilsynet viste til at overtredelsene berørte et begrenset antall personer, og at bruddene på ansvarlighetsprinsippet og åpenhetsprinsippet som var konstatert, i hovedsak kun berørte klageren. Etter tilsynets vurdering var ikke saken av en slik karakter at overtredelsesgebyr var en passende reaksjon. Datatilsynet opplyste i vedtaket om at valg av korrigerende tiltak ikke var et enkeltvedtak som kunne påklages av klageren, jf. forvaltningsloven § 28.
Fullmektigen klaget 18. september 2023 over Datatilsynets vedtak. Han anførte blant annet at manglende ileggelse av overtredelsesgebyr i saken ikke var i tråd med EUs Personvernråds retningslinjer. Datatilsynet fant ikke grunn til å endre vedtaket, og saken ble sendt til Personvernnemnda.
I vedtak 28. mai 2024 (PVN-2024-1) kom Personvernnemnda til at klagen over at det ikke ble gitt overtredelsesgebyr, måtte avvises. Nemnda viste til at A ikke hadde klagerett. Avgjørelsen om irettesettelse var ikke bestemmende for klagerens rettigheter og plikter, og avgjørelsen var heller ikke rettet mot henne, slik forvaltningsloven krever.
På vegne av A klaget fullmektigen saken inn for Sivilombudet.
Våre undersøkelser
Vi fant grunn til å undersøke spørsmålet om klagerett. I brev 8. januar 2025 stilte vi Personvernnemnda spørsmål om retten til et effektivt rettsmiddel, jf. GDPR artikkel 78 nr. 1, kunne tilsi at den registrerte hadde klagerett over Datatilsynets vedtak, herunder vedtaket om reaksjon/korrigerende tiltak overfor den behandlingsansvarlige i sin klagesak.
Vi viste til to avgjørelser fra EU-domstolen som konkluderte med at den som mener å være utsatt for et personvernbrudd, kan bringe tilsynsmyndighetens vedtak inn for domstolene. Den første var EU-domstolens avgjørelse 7. desember 2023 i de forente sakene C-26/22 og C-64/22 Schufa, og den andre var EU-domstolens avgjørelse 26. september 2024 i sak C-768/21 Land Hessen. I disse avgjørelsene la EU-domstolen til grunn at retten til et effektivt rettsmiddel innebærer rett til full domstolsprøving av tilsynsmyndighetens avgjørelse i en klagesak, herunder prøving av om klagesaken har blitt behandlet på en måte som er passende, nødvendig og forholdsmessig, og videre, om tilsynets skjønnsutøvelse har vært innenfor den skjønnsmarginen som tilsynet er gitt i GDPR. Samtidig viste vi til at det som utgangspunkt legges til grunn at personer som har rett til å reise søksmål om gyldigheten av et vedtak, normalt har minst like vid adgang til å klage over vedtaket.
I brev 24. februar 2025 besvarte Personvernnemnda våre spørsmål. Personvernnemnda forsto EU-domstolens avgjørelser slik at disse ikke så ut til å avklare spørsmålet om hvem som har søksmålsadgang, men i stedet gjaldt omfanget av domstolens prøvingsrett når det først er anlagt søksmål. Med utgangspunkt i en slik tolkning, mente Personvernnemnda at EU-domstolens avgjørelser ikke indirekte tilsa en utvidet søksmålsrett – og dermed ikke indirekte en utvidet klageadgang – utover det som følger av nasjonale regler. Etter nemndas syn hadde klageren verken klageadgang eller søksmålsrett over Datatilsynets vedtak, fordi vedtaket om irettesettelse ikke hadde noen påviselige faktiske virkninger for henne – utover den interessen som eventuelt lå i ønsket om at Datatilsynet burde ha reagert strengere. Etter nemndas vurdering var det den innklagde virksomheten – som vedtaket om irettesettelse var rettet mot – som kunne kreve Datatilsynets avgjørelse overprøvd av domstolene med grunnlag i GDPR artikkel 78 nr. 1. Hvis vedtaket om korrigerende tiltak hadde hatt faktiske virkninger for klageren, for eksempel ved en pågående personvernkrenkelse der Datatilsynets vedtak om korrigerende tiltak ville hatt betydning for hvorvidt – og i tilfelle når – krenkelsen opphørte, ville klageren etter Personvernnemndas syn imidlertid oppfylt vilkåret om rettslig klageinteresse. Nemnda la til grunn at hun i så fall som utgangspunkt også ville hatt søksmålsrett.
Fullmektigen fikk oversendt Personvernnemndas brev. I brev 17. mars 2025 kommenterte han blant annet at Personvernnemnda tolket EU-domstolens avgjørelser feil. Videre hevdet han at det er tilstrekkelig for rett til rettslig overprøving at klageren er misfornøyd med hvordan Datatilsynet har behandlet saken. Kommentarene ble oversendt til Personvernnemnda, som ikke hadde noen merknader tilbake.
Sivilombudets syn på saken
Sakens spørsmål
Spørsmålet i saken er om A har klagerett også over den del av Datatilsynets vedtak 5. september 2023 som gjelder korrigerende tiltak som oppfølging av personvernbruddet overfor A, jf. forvaltningsloven § 28 første ledd.
Ombudet vil i det videre først gjennomgå de rettslige utgangspunktene i GDPR om retten for enkeltpersoner til å klage til Datatilsynet når de mener deres personopplysninger blir ulovlig behandlet. Deretter gjennomgås hovedreglene om klageadgang over Datatilsynets vedtak etter forvaltningslovens regler. Til sist gjennomgås bestemmelsen om enkeltpersoners rett til domstolsprøving i GDPR artikkel 78 nr. 1. Det skyldes at det er alminnelig antatt at klageretten etter forvaltningsloven ikke skal være snevrere enn adgangen til domstolsprøving. Fordi domstolenes virksomhet ligger utenfor ombudets arbeidsområde, går imidlertid ombudet ikke nærmere inn på vilkårene om søksmålsgjenstand, partstilknytning og søksmålssituasjon i tvisteloven § 1-3 (de alminnelige betingelsene for å reise søksmål).
Rettslige utgangspunkter om retten til å klage til Datatilsynet
EUs personvernforordning (2016/679) av 27. april 2016 – vanligvis omtalt som GDPR –gjelder som norsk lov, jf. personopplysningsloven § 1.
Det følger av GDPR artikkel 77 at enhver som mener at egne personopplysninger behandles på en måte som er i strid med forordningen, har rett til å klage til nasjonal tilsynsmyndighet. I Norge er dette Datatilsynet. Tilsynet skal, ifølge artikkel 57 nr. 1 bokstav f, behandle innkomne klager, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen.
Datatilsynet skal behandle alle klager som mottas «with all due diligence» («med omhu» i dansk oversettelse) jf. EU-domstolens dom 16. juli 2000 i sak C-311/18 Facebook Ireland og Schrems, avsnitt 109. Klageretten til tilsynet er ment å være en mekanisme som effektivt skal beskytte de registrertes rettigheter og interesser, jf. EU-domstolens dom 7. desember 2023 i sakene C-26/22 og C 64/22 Schufa avsnitt 58. Samme sted er det presisert at klageretten ikke er en form for anmodning (petition på engelsk, andragende lignende procedure på dansk).
For å behandle mottatte klager er Datatilsynet i artikkel 58 nr. 1 gitt myndighet til å foreta undersøkelser, kreve tilgang til informasjon og be om å få fremlagt opplysninger som er nødvendige for å avgjøre saken.
Dersom undersøkelsene avdekker brudd på bestemmelser i GDPR, plikter Datatilsynet å gripe inn på en passende måte med de virkemidlene som er oppregnet i artikkel 58 nr. 2, jf. EU-domstolens dom 26. september 2024 i sak C-768/21 Land Hessen avsnitt 33. Datatilsynet kan etter artikkel 58 nr. 2 pålegge ulike typer korrigerende tiltak overfor den behandlingsansvarlige for å avbøte personvernbruddet. Datatilsynet har en skjønnsfrihet i å velge hvilket – eller hvilke – korrigerende tiltak som er hensiktsmessige og nødvendige i den enkelte sak, jf. Land Hessen avsnitt 37. Skjønnsfriheten skal utøves på en måte som sikrer effektiv håndheving av GDPR og et ensartet og høyt beskyttelsesnivå av personopplysninger, jf. Land Hessen avsnitt 38. Datatilsynet kan unntaksvis og ut fra de særlige omstendighetene i saken unnlate å vedta et korrigerende tiltak, for eksempel dersom det innklagde personvernbruddet er opphørt og virksomheten har truffet adekvate tiltak, jf. Land Hessen avsnitt 43-46.
Et av de korrigerende tiltakene som kan vedtas av Datatilsynet, er overtredelsesgebyr. De generelle vilkårene for overtredelsesgebyr er gitt i artikkel 83. Overtredelsesgebyr kan gis i tillegg til – eller i stedet for – øvrige korrigerende tiltak avhengig av omstendighetene i saken, jf. artikkel 58 nr. 2 bokstav i. Personvernrådet, som er et uavhengig EU-organ nedsatt i medhold av GDPR artikkel 68 med funksjon å overvåke og sikre ensartet praksis av GDPR, har utgitt retningslinjer om utmåling av overtredelsesgebyr («Retningslinjer 04/2022 om beregning af administrative bøder i henhold til databeskyttelsesforordningen»). Personvernrådet har også gitt sin tilslutning til en veileder utgitt av WP 29-gruppen (en rådgivende gruppe nedsatt i medhold av det tidligere personverndirektivet 95/46/EF), om bruk av overtredelsesgebyr som virkemiddel for å sikre konsistent praksis av forordningen («Retningslinjer vedrørende anvendelse og fastsættelse af administrative bøder med henblik på forordning 2016/679 (WP 253)»).
Klageretten til Datatilsynet er en viktig mekanisme for å sikre effektiv beskyttelse av enkeltpersoners grunnleggende rettigheter og interesser gitt i GDPR. Videre forstår ombudet det slik at Datatilsynet har skjønnsfrihet i hvordan konstaterte brudd på GDPR skal håndheves, herunder hvilket eller hvilke korrigerende tiltak som er aktuelle å beslutte som følge av personvernbruddet. Skjønnsfriheten har imidlertid klare rammer, både gitt uttrykkelig i GDPRs bestemmelser og i de retningslinjene som er utgitt av rådgivende organer for å sikre ensartet praksis i håndhevingen.
Rettslige utgangspunkter i forvaltningsloven om klagerett over enkeltvedtak
Forvaltningsloven gjelder for Datatilsynets og Personvernnemndas saksbehandling, jf. Prop. 56 LS (2017-2018) kapittel 26.5 og 27.5. GDPR gir ikke egne regler om hvordan saker skal behandles hos Datatilsynet utover de rammene for klagebehandling som er gjennomgått i avsnittet over. Det samme gjelder for Personvernnemndas saksbehandling, siden GPDR ikke regulerer administrativ klageadgang.
Det er på det rene at Datatilsynets avgjørelse 5. september 2023 i denne saken var et enkeltvedtak etter forvaltningsloven § 2 første ledd bokstav b. Enkeltvedtak kan påklages av en part eller annen med rettslig klageinteresse i saken, jf. forvaltningsloven § 28 første ledd. Under saksbehandlingen hos Datatilsynet ble både A og hennes arbeidsgiver behandlet som parter, men det er i vedtaket sagt at valg av korrigerende tiltak ikke er et enkeltvedtak som kan påklages av klager. Ombudet antar at det betyr at Datatilsynet la til grunn at klageren, her A, bare er part i deler av vedtaket 5.september 2023, og derfor bare har klagerett over deler av Datatilsynets vedtak. Dette synes også Personvernnemnda å ha lagt til grunn siden deler av As klage over Datatilsynets vedtak har blitt realitetsbehandlet.
Bakgrunnen for at A anses som part i deler av vedtaket er nærmere forklart i Personvernnemndas vedtak i denne saken (PVN-2024-1), under avsnittet «Datatilsynets valg av reaksjon». Her viser nemnda til egen forvaltningspraksis, der det er lagt til grunn at den som får sine personopplysninger behandlet av en behandlingsansvarlig, er å «anse som part i en sak hvor Datatilsynet vurderer om den behandlingsansvarlige har behandlet personopplysningene om den registrerte i tråd med loven». Personvernnemnda viste deretter til at Datatilsynets beslutning om å gi en irettesettelse i stedet for overtredelsesgebyr, ikke er en avgjørelse som er bestemmende for klagerens rettigheter og plikter, eller en avgjørelse som «retter seg mot» den registrerte, jf. definisjonen av hvem som er part i forvaltningsloven § 2 første ledd bokstav e. I brevet til Sivilombudet 24. februar 2024, skriver Personvernnemnda på side 1 at det er på det rene at klageren i sak PVN-2024-1 ikke var «part» i saken. Sivilombudet tolker dette slik at Personvernnemnda med dette sikter til sitt tidligere standpunkt om at klageren ikke er part i vedtaket om reaksjonsfastsettelse, men at hun for øvrig er part i saken når det gjelder vurderingen av lovligheten av behandlingen av hennes personopplysninger.
Partsbegrepet i forvaltningsloven § 2 første ledd bokstav e er definert som person «som en avgjørelse retter seg mot» eller «som saken ellers direkte gjelder». I ombudets uttalelse 18. desember 2020 (SOM-2019-5140) punkt 2.1 er det vist til at partsbegrepet skal fastsettes konkret med utgangspunktet i «den problemstilling som vedkommende lov fastsetter», jf. Ot.prp.nr.3 (1976–1977) side 57. Sivilombudet har ved undersøkelsen ikke gått nærmere inn på om A kan anses som part fordi saken «ellers direkte gjelder» henne, jf. forvaltningsloven § 2 første ledd bokstav e andre alternativ. Temaet for ombudet har vært spørsmålet om A uansett har rettslig klageinteresse og dermed klagerett over Datatilsynets vedtak. Dersom hun har klagerett blir hun i utgangspunktet part i klagesaken, jf. SOM-2019-5140, jf. Ot.prp.nr.38 (1964-1965) side 99.
Sivilombudet har flere ganger tidligere uttalt seg om vilkåret rettslig klageinteresse, blant annet slik i ombudets uttalelse 28. november 2018 (SOM-2017-301):
«Hvorvidt en person har rettslig klageinteresse, beror på i hvilken grad det aktuelle vedtaket har faktiske og rettslige virkninger for vedkommende. Utgangspunktet er at klageren har rettslig klageinteresse dersom hans tilknytning til saken er av en slik art og styrke at det er rimelig og naturlig at det gis anledning til å få prøvd vedtaket for en høyere forvaltningsinstans. Det må foretas en konkret helhetsvurdering av sakens faktiske forhold. Hvilke krav som stilles, kan variere fra forvaltningsområde til forvaltningsområde, og ut fra de konkrete forholdene i den enkelte sak.»
Begrepet rettslig klageinteresse er hentet fra begrepet rettslig interesse i den tidligere tvistemålsloven § 54. Det ble lagt til grunn at alle som har søksmålskompetanse også skulle ha rett til å påklage vedtaket, jf. Ot.prp. nr. 38 (1964–65) s. 98–99. I SOM-2017-301 viste ombudet til at det er alminnelig antatt at adgangen til å påklage et enkeltvedtak i alle fall ikke er snevrere enn adgangen til å bringe vedtaket inn for retten. Rettskilder knyttet til adgangen til å reise sak for domstolene om offentligrettslige forhold, har dermed relevans også for spørsmålet om rettslig klageinteresse.
Høyesterett har i HR-2017-1130-A lagt til grunn at begrepet «rettslig klageinteresse» i forvaltningsloven § 28 har tilnærmet samme innhold som kravet til selvstendig søksmålsinteresse i tvisteloven § 1-3, selv om det kan være visse nyanser, se avsnitt 37. Vilkårene for klagerett og søksmålskompetanse vil likevel ikke nødvendigvis være sammenfallende i alle tilfeller, for eksempel dersom sterke hensyn taler mot at andre enn parten selv skal ha søksmålsadgang, jf. HR-2017-1130-A avsnitt 57.
Avgrensningen av hvem som har rettslig klageinteresse og dermed klagerett etter forvaltningsloven, var opprinnelig ment å utelukke klager som hadde karakter av uvedkommendes innblanding i saken, jf. Hans Petter Graver og Henriette N. Tøssebro, Alminnelig forvaltningsrett, 6. utgave, Universitetsforlaget, 2024 s. 504, med henvisning til Forvaltningskomiteens innstilling (NUT 1958: 3) s. 276. Graver/Tøssebro skriver samme sted at departementet i proposisjonen synes å ha gått inn for en noe mer restriktiv avgrensning, men at praksis og teori etter at forvaltningsloven ble vedtatt, har gått i retning av Forvaltningskomiteens mer liberale avgrensning. Graver/Tøssebro legger i kommentarutgaven til grunn at det alminnelige forsvarlighetsprinsippet og retten til å forsvare egne interesser og rettigheter, tilsier at man gir klagerett til enhver som er berørt av vedtaket, og ikke avskjærer noen ut fra en mer formalistisk fortolkning av uttrykket «rettslig klageinteresse».
På Karnov lovkommentar fremholdes det at rekkevidden av klageretten også vil bero på en avveining av hensynet til klageren på den ene siden, og hensynet til parten på den andre, jf. Marius Stub, Karnov lovkommentar, Forvaltningsloven, note 3 til § 28. Det vises her til at jo videre klageretten er, desto mer usikker blir partens stilling. I lovkommentaren legges det videre til grunn at vedtak om ileggelse av administrative reaksjoner eller sanksjoner kan påklages av den vedtaket retter seg mot, men ikke av en person som utelukkende mener at forvaltningen burde ha reagert strengere (eller mildere).
I forslag til ny forvaltningslov i Prop. 79 L (2024–2025) er vilkåret om rettslig klageinteresse foreslått videreført, men med en språklig endring basert på tvistelovens modell, se proposisjonen punkt 20.5.4.1 Klagerett for parter og andre som i vesentlig grad berøres av vedtaket. Kretsen av klageberettigede er foreslått å være den samme som etter gjeldende rett, jf. side 457.
Etter ombudets syn foreligger det rettslig tvil knyttet til om A oppfyller vilkåret om rettslig klageinteresse. Siden vilkåret om rettslig klageinteresse skal vurderes helhetlig og konkret – og kan variere fra forvaltningsområde til forvaltningsområde – vil rettspraksis eller juridisk teori knyttet til andre rettsområder ikke være direkte overførbare ved tolkingen av rettslig klageinteresse i saker som gjelder GDPR. Hensynet til mulighet for overprøving av Datatilsynets vedtak – rettet mot målsettingen om å sikre at klagemekanismen ivaretar et ensartet og høyt beskyttelsesnivå for personopplysninger – kan tilsi at det er rimelig og naturlig at den som har klaget til Datatilsynet gis anledning til å få overprøvd vedtaket i sin helhet for Personvernnemnda. Klageren – som part i en klagesak hos tilsynet – er i hvert fall ikke å anse som uvedkommende i saken.
En klage begrunnet i mulig utilstrekkelig håndheving av et personvernbrudd kan også være begrunnet i annet enn et rent ønske om en strengere reaksjon. Klagen kan være en prinsipiell innvending om at saken ikke synes håndtert av Datatilsynet i tråd med de rettsreglene som er gitt. Krav om klare faktiske virkninger som vilkår for rettslig klageinteresse, ivaretar ikke nødvendigvis hensynet til at håndheving av GDPR gjelder vern av enkeltmenneskers grunnleggende rettigheter. Faktiske virkninger ved Datatilsynets vedtak om korrigerende tiltak (eller unnlatt bruk av slike tiltak) kan være vanskelig for den enkelte å påvise. Det er imidlertid på det rene at mulig utilstrekkelig håndheving av en klagesak fra Datatilsynets side, generelt kan ha både rettslige og faktiske virkninger for enkeltpersoners rettsvern.
Ombudets foreløpige konklusjon er derfor at det knytter seg en viss tvil til om klageren har rettslig klageinteresse over Datatilsynets vedtak om irettesettelse i denne saken, jf. forvaltningsloven § 28 første ledd. Spørsmålet er om EU-domstolens behandling av klageretten i GDPR og retten til domstolsprøving har betydning for vurderingen og avgjørelsen av om klageren har rettslig klageinteresse etter forvaltningsloven § 28 første ledd.
Rettslige utgangspunkter om retten til et effektivt rettsmiddel
Det følger av GDPR artikkel 78 nr. 1 at det skal foreligge en rett til effektiv rettslig prøving av tilsynets vedtak. GDPR artikkel 78 nr. 1 lyder slik:
«Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver fysisk eller juridisk person ha rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet.»
Bestemmelsen er omtalt i fortalepunkt til GDPR punkt 143. Om retten til rettslig prøving står det i fortalepunktet blant annet følgende
«(…) enhver fysisk eller juridisk person [bør] ha rett til effektiv rettslig prøving ved vedkommende nasjonale domstol av en beslutning som er truffet av en tilsynsmyndighet, og som har rettsvirkning for vedkommende. En slik beslutning gjelder særlig tilsynsmyndighetens myndighet til å foreta undersøkelser, til å vedta korrigerende tiltak og til å godkjenne eller avslå eller avvise klager. Retten til effektiv rettslig prøving omfatter imidlertid ikke tiltak truffet av tilsynsmyndighetene som ikke er rettslig bindende, f.eks. uttalelser eller råd fra tilsynsmyndigheten.»
I Kuner, Bygrave og Docksey, The EU General Data Protection Regulation (GDPR) A Commentary, 2020, på side 1130, legges det til grunn at en avgjørelse som har rettsvirkninger, vil si «a measure, whatever its nature or form, which is ‘intended to have legal effects that are binding on, and capable of affecting the interests of, the applicant by bringing a distinct change in his legal position”.
Ordlyden i GDPR artikkel 78 nr. 1 kan alene trekke i retning av at det bare er den vedtaket er rettet mot, som har rett til et effektivt rettsmiddel. Et vedtak om korrigerende tiltak fra Datatilsynet vil i en klagesak etter GDPR alltid være rettet mot den behandlingsansvarlige virksomheten og/eller en databehandler.
EU-domstolen har avsagt flere prejudisielle avgjørelser (dommer der EU-domstolen gir en fortolkning av EU-rettslige bestemmelser etter anmodning fra nasjonale domstoler) om tolkningen av GDPR artikkel 78 nr. 1. Etter ombudets syn trekker disse klart i retning av at også den som klagesaken gjelder, har rett til full domstolsprøving av tilsynets vedtak. Ombudet vil i det følgende gjennomgå disse avgjørelsene fra EU-domstolen som omhandler hvordan retten til et effektivt rettsmiddel skal forstås.
EU-domstolens avgjørelse 7. desember 2023 gjelder de forente sakene C-26-22 og C-64/22 Schufa. Saken gjaldt søksmål fra to klagere som mente at behandlingen av deres personopplysninger i et gjeldsregister, var ulovlig. De hadde ikke fått medhold i klagen av nasjonal tilsynsmyndighet, da tilsynsmyndigheten mente at behandlingen av deres personopplysninger var lovlig. Et av tolkningsspørsmålene EU-domstolen skulle ta stilling til i saken, var om retten til domstolsprøving i GDPR artikkel 78 nr. 1 av en avgjørelse fra nasjonal tilsynsmyndighet er begrenset til å vurdere om klagen fra de registrerte var blitt behandlet og undersøkt i et rimelig omfang, eller om avgjørelsen er underlagt full domstolsprøving.
EU-domstolen uttalte innledningsvis at ved fortolkningen av en EU-rettslig bestemmelse, skal det ikke kun tas hensyn til ordlyd, men også til sammenhengen og formålet med regelverket, se avsnitt 48. Når det gjaldt ordlyden, viste EU-domstolen til at det tyske tilsynets avgjørelse av klagernes sak, var en slik rettslig bindende avgjørelse som omtalt i GDPR artikkel 78 nr. 1. EU-domstolen viste til at en tilsynsavgjørelse som går ut på å avslå eller avvise en klage fra en enkeltperson som mener seg utsatt for brudd på GDPR, utgjør en avgjørelse som har rettsvirkninger, se avsnitt 50. Når det gjaldt sammenhengen i regelverket, viste domstolen til at de nasjonale tilsynsmyndighetene er ansvarlige for å føre tilsyn med overholdelse av GDPR, og at de plikter å behandle klager fra enkeltpersoner med «with all due dilligence», se avsnitt 56. Videre, i avsnitt 57, viste EU-domstolen til at der tilsynsmyndigheten finner at det er skjedd brudd på forordningens bestemmelser, plikter de å reagere på en passende måte.
Domstolen poengterte at klageadgangen til tilsynsmyndigheten er ment som en mekanisme som er egnet for å effektivt beskytte de registrertes interesser og rettigheter, se avsnitt 58. I den sammenheng uttalte EU-domstolen at retten til effektiv rettsbeskyttelse ikke ville bli oppfylt dersom tilsynsmyndighetens myndighetsutøvelse, herunder undersøkelsesmyndighet og myndighet til å fatte korrigerende tiltak, kun var underlagt begrenset domstolsprøving, se avsnitt 59. EU-domstolen fremholdt videre at formålet med GDPR er å sikre et høyt beskyttelsesnivå av fysiske personer i EU. Ved begrenset domstolsprøving av tilsynsmyndighetens behandling av en klage, ville formålet med forordningens målsetninger stå i fare, se avsnitt 62. I lys av disse momentene konkluderte EU-domstolen med at GDPR artikkel 78 nr. 1 skal tolkes slik at en klagesaksavgjørelse, som er vedtatt av en tilsynsmyndighet, er underlagt fullstendig domstolsprøving, se avsnitt 70.
Når det gjaldt omfanget av prøvingsretten til domstolene, viste EU-domstolen til at den nasjonale tilsynsmyndigheten har en skjønnsmargin i hvordan de skal håndheve en klagesak, herunder hvilke korrigerende tiltak som eventuelt skal iverksettes etter GDPR artikkel 58 nr. 2, se avsnitt 68. Skjønnsmarginen innebærer at nasjonal domstol ikke skal fastsette hva som er en passende reaksjon ut fra egen oppfatning av saken, men at domstolen skal kontrollere om nasjonal tilsynsmyndighet har holdt seg innenfor rammene av sitt diskresjonære skjønn, se avsnitt 69.
I EU-domstolens prejudisielle avgjørelse 26. september 2024 i sak C-768-21 Land Hessen ble omfanget av domstolens prøvingsrett etter GDPR artikkel 78 nr. 1, utdypet. Saken gjaldt søksmål fra en enkeltperson som mente at tilsynsmyndighetens håndheving av hans klagesak hadde vært mangelfull, og at virksomheten skulle fått overtredelsesgebyr. Tolkingsspørsmålet EU-domstolen skulle ta stilling til i denne saken, var om GDPR skulle tolkes slik at tilsynsmyndigheten er pliktig til å alltid vedta korrigerende tiltak ved konstatering av brudd på regelverket, jf. GDPR artikkel 58 nr. 2, eller om tilsynet kan unnlate korrigerende tiltak ut fra omstendighetene i saken, se avsnitt 20.
EU-domstolen påpekte innledningsvis at klagere som har fått sine personvernrettigheter krenket, ikke har en subjektiv rett til å anmode om at den behandlingsansvarlige ilegges et korrigerende tiltak, herunder et overtredelsesgebyr, se avsnitt 41. Samtidig påpekte EU-domstolen at tilsynsmyndigheten har plikt til å gripe inn med et eller flere korrigerende tiltak etter GDPR artikkel 58 nr. 2, når det, hensyntatt alle omstendighetene i det konkrete tilfellet, er passende, nødvendig og forholdsmessig for å avhjelpe personvernbruddet og sikre full overholdelse av GDPR, se avsnitt 42. EU-domstolen mente det derfor ikke kunne utelukkes at nasjonal tilsynsmyndighet unntaksvis og tatt i betraktning de særlige omstendigheter i det konkrete tilfellet, kunne unnlate å vedta et korrigerende tiltak, for eksempel der krenkelsen hadde opphørt, se avsnitt 43. En forutsetning var at en unnlatelse fra tilsynets side i å treffe korrigerende tiltak ikke tilsidesatte kravet til effektiv håndheving av forordningen, se avsnitt 46. EU-domstolen kom deretter med enkelte merknader knyttet til bruken av overtredelsesgebyr. EU-domstolen viste til at formålet med overtredelsesgebyr var å styrke håndhevingen av forordningen. Med henvisning til fortalepunkt 148, viste EU-domstolen til at ved mindre overtredelser av GDPR, eller der et overtredelsesgebyr vil utgjøre en uforholdsmessig byrde for en fysisk person, kan irettesettelse gis i stedet for overtredelsesgebyr, se avsnitt 47.
EU-domstolen konkluderte avslutningsvis med at det er opp til den nasjonale domstolen å vurdere om tilsynets behandling av klagen fra den registrerte var i tråd med reglene i GDPR, herunder om rammene for skjønnsfriheten etter GDPR artikkel 58 nr. 2 var overholdt av tilsynsmyndigheten, se avsnitt 49.
Avgjørelsene fra EU-domstolen trekker etter ombudets syn klart i retning av at også den som har klaget til tilsynsmyndigheten, kan kreve domstolsprøving av tilsynets behandling av klagesaken i sin helhet. Ombudet vil i det følgende utdype dette nærmere.
For det første gjaldt begge sakene for EU-domstolen søksmål fra enkeltpersoner som mente at tilsynsmyndighetens håndheving av deres klager var feilaktig eller utilstrekkelig. Det var på denne faktiske bakgrunn at EU-domstolen uttalte hvordan prøvingsretten skal forstås. Det vises særlig til innledningen i avsnitt 49 i sak Land Hessen som sier:
«Since decisions on complaints adopted by a supervisory authority are subject to full judicial review (judgment of 7 December 2023, SCHUFA Holding (Discharge from remaining debts), C‑26/22 and C‑64/22, EU:C:2023:958, paragraph 70), it is for the referring court to ascertain whether the HBDI dealt with the complaint concerned with all due diligence and whether, in adopting the decision at issue in the main proceedings, the HBDI complied with the limits of the discretion conferred on it by Article 58(2) of the GDPR…”
Etter ombudets syn tilsier særlig dette avsnittet fra EU-domstolens avgjørelse i C-768-21 Land Hessen at alle sider av Datatilsynets vedtak kan kreves rettslig overprøvd også av klageren.
For det andre tilsier formålet med retten til domstolsprøving at også den som har klaget til tilsynet, kan kreve å få rettslig prøvd hvordan tilsynet har håndtert klagesaken. Ombudet finner det vanskelig å forene avgjørelsene fra EU-domstolen med at det først og fremst er den som det korrigerende tiltaket er rettet mot, altså virksomheten, som skal ha rett til domstolsprøving etter GDPR artikkel 78 nr. 1. Dersom bestemmelsen i artikkel 78 nr. 1 skulle tolkes slik, ville det i praksis bety at domstolskontroll var forbeholdt tilfeller der virksomheten mener tilsynets håndheving av saken er ulovlig streng.
For det tredje tilsier hensynet til effektiv rettsbeskyttelse at det ikke bare er virksomheten som har rett til domstolsprøving av tilsynets avgjørelse, men at dette også gjelder den som regelverket beskytter. Selv om EU-domstolen understreker at det ikke er slik at den enkelte som har blitt utsatt for personvernbrudd, har noen subjektiv rett til at Datatilsynet skal håndheve en sak på en bestemt måte, er hensynet til effektiv håndheving av GDPR for å sikre ensartet praksis og høyt beskyttelsesnivå fremholdt av EU-domstolen som et grunnleggende hensyn. Det ville være en ubalanse i retten til domstolsprøving om unnlatelser fra Datatilsynet i å vedta et korrigerende tiltak, herunder overtredelsesgebyr, ikke skulle kunne bringes inn for retten av klageren som saken gjelder. Dette ville lede til en grunnleggende skjevhet i muligheten for rettslig overprøving av Datatilsynets myndighetsutøvelse i klagesaker.
Etter ombudets vurdering må EU-domstolens avgjørelser forstås slik at retten til et effektivt rettsmiddel betyr rett til overprøving av den samlede håndteringen av saken der vedtak om bruk av – eller unnlatt bruk av – korrigerende tiltak inngår som del av prøvingen. Etter ombudets syn trekker EU-domstolens avgjørelser også klart i retning av at både innklagd virksomhet og klageren har adgang til å kreve domstolsprøving av klagesaksavgjørelsen i sin helhet.
Har klageren rett til domstolsprøving av denne saken?
Domstolsprøving etter GDPR artikkel 78 nr. 1 synes å kreve at to vilkår er oppfylt. Det må for det første foreligge en rettslig bindende avgjørelse, og det må for det andre foreligge en tilknytning til saken, «som gjelder dem».
Ombudet mener det ikke er tvilsomt at Datatilsynets vedtak 5. september 2023 i seg selv var «en rettslig bindende avgjørelse», slik som omtalt i artikkel 78 nr. 1. Ombudet finner grunn til å trekke frem avsnitt 50 i EU-domstolens dom 7. desember 2023 i de forente sakene C-26-22 og C-64/22 Schufa. Her konstaterer EU-domstolen at tilsynsmyndighetens avgjørelser i de innklagde sakene, var juridisk bindende avgjørelser som omhandlet i artikkel 78 nr. 1. Ut fra fortalepunkt 143 synes også rettslig bindende avgjørelser å være avgrenset mot slike avgjørelser som ikke er rettslig bindende, som råd og veiledning. Sakens springende punkt er derfor om Datatilsynets vedtak 5. september 2023 – inkludert den delen som gjaldt irettesettelsen mot virksomheten – må legges til grunn å også gjelde klageren, jf. vilkåret for domstolsprøving i artikkel 78 nr. 1.
Personvernnemnda har i svaret til ombudet lagt til grunn at klageren ville hatt både klagerett og søksmålsadgang dersom hun kunne påvist at Datatilsynets vedtak om korrigerende tiltak hadde hatt faktiske virkninger for henne, for eksempel ved pågående personvernkrenkelser. Ombudet legger til grunn at hvorvidt en personvernkrenkelse er pågående eller ikke, vil være et forhold som har betydning for om det er påkrevd av Datatilsynet å treffe vedtak om korrigerende tiltak med hjemmel i GDPR artikkel 58 nr.2, jf. EU-domstolens dom 26. september 2024 i sak C-768/21 Land Hessen avsnitt 43-46. Forholdet synes imidlertid ikke etter ombudets syn relevant for spørsmålet om overprøvingsrett.
Etter ombudets syn gir ikke EU-domstolens avgjørelser støtte for en tolkning om at retten til domstolsprøving for klageren krever slike faktiske virkninger av myndighetsutøvelsen som Personvernnemnda har lagt til grunn. Personvernbruddet i sak C-768/21 Land Hessen var for eksempel opphørt da klageren reiste søksmål mot tilsynets avgjørelse i hans klagesak fordi han mente håndhevingen var for svak. Ombudet finner derfor ikke holdepunkter i EU-domstolens avgjørelser om at det som vilkår for rett til overprøving kreves at bruk – eller unnlatt bruk – av korrigerende tiltak fra tilsynets side, har faktiske virkninger for klageren.
Ombudets konklusjon er på denne bakgrunn at EU-domstolens avgjørelser, gjennomgått ovenfor, tilsier at klageren har rett til domstolsprøving av Datatilsynets vedtak 5. september 2023, inkludert valg av korrigerende tiltak, fordi vedtaket «gjelder» hennes individuelle klagesak, jf. GDPR artikkel 78 nr. 1.
Innebærer retten til domstolsprøving at klageren også har rettslig klageinteresse etter forvaltningsloven?
Ordningen med Personvernnemnda som klageorgan over Datatilsynets vedtak ble videreført ved innføringen av GDPR, se Prop. 56 LS (2017-2018) punkt 27.5. Formålet med klageadgangen til Personvernnemnda var å ha en lavterskel klageordning. I den forbindelse viste departementet til at det vil kunne representere en stor byrde for både borgere og virksomheter å måtte gå til domstolene ved uenighet om Datatilsynets vedtak. Etter ombudets syn tilsier disse forutsetningene at Personvernnemnda bør kunne overprøve Datatilsynets vedtak i samme omfang som domstolene ville gjort ved en domstolsprøving av saken.
Etter ombudets syn trekker EU-domstolens avgjørelser klart i retning av at klageren har rett til full domstolsprøving av Datatilsynets vedtak. Gjenstand for overprøvingen vil da være om tilsynet har behandlet klagen hennes «with all due dilligence», og om valg av korrigerende tiltak etter GDPR artikkel 58 nr. 2, var innenfor den skjønnsmarginen som tilsynet er gitt i forordningen, jf. C-768/21 Land Hessen avsnitt 49. Spørsmålet er om retten til domstolsprøving tilsier at hun også har rettslig klageinteresse etter forvaltningsloven § 28.
Som nevnt under de rettslige utgangspunktene, er det alminnelig antatt at retten til å påklage et vedtak i hvert fall ikke skal være snevrere enn adgangen til å klage administrativt over vedtaket. I brevet til Sivilombudet har Personvernnemnda lagt til grunn at klageren ville hatt klagerett over Datatilsynets vedtak dersom hun også hadde hatt søksmålsrett. Ombudet er enig i dette utgangspunktet. Konklusjonen knyttet til at klageren – basert på EU-domstolens avgjørelser – i utgangspunktet synes å ha rett til domstolsprøving av alle sider av Datatilsynets vedtak, innebærer at hun også har rettslig klageinteresse. På denne bakgrunn finner ikke ombudet det nødvendig å konkludere på spørsmålet om klageren har rettslig klageinteresse også uavhengig av den uttrykkelige bestemmelsen i GDPR artikkel 78 nr. 1 om retten til et effektivt rettsmiddel.
Sivilombudet legger etter dette til grunn at klageren hadde rettslig klageinteresse over Datatilsynets vedtak 5. september 2023 om irettesettelse overfor arbeidsgiveren for brudd på GDPR ved innsyn i klagerens e-postkasse, jf. forvaltningsloven § 28 første ledd. Klagen over vedtaket om korrigerende tiltak skulle derfor etter ombudets syn ikke vært avvist av Personvernnemnda.
Konklusjon
Sivilombudet forstår retten til et effektivt rettsmiddel i GDPR artikkel 78 nr. 1 – tolket i lys av EU-domstolens avgjørelser – slik at både virksomheten og klageren i utgangspunktet har rett til domstolsprøving av alle sider av Datatilsynets vedtak i saken. Domstolsprøving innebærer kontroll med om Datatilsynet har behandlet saken «with all due dilligence», og om valget av korrigerende tiltak etter GDPR artikkel 58 nr. 2, var innenfor den skjønnsmarginen som tilsynet er gitt i forordningen. jf. C-768/21 Land Hessen avsnitt 49.
Konsekvensen av en klagers rett til domstolsprøving er at klageren oppfyller vilkåret om rettslig klageinteresse etter forvaltningsloven § 28 første ledd. Det foreligger ikke, slik saken er opplyst, momenter som tilsier at klageadgangen skal være snevrere enn retten til domstolsprøving. Ombudet finner det derfor ikke nødvendig å ta stilling til om klageren ville hatt rettslig klageinteresse uavhengig av retten til domstolsprøving.
Sivilombudet ber Personvernnemnda om å vurdere klagen fra A over Datatilsynets vedtak 5. september 2023 på nytt i lys av ombudets merknader i denne uttalelsen.