PVN-2024-19 Klage på Datatilsynets vedtak om overtredelsesgebyr for å ha innhentet gjeldsopplysninger uten rettslig grunnlag og behandlingsgrunnlag for kredittvurdering

«X kommune, org. nr.  […], ilegges, i medhold av personopplysningsloven § 26 andre ledd, jf. personvernforordningen artikkel 58 nr. 2 bokstav i, jf. artikkel 83, et overtredelsesgebyr på 85 000 – åttifemtusen – kroner for å ha innhentet gjeldsopplysninger om A uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1, og i strid med lovlighetsprinsippet i artikkel 5 nr. 1 bokstav a.»

X kommune v/KS advokatene påklaget Datatilsynets vedtak 23. april 2024. Klagen gjelder reaksjonsfastsettelsen.

A påklaget også Datatilsynets vedtak 13. april 2024, og gjorde gjeldende at kommunen ikke hadde rettslig grunnlag for å kredittvurdere henne.

Datatilsynet behandlet klagen og opprettholdt sin avgjørelse.

Saken ble oversendt til Personvernnemnda ved brev 17. juni 2024. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. Både A og kommunen ga sine merknader brev til nemnda 23. august 2024. Datatilsynet innga merknader 20. september til kommunens merknader til reaksjonsfastsettelsen.

På bakgrunn av kommunens merknader 23. august 2024 begjærte A bevisavskjæring i flere skriv til nemnda, herunder i e-poster og brev 3. september 2024, 6. september 2024 og 28. oktober 2024. Anmodningen om bevisavskjæring gjaldt sluttinnleggene fra tingrettsbehandlingen, tingrettens dom, samt anke og anketilsvar. Nemndas sekretariat ba i e-post 6. september 2024 om kommunens merknader til begjæringen om bevisavskjæring. Kommunen ga sine kommentarer i brev til nemnda 25. oktober 2024. Nemnda tok begjæringen om bevisavskjæring til følge i møte 28. april 2025. Kommunen inn innga ytterligere kommentarer i brev 10. juni 2025. Samme dag ga A sine merknader til kommunens brev.

Saken ble behandlet i nemndas møte 12. juni 2025. Personvernnemnda hadde følgende sammensetning: Marius Stub (leder), Ruth Louise Osborg, Morten Goodwin, Malin Tønseth, Malgorzata Agnieszka Cyndecka og Bjørn Aslak Juliussen. Utredningsleder Anette Klem Funderud var også til stede.

 2.   As syn på saken i korte trekk  

A gjør gjeldende at X kommune ikke hadde rettslig grunnlag for å kredittvurdere henne.

I dommen fra […] tingrett […] ble hver av partene pålagt å bære egne sakskostnader. Kommunen hadde derfor ikke et erstatningskrav mot henne knyttet til dekning av sakskostnader. At dette er korrekt, bekreftes både i e-post 10. april 2024 fra […] tingrett, og i e-post 12. april 2024 fra Høyesterett.

Kommunen kunne anke tingrettens avgjørelse, men gjorde ikke det. Det er ikke riktig at spørsmålet om sakskostnader ble anket, slik kommunen anfører. Hun viser til e-postkorrespondanse med […] tingrett 5. april 2024 og med […] lagmannsrett 11. april 2024, der begge domstoler bekrefter at de ikke har mottatt noen anke fra kommunen.

Ankefristen var 8. mars 2021. Kredittvurderingen ble foretatt […], over to uker etter ankefristens utløp. På tidspunktet for kredittvurderingen forelå det ingen reell vurdering fra kommunens side om rettslige skritt skulle iverksettes. Kommunen hadde dermed ikke en berettiget interesse i å innhente hennes kredittopplysninger. Kommunen erkjenner at de ikke hadde et rettslig grunnlag for å innhente hennes gjeldsopplysninger, og det samme må gjelde kredittvurderingen.

Hun er generelt kritisk til kommunens behandling av foreliggende sak og håndteringen av den underliggende arbeidskonflikten, hvor hun var utsatt for gjengjeldelse etter en varslingssak.

3.  X kommunes syn på saken i korte trekk  

Kommunen ble påført et økonomisk tap i form av sakskostnader ved As saksanlegg og senere ved utgifter til juridisk bistand i forbindelse med rettssaken om rettsforlikets gyldighet. Et krav om dekning av sakskostnader er et erstatningskrav på prosessuelt grunnlag etter reglene i tvisteloven kapittel 20.

På tidspunktet for kredittvurderingen, som var […], var verken As hovedkrav eller partenes sakskostnadskrav rettskraftig avgjort. På dette tidspunktet hadde derfor As økonomiske situasjon betydning for spørsmålet om kommunen hadde rimelig utsikt til å få dekket sitt tap. Datatilsynet har med rette lagt til grunn at kommunen hadde rettslig grunnlag for kredittvurderingen.

Det er riktig at kommunen ikke innga anke eller avledet anke over sakskostnadsavgjørelsen.

Det er ikke nødvendig å inngi avledet anke dersom en part kun ønsker å endre tingrettens sakskostnadsavgjørelse, jf. tvisteloven § 29-7 annet ledd. Kravet på sakskostnader var ikke oppgitt. Da lagmannsretten […] besluttet å nekte anken fremmet, ble kommunen tilkjent 30 000 kroner i sakskostnader for lagmannsretten.

Når det gjelder gjeldsopplysningene, erkjenner kommunen at den ikke hadde rettslig grunnlag for å innhente opplysningene fra Gjeldsregisteret AS. Det bestrides derfor ikke at Datatilsynet har adgang til å ilegge overtredelsesgebyr. Klagen gjelder utmålingen. Gebyret er for høyt og må bortfalle i sin helhet.

Overtredelsen skjedde […]. Klagen ble inngitt 13. april 2021. Datatilsynet sendte krav om redegjørelse til kommunen 14. september 2022. Da hadde det allerede gått ett år og fem måneder. Etter at kommunen ga sin redegjørelse 11. november 2022, tok det ca. elleve måneder før Datatilsynet varslet vedtak om overtredelsesgebyr 2. oktober 2023. Kommunen svarte på varselet 4. desember 2023, og Datatilsynet fattet så vedtak 21. mars 2024, nær tre år etter å ha mottatt klagen. Samlet saksbehandlingstid i Datatilsynet er over tre år, uten at det er noe ved sakens faktiske eller rettslige sider som skulle tilsi det. Personvernnemnda har varslet at det vil ta tid å behandle saken også der. At den samlede saksbehandlingstiden vil overstige fire år før saken er endelig avgjort, innebærer at saken ikke er avgjort innen rimelig tid, jf. forvaltningsloven § 11 a. Heller ikke kravene til saksbehandlingstid etter Grunnloven § 95 eller EMK artikkel 6 er overholdt.

Datatilsynet har lagt til grunn at saksbehandlingstiden er halvannet år. Det er ikke korrekt. Saksbehandlingstiden skal regnes fra det tidspunktet klagen er mottatt når ikke annet er særskilt bestemt, jf. forvaltningslovforskriften §§ 36 første ledd og 35 første ledd og PVN-2021-13.

I tillegg krever artikkel 58 nr. 4 at tilsynsmyndigheten «skal være underlagt nødvendige garantier, herunder effektive rettsmidler og rettferdig rettergang». Krav om «rettferdig rettergang» omfatter også et krav om en avgjørelse innen rimelig tid.

Jo lengre tid det går fra overtredelsen, desto mer krevende er bevissituasjonen. Skyldkravet er uaktsomhet, også for vedtak som retter seg mot kommuner, jf. forvaltningsloven § 46 første ledd. Går det for lang tid før Datatilsynet sender krav om redegjørelse, kan det påvirke hva berørte personer husker og elektroniske bevis kan være slettet.

I PVN-2021-13 la nemnda til grunn at en saksbehandlingstid på nær tre år er uakseptabelt, og at overtredelsesgebyret av den grunn måtte bortfalle i sin helhet. I den foreliggende sak – hvor saksbehandlingstiden ligger an til å bli mer enn fire år – bør løsningen være den samme.

Denne løsningen underbygges også av sakens øvrige omstendigheter.

Når det gjelder karakteren av alvorligheten av overtredelsen, jf. artikkel 83 nr. 2 bokstav a, er innhentingen av gjeldsinformasjon en enkeltstående hendelse i forbindelse med en ekstraordinær sak. Tilsvarende har ikke skjedd, verken før eller siden. Det dreier seg ikke om systematiske brudd eller mangel på tilstrekkelige rutiner. På tidspunktet for innhentingen av gjeldsinformasjonen var det for øvrig uklart om lagmannsretten ville ta anken til behandling.

Formålet med innhentingen av gjeldsopplysningene var kommunens berettigede interesse i å få et bedre bilde av klagers økonomi og slik bedre kunne forsvare seg mot As krav og anførsler, men også for å fremme og eventuelt inndrive sitt eget krav om sakskostnader. Det hadde den klart et saklig behov for, jf. PVN-2010-04. Datatilsynet har i vedtaket også lagt til grunn at kommunen hadde behov for å få «innsikt i klagers økonomiske situasjon». Dette skiller denne saken fra for eksempel PVN-2017-02.

Kommunen har behandlet opplysningene med høy grad av sikkerhet slik forordningen krever.

Opplysningene er også underlagt taushetsplikt, jf. forvaltningsloven § 13 første ledd nr. 1. Det er en svært begrenset krets i kommunen som er gjort kjent med opplysningene. Det er ingen holdepunkter for at A har lidt noen materiell skade av informasjonsinnhentingen i form av økonomisk tap eller lignende.

Det er også relevant å se hen til at dette er opplysninger som kommunen kunne ha begjært bevistilgang til etter reglene tvisteloven kapittel 26.

Når det gjelder graden av skyld, jf. personvernforordningen artikkel 83 nr. 2 bokstav b, har kommunen forholdt seg til råd fra sin advokat, som ba kommunen innhente opplysninger fra «åpne kilder». Da dette ble tolket slik at han ønsket samtlige opplysninger kommunen kunne få tak i, skal det mer til for å konstatere at kommunen har utvist en særlig stor grad av uaktsomhet. Kommunen hadde en berettiget forventning om at advokaten har oversikt over regelverket, og var i den tro at den kun fulgte oppgitte råd.

X kommune er en liten kommune med […] innbyggere. Dette utgjør et formildende moment. I PVN-2023-09 sa Personvernnemnda seg enig i at en kommunes økonomi og antall innbyggere er et relevant moment ved utmålingen av overtredelsesgebyr.

4.  Personvernnemndas vurdering

4.1 Innledning

Saken gjelder X kommunes innhenting av opplysninger om As privatøkonomi. Spørsmålet er om det er grunnlag for å ilegge overtredelsesgebyr, og utmålingen av et eventuelt gebyr.

Datatilsynets vedtak 21. mars 2024 om ileggelse av overtredelsesgebyr er påklaget av både A og X kommune. Nemnda kan prøve «alle sider av saken», og er derfor ikke bundet av klagene når det gjelder omfang, grunnlag eller påstand, jf. forvaltningsloven § 34 annet ledd.

4.2 Er det grunnlag for å ilegge overtredelsesgebyr?

Etter personopplysningsloven § 26 kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83. Det fremgår av artikkel 83 nr. 5 bokstav a at det blant annet kan ilegges overtredelsesgebyr ved brudd på «de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9». Ileggelse av gebyr forutsetter at den behandlingsansvarlige har handlet forsettlig eller uaktsomt, jf. EU-domstolens dom 5. desember 2023 i sak C-807/21 (Deutsche Wohnen) avsnitt 75 og dom 5. desember 2023 i sak C-683/21 (Nacionalinis visuomenės sveikatos centras) avsnitt 80.

Datatilsynet har lagt til grunn at det er innhentet gjeldsopplysninger i strid med artikkel 6. Kommunen har erkjent overtredelsen, og har ikke bestridt at dette isolert sett gir grunnlag for å ilegge overtredelsesgebyr for dette forholdet. Nemnda er enig i dette.

Datatilsynet har videre lagt til grunn at det foreligger behandlingsgrunnlag for innhentingen av kredittopplysninger.

Innhenting av kredittopplysninger om en person utgjør behandling av personopplysninger, jf. artikkel 4 nr. 1 og 2. Dette innebærer at den behandlingsansvarlige må ha rettslig grunnlag (behandlingsgrunnlag) i personvernforordningen artikkel 6 nr. 1 for å være lovlig. Det er kommunen som er behandlingsansvarlig, jf. artikkel 4 nr. 7.

I artikkel 6 nr. 1 bokstav a til f angis alternative behandlingsgrunnlag. Det aktuelle grunnlaget i denne saken er artikkel 6 nr. 1 bokstav f, som lyder slik:

«Artikkel 6. Behandlingens lovlighet

1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:

[…]

f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.»

Behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav f krever at tre kumulative vilkår er oppfylt:

For det første må det foreligge en berettiget interesse. Dette kan formuleres som et krav om at behandlingen må være saklig begrunnet.

Nemnda finner det klart at innhenting av kredittopplysninger kan tjene en berettiget interesse. Dette er også lagt til grunn i Micklitz og Sartor, General Data Protection Regulation, 2023, side 361:

“The automated computation of a credit score may indeed pursue legitimate interests, foremost among which is the lenders’ interest in not entering into loans that will not be repaid or loans whose implementation otherwise carries excessive risks and costs, as well as their interest in having affordable and accurate creditworthiness assessments. The accuracy of creditworthiness assessments also promotes social goals, such as preventing the economic and social disruption caused by defaults (especially as defaults may severely affect the borrowers concerned) and improving the allocation of financial resources. […]”

I den foreliggende sak kunne kredittopplysningene ha betydning både for spørsmålet om rettsforlikets gyldighet, for spørsmålet om tingretten hadde grunnlag for å frita A fra å dekke kommunens sakskostnader etter tvisteloven § 20-2 tredje ledd, og for spørsmålet om kommunen hadde rimelig utsikt til å få dekket sitt økonomiske tap som følge av saksanlegget fra A. I lys av dette er nemnda enig med Datatilsynet i at kommunen hadde en berettiget interesse i å innhente kredittopplysningene.

Nemnda har vurdert om det har noen betydning at ankefristen hadde utløpt på det tidspunktet innhentingen fant sted når det gjelder spørsmålet om det forelå berettiget interesse i å innhente opplysningene. Etter nemndas syn kan ikke det være avgjørende i saken her. Den delen av tingrettens dom som gjaldt spørsmålet av rettsforlikets gyldighet, var allerede påanket av A og var derfor ikke rettskraftig avgjort. Når det gjelder spørsmålet om sakskostnader, er nemnda enig med kommunen i at det er ikke nødvendig å inngi avledet anke dersom en part kun ønsker å endre tingrettens sakskostnadsavgjørelse, jf. tvisteloven § 29-7 annet ledd.

For det annet er det et krav at behandling av personopplysningene er «nødvendig» for formål knyttet til de berettigede interessene. Nødvendighetskravet vil bare være oppfylt dersom det ikke foreligger et alternativ som er «better suited and less intrusive», jf. Christopher Kuner mfl., The EU General Data Protection Regulation (GDPR), Oxford 2020 s. 338.

I EU-domstolens dom 11. desember 2019 i sak C-708-18 (Asociaţia de Proprietari) uttrykkes dette slik i avsnitt 47:

«Denne betingelse indebærer, at den forelæggende ret skal efterprøve, om den legitime interesse, som forfølges med behandlingen af personoplysninger ved den i hovedsagen omhandlede videoovervågning, som i det væsentlige består i at tilvejebringe sikkerhed for ejendom og personer og forhindre lovovertrædelser, ikke med rimelighed kan beskyttes lige så effektivt ved andre midler, som er mindre indgribende i de registreredes grundlæggende friheder og rettigheder, navnlig retten til respekt for privatlivet og beskyttelse af personoplysninger som sikret ved chartrets artikel 7 og 8.»

I HR-2021-2403-A (Legelisten) fremheves det i tråd med dette at nødvendighetskravet ikke innebærer et krav om alle sider ved behandlingen må være absolutt påkrevet (avsnitt 54), og at «vurderingstemaet er om de berettigede interesser med rimelighet kan realiseres like effektivt på en annen måte som er mindre inngripende overfor de grunnleggende friheter som er sikret ved artikkel 7 og 8 i Den europeiske unions pakt om grunnleggende rettigheter (2012/ C 326/02)» (avsnitt 55).

Nemnda er enig med Datatilsynet i at det var nødvendig å innhente kredittopplysningene for å vareta kommunens interesser i saken. Det forelå ingen opplysninger om As økonomi ut over hennes egen forklaring, og det var ikke grunn til å forvente at A av eget tiltak ville fremlegge ytterligere opplysninger. Nemnda kan ikke se at kommunens berettigede interesser med rimelighet kunne realiseres like effektivt på en annen måte som var mindre inngripende overfor A.

For det tredje skal det foretas en interesseavveining mellom den registrertes privatliv og personopplysningsvern på den ene side, og den behandlingsansvarliges eller en tredjeparts berettigede interesse i å behandle personopplysningene på den annen.

I HR-2021-2403-A (Legelisten) avsnitt 65 legger førstvoterende til grunn at «grovheten av krenkelsen av de registrertes rettigheter og friheter er et vesentlig element ved vurderingen, og at det i denne forbindelse blant annet skal ses hen til hvor følsomme personopplysningene er, antallet personer som har fått tilgang til dem, og hvordan man kan få tilgang til dem», jf. C-708/18 avsnitt 56-57.

Opplysninger om personers privatøkonomi er personopplysninger. Innhenting av slike opplysninger har dermed en side mot den registrertes privatlivsinteresser og personopplysningsvern. Hvor stort inngrep innhentingen utgjør, vil imidlertid bero på hvilke opplysninger det er tale om. Det er forskjell på å innhente opplysninger om nettoinntekt, nettoformue og gjeld, og å innhente opplysninger om misligholdte gjeldsforpliktelser og eventuelle utleggsforretninger.

I den foreliggende sak har Bisnode Norge AS utlevert opplysninger fra skatteoppgjørene for 2017 til 2019, hvor As nettoformue, alminnelige inntekt og ilagt skatt for de respektive årene fremgår. I tillegg er det utlevert opplysninger om salgspant på en motorvogn. Etter nemndas syn er dette personopplysninger som er forholdsvis lite følsomme.

Nemnda antar at disse opplysningene neppe utgjør «personlige forhold» som er undergitt taushetsplikt etter forvaltningsloven § 13. Kommunen har imidlertid i sitt brev til Datatilsynet 11. november 2022 opplyst at ingen uvedkommende har hatt adgang til opplysningene som ble innhentet. Nemnda har ingen grunn til å betvile dette, og legger derfor til grunn at hensynet til As personopplysningssikkerhet er ivaretatt.

Etter en samlet helhetsvurdering har nemnda kommet til at kommunens interesse i å innhente kredittopplysninger om A, veier tyngre enn hensynet til As interesse i å unngå at de aktuelle opplysningene ble delt med kommunen.

Nemnda er etter dette enig med Datatilsynet i at X kommunes kredittvurdering av A 25. mars 2021 var lovlig, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.

4.3 Utmåling av gebyret

Datatilsynet har ilagt kommunen et overtredelsesgebyr på 85 000 kroner for ulovlig innhenting av As opplysninger fra Gjeldsregisteret AS. Kommunen erkjenner at det er grunnlag for å ilegge overtredelsesgebyr, men gjør gjeldende at gebyret bør falle bort eller reduseres, blant annet på grunnlag av lang saksbehandlingstid.  

Artikkel 83 nr. 1 fastsetter følgende utgangspunkt for utmålingen av gebyrets størrelse:

«Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.»

Det fremgår av artikkel 83 nr. 5 bokstav a at gebyret for overtredelse av artikkel 6 ikke kan overstige «20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4 % av den samlede globale årsomsetningen i forutgående regnskapsår».

Ved utmålingen av gebyret skal det tas hensyn til momentene i forordningen artikkel 83 nr. 2. I det følgende vil nemnda knytte noen kommentarer til de momentene som især får betydning i denne saken.

Etter bokstav a skal det legges vekt på «karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd».

Utleveringen av gjeldsopplysninger skjedde i strid med gjeldsinformasjonsloven § 12 første ledd bokstav b, som bare gir Gjeldsregisteret AS adgang til å utlevere gjeldsopplysninger til en kommune «i forbindelse med behandling av søknad om startlån eller søknad om endring av vilkår for innvilget startlån». Fra kommunens side utgjør innhentingen av disse opplysningene et brudd på lovlighetsprinsippet i artikkel 5 nr. 1 og kravet til behandlingsgrunnlag i artikkel 6 nr. 1. Dette er grunnleggende bestemmelser i forordningen. Etter nemndas syn innebærer dette at saken ikke er bagatellmessig. Dette underbygges ved at artikkel 83 nr. 5 fastsetter en høyere øvre ramme for overtredelsesgebyr som følge av brudd på blant annet artikkel 5 og 6 enn ved andre overtredelser av forordningen, jf. artikkel 83 nr. 4.

På den annen side er ikke overtredelsen av de mest alvorlige. Det fremgår av brev 25. mars 2021 fra Gjeldsregisteret AS til A at det er utlevert opplysninger om en usikret gjeldspost på [under 10 000] kroner. Det fremgår ikke hvem som er kreditor, eller hva gjelden knytter seg til. Andre gjeldsopplysninger er ikke gitt. Opplysningene kaster derfor i begrenset grad lys over hennes personlige forhold. Nemnda kommer tilbake til betydningen av at det er en kommune som har stått for innhentingen.

Etter bokstav b skal det legges vekt på «hvorvidt overtredelsen ble begått forsettlig eller uaktsomt». Det er på det rene at selve innhentingen ble begått forsettlig. Det er uklart om den innhentet opplysningen var klar over at dette innebar et brudd på forordningen artikkel 5 og 6, men kommunen har iallfall utvist uaktsomhet med hensyn til innhentingens lovlighet. Nemnda er enig med Datatilsynet i at kommunen kan bebreides for at den ikke har overholdt de grunnleggende personvernprinsippene ved behandling av personopplysninger, og at den ikke kan ha hatt tilstrekkelige rutiner for innhenting av informasjon om privatpersoners økonomi, jf. artikkel 5 nr. 2 (ansvarlighetsprinsippet) og artikkel 24.

Etter bokstav g skal det legges vekt på «kategoriene av personopplysninger som er berørt av overtredelsen». Opplysningen om en usikret gjeldspost på [under 10 000] kroner omfattes utvilsomt ikke av artikkel 9, og utgjør heller ikke noe vesentlig inngrep i As privatlivsinteresser eller personopplysningsvern.

Etter bokstav k skal det endelig legges vekt på «enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen».

Etter nemndas syn er det skjerpende at overtredelsen er begått av en kommune, som innbyggerne i kommunen bør kunne ha særlige forventninger til. At kommunen opptrer i strid med reglene, kan svekke tilliten til kommunen på en måte som kan ha skadevirkninger utover den enkelte sak. Det er også skjerpende at kommunen ikke selv har oppdaget overtredelsen. Forholdet ble først oppdaget etter at Datatilsynet ba kommunen om å redegjøre for saken 14. september 2022. Dette tyder på at kommunens internkontroll var mangelfull.

På den annen side er nemnda enig med kommunen i at kommunens økonomi må tillegges vekt ved utmålingen av overtredelsesgebyret, jf. artikkel 83 nr. 1 og 4 og PVN-2023-09. I strafferetten fremgår det samme av straffeloven § 53 annet ledd om utmåling av bøtestraff.

Datatilsynet fastsatte overtredelsesgebyret til 85 000 kroner. Nemnda har ikke vesentlige innvendinger til dette utgangspunktet for utmålingen. Selv om det så langt ikke foreligger praksis om utmåling av overtredelsesgebyr i saker om innhenting av gjeldsinformasjon uten rettslig grunnlag, ligger gebyrets størrelse i det nedre sjikt av de gebyr som Datatilsynet har ilagt offentlige myndigheter for kredittvurdering uten rettslig grunnlag. Innovasjon Norge ble eksempelvis ilagt et gebyr på 1 000 000 kroner i vedtak 19. mai 2021, mens Arbeidstilsynet ble ilagt et gebyr på 150 000 kroner i vedtak 16. mai 2022. Ingen av vedtakene ble påklaget til Personvernnemnda. Beløpene kan gi en viss veiledning ved utmålingen, men sakene er likevel ikke direkte sammenlignbare. Dette har sammenheng med at utlevering av gjeldsopplysninger fra gjeldsinformasjonsforetak er strengere regulert i gjeldsinformasjonsloven, enn utlevering av kredittopplysninger fra kredittopplysningsforetak etter kredittopplysningsloven.

Den foreliggende sak gir ikke foranledning til å gå nærmere inn dette. Etter nemndas syn er den samlede saksbehandlingstiden i denne saken så lang at overtredelsesgebyret uansett bør bortfalle helt.

Overtredelsen skjedde […]. Klagen ble inngitt 13. april 2021. Datatilsynet sendte krav om redegjørelse til kommunen 14. september 2022, om lag ett år og fem måneder senere. Vedtak om overtredelsesgebyr ble først truffet 21. mars 2024, nær tre år etter at klagens ble mottatt. Nemnda kan ikke se at saken kan forsvare en samlet saksbehandlingstid på tre år, heller ikke om det tas hensyn til tilsynets ressurssituasjon. Saken er ikke spesielt omfattende, og den har heller ikke reist spesielle tvilsspørsmål av rettslig eller faktisk karakter. Saker om overtredelsesgebyr må uansett prioriteres, jf. Grunnloven § 95 og EMK artikkel 6 nr. 1.  

I tillegg til saksbehandlingstiden hos Datatilsynet, må det også tas hensyn til den tid nemnda har brukt på å behandle saken, bl.a. fordi nemnda har måttet behandle As begjæring om bevisavskjæring.

Den samlede saksbehandlingstiden vil overstige fire år fra klagen ble inngitt. Saken er derfor ikke er avgjort innen rimelig tid, jf. forvaltningsloven § 11 a første ledd. Det er ingen unnskyldningsgrunn at saksbehandlingstiden delvis har sammenheng med knappe ressurser.

I nemndas praksis finnes det flere eksempler på at et overtredelsesgebyr er redusert som følge av lang saksbehandlingstid, se f.eks. PVN-2021-03, PVN-2021-13, PVN-2021-16 og PVN-2022-03.

Det er PVN-2021-13 som har størst likhetstrekk med den foreliggende sak. Nemnda la her til grunn at overtredelsesgebyret måtte bortfalle som følge av lang saksbehandlingstid. I vedtaket begrunnes dette slik:

«Den ansatte meldte om kameraovervåkingen til Datatilsynet 31. mai 2018, og Datatilsynet ba restauranten om en redegjørelse ett år senere. Etter at restauranten svarte tilsynet sommeren 2019, gikk det ni måneder før tilsynet ba om ytterligere informasjon. Etter at restauranten svarte på spørsmålene tok det nær et halvt år før Datatilsynet varslet restauranten om pålegg og gebyr i slutten av november 2020. Datatilsynet fattet endelig vedtak i saken 6. april 2021, nær tre år etter at saken startet hos tilsynet. Det er nå gått ytterligere nesten et halvt år.

Datatilsynet har en plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda viser til PVN-2021-03 med videre henvisning til Sivilombudets (tidligere Sivilombudsmannens) avgjørelse 17. august 2012 i sak 2011/2718 og NOU 2003:15 ‘Fra bot til bedring’ pkt. 5.7.11 (side 102). Dette er ikke gjort i denne saken.

Etter nemndas vurdering har den samlede saksbehandlingstiden hos tilsynet vært uakseptabelt lang. Den personen eller det foretaket som risikerer å bli møtt med straffesanksjoner eller sanksjoner som kan likestilles med straff, har en beskyttelsesverdig interesse i å få avklart dette spørsmålet innen rimelig tid, og forvaltningsorganet plikter – med de ressurser som er stilt til rådighet – å innrette sin virksomhet på en slik måte at denne interessen ivaretas.

Etter nemndas syn tilsier ikke sakens omfang og kompleksitet en så lang saksbehandlingstid som her har medgått. Nemnda viser særlig til at det har vært lange perioder uten framdrift i saken, til tross for at Datatilsynet mener at overtredelsen er alvorlig. Etter en samlet vurdering har nemnda kommet til at overtredelsesgebyret bør falle bort.»

I den foreliggende sak er saksbehandlingstiden enda lengre enn den var i den siterte saken fra 2021. På denne bakgrunn er nemnda er enig med kommunen i at gebyret bør bortfalle helt.  

Klagen fra X kommune tas til følge.

Vedtaket er enstemmig.

5. Konklusjon

Datatilsynets vedtak 21. mars 2024 endres slik at overtredelsesgebyret bortfaller.

Oslo, 12. juni 2025

Marius Stub

leder