EuroRett: NAVs GDPR-brudd ikke i strid med ansattes rett til privatliv etter EMK

EuroRett: NAVs GDPR-brudd ikke i strid med ansattes rett til privatliv etter EMK

Justis og innenriks

Senter for Europarett ved ansvarlig redaktør Professor dr. juris Finn Arnesen

Redaktører: Edith Meek Allern, Cecilie Helgeland og Elina Panea Berg

Spørsmålet i saken

Den Europeiske menneskerettsdomstolen (EMD) avsa 10. mars 2026 avvisningsavgjørelse i sak nr. 35473/23 [EMD-2023-35473] Thorenfeldt v Norway. Saken gjaldt spørsmål om brudd på forordning (EU) 2016/679 [GDPR], som gjorde det mulig for NAV-ansatte å gjennomgå saksmappene til andre kollegaer, innebar en krenkelse av retten til privatliv, jf. Den europeiske menneskerettskonvensjon (EMK) art. 8

Sakens bakgrunn 

Klageren i saken var ansatt i NAV fra 2007. I 2016 fikk hun i en periode arbeidsavklaringspenger som følge av en ulykke. Søknaden om arbeidsavklaringspenger ble behandlet av et annet NAV-kontor enn det hun jobbet på.

I 2018 fikk hun mistanke om at kollegaene hennes hadde hatt uautorisert tilgang til saksmappen hennes. Saksmappen inneholdt personopplysninger og helsedata. Hun ba derfor om innsyn fra NAV om hvem som hadde tilgang til saksmappen hennes. 

Innsynet viste en aktivitetslogg av datoene mappen hennes hadde blitt åpnet, og hvilket kontor som var involvert. Den ga ikke informasjon om hvem som hadde tilgang, eller hvorfor de hadde fått tilgang. Hun ba derfor om ytterligere informasjon. 

Hun klaget også NAV inn til Datatilsynet, som åpnet etterforskning av NAVs rutiner. 

Datatilsynets konklusjon var at NAVs manglende kontroll over personopplysninger, og sikring av disse, brøt med GDPR art. 32 sammenholdt med art. 5 (1) (f). Datatilsynet påpekte blant annet at NAVs prosedyrer for tilgangskontroll av personopplysninger til ansatte og deres familiemedlemmer var «fragmenterte» og ikke implementert konsekvent i alle NAV-enheter. Personvernordningen for ansattes data var basert på individuelle vurderinger av den aktuelle ansattes behov, og prosedyrene for å tilordne en sak til et annet kontor var ikke ensartede på tvers av alle NAV-enheter. 

Etter dialog med NAV avsluttet Datatilsynet saken 21. januar 2020. Konklusjonen var da at NAV hadde gjort tilstrekkelige tiltak for å sikre overensstemmelse med bestemmelsene i GDPR.

Klageren ba på nytt om innsyn i hvem og hvor mange ganger noen hadde åpnet saksmappen hennes i NAV. Etter endringene i rutinene fra januar 2020 kunne NAV svare at mappen hadde blitt åpnet av omtrent 45 mennesker. 

Klageren saksøkte så NAV med krav om fastsettelsesdom for brudd på GDPR art. 12 og 15, og oppreisningserstatning. Hun tapte i tingretten, og anket til lagmannsretten. 

Lagmannsretten var enig i Datatilsynets konklusjon om at NAVs rutiner innebar brudd på GDPR art. 32, sammenholdt med art. 5 (1) (f). Klageren fikk imidlertid ikke medhold i kravet om fastsettelsesdom eller oppreisningserstatning. Klagerens anke til Høyesterett ble nektet fremmet. Det var først ved klagen til Høyesterett at klageren anførte brudd på EMK art. 8.

Klageren har anlagt sak for EMD. Spørsmålet er om den utilstrekkelige beskyttelsen av klagerens saksmappe i NAV innebar et brudd på klagerens rett til privatliv, jf. EMK art. 8. 

Klageren anførte også brudd på retten til effektivt rettsmiddel, jf. EMK art. 13. 

Domstolens vurdering

EMD innleder med å konstatere at NAV er et offentlig organ, og at NAVs handlinger tilskrives staten, ved eventuelle brudd på EMK. 

Behandling av informasjon om enkeltpersoners privatliv omfattes klart av EMK art. 8 første ledd. Personlig informasjon om noens velferdsytelser er utvilsomt en del av en persons privatliv. 

Staten har både en negativ plikt til å avstå fra å gjøre inngrep i menneskers privatliv, og en positiv plikt til å sikre retten til privatliv. Den positive plikten gjelder også for å beskytte retten til privatliv mellom privatpersoner. Denne saken gjelder spørsmål om brudd på statens positive plikt til å sikre enkeltmenneskers rett til privatliv. 

Helseopplysninger har særlig sterkt vern under EMK art. 8. Spredningen av slike opplysninger kan utgjøre et alvorlig inngrep i retten til privatliv. Respekt for taushetsplikten rundt slik informasjon er også viktig for tilliten til helsesystemet og til offentlige instanser. Det samme gjelder når helseinformasjon er tilknyttet velferdsytelser, som i saken her. 

EMD viser til at NAV endret den tekniske innretningen av ansattes personopplysninger 1. januar 2020, som følge av Datatilsynets etterforskning og konklusjon. NAV fikk dermed mulighet til å sjekke hvilke ansatte som hadde gjennomgått andres saksmapper i perioden før 2020. Denne gjennomgangen viste at klagerens saksmappe bare var gjennomgått av de ansatte som behandlet hennes sak om arbeidsavklaringspenger. Videre viser EMD til at klagerens krav om oppreisning ble vurdert nøye av lagmannsretten, og at lagmannsretten konkluderte med at hun ikke hadde blitt påført noen skade som følge av bruddet på GDPR. Nasjonale domstoler hadde også vurdert hvorvidt hun hadde krav på erstatning etter GDPR art. 30, uten å ha funnet grunnlag for det.

EMD mener derfor at klagerens anførsler ble grundig etterforsket og undersøkt på nasjonalt nivå, og at domstolenes begrunnelse og konklusjon var relevant og tilstrekkelig. Klagen til Datatilsynet førte også til en omfattende endring i NAV, slik at deres systemer kom i overensstemmelse med GDPR. 

På bakgrunn av dette konkluderer EMD med at det ikke forelå brudd på statens positive forpliktelse etter EMK art. 8 første ledd. Klagen må avvises, da den er åpenbart grunnløs, jf. EMK artikkel 35 tredje ledd bokstav a og artikkel 35 fjerde ledd.

Artikkel 13 om retten til effektivt rettsmiddel får bare anvendelse der klagerens anførsel i utgangspunktet er prosederbar. Ettersom det anførte bruddet på EMK art. 8 var åpenbart grunnløst, hadde hun ikke krav på å få anførselen sin prøvd for nasjonale domstoler etter EMK artikkel 13. Anførselen avvises. 

Domstolens konklusjon 

Klagerens anførsel om brudd på EMK art. 8 første ledd var åpenbart grunnløs, jf. EMK artikkel 35 tredje ledd bokstav a. Klagen avvises derfor i henhold til artikkel 35 fjerde ledd. 

Den europeiske menneskerettskonvensjonen (EMK) er gjennomført i norsk rett i lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2 nr. 1. Ved motstrid går reglene i EMK foran bestemmelser i annen lovgivning, jf. menneskerettsloven § 3. 

GDPR er inntatt i EØS-avtalen vedlegg XI, og gjennomført i norsk lov ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) § 1. 

EMD tolker begrepet «inngrep» autonomt, noe som innebærer at det ikke er opp til nasjonale domstoler å avgjøre om noe er et inngrep, se f.eks. Yılmaz et Kılıç v. Turkey [EMD-2001-68514], avsn. 58. Norges institusjon for menneskerettigheter påpeker at domstolens vurderinger av om noe er et inngrep ofte foretas i avvisningsavgjørelser (NIM, Veileder for utredning av menneskerettslige problemstillinger 2. utgave, side 64 til 65). 

Dommen klargjør at NAVs brudd på GDPR ikke innebar et brudd på EMK artikkel 8 første ledd. Faktum i saken var likevel noe særegent, særlig fordi det ikke var bevist at klagerens kollegaer faktisk hadde snoket i saksmappen hennes, og at NAV rettet opp personvernrutinene sine, som følge av Datatilsynets konklusjon. Saken kan derfor ikke tas til inntekt for at GDPR-brudd ikke innebærer et inngrep i retten til privatliv på generelt grunnlag.

Selv om staten ikke dømmes for menneskerettsbrudd i saken, er dommen en påminnelse om at riktig behandling av personopplysninger også er en viktig del av beskyttelsen av privatlivet etter EMK art. 8.   

EPB

Publisert: 05.05.2026
Utgave: 2026-08
Lovdata-referanse: EUR-2026-8-2