Personvern

Datatilsynet overtredelsesgebyr 2025: oversikt og analyse

Datatilsynets overtredelsesgebyr 2025: de største sakene, beløp og grunnlag – Grindr, Telenor, SATS, Meta, kommuner. Analyse og lærdom for norske virksomheter.

Also available in:Español·Polski·Nederlands·Italiano

Datatilsynets overtredelsesgebyr rammer både internasjonale plattformer og norske virksomheter, og 2025 ble et år preget av stadfestelser i domstolene og gebyr for organisatoriske mangler. Det høyeste gebyret i norsk personvernhistorie – 65 millioner kroner mot Grindr LLC for ulovlig deling av opplysninger med annonsepartnere – ble endelig stadfestet av Borgarting lagmannsrett i oktober 2025. Samme år fikk Telenor ASA 4 millioner kroner for mangler ved personvernombudsordningen, og Oslo kommunes utdanningsetat 2 millioner kroner for sikkerhetsmangler i en skoleapp. Datatilsynet kan ilegge gebyr på inntil 20 millioner euro eller 4 prosent av global omsetning. Denne oversikten går gjennom de sentrale sakene, beløpene og grunnlagene – og hva norske virksomheter kan lære av dem.

Håndhevingen i Norge er reell, men målrettet. Datatilsynet fører færre, men grundigere saker enn de største EU-tilsynene, og går i økende grad etter systematiske og organisatoriske mangler, ikke bare enkeltstående tekniske feil.

De største sakene

Sak År Gebyr Grunnlag
Grindr LLC 2021, stadfestet 2025 65 mill. kr Deling av opplysninger med annonsepartnere uten gyldig samtykke
Meta Platforms Ireland 2023 1 mill. kr/dag (tvangsmulkt) Fortsatt atferdsbasert markedsføring i strid med midlertidig forbud
SATS Norge 2023 10 mill. kr Brudd på de registrertes rettigheter og manglende rettslig grunnlag
Trumf 2022 5 mill. kr Manglende tilgangskontroll – innsyn i andres kjøpshistorikk
Telenor ASA 2025 4 mill. kr Mangler ved personvernombudsordning og internkontroll
Bergen kommune 2019/2020 3 mill. kr Manglende retningslinjer for barns opplysninger (Vigilo)
Oslo kommune (Utdanningsetaten) 2025 2 mill. kr Sikkerhetsmangler i skoleapp
Oslo kommune 2021 400 000 kr Publisering av sensitive personopplysninger i eInnsyn
NAV 2024 (opphevet) 20 mill. kr Mangler ved tilgangsstyring og loggkontroll

Grindr: rekordgebyret som ble stående

Grindr-saken er den viktigste i norsk personvernhistorie. Datatilsynet konkluderte med at appen delte personopplysninger – blant annet GPS-posisjon, IP-adresse, annonse-ID, alder, kjønn og selve det at brukeren var på Grindr, som indikerer seksuell orientering – med annonsepartnere for atferdsbasert markedsføring uten gyldig samtykke. Brukerne måtte akseptere hele personvernerklæringen for å bruke appen og ble ikke spurt spesifikt om deling med tredjeparter. Gebyret på 65 millioner kroner ble ilagt i 2021 og gikk gjennom Personvernnemnda, Oslo tingrett og til slutt Borgarting lagmannsrett, som i oktober 2025 stadfestet gebyret. Lærdommen: samtykke må være spesifikt og reelt, ikke pakket inn i en alt-eller-ingenting-erklæring.

Meta: tvangsmulkt for atferdsbasert markedsføring

I juli 2023 ila Datatilsynet et midlertidig forbud mot atferdsbasert markedsføring på Facebook og Instagram, med den begrunnelse at praksisen manglet gyldig rettslig grunnlag. Da Meta Platforms Ireland ikke etterkom forbudet, besluttet tilsynet en tvangsmulkt på 1 million kroner per dag fra 14. august 2023. Oslo tingrett stadfestet tvangsmulkten i september 2023. Saken viser at Datatilsynet er villig til å bruke løpende tvangsmulkt for å tvinge fram etterlevelse, også overfor globale plattformer.

SATS og Trumf: de registrertes rettigheter

To norske saker illustrerer hverdagsfeilene som koster. SATS Norge fikk 10 millioner kroner i 2023 etter fire klager i perioden 2018–2021, for brudd på de registrertes rett til informasjon, innsyn og sletting, samt manglende rettslig grunnlag. Trumf fikk 5 millioner kroner fordi medlemmer kunne registrere andres kontonummer på egen profil og dermed få innsyn i andres kjøpshistorikk – en svikt i tilgangskontroll. Begge sakene handler om plikter enhver virksomhet har: å svare på innsynsbegjæringer og å sikre at opplysninger ikke er tilgjengelige for feil person.

Kommunene: barns personvern i skolen

Datatilsynet har ført systematiske tilsyn med skolesektoren. Bergen kommune fikk 3 millioner kroner knyttet til manglende retningslinjer for behandling av barns opplysninger i kommunikasjonsløsningen Vigilo. Oslo kommune fikk 400 000 kroner for å publisere sensitive personopplysninger, inkludert helseopplysninger, i innsynsløsningen eInnsyn, og utdanningsetaten i Oslo fikk 2 millioner kroner for sikkerhetsmangler i en skoleapp. Sakene understreker at offentlig sektor holdes ansvarlig, særlig når barn er berørt.

Ikke alle gebyrer blir stående. Datatilsynet ila i 2024 NAV et gebyr på 20 millioner kroner for mangler ved tilgangsstyring og loggkontroll. NAV klaget, og Personvernnemnda opphevet vedtaket senere samme år, blant annet med henvisning til uklar rettsanvendelse, mangelfull faktafremstilling og utilstrekkelig vurdering av skyldkravet. Saken viser at klageadgangen til Personvernnemnda er reell – se vår guide til Datatilsynet for hvordan klageprosessen fungerer.

Hva kan norske virksomheter lære?

Mønsteret i vedtakene er tydelig. De vanligste grunnlagene er manglende oppfyllelse av de registrertes rettigheter, svak tilgangskontroll, manglende rettslig grunnlag og – i økende grad – organisatoriske mangler som svakt personvernombud og internkontroll. Dette er ikke eksotiske problemer, men hverdagsfeil som god dokumentasjon fanger opp. En levende behandlingsprotokoll, faste rutiner for innsyn og avvik, og et fungerende personvernombud er nettopp det som skiller virksomheter som klarer et tilsyn fra dem som ikke gjør det. Verktøy som Legiscope holder denne dokumentasjonen oppdatert på norsk. For bakgrunn om hvordan GDPR gjelder i Norge, se guiden til GDPR i Norge, og for verktøyvalg sammenligningen av GDPR-programvare.

Hvordan utmåles et overtredelsesgebyr?

Datatilsynet fastsetter gebyrets størrelse etter kriteriene i personvernforordningens artikkel 83. Sentrale momenter er overtredelsens art, alvor og varighet, om den var forsettlig eller uaktsom, hvor mange registrerte som er berørt, hvilke tiltak virksomheten har gjort for å begrense skaden, og graden av samarbeid med tilsynet. Skjerpende omstendigheter – som at behandlingen berørte sensitive opplysninger eller barn – trekker gebyret opp, mens formildende omstendigheter kan trekke det ned. Grindr-gebyret ble høyt fordi behandlingen berørte opplysninger som avslørte seksuell orientering, gjaldt et stort antall brukere og ble ansett som grovt uaktsom. Kommunegebyrene ble til sammenligning lavere, men understreket samtidig at også offentlig sektor holdes ansvarlig.

Et gjennomgående trekk er også hvor lang tid sakene tar. Grindr-saken startet med Datatilsynets vedtak i 2021 og ble først endelig avgjort da Borgarting lagmannsrett stadfestet gebyret i oktober 2025 – fire år gjennom Personvernnemnda, Oslo tingrett og lagmannsretten. SATS-saken bygde på klager helt tilbake til 2018. For virksomheter betyr dette at et tilsyn sjelden er over raskt: dokumentasjonen som fantes da behandlingen pågikk, blir avgjørende år senere. Å rekonstruere rettslig grunnlag og rutiner i ettertid er langt vanskeligere enn å ha dem på plass fra starten.

Trenden i norsk håndheving

Sammenlignet med de største EU-tilsynene ilegger Datatilsynet færre, men grundigere behandlede gebyrer. Trenden de siste årene går i to retninger: mot organisatoriske mangler – som Telenors svake personvernombudsordning – og mot vern av sårbare grupper, særlig barn i skolen. Samtidig viser NAV-saken at Personvernnemnda stiller strenge krav til Datatilsynets rettsanvendelse og bevisføring, noe som over tid kan gjøre tilsynet mer grundig i saksbehandlingen.

Ofte stilte spørsmål

Hva koster det å komme i samsvar sammenlignet med et gebyr?

GDPR-programvare koster en typisk norsk SMB omtrent 15 000–45 000 kroner i året, mot Datatilsynets gebyrer som starter på flere hundre tusen kroner og har nådd 65 millioner. Investeringen i verktøy er dermed en beskjeden forsikring – se prisguiden vår.

Hva er det høyeste gebyret Datatilsynet har ilagt?

65 millioner kroner mot Grindr LLC for ulovlig deling av personopplysninger med annonsepartnere, ilagt i 2021 og endelig stadfestet av Borgarting lagmannsrett i oktober 2025.

Blir alle gebyrer fra Datatilsynet stående?

Nei. Vedtak kan påklages til Personvernnemnda, som kan oppheve dem. I 2024 opphevet nemnda et gebyr på 20 millioner kroner mot NAV. Grindr-gebyret, derimot, ble stadfestet gjennom alle instanser.

Konklusjon

Datatilsynets håndheving i 2025 viser en myndighet som fører færre, men grundigere saker, og som i økende grad går etter organisatoriske mangler. Grindrs 65 millioner ble stående, Telenor fikk 4 millioner for svakt personvernombud, og kommunene holdes ansvarlige for barns personvern. Fellesnevneren er hverdagsfeil: oversett rettighet, svak tilgangskontroll, manglende dokumentasjon. For norske virksomheter er lærdommen at god, levende dokumentasjon er både god etterlevelse og det beste forsvaret – og at kostnaden ved å ha den i orden er en brøkdel av kostnaden ved å la være.

Sist gjennomgått: juli 2026.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →