10 Personvernstyremakta – organisering og oppgåver
10.1 Innleiing – oppgåver og verkemiddel, status i andre land
Datatilsynet er den sentrale personvernstyremakta. Tilsynet vart oppretta i 1980 og har vakse frå ei verksemd med nokre få tilsette til om lag 40 i dag. Verksemda er inndelt i fire avdelingar: administrasjonsavdelinga, kommunikasjonsavdelinga, juridisk avdeling og tilsyns- og tryggleiksavdelinga.
Oppgåvene til tilsynet er definerte i personopplysningslova § 42. Her heiter det:
Datatilsynet skal:
1) føre en systematisk og offentlig fortegnelse over alle behandlinger som er innmeldt etter § 31 eller gitt konsesjon etter § 33, med opplysninger som nevnt i § 18 første ledd jf. § 23,
2) behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette,
3) kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet,
4) holde seg orientert om og informere om den generelle nasjonale og internasjonale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling,
5) identifisere farer for personvernet, og gi råd om hvordan de kan unngås eller begrenses,
6) gi råd og veiledning i spørsmål om personvern og sikring av personopplysninger til dem som planlegger å behandle personopplysninger eller utvikle systemer for slik behandling, herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
7) etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger, og
8) gi Kongen årsmelding om sin virksomhet.
Datatilsynet fører i tillegg tilsyn etter mellom anna helseregisterlova og helseforskingslova og vil få tilsynsoppgåver etter politiregisterlova og ekomlova (implementering av datalagringsdirektivet) når desse lovverka blir sette i kraft.
Datatilsynet har definert følgjande som kjerneoppgåvene sine:
Behandle innkomne saker og drive tilsynsverksemd, jf. personopplysningslova § 42 nr. 2 og 3.
Gi råd og rettleiing til privatpersonar, næringsdrivande, offentlege etatar o.l., jf. personopplysningslova § 42 nr. 6.
Vere ombod for personvernspørsmål, jf. personopplysningslova § 42 nr. 5.
Drive informasjonsarbeid, jf. personopplysningslova § 42 nr. 5 og 6.
Dette samsvarar langt på veg med omtalen Personvernkommisjonen har gitt, sjå rapporten frå kommisjonen, punkt 18.1.2.
Oppgåvene som er fastsette i personopplysningslova, fastset òg langt på veg kva verkemiddel tilsynet kan nytte i arbeidet. Både tilsynsverksemd og informasjonsarbeid er verkemiddel Datatilsynet nyttar for å gjere personvernregelverket betre kjent. Ombodsrolla blir òg brukt aktivt som eit verkemiddel i samanhengar der tilsynsrolla anten ikkje fungerer godt, eller der det ikkje er rettsleg grunnlag for å bruke den kompetansen Datatilsynet har som tilsyn.
Datatilsynet er oppretta som eit uavhengig tilsynsorgan underlagt Fornyings-, administrasjons- og kyrkjedepartementet. NOU 1997: 19 Et bedre personvern strekar under at Datatilsynet er unnateke frå den alminnelege instruksjonsmyndigheita som ligg til Justisdepartementet1 i eigenskap av overordna organ. Utvalet som utarbeidde NOUen meinte vidare at departementet har instruksjonsmyndigheit når det gjeld organisatoriske og administrative forhold, og at departementet i budsjettbehandlinga kan «sette mål og veilede i tråd med gjeldende lover og regler og retningslinjer for oppfølging av underliggende virksomheter». Utvalet understreka at måla vil vere av generell karakter, medan den meir «detaljpregede, fortløpende planleggingen og prioriteringen forestås av tilsynet selv». Utvalet peikte på at «departementets etatsstyring må ta hensyn til at tilsynsmyndigheten skal være faglig uavhengig».
At Datatilsynet skal vere uavhengig, er stadfesta i Ot. prp. nr. 92 (1998-99) og i Innst. O. nr 51 (1990–2000), der «komiteen er enig med Justisdepartementets karakteristikk av Datatilsynet som et faglig uavhengig forvaltningsorgan med særskilt vide fullmakter». Den uavhengige stillinga er òg forankra i europeisk regelverk. I EUs forslag til forordning på personvernområdet er den uavhengige stillinga omtala i kapittel 6. Her blir alle EU/EØS-land pålagde å ha ei uavhengig personvernstyremakt. Dette er det gjort nærmare greie for i artikkel 47, der det mellom anna heiter at den uavhengige stillinga til styremakta skal vere fullstendig («complete») når ho utøver oppgåvene og myndigheita si. Enkeltvedtaka til Datatilsynet kan likevel klagast inn til Personvernnemnda.
I tillegg arbeider ei lang rekkje tilsynsstyremakter med spørsmål knytte til behandling av personopplysningar på sitt kompetanseområde. Dette gjeld mellom anna Arbeidstilsynet, Post- og teletilsynet, Helsetilsynet og Forbrukarombodet. Personvernarbeidet desse styremaktene gjer, er ikkje nærmare omtala i meldinga, men meldinga vil i punkt 10.4, 10.5.4 og 10.5.9 kome inn på det samarbeidet Datatilsynet har med eksterne aktørar for å styrkje den sektorvise personvernkompetansen.
Datatilsynsstyremaktene i EØS-området er ulikt organiserte. Eit gjennomgåande trekk er likevel at organa er organiserte som sjølvstendige sektorstyremakter, og at dei i tillegg til tilsynsoppgåver har ei ombodsrolle ved at dei skal skape medvit rundt og delta i debattar om personvern. Av dei nordiske tilsynsstyremaktene er det den svenske Datainspektionen som liknar mest på det norske Datatilsynet. Datainspektionen har i hovudsak oppgåver som samsvarar med oppgåvene den norske personvernstyremakta har, og er om lag like stor som det norske Datatilsynet. På same måten som Datatilsynet skal Datainspektionen behandle saker og føre tilsyn med at personvernregelverket blir etterlevd, og spreie kunnskap, vekkje debatt og åtvare om trugsmål mot personvernet. Det finske datatilsynet, Dataombudsmannens byrå, skal òg vekkje debatt og spreie kunnskap i tillegg til å føre tilsyn med at personvernregelverket blir etterlevd. Dataombudsmannens byrå er derimot ein liten organisasjon med berre 20 tilsette, og aktivitetsnivået er noko avgrensa på grunn av det. Det danske Datatilsynet har ei mindre utprega ombodsrolle enn dei nordiske systerorganisasjonane sine. Oppgåvene deira består i hovudsak av å behandle saker om og føre tilsyn med bruk av personopplysningar, gi rettleiing om behandling av personopplysningar og kome med høyringsfråsegner. Trass i noko ulike oppgåver er det relativt liten skilnad på korleis personvernstyremaktene i dei nordiske landa er organiserte, og det er godt samarbeid mellom etatane.
10.2 Hovudmoment i rapporten frå Personvernkommisjonen
Organiseringa av personvernstyremakta er omtala i kapittel 11 i rapporten frå Personvernkommisjonen. Kommisjonen går gjennom den rettslege forankringa, leiinga, arbeidsoppgåvene, budsjettet og bemanninga til Datatilsynet. Vidare drøftar kommisjonen rollene til Datatilsynet som ombod og tilsyn og omgjering av vedtak i Personvernnemnda. Personvernkommisjonen kjem med fleire forslag til endringar. Forslaga er drøfta i punkt 10.5 nedanfor og omhandlar desse temaa:
oppgåvene og ressursane til Datatilsynet
regionalisering av Datatilsynet
oppretting av eit råd for Datatilsynet
sektorvis styring av personvernkompetansen
dialog med akademia og andre fagmiljø
10.3 Hovudfunn i evalueringa til Difi
I dei drygt 30 åra Datatilsynet har eksistert, har det ikkje vore gjennomført noka evaluering med tanke på å kartleggje om etaten har dei nødvendige ressursane og føresetnadene for å kunne fylle rollene og oppgåvene sine slik det er føresett i personopplysningslova. Hausten 2010 gav derfor Fornyings-, administrasjons- og kyrkjedepartementet Direktoratet for forvaltning og IKT (Difi) i oppdrag å evaluere Datatilsynet. Evalueringa var ei oppfølging av framlegget frå Personvernkommisjonen. Målet med prosjektet var:
Å vurdere om personvernstyremaktene, og Datatilsynet som hovudaktør, har dei nødvendige føresetnadane for å kunne oppfylle rollene og oppgåvene sine i samsvar med personopplysningslova.
Å gi Fornyings-, administrasjons- og kyrkjedepartementet eit betre grunnlag for å vidareutvikle styringsdialogen mellom FAD, Datatilsynet og Personvernnemnda.
Å gi Datatilsynet eit godt verktøy for framtidig organisasjons- og utviklingsarbeid.
Som ein del av arbeidet vart ei rekkje interne og eksterne informantar intervjua. Rapporten Evaluering av Datatilsynet2 vart framlagd 3. oktober 2011.
Det var brei semje blant informantane om at Datatilsynet oppnår gode resultat med etter måten små ressursar. Det vart særleg peikt på at Datatilsynet er synleg i media og har god evne til å setje personvernspørsmål på saklista. Datatilsynet fekk òg stort sett positiv tilbakemelding på utøvinga av myndigheit, men ein viss kritikk for rolleforståinga.
Hovudkonklusjonen til Difi var at Datatilsynet oppnår gode resultat på eit breitt område. Det vart òg understreka at Datatilsynet hadde utvikla seg positivt både med tanke på å gjere organisasjonen betre rusta til å løyse ulike typar oppgåver og til å kome i konstruktiv dialog med ulike målgrupper. Dei fleste informantane vurderte Datatilsynet som ein god rådgivar i personvernspørsmål, samstundes som det kom fram noko kritikk frå enkelte informantar som meinte Datatilsynet ikkje alltid er gode nok til å vurdere ulike omsyn mot kvarandre.
Det vart òg peikt på enkelte ting som kunne bli betre. Rapporten peikte mellom anna på behovet for meir strategisk bruk av verkemiddel og ressursstyring, sterkare rollemedvit, ei tydeleggjering av ombodsrolla, betre samarbeid med ulike målgrupper og betre forvaltningskompetanse.
Rapporten frå Difi konkluderer med at det er lite fagleg kontakt mellom Datatilsynet og Personvernnemnda. Datatilsynet er likevel bevisst på å bruke klageorganet for å få avklåra prinsipielle tolkingsspørsmål. Sidan Datatilsynet er eit fagleg uavhengig forvaltningsorgan, er den faglege kontakten mellom Datatilsynet på den eine sida og Justisdepartementet og Fornyings-, administrasjons- og kyrkjedepartementet på den andre òg etter måten liten. Departementa er mellom anna varsame med å uttale seg om korleis regelverket skal tolkast, fordi bruk av reglane er ei oppgåve for Datatilsynet og eventuelt Personvernnemnda.
10.4 Datatilsynet – den nye arbeidsforma og den meir strategiske tilnærminga
Datatilsynet manøvrerer i eit krevjande landskap med kryssande interesser. Rollene som både tilsyn og ombod krev god evne til å manøvrere i dette landskapet. For å leggje til rette for effektiv ressursbruk på alle område gjennomførte Datatilsynet ein intern strategiprosess parallelt med evalueringa til Difi. Den nye strategien3 vart lansert i november 2011 og peiker ut kva retning Datatilsynet skal gå i dei neste fem åra.
Eit hovudpunkt her er ei meir strategisk arbeidsform. Datatilsynet vedtek kvart år ein detaljert verksemdsplan som slår konkret fast kva aktivitetar etaten skal gjennomføre. Heile organisasjonen deltek i arbeidet med planen. På månadlege møte blir det rapportert om framdrifta. I desse møta blir òg restansar i saksbehandling og tilsyn gjennomgått. I tillegg har Datatilsynet vedteke fagstrategiar på helseområdet, i justissektoren og på det internasjonale området. Slike strategiar er nyttige styringsverktøy internt, samtidig som dei gir omverda viktig informasjon om grunnlaget for arbeidet Datatilsynet gjer med personvern i den sektoren strategien gjeld for.
Eit anna viktig punkt i strategien er å medverke til auka interesse for og kunnskap om personvern og vidare å arbeide for at andre aktørar òg legg vekt på personvern. Eit sentralt verkemiddel er det å ha brei kontakt med viktige aktørar i næringsliv, politikk, offentleg forvaltning og ulike forskings- og utviklingsmiljø.
Strategien legg òg vekt på kor viktig det er med kvalitet og kompetanse. Det er sett i gang ein plan for å heve kompetansen internt. Datatilsynet gjer òg i større grad enn tidlegare klåre prioriteringar av innkomne saker og har som mål å behandle fleire saker ved å gi rettleiing framfor å gi kvar sak ei full forvaltningsbehandling.
Til slutt er det ei viktig oppgåve å identifisere farar for personvernet og vere synleg og tydeleg i den offentlege debatten. Datatilsynet skal bruke ombodsrolla til å fremje debatt, men samtidig markere tydeleg i kvart einskilt tilfelle kva for ei av rollene sine etaten spelar.
10.5 Datatilsynet framover
10.5.1 Bør Datatilsynet drive både tilsynsverksemd og ha rolla som ombod for personvernspørsmål?
Det er ikkje uvanleg i norsk forvaltning at eit organ har fleire roller. Det er likevel ikkje vanleg med to så tydelege roller i eitt og same organ som det ein finn i Datatilsynet. Både Difi og Personvernkommisjonen peiker på at det kan vere krevjande å ha rolla som både tilsyn og ombod. Medan tilsynsrolla krev nøytralitet og objektivitet, ligg det i rolla som ombod at ein skal ta konkret stilling til ulike spørsmål. Difi peiker i rapporten på at det sterke engasjementet blant dei tilsette i etaten kan føre til at medvitet om rolla som forvaltningsorgan ikkje alltid er sterk nok. Datatilsynet sjølv peiker i strategien sin på at det kan vere spesielt krevjande å skilje mellom dei to rollene når ein går frå ombodsrolla til tilsynsrolla. Det kan oppstå situasjonar der Datatilsynet som ombod kritiserer ei avgjerd eller eit selskap som dei seinare skal føre tilsyn med. Dette peikte òg Difi på i rapporten sin. Ein måte å takle denne utfordringa på kan vere å opprette eit reint personvernombod som einast skal ta hand om personvernet, slik eit mindretal på éin medlem i Personvernkommisjonen gjekk inn for.
Difi peiker i evalueringa av Datatilsynet på ei oppfatning av at tilsynet ikkje alltid godt nok veger omsyn og regelverk opp mot kvarandre, og at dei i for stor grad einsidig legg vekt på personvernomsyn. Somme av informantane i evalueringsmaterialet til Difi peiker òg på at Datatilsynet til tider ter seg meir som ein politisk aktør enn som eit forvaltningsorgan. Dette kan vere eit uttrykk for ei uklår rolleforståing, og at ombodsrolla blir trekt for langt inn i saksbehandlinga. Datatilsynet har dei seinare åra sett kor viktig det er å ha god rolleforståing og vere tydeleg i utøvinga av rollene. I evalueringa frå Difi er det òg lagt vekt på at hovudtyngda av informantane viser stor forståing for dei ulike rollene Datatilsynet har, og meiner at etaten i hovudsaka balanserer bra i arbeidet med ulike oppgåver.
Det er mange fordelar med å kombinere dei to rollene, som i mange tilfelle overlappar kvarandre. I høyringsarbeidet glir rollene over i kvarandre. I informasjonsarbeidet er det òg vanskeleg å skilje mellom informasjon som blir gitt i rolla som ombod, og informasjon som blir gitt i rolla som tilsyn. Som tilsyn får Datatilsynet kvart år ca. 10 000 meldingar og telefonsamtaler frå næringsdrivande og privatpersonar. Datatilsynet kan derfor basere synspunkta sine i høyringssaker og utvalsarbeid på ein unik og erfaringsbasert kunnskap om korleis personvernlovgivinga faktisk blir etterlevd.
Ein kombinasjon av dei to rollene gir dessutan Datatilsynet eit større handlingsrom enn om rollene var skilde. Dette er særleg viktig i eit samfunn der den teknologiske utviklinga går svært raskt. Datatilsynet har for eksempel hatt omfattande dialog med Facebook og Google og har arbeidd for å påverke desse selskapa til å betre forretningspraksisen sin og gi betre informasjon til brukarane. Sjølv om det er usikkert kor langt den formelle jurisdiksjonen strekkjer seg i denne dialogen, gjer ombodsrolla det mogleg å føre ein slik dialog utan å vere bunden av formelle skrankar.
Aktivt internasjonalt engasjement er viktig for Datatilsynet. Det er bygd opp eit omfattande samarbeid mellom datatilsynsstyremakter i Europa. Dette samarbeidet blir ytterlegare styrkt dersom forslaget til ny forordning om personvern i EU blir vedteke. Eit eventuelt reint ombod på personvernområdet vil ikkje ha tilgang til dette nettverket.
For sterk oppsplitting i forvaltningsorgan med reindyrka roller vil kunne gi ei uoversiktleg forvaltning. I samband med evalueringa av Datatilsynet peiker Difi likevel på at det kan vere nødvendig å avklåre ombodsrolla til statlege organ meir generelt. I Datatilsynet sitt tilfelle verkar fordelane med å halde på begge rollene først og fremst å vere at etaten i utøvinga av ombodsrolla kan dra nytte av den verdifulle informasjonen og kompetansen dei opparbeider seg gjennom å utøve rolla som tilsynsstyremakt. For eit lite organ som Datatilsynet med eit stort arbeidsfelt er dette svært verdifullt. Den største utfordringa ved å kombinere dei to rollene er at det kan vere krevjande både for tilsynet sjølv og for dei som samhandlar med tilsynet, å vite kva rolle etaten til kvar tid opptrer i, og dermed kva verkemiddel dei kan bruke. Dette kan derimot avhjelpast ved at etaten tydeleg forankrar tilsynsverksemda si i det gjeldande regelverket, både forvaltningsrettsleg og personvernrettsleg.
I Datatilsynet sitt tilfellet meiner regjeringa at fordelane med å halde dei to rollene i eitt og same organ skyggjer over ulempene. Regjeringa viser òg til at fleirtalet i Personvernkommisjonen – 14 medlemer – meiner at kombinasjonen av roller i Datatilsynet bør vidareførast. Dette er òg den konklusjonen regjeringa har trekt. Samtidig blir det understreka at det er viktig at Datatilsynet er tydeleg på dei ulike rollene sine, og spesielt når det flytter seg frå ombodsrolla over i tilsynsrolla. Datatilsynet har i det store og heile klart å balansere dei to rollene på ein tilfredsstillande måte, noko som òg blir understreka i evalueringsrapporten frå Difi. Det blir lagt til grunn at Datatilsynet òg i det vidare arbeidet arbeider aktivt med rolleforståinga, slik at det blir mogleg å kombinere dei to rollene på ein god måte. Det er viktig å ha eit sterkt, synleg og uavhengig datatilsyn som fremjar personvernomsyn og talar personvernet si sak.
10.5.2 Om dialog med forskings- og utviklingsmiljø
Både Difi og Personvernkommisjonen har peikt på kor viktig det er at Datatilsynet har kontakt med forskings- og utviklingsmiljø. Ein del av den strategiske satsinga til Datatilsynet går ut på å styrkje dialogen med FoU-miljøa og setje i verk forskingsprosjekt på personvernområdet. Datatilsynet har òg eit etablert samarbeid med fleire høgskular og universitet. Regjeringa strekar under at dette er viktig arbeid. I eit stadig meir teknologidrive samfunn der utviklinga går svært fort, er det viktig at arbeidet til forvaltninga i størst mogleg grad er basert på kunnskap. Dette gjeld kanskje særleg på eit område som personvern, som grip inn i nær sagt alle samfunnsområde og krev breie analysar og samansette avvegingar. Ved å ha kontakt med FoU-miljøa får Datatilsynet eit betre kunnskapsfundament til å utøve både tilsyns- og ombodsrolla. FoU-miljøa vil ha nytte av den praktiske erfaringa Datatilsynet opparbeider seg gjennom tilsyn, saksbehandling og rettleiingsarbeid. Regjeringa legg derfor til grunn at Datatilsynet held fram med å utvikle forholdet til forskings- og utviklingsmiljøa til felles nytte.
10.5.3 Eit råd for Datatilsynet
Personvernkommisjonen føreslår at det blir oppretta eit «Datatilsynets råd», som kan fungere som «et kollektivt rådgivningsorgan med bredere sammensetning enn man finner i Datatilsynets profesjonelle stab». Dette er grunngitt med at personopplysningslova krev mange interesseavvegingar, og at ein bør sikre at det også blir lagt vekt på andre interesser enn personverninteressene.
Datatilsynet hadde fram til 2000 eit styre med sju medlemer, som primært behandla klagesaker, saker som aktualiserte nye eller endra problemstillingar for personvernet, og saker som gjaldt sentrale samfunnsspørsmål. Styret var breitt samansett, med mellom anna interesserepresentasjon frå partane i arbeidslivet, og skulle gjere breie avvegingar av ulike omsyn. Styret vart avvikla og erstatta av Personvernnemnda då personopplysningslova vart sett i kraft 1. januar 2001.
Det er ikkje aktuelt no å opprette eit råd for Datatilsynet, slik Personvernkommisjonen har teke til orde for. Dersom enkeltsaker, rapportar og tilsynsrapportar skal leggjast fram for eit kollegialt råd, vil det mest truleg føre til lengre saksbehandlingstid enn i dag. Datatilsynet har stor sakspågang, og eit råd kan derfor lett bli eit kompliserande og fordyrande ledd i saksbehandlinga. Personvernnemnda har i dag full kompetanse til å overprøve enkeltvedtaka Datatilsynet gjer. Eit råd vil i mange tilfelle føre til at det i realiteten kan bli tre instansar som vurderer saker. Godt samarbeid og god dialog med sektorinteresser, næringsliv og andre styremakter kan tilføre Datatilsynet informasjon som legg grunnlag for ei balansert saksbehandling, og kan dermed redusere behovet for eit rådgivingsorgan.
I forslaget til ny EU-forordning blir det understreka at tilsynsstyremakta skal vere absolutt uavhengig. Eit råd vil vere partssamansett og vil òg ha medlemer frå næringar eller interesseorganisasjonar som avgjerdene til Datatilsynet får direkte følgjer for. Eit råd kan derfor kunne rokke ved den uavhengige stillinga til Datatilsynet.
Personvernkommisjonen peiker på at personopplysningslova krev breie vurderingar og interesseavvegingar. Datatilsynet vil, ved å satse på kompetanseutvikling og auka kontakt med ulike målgrupper og FoU-miljø, vere godt rusta til å gjere dei avvegingane fagområdet krev. I klagesaker blir desse vurderingane tekne av Personvernnemnda. På same måten som det tidlegare styret er òg Personvernnemnda breitt samansett med ulik kompetanse for nettopp å kunne vurdere personvern opp mot andre sentrale samfunnsinteresser. Desse vurderingane gjer nemnda på ein god måte.
10.5.4 Samarbeid med eksterne aktørar
Difi understrekar i rapporten sin (kapittel 7.2) kor viktig det er at Datatilsynet gjer ei strategisk vurdering av den samla verksemda og bruken av verkemiddel, medrekna samarbeid med eksterne aktørar. I punkt 7.10 i rapporten skriv Difi at det vil vere «verdt å vurdere hvordan Datatilsynet kan komme i enda bedre inngripen med andre statlige tilsyn slik at personvern blir ivaretatt på lik linje med andre hensyn både i offentlig og privat virksomhet». Personvernkommisjonen peiker i punkt 18.3.6 på at samarbeidet med eksterne aktørar bør halde fram, og viser mellom anna til suksessen med undervisningskampanjen Du bestemmer, som Datatilsynet, Teknologirådet og Senter for IKT i utdanninga samarbeider om.
Omfattande kontakt med eksterne aktørar er ei viktig strategisk satsing for Datatilsynet. Det er viktig med slik kontakt, og det synest å vere ein situasjon alle partar tener på. Mange eksterne aktørar har behov for å få betre kjennskap til personvern og korleis personvernomsyn kan takast vare på. Gjennom aktiv rådgiving kan Datatilsynet bidra til at desse aktørane tek omsyn til personvernet i si eiga verksemd. Som Difi peiker på, er det likevel viktig å formidle klårt kvar grensa går for kva Datatilsynet skal bidra med. Dette er viktig av ressursomsyn, men òg for å sikre eigen nøytralitet. Datatilsynet skal ikkje førehandsgodkjenne bestemte løysingar og må sørgje for å gjere dei tiltaka som trengst for å sikre handlingsrommet i eventuelle klagesaker.
Regjeringa vil dessutan understreke kor viktig det er at Datatilsynet legg vekt på å ha kontakt med eksterne aktørar – både næringsliv, interesseorganisasjonar og andre instansar – og på den måten opparbeide betre sektorkompetanse og forståing for utfordringane i sektoren. Dette vil gjere tilsynet endå betre i stand til å ta dei breie avvegingane feltet krev.
10.5.5 Datatilsynet – arbeidsformer, effektivisering og prioriteringar
Difi nemner i punkt 7.7 i evalueringsrapporten sin at mange informantar meiner ein bør effektivisere den daglege saksbehandlinga i Datatilsynet. Som Difi òg peiker på, har Datatilsynet vurdert korleis saksbehandlinga kan organiserast, og kva saker som spesielt skal prioriterast. Datatilsynet har òg nyleg lansert ei ny nettside, og det er eit mål at heimesida skal gi svar på dei spørsmåla eit informasjonssøkjande publikum er oppteke av.
Gjennom Digitaliseringsprogrammet har regjeringa eit klårt mål om at elektronisk kommunikasjon skal vere den primære plattforma for dialogen mellom innbyggjarane/næringslivet og det offentlege. Ei god heimeside er ein føresetnad for å oppfylle målet regjeringa har sett seg. Heimesida vil gjere brukarane i stand til i stor grad å hjelpe seg sjølve. Brukt på rett måte kan heimesida òg heve servicenivået ved å gi god informasjon på nett.
Det er ikkje grunn til å tru at saksmengda til Datatilsynet kjem til å bli mindre i åra framover. Det er derfor viktig at tilsynet stadig arbeider for å effektivisere arbeidsmetodane sine. Personvernområdet er svært breitt, og det er viktig å gjere dei rette prioriteringane og bruke dei rette verkemidla for å nå målet om best mogleg personvern for innbyggjarane.
10.5.6 Kompetansen til Datatilsynet
Både Personvernkommisjonen og Difi understrekar at det er viktig at Datatilsynet har ein breitt samansett kompetanse. Personvernkommisjonen føreslår (i punkt 18.3.2 i rapporten) at Datatilsynet spesielt bør styrkje den tekniske kompetansen ved nytilsetjingar, og trekkjer særskilt fram behovet for kompetanse på personvernfremjande teknologi, identitetsforvaltning, nye medium og design av informasjonssystem. Difi på si side (punkt 7.8 i rapporten) understrekar at Datatilsynet har god teknologikompetanse og god sektorkompetanse men meiner at forvaltningskompetansen til tilsynet bør styrkjast.
I strategien til Datatilsynet er høg kompetanse ei av dei viktigaste strategiske satsingane, i tillegg til brei kontakt med eksterne aktørar. Det er laga ein plan for å heve kompetansen internt.
Regjeringa vil understreke behovet for at eit sektorovergripande tilsyn har god sektorkompetanse. Dette kan dei mellom anna opparbeide gjennom å ha god kontakt med dei ulike sektorane og andre tilsynsstyremakter. Regjeringa har som mål å digitalisere offentlege tenester. Dette skaper utfordringar, men òg gode utsikter for personvernet. Det er Datatilsynet som sjølv må vurdere korleis kompetansen skal vere samansett internt. Det er likevel viktig å understreke kor mykje det har å seie at Datatilsynet har god teknologisk kompetanse. Den internasjonale utviklinga er òg svært viktig på personvernområdet, jamfør kapittel 3. God internasjonal kompetanse gjer det lettare å få gjennomslag i internasjonale forum, og derfor blir òg slik kompetanse vurdert som spesielt viktig.
10.5.7 Regionalisering av Datatilsynet
Personvernkommisjonen meiner Datatilsynet bør regionaliserast, og føreslår å opprette fleire regionkontor. Føremålet er å få ei meir lokal forankring i personvernarbeidet. Kommisjonen meiner lokal tilknyting vil tilføre viktige perspektiv når ein vurderer om overvakingstiltak er føremålstenlege, og når ein vel ut tilsynsobjekt. Liknande forslag har òg vore fremja tidlegare, mellom anna eit forslag om å gi kommunane ansvaret for å behandle søknader om løyve til å drive kameraovervaking. Slik regjeringa forstår kommisjonen, er forslaget om regionalisering knytt til det generelle forslaget om å styrkje Datatilsynet slik at veksten bør kome i regionane.
Personvernkommisjonen går inn for at eit eventuelt regionapparat bør ha minst seks tilsette på kvart kontor for at kontora skal bli effektive. Regjeringa er einig i at eventuelle regionkontor må ha ei viss minimumsbemanning. Regionkontor med ei bemanning i samsvar med forslaget frå Personvernkommisjonen ville derimot ha ført til nesten ei dobling av talet på tilsette i personvernstyremakta. Regjeringa ser ikkje føre seg at Datatilsynet i åra som kjem bør styrkjast i eit omfang som kan rettferdiggjere ein slik vekst i regionane. Så synleg og kompetent som Datatilsynet er i dag, vil ei oppsplitting av etaten gjennom å etablere regionkontor i stor grad kunne setje personvernarbeidet tilbake, i alle fall på mellomlang sikt. Dette kan ikkje forsvarast når samfunnsutviklinga går i retning av stadig meir press på personvernet og tilsvarande behov for eit tydeleg og sterkt tilsyn. Heller ikkje dei nordiske nabolanda våre har valt å regionalisere personvernstyremakta. Det kan tyde på at heller ikkje dei har sett eit stort behov for å ha eit regionapparat på personvernområdet. Mykje talar for at så små fagmiljø som dei offentlege personvernmiljøa ikkje er tente med ei oppsplitting i regionkontor. Regjeringa går derfor inn for å halde ved lag eit sentralisert datatilsyn etter den eksisterande modellen. Ressursbehovet til etaten dei komande åra blir omtala nedanfor.
10.5.8 Ressursbehovet til Datatilsynet i åra som kjem
Personvernkommisjonen meinte at Datatilsynet har for små ressursar i høve til dei omfattande oppgåvene tilsynet er tildelt. Kommisjonen føreslo at Datatilsynet skal få større ressursar, og at dei spesielt må bruke ressursane til å styrkje kompetansen på informasjonsteknologi.
Datatilsynet har i dag 40 tilsette. Til samanlikning har den svenske datatilsynsstyremakta omtrent like mange tilsette og eit budsjett som er ca. kr 3 mill. høgare enn budsjettet til Datatilsynet. Det danske Datatilsynet har drygt 30 tilsette og eit budsjett på ca. 20 millionar danske kroner. Det norske Datatilsynet har slik sett fleire tilsette i høve til folketalet enn dei andre nordiske datatilsyna. Og samanlikna med dei nordiske systerorganisasjonane er ressurssituasjonen til Datatilsynet også relativt bra. Datatilsynet har dessutan dei seinare åra fått noko auka løyvingar, mellom anna som følgje av nye tilsynsoppgåver, no sist etter ekomlova og politiregisterlova.
Samtidig ser regjeringa at det dukkar opp stadig fleire og meir komplekse problemstillingar knytte til personvern. Datatilsynet har ei stor saksmengd. Det er viktig at Datatilsynet er aktivt til stades på den internasjonale arenaen, noko som òg er ressurskrevjande. Regjeringa har vurdert at dei omfattande oppgåvene tilsynet har fått som følgje av at datalagringsdirektivet skal implementerast i norsk rett, og som følgje av den nye politiregisterlova, kan tilseie at løyvingane bør aukast noko, slik at tilsynet blir i stand til å gi nødvendig rettleiing og føre tilfredsstillande tilsyn på dette området. I Prop. 1 S (2012-2013) er det føreslått å auke budsjettet til Datatilsynet for 2013 med drygt 1,7 millionar kroner i høve til 2012-budsjettet for å setje tilsynet i stand til å ta seg av desse oppgåvene.
Regjeringa registrerer at Personvernkommisjonen i rapporten sin tilrådde å styrkje tilsynsstyremakta, og at dette spesielt bør skje i form av styrkt teknologikompetanse, med fokus på identitetsforvalting, digitale medium og informasjonstryggleik. Regjeringa vil vurdere frå år til år om og eventuelt kor mykje budsjettet skal aukast. Det er ikkje vanleg med øyremerking av budsjettmidlane til Datatilsynet, og regjeringa meiner det mest føremålstenlege er at Datatilsynet også i framtida sjølv vurderer kva kompetanse etaten til kvar tid har bruk for.
10.5.9 Sektorvis styrking av personvernkompetansen
Personvernkommisjonen føreslår å styrkje personvernkompetansen sektorvis ved at andre organ som får med personvernspørsmål å gjere, bør ha ein person internt med høg kompetanse på personvernspørsmål. Det er føreslått at dette først og fremst blir gjort gjennom å opprette personvernombod i desse organa.
Regjeringa er einig med kommisjonen i at organ som ofte har med personvernspørsmål å gjere, bør ha spesiell kompetanse på området. Ei rekkje organ, til dømes i helsesektoren og ein del kommunar, har oppretta personvernombod. I politiregisterlova er det dessutan innført ei obligatorisk ordning med personvernrådgivarar i politiet.
Regjeringa vil sjå spørsmålet om sektorvis styrking av personvernet i samanheng med utviklinga av personvernombodsordninga, sjå kapittel 10.6 nedanfor. Det er likevel viktig å understreke at sektorvis styrking av personvernkompetansen må vurderast breiare enn til berre å gjelde oppretting av personvernombod. I strategien til Datatilsynet er eit av satsingsområda å medverke til større interesse for personvern og arbeide for at også andre legg vekt på personvernomsyn i arbeidet. Regjeringa har òg over tid arbeidd for betre personvernarbeid på dei ulike fagområda, mellom anna ved å utarbeide ei rettleiing i vurdering av personvernkonsekvensar til bruk i utgreiingsarbeidet i forvaltninga. Desse tiltaka, saman med at Datatilsynet har systematisk kontakt med sentrale aktørar i den offentlege forvaltninga og i næringslivet, kan medverke til at andre sektorar legg større vekt på personvern.
10.6 Særleg om ordninga med personvernombod
Ordninga med personvernombod er i dag frivillig. Det er no om lag 200 personvernombod fordelte på i underkant av 400 verksemder i både offentleg og privat sektor. Somme ombod hjelper fleire behandlingsansvarlege utan å vere tilsette hos nokon av dei. Nokre av omboda har så mange oppdragsgivarar at ein kan spørje seg om dei har reell oversikt over alle behandlingane av personopplysningar som skjer, og om dei kan hjelpe både dei behandlingsansvarlege og dei registrerte på den måten som er ønskt og føresett. Andre personvernombod er tilsette i verksemda og har oppgåva som personvernombod på fulltid. Dei blir omtala som personvernombod, sjølv om dei kanskje betre kan omtalast som personvernrådgivarar, sidan meininga er at hovudoppgåva skal vere å gi råd både til behandlingsansvarlege og registrerte. Det er òg teke omsyn til dette i den nye politiregisterlova, der ordninga med personvernrådgivarar er lovfesta.
Ordninga med personvernombod er i dag berre laust forankra i norsk personopplysningsregelverk og i EUs personverndirektiv. Reguleringa er i hovudsak relatert til lemping eller forenkling av meldeplikta for behandling av personopplysningar hos behandlingsansvarlege som har oppretta personvernombod. Det finst ikkje reglar i norsk lov eller forskrift som direkte regulerer oppgåvene og ansvaret til omboda, og heller ikkje reglar om kva plikter og ansvar den behandlingsansvarlege har overfor omboda. Eit forslag om klårare regelfesting og regulering av ordninga ligg til vurdering i Justisdepartementet som eit ledd i etterkontrollen av personopplysningslova. Eit av forslaga er å lette på fleire av pliktene til den behandlingsansvarlege dersom det blir oppretta personvernombod. Slike lettar i pliktene etter regelverket føreset at personvernomboda er godt skolerte og har ei sterk stilling i høve til den behandlingsansvarlege. I motsett fall kan oppretting av eit personvernombod bli ei sovepute for den behandlingsansvarlege og få ein negativ innverknad på personvernet til dei registrerte. Eventuelle endringar i ordninga med fleire oppgåver for ombodet og færre plikter for den behandlingsansvarlege må derfor vurderast nøye.
Etter forslaget til ny personvernforordning i EU skal alle offentlege organ og private verksemder med over 250 tilsette ha personvernombod («data protection officer»), sjå artikkel 35 og utover i forslaget. Det er føreslått å gi ombodet mange oppgåver, mellom anna å informere behandlingsansvarlege om dei reglane som gjeld for behandling av personopplysningar, sørgje for at det blir implementert god internkontroll, og ha kontakt med datatilsynsstyremakta.
Den norske ordninga med personvernombod vart evaluert i 2011 då Synnovate gjennomførte ei spørjeundersøking blant personvernomboda, leiarar og tilsette i verksemder med ombod. Resultata frå undersøkinga er sprikande. Eit stort fleirtal av dei spurde synest personvernomboda er nyttige. Leiinga i verksemdene er gjennomgåande meir positiv enn dei tilsette og omboda sjølve. Likevel meiner fleire av dei spurde i verksemdene at omboda ikkje styrkjer personvernet i verksemda nemneverdig.
Meiner dei behandlingsansvarlege at omboda medverkar til å styrkje personvernet for dei tilsette i verksemda og for eksterne kontaktar? Se figur 10.1.
70 prosent av dei spurde meiner at etablering av personvernombod har skapt større medvit og kunnskap om personvern i verksemda. Samtidig meiner berre drygt halvparten at den faktiske regeletterlevinga har vorte betre.
I kva grad har regeletterlevinga auka i verksemda etter at det vart oppretta personvernombod? Se figur 10.2.
I kva grad har kunnskap og medvit om personvernregelverket auka i verksemda etter at det vart oppretta personvernombod? Se figur 10.3.
I periodar har Datatilsynet lagt mykje ressursar i å utarbeide rettleiingsmateriell for omboda og gi dei støtte og hjelp i arbeidet. Drygt 80 prosent av omboda svarar at dei er fornøgde med den faglege hjelpa dei får frå Datatilsynet. Omboda i offentleg sektor er noko meir fornøgde enn dei i privat sektor.
I Difi-evalueringa av Datatilsynet vart det òg stilt spørsmål om ordninga med personvernombod. Svara i undersøkinga Difi har gjort, er med på å underbyggje dei noko sprikande svara om effekten av ordninga som kom fram i undersøkinga Synnovate utførte. Fleire ombod gav uttrykk for at dei synest det var vanskeleg å vite korleis dei skulle utøve rolla, og at dei opplevde manglande gjennomslag og forståing hos leiinga i verksemda. Somme gav òg uttrykk for at det er for sterkt fokus på dei positive sidene ved å etablere ombod, slik at enkelte verksemder kan ha vorte «lokka» til å innføre ordninga.
I stortingsbehandlinga av forslaget om å implementere datalagringsdirektivet i norsk rett bad Stortinget i oppmodingsvedtak nr. 473 11. april 2011 regjeringa om å leggje Innst. 275 L (2010-2011) til grunn for det vidare arbeidet. I punkt 12 g vart regjeringa beden om å sørgje for å etablere ei ordning med personvernrådgivarar/-koordinatorar i større statlege etatar som behandlar sensitive personopplysningar, spesielt arbeids- og velferdsforvaltninga og helsesektoren. Å opprette ein funksjon som personvernrådgivar, slik politiregisterlova legg opp til i politiet, vil vere eit nyttig tiltak for å rette søkjelyset mot personvernspørsmål. Samtidig viser evalueringa av ordninga med personvernombod at det er noko usikkert kva verknad omboda faktisk har på personvernnivået hos den behandlingsansvarlege. Eit pålegg om å opprette personvernrådgivarar/-koordinatorar i visse sektorar og hos visse behandlingsansvarlege krev derfor at ein klårgjer og regelfestar innhaldet i ordninga i langt større grad enn det som i dag er tilfellet. Dette er nødvendig for å sikre at oppgåver, rettar og plikter for alle som ordninga er aktuell for, er klårt definerte.
EUs utkast til personvernforordning vil, slik forslaget ligg føre, leggje sterke føringar på korleis ein skal utforme ordninga med personvernrådgivarar. Dersom det endelege EU-regelverket regulerer ordninga, må desse reglane mest truleg òg innførast i Noreg. Regjeringa ser det slik at ei ordning med personvernrådgivarar i store verksemder som behandlar sensitive personopplysningar, kan vere eit godt tiltak for å setje fokus på personvern i verksemda og på den måten styrkje regeletterlevinga. Rådgivaren kan gjere sitt til å betre personvernet for dei registrerte. Regjeringa vurderer det likevel som lite føremålstenleg å setje i gang eit arbeid med særnorsk regulering av ordninga med personvernombod no. Konsekvensen av det kan bli at ein må gjere endringar i ordninga etter relativt kort tid, når EU vedtek nye EØS-relevante reglar på området. Det kan bli både kostbart og krevjande for verksemder som nyleg har etablert personvernombod etter særnorsk ordning, å måtte tilpasse seg til nye krav i samsvar med reglar frå EU. Regjeringa ønskjer derfor å vente med ei ny regulering av ordninga med personvernrådgivarar/personvernombod og nye pålegg om å etablere personvernrådgivarar til EUs personvernregelverk er ferdig revidert, og til det eventuelt er vedteke klårare reglar for korleis personvernrådgivarane skal vere organiserte og forankra i verksemda, og kva oppgåver dei skal ha.
Regjeringa ønskjer likevel å presisere at både offentlege og private verksemder som behandlar store mengder av personopplysningar, kan vere tente med å ha god lokal personvernkompetanse. Desse verksemdene står fritt til å etablere personvernombod i tråd med tilrådingar frå Datatilsynet, eventuelt personvernrådgivarar med oppgåver som verksemda sjølv definerer, med det føremålet å betre regeletterlevinga og det generelle personvernet i verksemda. Mange av dei store helseføretaka har òg etablert personvernombod/personvernrådgivarar, noko regjeringa ser på som positivt. Dersom EU vedtek endringar i personvernreguleringa, vil det vere naturleg for regjeringa å gå gjennom og revidere den norske ordninga med personvernombod/-rådgivar i lys av den internasjonale reguleringa.
10.7 Personvernnemnda
Personvernnemnda er klageorgan for vedtak Datatilsynet har gjort i medhald av personopplysningslova eller anna regelverk tilsynet har vedtakskompetanse etter. Nemnda har sju medlemer med personlege varamedlemer. Alle blir utnemnde for fire år om gongen med høve for å bli utnemnde på ny. Kompetansen til å utnemne medlemer er delt mellom Stortinget, som utnemner leiaren og nestleiaren, og regjeringa, som utnemner dei andre fem medlemene.
Personvernnemnda er eit fagleg uavhengig forvaltningsorgan. Ved at klagesaker blir behandla i nemnda, og ikkje som tidlegare i departementet, er tilsynsstyremakta sikra ei uavhengig stilling, slik det er nedfelt i EUs personverndirektiv og personopplysningslova. Nemnda er samansett på ein slik måte at ho er godt rusta til å gjere vurderingar i saker der personvern er eitt av fleire moment som skal vurderast. Tradisjonelt har nemnda derfor hatt både teknologisk, økonomisk og medisinsk kompetanse i tillegg til juridisk kompetanse.
Saksmengda i Personvernnemnda har variert noko sidan nemnda vart oppretta, men har dei seinaste åra lege på om lag 10–15 saker per år. Se tabell 10.1.
Tabell 10.1 Tal på klagesaker mottekne i Personvernnemnda 2005–2011
2005 | 17 saker |
2006 | 11 saker |
2007 | 7 saker |
2008 | 6 saker |
2009 | 25 saker |
2010 | 13 saker |
2011 | 13 saker |
Om lag halvparten av vedtaka i Datatilsynet som blir innklaga til nemnda, blir omgjorde. Omgjeringsprosenten i høve til kor mange vedtak Datatilsynet gjer, er likevel svært låg, sidan under 5 prosent av vedtaka i Datatilsynet blir sende inn til Personvernnemnda til klagesaksbehandling. Se tabell 10.2.
Tabell 10.2 Klageomfang i 2011
Resultat 2011 | |
---|---|
Tal på vedtak gjorde av Datatilsynet | 396 |
Tal på klager på vedtak | 25 |
Tal på omgjeringar i Datatilsynet | 3 |
Tal på oversendingar til Personvernnemnda | 13 |
Det finst tal berre for 2011. Tala er baserte på manuelle teljingar i arkiva i Datatilsynet. Talet på omgjeringar og oversendingar til Personvernnemnda overstig talet på klager med éi sak. Årsaka kan vere at ei sak er omgjord utan formell klage.
Personvernnemnda er eit reint klageorgan og gjer vedtak som berre er bindande for partane i kvar einskild sak. Det er svært sjeldan saker på personvernområdet blir klaga inn til behandling i rettsapparatet. Sidan Personvernnemnda er klageorgan på personvernområdet, har vedtaka nemnda gjer, stor presedensverknad i andre og tilsvarande saker som kjem til behandling i Datatilsynet. Det er derfor viktig at vedtaka nemnda gjer, blir skrivne på ein måte som gjer dei eigna til å bli brukte som rettleiing i liknande saker seinare.
Regjeringa meiner ordninga med ei uavhengig klagenemnd på personvernområdet til no har fungert godt. Også ordninga med at utnemninga av medlemene i nemnda er delt mellom Stortinget og regjeringa, fungerer godt. Regjeringa har vurdert om det er grunnlag for å endre ordninga med personlege varamedlemer. Å ha varamedlemer utan personleg tilknyting til ein bestemt medlem kunne føre til at det oftare er dei same varamedlemene som deltek på møta i nemnda, og dermed til større kontinuitet i arbeidet. Ordninga i dag, der varamedlemene har kompetanse som langt på veg tilsvarar kompetansen til dei faste medlemene, blir likevel vurdert som god, ettersom ho sikrar at nemnda alltid er samansett av ulike typar kompetanse. Regjeringa vurderer det derfor inntil vidare som føremålstenleg å halde Personvernnemnda ved lag med personlege varamedlemer i den noverande forma.
10.8 Fornyings-, administrasjons- og kyrkjedepartementet og Justis- og beredskapsdepartementet
I regjeringa er hovudansvaret for det generelle arbeidet med personvernsaker delt mellom Fornyings-, administrasjons- og kyrkjedepartementet og Justis- og beredskapsdepartementet. Justis- og beredskapsdepartementet har ansvaret for personopplysningslova og følgjer opp arbeid med personvern både i Europarådet og EU. Fornyings-, administrasjons- og kyrkjedepartementet har ansvaret for personopplysningsforskrifta, etatsstyringa av Datatilsynet og Personvernnemnda og dessutan for det generelle personvernarbeidet til regjeringa. Fornyings-, administrasjons- og kyrkjedepartementet deltek òg i personvernarbeidet i regi av OECD. Før personopplysningslova vart vedteken, låg heile ansvaret for personvernområdet hos Justisdepartementet. Justis- og beredskapsdepartementet har etatsstyringsansvar for fleire offentlege verksemder som behandlar personopplysningar, mellom anna i justissektoren og tidlegare òg Brønnøysundregistra. Det administrative ansvaret for Datatilsynet vart flytt til Arbeids- og administrasjonsdepartementet i 2000 for å sikre at etatsstyringa av Datatilsynet ikkje skulle kome i konflikt med interessene til Justisdepartementet som etatsstyrar av fleire store behandlingsansvarlege.
Arbeidsfordelinga mellom departementa fungerer bra. Departementa har eit godt samarbeid om saker på personvernområdet der det er naturleg og nødvendig. Datatilsynet, som er knytt til begge departementa, meiner oppgåvefordelinga fungerer tilfredsstillande og ikkje er vanskeleg å innrette seg etter.
Det ligg ikkje føre konkrete planar om å endre den noverande arbeidsfordelinga på personvernområdet. Det sentrale er at dei departementa som har ansvar på personvernområdet, samarbeider om å gjennomføre dei ulike oppgåvene til det beste for personvernet. Det er òg viktig at andre departement med sektoransvar er medvitne om ansvaret dei har for å ta hand om personvern på kompetanseområdet sitt.
10.9 Samandrag og tilrådingar
Regjeringa ser det slik at personvernstyremakta i hovudsaka fungerer tilfredsstillande og gjer godt arbeid med etter måten små ressursar. Den raske teknologiske utviklinga inneber krevjande og stadig større oppgåver for Datatilsynet. Mange av oppgåvene kan best løysast ved internasjonalt samarbeid, og det er viktig at Datatilsynet deltek i internasjonalt personvernarbeid for å finne fram til felles løysingar på desse utfordringane. Slikt arbeid er ressurskrevjande. Regjeringa vurderer frå år til år om og eventuelt kor mykje budsjettet til Datatilsynet skal aukast for at dei skal kunne ta hand om oppgåvene sine på ein god måte.
Regjeringa ser det slik at personvernrådgivarar med klåre oppgåver og ei sterk forankring i leiinga i verksemda kan ha positiv effekt på korleis verksemder tek hand om personvernomsyn, og slik sett òg personvernet. Regjeringa vil derfor vurdere endringar i ordninga med personvernombod/personvernrådgivarar i lys av EUs revisjon av personverndirektivet.
Boks 10.1 Hovudpunkt kapittel 10
Datatilsynet er ein relativt liten organisasjon med avgrensa ressursar og eit omfattande arbeidsområde.
Datatilsynet bør vere tydeleg på når det opptrer som ombod, og når det opptrer som tilsyn.
Det blir ikkje lagt opp til endringar i organiseringa av Datatilsynet. Etaten bør ha merksemd retta mot organisasjonsutvikling og rekruttering av ulike typar kompetanse og leggje vekt på å ha god kontakt med ulike fag- og forskingsmiljø.
Ordninga med personvernombod som er utvikla av Datatilsynet, har vakse mykje dei siste åra. Før nokon blir pålagd å etablere personvernombod/personvernrådgivar, må ein få på plass ei klårare rettsleg forankring og regulering av ordninga, noko som må sjåast i lys av endringar i internasjonalt regelverk på området.
Klageorganet Personvernnemnda gjer om vedtak frå Datatilsynet i om lag halvparten av dei sakene nemnda får til behandling. Talet på klager over vedtaka til Datatilsynet er likevel svært lågt sett i høve til kor mange vedtak tilsynet gjer totalt.