3 Administrasjon og ressursar
3.1 Budsjettet og rammevilkåra til Datatilsynet
Datatilsynet hadde i 2021 ei budsjettramme på kap. 545 post 01 på 67,8 mill. kroner inkludert lønskompensasjon. Det blei i tillegg overført 2,3 mill. kroner i ubrukte midlar frå 2020, slik at samla disponible midlar på kap. 545 post 01 i 2021 var 70,1 mill. kroner. I tillegg blei Datatilsynet tildelt 4 mill. kroner på kap. 541 post 22 til arbeidet med den regulatoriske sandkassa for personvern og KI. Dei fekk også budsjettdisponeringsfullmaktar på 1 mill. kroner kvar frå Arbeids- og inkluderingsdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet til finansiering av sandkassa. Totalt hadde dei såleis 9 mill. kroner til disposisjon for drift av sandkassa.
Av utgiftene til tilsynet utgjorde 77,7 prosent utgifter til løn og 22,3 prosent utgifter til drift. Datatilsynet hadde i meldingsåret 56 faste og 16 mellombelse stillingar. Dei mellombelse stillingane er prosjektstillingar knytte til den regulatoriske sandkassen. Av desse, har ti studentar vore knytte til Datatilsynets rettleiingsteneste, med ein stillingsbrøk kvar på 25 prosent. Talet på årsverk auka frå 51,5 i 2020 til 60,6 i 2021. Dette har samanheng med at Datatilsynet har fått fleire oppgåver etter innføringa av personvernforordninga, i tillegg til at det i meldingsåret blei oppretta to nye stillingar som følge av omorganisering og analyse av kompetansebehov.
I 2021 ble Datatilsynet leidd av direktør Bjørn Erik Thon. Han blei tilsett i 2010 og fråtredde i februar 2022. I meldingsåret bestod leiargruppa av éin mann og tre kvinner i tillegg til direktøren. Vidare hadde tilsynet ved årsskiftet seks seksjonsleiarar: tre menn og tre kvinner. I Datatilsynet sett under eit var det 58,3 prosent kvinner og 41,7 prosent menn. Datatilsynet bestod ved utgangen av rapporteringsåret av fire avdelingar: administrasjonsavdelinga, avdeling for kommunikasjon og samfunnskontakt, avdeling for teknologi, analyse og sikkerheit, og avdeling for regelverksetterleving, internasjonal samhandling og sanksjonar.
Saksmengda i Datatilsynet har vore stigande sidan personvernforordninga blei gjennomført i norsk rett. I meldingsåret blei det registrert eit rekordhøgt tal på nye saker, totalt 3474. Til samanlikning blei det registrert 3271 saker i 2020 og 3118 i 2019. Auka frå 2020 er på omlag seks prosent. Omlag 600 av sakene var fremma av enkeltpersonar. Sakene gjaldt blant anna personvern i kundeforhold, bruk av helseopplysningar og personvern på arbeidsplassen.
Innføringa av personvernforordninga i 2018, og merksemda om dei høge gebyra som kan påleggast ved brot på regelverket, har ført til svært mange avviksmeldingar til Datatilsynet. I 2021 fekk Datatilsynet 2255 avviksmeldingar, mot 2008 i 2020, 1893 i 2019, 1275 i 2018, og berre 349 i 2017. Avviksmeldingar er meldingar om brot på personopplysningssikkerheita. Personvernforordninga stiller krav om at slike brot skal meldast til datatilsynsmyndigheita. Det høge talet på melde avvik har ført til auka ressursbruk knytt til saksbehandling. Samtidig skriv Datatilsynet i årsrapporten at avviksmeldingane er ei viktig kjelde til informasjon om personvernutfordringar, mellom anna når Datatilsynet skal planlegge risikobaserte tilsyn.
Avviksmeldingane gjeld alt frå menneskelege feil som rammar éin eller nokre få personar, til målretta hackaråtak med mange hundre tusen ramma. Den vanlegaste årsaka til avvik er likevel at personopplysningar blir sende til feil mottakar. Slike saker fører som regel ikkje til nokon reaksjon frå Datatilsynet, og personane som blir ramma blir normalt informerte om hendinga før avviket blir meldt til tilsynet. 32 prosent av avviksmeldingane kjem frå kommunesektoren, medan 22 prosent stammar frå finanssektoren. Datatilsynet peiker i årsrapporten på at sjølv om ein sektor melder om mange avvik, betyr ikkje dette nødvendigvis at sektoren er ein «personvernversting». Eit høgt tal på avvik kan komme av at sektoren behandlar store mengder personopplysningar og har gode rutinar for å melde inn avvik. Datatilsynet legg samtidig til at det kan vere grunn til å tru at det framleis er mørketal og at ein del avvik ikkje blir melde inn.
I meldingsåret fatta Datatilsynet 306 vedtak. Dette inneber ein auke på 21 prosent samanlikna med året før, da talet på registrerte vedtak var 252. I 2019 blei det til samanlikning fatta 285 vedtak. 43 av dei 306 vedtaka Datatilsynet fatta i 2021 blei påklaga. Sjølv om talet er lågt, inneber det ein auke på 13 prosent frå 2020. Vidare blei 21 av sakene sende til Personvernnemnda for klagebehandling. Dei resterande klagesakene var ved årsskiftet framleis til behandling hos Datatilsynet. Av dei sakene som blei sende til nemnda, gjaldt omlag halvparten vedtak om avvising eller avgjerder om å avslutta saka.
Datatilsynet tok 26 avgjerder om gebyr for brot på personvernregelverket i 2021. Dette er ei fordobling samanlikna med 2020. Sakene gjaldt mellom anna brot på informasjonssikkerheit, overvaking på arbeidsplassen og innhenting av kredittopplysningar. Det høgaste gebyret var på 65 mill. kroner og blei pålagt Grindr (sjå omtale i pkt. 1.5). Vidare ga Datatilsynet mellom anna bomselskapet Ferde et gebyr på 5 mill. kroner for å ha overført personopplysningar til Kina utan rettsleg grunnlag. Selskapet har godtatt gebyret. Til saman fatta Datatilsynet vedtak om gebyr for brot på omtrent 80 mill. kroner i 2021. Berre åtte av sakene blei påklaga til Personvernnemnda. I nokon av desse sakene reduserte Personvernnemnda gebyra på grunn av lang saksbehandlingstid hos tilsynet.
I 2021 fekk Datatilsynet 5715 krav om innsyn etter offentleglova. Dette er ein auke på nesten 60 prosent frå 2020, då tilsynet fekk 3671 krav om innsyn. Noko av årsaka til dette kan vere at Datatilsynet får inn fleire saker enn tidlegare, og at mange journalistar ønsker innsyn i dei innmelde avvikssakene. Datatilsynet gir innsyn i dei fleste tilfella, medan delvis innsyn blei gitt i 963 av sakane og avslag blei gitt i 522 av sakane. Samtidig blei berre to saker sende til Kommunal- og distriktsdepartementet for klagebehandling. Det store talet krav om innsyn tar mykje ressursar hos Datatilsynet, særleg frå den juridiske avdelinga. Tilsynet vurderer ulike tiltak for å handtere den veksande etterspørselen om innsyn.
Vidare gjorde Datatilsynet i meldingsåret ei vurdering av personvernkonsekvensar for det tilfellet at tilsynet skulle ta i bruk Facebook. Datatilsynet kom mellom anna til at dei ikkje var sikre på om dei kunne møte krava i personvernforordninga om felles behandlingsansvar, og konkluderte med at dei ikkje ville ta i bruk Facebook i sin kommunikasjonsverksemd. Utgreiinga blei offentleggjort i ein rapport, som har skapt debatt i både offentleg og privat sektor om bruken av Facebook i kommunikasjonsverksemda.
Departementet er tilfreds med arbeidet Datatilsynet har utført i meldingsåret. Aktivitetsnivået har vore høgt, og tilsynet har evna å tilpasse verksemda i samsvar med sakstilfanget. I tillegg har Datatilsynet medverka til å sette personvern på dagsordenen i ei rekke samanhengar, både nasjonalt og internasjonalt. Departementet vurderer at Datatilsynet bruker dei tildelte midlane på ein formålstenleg måte.
3.2 Budsjettet og rammevilkåra til Personvernnemnda
Personvernnemnda er klageorgan for vedtak gjorde av Datatilsynet. Nemnda består av sju medlemmer med faste varamedlemmer, alle oppnemnde for fire år om gongen. Den sitjande nemnda er oppnemnd for perioden 2021 til 2024. Nemnda blir leidd av sorenskrivar Mari Bø Haugstad. Nemnda er administrativt underlagd Kommunal- og distriktsdepartementet, og departementet gjennomfører eit årleg administrativt møte med nemndas leiar.
Personvernnemnda hadde i 2021 ein opphavleg budsjettramme på 2 699 000 kroner. I Prop. 24 S (2021–2022) jf. Innst. 72 S (2021–2022) blei løyvinga redusert med 500 000 kroner som følge av lågt forbruk. Dette gav ei endeleg løyving i 2021 på 2 118 000 kroner. Nemnda har i meldingsåret brukt 2 083 000 kroner, noko som gav eit mindreforbruk på 35 000 kroner. Det låge forbruket kjem hovudsakleg av at nemnda, på grunn av koronapandemien, har gjennomført fleire digitale møte utan reisekostnader. Nemnda hadde vidare sett av ein del midlar til deltaking på kurs og konferansar som ikkje blei noko av i 2021, også som følge av pandemien. Løyvinga er, som i tidlegare år, nytta til innkjøp av litteratur og tenester, deltaking på digitale kurs, honorar og noko reisegodtgjersle til medlemmene i nemnda og løn til sekretariatet.
Personvernnemndas sekretariat består av éin medarbeidar i 100 prosent stilling. Sekretariatet er administrativt knytt til Kommunal- og distriktsdepartementet. Departementet har likevel inga fagleg instruksjonsmyndigheit over sekretariatet.
Departementet vurderer at Personvernnemnda har brukt den tildelte løyvinga tilfredsstillande og har gjennomført oppgåvene sine på ein god måte i 2021.