1 Datatilsynets årsrapport for 2021
Tall og tendenser fra Datatilsynets virksomhet
1.1 Leders beretning
Året 2021 har vært som en berg- og dalbane. I større grad enn forventet har vi vært påvirket av koronapandemien. Vi har gått fra nedstengte vintermåneder, via semiåpne sommermåneder og åpne høstmåneder til en stadig mer nedstengt senhøst. Nok en gang må vi berette om et år preget av uforutsigbarhet og nedstengning. Ved årets start hadde Datatilsynet satt opp personvern og korona som prioritert område for 2021. Dette viste seg å være riktig. Internt har det vært utfordrende å følge opp alle ansatte som har sittet på hjemmekontor, men jeg er imponert over hvor høy produksjonen har vært. Vi har hatt flere store saker direkte knyttet til pandemien, blant annet spørsmål om koronasertifikat. Det har vært en økning i koronarelaterte klager, slik som overvåking av ansatte på hjemmekontor. Koronasituasjon, og spesielt smittesporing, var også tema for personverndagen.
Også saksbehandling, kontroll og veiledning har vært prioritert. Vi mottok flere klager enn året før, der kundeforhold er det vi mottar flest klager om. Antall avviksmeldinger fra virksomheter har også økt. Flere store saker har vært knyttet til cyberangrep, blant annet på Østre Toten og Stortinget, og disse illustrerer hvor sårbart et digitalt samfunn er og hvor store skadevirkninger et cyberangrep kan få. Vi har også sett internasjonalt samarbeid i sammenheng med klagesaksbehandlingen. Datatilsynet er også aktivt med i Personvernrådet (EDPB), det øverste personvernorganet i EU. Flere saker av internasjonal karakter har fått stor oppmerksomhet, blant annet sakene mot Grindr som fikk et overtredelsesgebyr på 65 millioner, og Disqus.
Videre har vi også gjort en full personvernkonsekvensutredning av vår eventuelle bruk av Facebook Pages, og konkludert med at Datatilsynet ikke vil opprette en slik side. Grunnen er at vi ikke ville hatt kontroll på de opplysningene Facebook hadde samlet inn via en Facebook-side. Vi gjennomførte denne vurderingen som behandlingsansvarlig, ikke som tilsynsmyndighet. I tråd med den overordnede policyen vår om åpenhet, valgte vi å offentliggjøre vurderingen, noe som medførte en bred og god diskusjon i mange fora.
Datatilsynets hovedmål er et godt personvern for alle. Vi mener vi har oppnådd gode resultater på disse områdene. Gjennom klagesaksbehandlingen har vi fastslått viktige prinsipper, og vi har gitt overtredelsesgebyr i de alvorligste sakene. Dette gir en signaleffekt i de enkelte sektorene. Det bidrar også til etterlevelse, som jo er i tråd med hovedmålet.
Den regulatorisk sandkassen har vært en stor suksess. Vi har sluttført de første prosjektene med godt resultat, og er godt i gang med runde nummer to og nye prosjekter. Vi har hatt meget god dialog med virksomhetene som har deltatt, og vårt mål er at sluttrapportene vi produserer skal ha betydning også for andre virksomheter og bransjer. Det er lagt vekt på at prosjektene skal være innovative, samfunnsnyttige og ha godt personvern. Dette bidrar til å oppfylle målet om et godt personvern for alle. Sandkassen har hatt omlag fem årsverk til disposisjon, noe som er et betydelig antall i et tilsyn med over 60 årsverk, men vi mener dette har vært en riktig bruk av ressurser.
Det internasjonale arbeidet er tidkrevende, men nødvendig, ettersom mye av rettsdannelsen skjer i EU. En kjerneoppgave for Datatilsynet er å kontrollere regelverk gjennom tilsyn og saksbehandling, og samtidig gi veiledning. Den desidert største ressursinnsatsen i meldingsåret har vært knyttet til slikt arbeid. Ut fra en samlet vurdering av de oppnådde resultatene, ressursbruk og måloppnåelse mener vi å ha oppnådd hovedmålet.
Enkelte eksterne og interne forhold har påvirket resultatoppnåelsen, om enn ikke i betydelig grad. Selv om vi har holdt en stabilt høy produksjon under pandemien, har den likevel hatt en negativ påvirkning, ikke minst på de ansattes trivsel. Dette er jo en forutsetning for enhver suksess. Å ikke kunne delta i fysiske møter, bygge nettverk og treffes ansikt til ansikt er selvsagt en negativ konsekvens, men vi synes vi har håndtert det på en god måte, og vi har klart å holde både motet og arbeidsinnsatsen oppe.
Vi vil til slutt trekke fram at det er krevende å rekruttere sikkerhetsfolk. Dette er en utfordring vi dessverre ikke er alene om, med dertil følgende konkurranse om de gode hodene.
Oslo, 10. mars 2022
Janne Stang Dahl
Konstituert direktør
1.2 Introduksjon til virksomheten og hovedtall
1.2.1 Kort om Datatilsynet og samfunnsoppdraget
Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og distriktsdepartementet (KDD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.
Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.
Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.
1.2.1.1 Hovedaktiviteter
Datatilsynets hovedmål er definert som «Et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21 og generell personvernforordning 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.
For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor utformet en strategi med seks overordnede, strategiske mål som skal være styrende for Datatilsynets arbeid i tre år, fra og med april 2021.
Datatilsynet skal:
arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
bidra til at individet i større grad kan ivareta sitt eget personvern
påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
være et kompetent, fleksibelt og fremtidsrettet tilsyn
1.2.1.2 Virkemidler
For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.
Saksbehandling som virkemiddel
Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvernhensyn ivaretas i praksis.
Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker
Tilsynsvirksomheten som virkemiddel
Gjennomføringen av tilsyn (kontroller) gir signal om at regelverket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et faktabasert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å undersøke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saksbehandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.
Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.
Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.
Sanksjoner som virkemiddel
Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk det siste året. Personvernforordningen åpner for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.
Kommunikasjon som virkemiddel
Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veiledningsmøter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.
Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogginnlegg.
Forsknings-, utviklings- og utredningsarbeid
Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.
Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.
Regulatorisk sandkasse
Datatilsynet driver en regulatorisk sandkasse for kunstig intelligens. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.
Andre virkemidler
Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.
Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.
1.2.2 Organisasjon og budsjett
Bjørn Erik Thon var direktør i 2021. I tillegg har ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Videre hadde Datatilsynet ved årsskiftet seks seksjonsledere – tre menn og tre kvinner.
1.2.2.1 Organisering/ansatte
2019 | 2020 | 2021 | |
---|---|---|---|
Antall ansatte per 31. desember 2021 | 45 | 58 | 72 |
Avtalte og utførte årsverk (DFØ-modellen) | 42,4 | 51,6 | 60,6 |
Datatilsynet hadde 72 ansatte per 31. desember 2021. Av disse var 56 stillinger faste. De midlertidige stillingene er prosjektstillinger knyttet til etablering av sandkassen (6 stykker) og studenter (10 stykker) som betjener Datatilsynets veiledningstjeneste. Studentene har en stillingsbrøk på 25 prosent.
Økningen i antall avtalte og utførte årsverk fra 2020 til 2021 er en følge av at bevilgningen er økt for å dekke kostnader knyttet til innføringen av nytt personvernregelverk og derav flere oppgaver. Det er også opprettet to nye stillinger som følge av omorganisering og analyse av kompetansebehov.
Det er 58,3 prosent kvinner og 41,7 prosent menn tilsatt i de faste stillingene.
Samlet antall utførte årsverk er beregnet til 60,6 (DFØ modellen) og 64 etter SSB-statistikk. Av disse hadde vi 10 studenter tilknyttet ressursenheten for veiledning og enkel saksbehandling. Samlet utgjør studentene 2,5 årsverk.
Fordelingen på de ulike avdelingene/seksjonene er:
Avdeling for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) – 33 medarbeidere
Avdeling for teknologi, analyse og sikkerhet (TAS) – 16 medarbeidere
Kommunikasjonsavdelingen – 5 medarbeidere, pluss 10 studenter
Administrasjonsavdelingen – 7 medarbeidere
I tillegg kommer Datatilsynets direktør
Vi har ingen CISO per i dag, men stillingen er plassert i organisasjonskartet og er utlyst.
Avdelingene
Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:
seksjon for offentlige tjenester
seksjon for private tjenester
internasjonal seksjon
Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef:
seksjon for analyse, utredning og politikk (UAP)
seksjon for intern IKT, sikkerhet og etterlevelse (ISE)
seksjon for teknologi, sikkerhet og tilsyn (TST). Denne seksjonen ble opprettet høsten 2021.
Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.
Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ virksomhetsstyring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personalansvaret (HR).
1.2.2.2 Budsjett
Datatilsynet ble i 2021 tildelt 67 845 000 kroner. Dette er en videreføring av budsjettet for 2020, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og driftskostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjonsløsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid, samt kostnader knyttet til å flytte og etablere tilsynet i nye lokaler.
I 2021 benyttet tilsynet 52 728 000 kroner (77,7 prosent) til lønn og 15 117 000 kroner (22,3 prosent) til drift.
1.2.3 Hovedtall
Tabell 1.1 Oversikt over noen sentrale tall fra Datatilsynets virksomhet
Fra årsregnskapet | 2018 | 2019 | 2020 | 2021 |
---|---|---|---|---|
Antall ansatte | 41 | 45 | 651 | 722 |
Antall årsverk (SSB) | - | - | 60 | 64 |
Antall årsverk (DFØ-modellen) | - | 42,4 | 51,6 | 60,6 |
Bevilgning | 54 411 000 | 57 672 000 | 66 703 000 | 67 845 000 |
Utnyttelsesgrad | - | - | 96,67 | 98,62 |
Andel lønnsutgifter | 67,8 | 68,6 | 71,7 | 77,7 |
Andel driftsutgifter | 32,2 | 31,4 | 28,3 | 22,3 |
Lønn per årsverk | 936 211 | 989 798 | 968 439 | 798 9003 |
Fra saksbehandlingen | ||||
Antall meldte avvik | 1 275 | 1 893 | 2 008 | 2 255 |
Antall vedtak | 246 | 285 | 252 | 306 |
Antall klager på vedtak | 28 | 23 | 38 | 43 |
Antall omgjøringer av vedtak | 6 | |||
Antall sanksjoner | 14 | 10 | 13 | 26 |
1 Inkludert 8 midlertidige stillinger og 7 studenter i deltidsstillinger.
2 Inkludert 6 midlertidige stillinger og 10 studenter i deltidsstillinger.
3 Nedgang skyldes rekruttering av ansatte i lavere lønnstrinn
Tabell 1.2
Fra kommunikasjon og veiledning | 2018 | 2019 | 2020 | 2021 |
---|---|---|---|---|
Antall henvendelser til veiledningstjenesten | 11 971 | 7 186 | 5 3641 | 5 911 |
Medieoppslag | 4 239 | 4 233 | 4 391 | 5 173 |
Antall unike sidevisninger på datatilsynet.no | - | - | 2 849 2932 | 6 307 509 |
Annet | ||||
Registrerte virksomheter med personvernombud | 1 484 | 1 852 | 1 891 | 1 992 |
1 I 2020 kuttet vi veiledning på epost, så dette gjelder bare telefonhenvendelser
2 Vi fikk ny statistikkløsning 1. juli, så dette gjelder bare for de siste 6 mnd. av 2020
Tabell 1.3 De mest delte nyhetssakene der «Datatilsynet» var omtalt:
Sak | Medie | Antall delinger | |
---|---|---|---|
1 | Massetekstmelding fra MDG skaper reaksjoner | Nettavisen, 24. august | 40 031 Facebook: 40 031 Twitter: 29 |
2 | Datatilsynet varsler bot på 5 millioner kroner mot bomselskap | NRK, 6. mai | 4 498 Facebook: 4 493 Twitter: 5 |
3 | Jacob (64) klippet plenen da banken ringte og fortalte at han var død | NRK Trøndelag, 20. mai | 4 468 Facebook: 4 455 Twitter: 13 |
4 | Voi raser mot Oslos nye regler: – Dårlig politisk håndverk | NRK Oslo og Viken, 13. juli | 812 Facebook: 3 782 Twitter: 30 |
5 | Coronaviruset: Vaksinepass skal gi oss friheten tilbake | Dagbladet, 5. februar | 560 Facebook: 2 559 Twitter: 1 |
6 | Datatilsynet gir mor rett etter ulovlig barnevernssak – personopplysningene skal slettes | NRK Nordland, 27. februar | 2 255 Facebook: 2 254 Twitter: 1 |
1.3 Årets aktiviteter og resultater
1.3.1 Overordnet om prioriteringer og utfordringer
De overordnede utviklingstrekkene og utfordringene omtales i kapittelet «Vurdering av framtidsutsikter». Her vil vi gå grundig gjennom de viktigste prioriteringene våre for 2021 og si noe helt kort om dem – hvorfor de er valg foran andre viktige områder, og hvilke områder som har blitt bevisst prioritert ned.
Våre prioriterte hovedområder for 2021 er:
Kontroll og saksbehandling
Internasjonalt samarbeid
Regulatorisk sandkasse
Skole, barn og unge
I tillegg har vi prioritert det løpende arbeidet med den pågående pandemisituasjonen, se nedenfor.
I 2021 plukket vi ut tre satsinger fra hovedstrategien vår. Den danner rammene for prioriteringene våre, nemlig å arbeide for:
en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
å fremme personvernvennlig digitalisering, innovasjon og utvikling
være et kompetent, fleksibelt og fremtidsrettet tilsyn
Personvern er en viktig del av alle samfunnsområder. Gitt ressursene vi har til rådighet, prioriterer vi noen områder og jobber grundig med disse, fremfor å spre arbeidet bredt utover. Dette gir større mulighet for å påvirke, og det gir grunnlag for å jobbe med de samme prioriterte områdene over flere år. Et eksempel på dette er barn og unge, særlig innenfor kommunal sektor, og spørsmål knyttet til digital kompetanse. Den regulatoriske sandkassen danner en god praksis for dette arbeidet.
Saksbehandling og kontroll av regelverket er våre kjerneoppgaver, og prioriteringen trenger ingen nærmere forklaring. Samtidig er det viktig å påpeke at den øvrige tilsynsvirksomheten kan og må prioriteres. Vi beslutter selv hvor mange stedlige kontroller vi skal gjennomføre. Vi kan ikke velge å ikke behandle klagesaker, men vi kan velge å behandle enkelte saker etter en forenklet prosess, for eksempel i saker av bagatellmessig karakter. Slike prioritering gjør vi løpende gjennom året. Vi har dessuten utarbeidet et nytt regime for rapportering på framdrift og tilsynsmetodikk.
Når det gjelder det internasjonale området, er oppfatningen vår at det å delta aktivt i den fasen vi er i nå, er av vesentlig betydning. Vi mener det er viktig med bred deltakelse i Personvernrådet (EDPB) og dets undergrupper, selv om det betyr mye arbeid. Gjennom denne aktiviteten utøver vi innflytelse på rettsutviklingen, og vi tar med oss kunnskap tilbake til organisasjonen, noe som er essensielt for en enhetlig praktisering av reglene. Vi jobber dessuten med stadig flere saker av internasjonal karakter.
I 2021 har den regulatorisk sandkassen blitt godt innarbeidet, både internt og eksternt. Denne prioriteringen har gått på bekostning av andre aktiviteter, særlig når det gjelder bruk av intern kapasitet. Vi ser at det bærer frukter å tenke nytt rundt virkemidler som dette, særlig når Hurdalsplattformen også nevner regulatorisk sandkasse som ett av virkemidlene i utviklingen av samspillet mellom teknologi og personvern.
Disse prioriteringene har fått konsekvenser. Vi har, som året før, for eksempel ikke hatt særlig mange aktiviteter på samferdselssektoren eller finanssektoren, som er to sentrale områder. Vi har gjennomført færre stedlige tilsyn enn opprinnelig tenkt, og vi har ikke gjennomført større utredningsarbeider. Vi mener likevel at prioriteringen av å kunne være fleksible å følge opp prekære og akutte behov når det gjelder veiledning rundt pandemispørsmål og utvikling av den regulatoriske sandkassen i samarbeid med aktører «der ute», har båret frukter for personvernet.
1.3.1.1 Spesielt om koronasituasjonen
Korona og personvern kom inn som en dramatisk hendelse fra sidelinjen og traff oss med voldsom kraft i 2020. Dette gikk på ingen måte over i 2021, og har hatt betydning for virksomheten også dette året. Under leders beretning har vi gjort en beskrivelse av hva pandemien har betydd for prioriteringene, ressursbruken og til dels måloppnåelsen vår. Vi har også omtalt aktiviteter som følger av pandemien andre steder i rapporten. Vi har gjennom hele året prioritert å fortsatt legge mye arbeid i koronarelaterte problemstillinger og saker, både som rådgivere og som kontrollinstans.
Saksbehandlingstiden har i perioder vært noe lang. Vi anser ikke dette for å ha hatt veldig store konsekvenser, og de satsingene vi har hatt i 2021, har ført til noe mindre behov for nedprioriteringer enn i et normalår. Grunnen er blant annet at vi har gjennomført noe færre foredrag og eksterne møter enn normalt.
De siste to årene har vi sett at det er blitt satt i gang tiltak som ikke ville vært akseptable i en normal situasjon. Dette gjelder på en rekke områder, fra lovgivning til kontrolltiltak i arbeidslivet. Det er derfor av vesentlig betydning at vi kommer tilbake til en «før korona-tilstand». Tiltak som ikke er risikovurdert må enten risikovurderes, eller avsluttes. Kontrolltiltak i arbeidslivet må reduseres. Samfunnet har vært gjennom en svært rask digitalisering de siste to årene, noe som isolert sett er bra, men bevisstheten om personvern når ny teknologi benyttes, må være høy.
En del saker vi har behandlet dreier seg om plassering av behandlingsansvar. Dette spørsmålet oppsto blant annet i sakene om befolkningsvarsling via SMS, der enten avsender (direktorat), leverandør (som selger tjenesten) eller operatør (som opererer telenettet), potensielt har ansvar. Vi ser gjennom dette arbeidet at det er viktig å få klarhet i ansvarsforholdet på flere områder.
Vi må også peke på tid. Vi har forståelse for at mange lover og forskrifter måtte vedtas svært raskt, og vi har strukket oss langt for å gi grundige høringssvar innen fristen. Enkelte forskrifter som har vært relatert til pandemien har imidlertid hatt svært kort høringsfrist, noe som selvsagt er problematisk, både for våre interne prioriteringer og for muligheten til å gi grundige høringssvar.
Denne spesielle situasjonen har alt i alt ført til merarbeid for Datatilsynet, men ikke på langt nær så mye som i 2020. Alle ansatte har imidlertid vært berørt, enten i form av konkret saksbehandling, veiledning, kommunikasjonsarbeid eller støttefunksjoner. Det har vært medieinteresse for mange av sakene våre, noe som også har tatt ressurser, særlig når det gjelder spørsmål om koronasertifikat og høringer.
Et viktig mål for Datatilsynet er at de registrert skal være i stand til å ivareta sitt eget personvern, også under pandemien. Vi skal også jobbe for at virksomhetene skal forstå betydningen av godt personvern. I kapittelet «Kommunikasjon og veiledning» gir vi en oversikt over henvendelser til veiledningstjenesten vår, og selv om vi ser at antall korona-relaterte henvendelser har gått ned i forhold til 2020, får vi fremdeles mange spørsmål knyttet til korona og arbeidslivet. Vi har opprettet en egen temaside på datatilsynet.no der vi har samlet ulik informasjon om saker relatert til pandemien for å informere om plikter og rettigheter også i en slik situasjon. Vi har blant annet fortløpende publisert informasjon om koronasertifikat, registrering av gjester på utesteder og arrangementer, og oppdateringer om videokonsultasjon, digital undervisning og befolkningsvarsling via SMS. Utarbeidelse av god veiledning på nettsidene, og konkret veiledning til virksomheter og enkeltpersoner, har etter vår mening helt klart bidratt til å oppfylle målene våre.
Vi skal også jobbe for en mer rettferdig maktbalanse mellom borger og stat. Den opprinnelige Smittestopp-appen utgjorde et stor inngrep i den enkeltes personvern, både fordi det ble brukt en for inngripende teknologi og fordi formålene var for bredt definert. I 2021 ble nye Smittestopp tatt i bruk, og personvernet er så langt vi kan se godt ivaretatt. Denne versjonen av Smittestopp har kun ett formål, nemlig smittesporing, og er utelukkende bygd på samtykke. Teknologien (blåtann) er mindre inngripende – ingen som bruker appen skal kunne se hvor eller når man har vært i kontakt med en smittet. Appen er basert på åpen kildekode. Vi mener derfor at utviklingen og lanseringen av den nye versjonen har vært med på å bidra til å balansere interessene i favør av den enkelte på en god måte.
1.3.2 Kontroll og saksbehandling
Det er i første rekke personopplysningsloven og personvernforordningen som definerer Datatilsynets oppgaver og myndighet. I tillegg fastsetter også politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter, oppgaver for tilsynsmyndigheten.
Mange av oppgavene våre innebærer skriftlig saksbehandling. En høy andel av saksdokumentene Datatilsynet mottar, er klager fra enkeltindivider. Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og derfor er vår plikt til å følge opp klagene fra enkeltpersoner direkte formulert i forordningen.
Vi har i tillegg en rekke andre typer saker til behandling, slik som søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer og så videre. Vi kan også opprette saker av eget tiltak, for eksempel på bakgrunn av tips fra media eller publikum. Tilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Flere av disse meldingene nødvendiggjør grundige analyser og oppfølging av saksbehandlerne i tilsynet.
Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket blir etterlevd. Konsekvensene ved lovbrudd kan bli svært alvorlige. Loven og forordningen inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro.
1.3.2.1 Gjennomførte aktiviteter
Antall saker, saksdokumenter og klager
I 2021 har vi registrert et høyere antall nye saker enn i 2020. I løpet av året, registrerte arkivet vårt 3 474 nye saker. På samme tid i fjor rapporterte vi om 3 271 opprettede saker totalt. Økningen er på omlag seks prosent.
Til sammen ble det registrert 6 285 nye innkommende dokumenter i 2021. Tallet for 2020 var 5 733, og økningen tilsvarer litt i underkant av ti prosent. Tilfanget av antallet saker og saksdokumenter, har økt konstant siden 2014.
Datatilsynets dokumentproduksjon har også økt betydelig. I 2021 ble det sendt ut 5 222 dokumenter, mot 4 337 i 2020. Dette innebærer en økning på om lag 20 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak sendt til behandling i Personvernnemnda (se nedenfor).
Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med et stigende antall registrerte dokumenter inn og et høyere sakstall enn tidligere. Dokumentproduksjonen har også gått markant opp. Samlet sett viser statistikken at Datatilsynets totale arbeidsmengde stadig øker.
Av de registrerte sakene er i underkant av 600 klagesaker fra enkeltindivider. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kundeforhold. Omtrent 12-13 prosent av klagene gjelder helseopplysninger. En tilsvarende andel handler om personvern på arbeidsplassen. Videre mottar vi en betydelig andel klagesaker om behandling av personopplysninger på eller ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og mobiltelefonapplikasjoner. Andre sakskategorier som er høyt representert blant de individuelle klagesakene er kredittopplysninger, kameraovervåking og barns personvern.
Klager på Datatilsynets enkeltvedtak
I løpet av året fattet vi 306 enkeltvedtak. Det innebærer en økning på litt over 21 prosent sammenlignet med året før. Samtidig ble 43 av enkeltvedtakene våre påklaget. Også dette innebar en økning fra 2020 (13 prosent). I 21 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling.
Seks klager resulterte i at Datatilsynet omgjorde egne vedtak i løpet av meldingsåret. Det resterende antallet var fremdeles under forberedelse ved utgangen av meldingsåret.
I syv av tilfellene førte klagene til at enkeltvedtakene ble helt eller delvis omgjort. Blant disse klagene gjaldt om lag halvparten våre avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok åtte klager på ileggelse av overtredelsesgebyr, mens én klage gjaldt en irettesettelse. I noen av sakene førte saksbehandlingen i Personvernnemnda til reduksjon i de utmålte overtredelsesgebyrene. Nemnda ga i disse sakene uttrykk for at lang saksbehandlingstid måtte føre til lavere overtredelsesgebyr. Vi har derfor særlig merket oss disse nemndsavgjørelsene.
Et antall klagesaker ble forberedt oversendt til klagebehandling i løpet av året, og det resterende antallet klager har resultert i videre undersøkelser – flere av disse klagesakene var ikke avsluttet ved overgangen til 2022. Totalt fattet Personvernnemnda 26 vedtak i meldingsåret. Se fullstendig oversikt over sakene som ble oversendt til nemnda i 2021 under Vedlegg.
Sanksjoner
I løpet av meldingsåret, har Datatilsynet gitt 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med 2020.
Disse sakene gjelder blant annet brudd på personopplysningssikkerhet, ulovlig overvåking på arbeidsplassen, innhenting av kredittopplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.
Det høyeste overtredelsesgebyret som ble gitt var på 65 millioner kroner. I denne saken hadde et amerikansk selskap samlet inn og solgt personopplysninger av sensitiv karakter via en dating-app, Grindr. Datatilsynet vurderte saken som svært alvorlig, og ga selskapet det høyeste gebyret i norsk personvernhistorie så langt. Saken er imidlertid ikke rettskraftig avgjort ved årsskiftet da klagefristen utløper medio februar 2022.
I en annen sak, ga vi bompengeselskapet Ferde et gebyr på 5 millioner for å ha overført personopplysninger om bompasseringer til Kina uten rettslig grunnlag. Selskapet valgte å godta gebyret, og avgjørelsen blir dermed stående.
Alt i alt utstedte Datatilsynet overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av 2021. I noen av disse sakene har vi mottatt klager, og i et fåtall av sakene var klagefristen fremdeles ikke gått ut ved årsskiftet. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelsesgebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr og, ikke minst, det totale beløpet. I tillegg ble det gitt 13 irettesettelser. Reaksjonene kom blant annet som følge av ulovlig kameraovervåking, publisering av personopplysninger på et kommunalt nettsted og lydopptak uten samtykke.
Se fullstendig oversikt over overtredelsesgebyrene og tvangsmulktene som ble gitt i 2021 under Vedlegg.
Høringer
I løpet av 2021 mottok Datatilsynet 205 høringssaker. Vi ser altså at også her er det en jevn økning. På grunn av behovet for å prioritere andre saksbehandlingsoppgaver, er det uttalt i Datatilsynets virksomhetsplan at høringsuttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel har vi gitt 61 uttalelser i 2021. En del av forklaringen på det relativt høye antallet kan være at det kom flere forslag enn normalt på grunn av pandemien. Mange av disse sakene berørte personvernet i vesentlig grad. Flere av dem hadde svært knappe høringsfrister som gjorde at vi måtte kaste oss brått rundt.
De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir likevel gjennomgått og vurdert av en seksjonssjef eller en saksbehandler. Dersom vi finner at det ikke er grunn til å gi en uttalelse, eller at høringssaken er blant dem som ikke skal prioriteres, blir den tatt til etterretning og avsluttet. Vi vil fortsette å nedprioritere høringssaker som ikke har stor betydning for personvernet i 2022.
Les nærmere omtale av noen av våre mest sentrale høringsuttalelser videre utover i rapporten. Se forøvrig en fullstendig oversikt over høringsuttalelsene våre med merknader i 2021, under Vedlegg.
Offentlighetsloven og innsynskrav – eInnsyn
Via OEP mottok vi 5 715 innsynsbegjæringer i løpet av meldingsåret. Dette er en betydelig økning siden 2020, da vi mottok 3 671 innsynskrav, noe som også da var et rekordhøyt antall. Økningen er på nærmere 60 prosent. Tidligere år har det vært en jevn økning, men antallet har altså gått vesentlig opp i 2021. Denne stigningen har vært merkbar, og den har hatt store konsekvenser for det øvrige arbeidet, slik som saksbehandlingen. Noe av årsaken kan nok tilskrives det økte antallet saker som beskrevet over, og også at mange journalister ønsker innsyn i de innmeldte avvikssakene. Vi har vurdert ulike tiltak for å imøtekomme den voksende etterspørselen, og dette vil bli et tema videre utover i 2022.
Vi gir innsyn i de langt fleste tilfellene. Det ble likevel gitt avslag på 522 innsynsbegjæringer da dokumentene inneholdt taushetsbelagt informasjon. I 963 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.
Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang, og disse innsynsbegjæringene treffer særlig juridiske avdeling. Avdelingen får som en følge av det høye antallet innsynsbegjæringer, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politiregisterloven og helseregisterloven.
Åpenhet om forvaltningens virksomhet er helt grunnleggende i et demokratisk samfunn, men dersom utviklingen fortsetter i samme retning, vil det samtidig kunne få negative konsekvenser for en annen grunnleggende rettighet, nemlig personvernet.
1.3.2.2 Tilsyn og tilsynsmetodikk
Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre og gjennomføre samfunnsoppdraget vårt. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi velger å kontrollere, faller normalt i to kategorier: virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område. Vi har også som mål at vi skal gjennomføre det vi har definert som profilerte tilsyn. Det skal synliggjøre tilsynsvirksomheten vår, og ikke minst skape en allmennpreventiv virkning av bruken av tilsyn som virkemiddel.
Som en følge av innføringen av personvernforordningen i norsk rett og vår egen tilpasning av saksbehandlingen, har vi de siste årene gjennomført færre tilsyn enn tidligere. 2020 ble så svært preget av pandemien, og i 2021 ønsket vi derfor å øke tilsynsaktiviteten og hadde planlagt 14 stedlige tilsyn. Dessverre har de restriksjonene og begrensningene som har fulgt av koronapandemien, også i 2021 ført til at dette ikke lot seg gjøre. Ni av disse tilsynene er enten påbegynt høsten 2021 eller overført til tilsynsplanen vår for 2022. De øvrige vil bli erstattet av andre og mer aktuelle tilsyn i planen for 2022.
Vi gjennomfører dessuten kontinuerlig hendelsesbaserte tilsyn der vi benytter tilsynshjemmelen vår for å undersøke blant annet brudd på personopplysningssikkerheten nærmere. Vi ser at vi er sårbare ved restriksjoner og begrensninger knyttet til fysiske møter, og har derfor satt i gang et arbeid med å utarbeide rutiner og retningslinjer for gjennomføring av tilsyn ved hjelp av videoløsninger.
Tilsynsmetodikk
I 2020 startet vi et arbeid med å utforme forbedret tilsynsmetodikk tilpasset nytt lovverk og tilsynsobjektene. En tverrfaglig prosjektgruppe fikk i oppdrag å utforme en felles tilsynsmetodikk for alle typer tilsyn som Datatilsynet utfører. Metodikken skulle være basert på anerkjente revisjonsstandarder, men tilpasset regelverket vi forvalter.
Våren 2021 godkjente ledelsen ny tilsynsmetodikk. Den er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier. En viktig leveranse i arbeidet var både opplæringspakke for tilsynsteam og for tilsynsledere.
Det er også opprettet en egen tilsynskoordinator i Datatilsynet. Tilsynskoordinatoren sine viktigste oppgaver er å følge opp planlegging og gjennomføring av tilsyn, samt rapportering av avvik til ledelsen. Koordinatoren har en samlet oversikt over tilsynsaktiviteten, er en ressursperson for tilsynslederne, sørger for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, sørger for intern opplæring i tilsynsmetodikken, samt bistår ledelsen og ser til at hvert enkelt tilsyn har tilstrekkelig ressurser – både tid og personell.
Høsten 2021 ble det gjennomført opplæring av tilsynsdeltakere og tilsynsledere, og metodikken er allerede tatt i bruk. Det er også utarbeidet og implementert egne retningslinjer for utvelgelse av risikobaserte- og profilerte tilsyn.
Høsten 2021 startet også arbeidet med å videreutvikle metodikken til å omfatte algoritmetilsyn.
1.3.2.3 Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)
Forordningen stiller krav til at brudd på personopplysningssikkerheten relatert til konfidensialitet, integritet og tilgjengelighet skal meldes inn til Datatilsynet. I 2021 mottok vi 2 255 slike avviksmeldinger. Det vil si et gjennomsnitt på i underkant av 190 avviksmeldinger per måned.
Det har altså vært en voldsom økning i antall avviksmeldinger sammenlignet med året før personvernforordningen trådte i kraft (2017) da vi mottok 349 avviksmeldinger. Den nærmest eksplosive økningen vi opplevde rett etter innføringen av forordningen, har roet seg noe, men vi ser likevel en jevn økning fra år til år. Dette medfører selvsagt et økt behov for oppfølging og saksbehandling.
Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde ifra om avvik, og at de har rutiner både for å avdekke og melde slike avvik. Økningen i antall innmeldte brudd på personopplysningssikkerheten reflekterer en økt bevissthet knyttet til denne plikten. Det er likevel grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I Datatilsynets kommunikasjon utad har vi imidlertid prøvd å legge vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten.
Det omfattende antallet har ført til økt ressursbruk knyttet til saksbehandling i tilsynet. Samtidig er avviksmeldingene en god kilde til kunnskap om risiko, sårbarheter og trusler ved behandlingen av personopplysninger. Dette er en viktig kilde for oss, i tillegg til statistikk fra tips og klager som kommer inn til oss, når vi skal planlegge risikobaserte tilsyn.
Hvilke typer sikkerhetsbrudd er meldt inn?
Avviksmeldingene vi får inn varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede (se oversikt på neste side). Den vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.
Fordelingen på de ulike typene avvik er omtrent lik som foregående år. I 2021 har en rekke store dataangrep mot så vel offentlige som private virksomheter preget nyhetsbildet. Andelen hackerangrep er omtrent på samme nivå som i 2020, mens andelen ransomware har økt. Ofte benytter trusselaktører angrepsvektorene phishing og ransomware for å gjennomføre et angrep, og det er derfor naturlig å se disse under ett.
Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende.
Hvem melder om brudd på personopplysningssikkerheten til Datatilsynet?
Hele 32 prosent av alle meldingene som sendes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, ulike helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange personopplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.
Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 22 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier personopplysninger. Fordelingen mellom de ulike sektorene er om lag lik som i 2020. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.
Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomheter ikke har etablert en god hendelseshåndtering.
1.3.2.4 Ressursbruk
Det juridiske arbeidet utføres av 34 jurister, noe som utgjør litt over 50 prosent av det totale antallet ansatte i tilsynet. I tillegg til saksbehandlingsoppgavene som følger av personvernforordningen, har juristene i 2021 i vesentlig større grad enn tidligere vært beskjeftiget med å behandle innsynsbegjæringer. Den store økningen i ressursbruk til dette skyldes delvis en stigning i antall begjæringer (og dermed merarbeid med meroffentlighetsvurderinger), og delvis en ny innsynsmodul som ble innført i saksbehandlingssystemet Public 360 i meldingsåret. Innføringen av den nye innsynsmodulen har medført en desentralisering av arbeidet med innsynsbegjæringer. Dette har særlig gått på bekostning av de juridiske ressursene våre.
Den regulatoriske sandkassen har også trukket vesentlig på de juridiske ressursene i tilsynet. Vi har funnet det mest hensiktsmessig å dedikere mer erfarne jurister med lengre fartstid i tilsynet til sandkassen, for å sikre sandkassen tilgang til den beste kompetansen. Noe redusert saksbehandlingskapasitet har vært en konsekvens av dette. Samtidig har vi fått rekruttert en håndfull midlertidige ansatte som har skullet kompensere for dette ressursuttaket. Ellers har vi arbeidet med å oppdatere saksbehandlingsrutiner og publisere disse på det nye intranettet, som er under arbeid. I desember 2021 ble det også lagt frem en effektiviseringsplan med forslag til et tosifret antall kortsiktige og langsiktige effektiviseringstiltak. Tiltakene vil bli fulgt opp i 2022.
Vi ser for øvrig fremdeles at det er en viss utskiftning av juristene i Datatilsynet. De har en kompetanse som er ettertraktet andre steder i arbeidsmarkedet. De fleste som har sluttet i 2021 har meldt overgang til det private næringslivet.
1.3.2.5 Måloppnåelse
Datatilsynet skal blant annet arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom behandlingen av klagesaker gjør vi at enkeltindividet får direkte gjennomslag for rettighetene sine i praksis. Også gjennom oppfølgingen vår av de mange meldingene om brudd på personopplysningssikkerheten som vi mottar, bidrar vi til at enkeltindividenes personvern styrkes, gjennom økt søkelys på informasjonssikkerhet både i offentlig og privat sektor.
Flere av disse klagesakene og sakene om sikkerhetsbrudd har resultert i overtredelsesgebyr, og det i et større omfang enn tidligere som nevnt over. Et av gebyrene som ble gitt i 2021 var knyttet til en digital tjeneste som retter seg mot seksuelle minoriteter. Selv om gebyret ikke er rettskraftig ved inngangen til 2022, har Datatilsynet med dette bidratt til å sette beskyttelse av sårbare gruppers digitale rettigheter på dagsordenen. Overtredelsesgebyrene får også mye omtale i media. Dette bidrar til å forsterke gebyrenes allmennpreventive effekt – det økte antallet gebyrer, og økningen i gebyrsatsene, gir signaler om at alvorlige lovbrudd koster.
Ved å rette søkelyset på brudd på personopplysningssikkerheten og innebygd personvern i flere av de store sakene våre, bidrar vi også til å realisere den strategiske målsetningen vår om å fremme personvernvennlig digitalisering, innovasjon og utvikling.
Samlet sett vurderer vi vår egen måloppnåelse under dette punktet som god.
1.3.3 Internasjonalt arbeid og samarbeid
Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.
Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2021 har vi engasjert oss særskilt i enkelte temaer og saker som kan ha stor påvirkning på personvernet i Norge. Vi har dessuten påtatt oss ansvar i nye prosesser.
1.3.3.1 Gjennomførte aktiviteter
Deltakelse i Personvernrådet med ekspertgrupper
Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvernforordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.
Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:
Border, Travel and Law Enforcement Expert Subgroup
Compliance, e-Government and Health Expert Subgroup
Cooperation Expert Subgroup
Enforcement Expert Subgroup
Financial Matters Expert Subgroup
International Transfers Expert Subgroup
IT Users Expert Subgroup
Key Provisions Expert Subgroup
Social Media Expert Subgroup
Strategic Advisory Expert Subgroup
Taskforce on Fining
Technology Expert Subgroup
De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2021.
Hver ekspertgruppe ledes av én eller flere koordinatorer. Fra 2021 er Datatilsynet én av to koordinatorer for Social Media Expert Subgroup. I tillegg til ekspertgruppene finnes det flere ad-hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.
Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2021 deltok én jurist fra Datatilsynet i komiteens møter.
Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjonsstrategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i nettverket i 2021.
Rapportøroppdrag
I 2020 ledet vi arbeidet med intern organisering av møtene i Personvernrådet. Dette arbeidet fortsatte i 2021, og det er nå sekretariatet i rådet som fører dette videre. Fra 2021 er vi dessuten hovedrapportør for Personvernrådets retningslinjer om verktøy for avdekking av barneovergrepsmateriale. Dette arbeidet vil starte for fullt i 2022.
Internasjonal saksbehandling / IMI
Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).
Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsynsmyndigheten.
I 2021 har vi som berørt tilsynsmyndighet kommet med innsigelser i tre saker som gjelder store, internasjonale teknologiselskaper. Det kan føre til at de ledende tilsynsmyndighetene blir avskåret fra å fatte vedtak i tråd med sitt utkast til avgjørelse. I så fall må de enten følge innsigelsen eller saken må tas opp til behandling i Personvernrådet.
I 2021 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 281 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 12 saker. En stor andel av de grenseoverskridende sakene fra tidligere år, er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er adskillig lengre enn for andre saker.
Godkjenning av overføringsgrunnlag
Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.
Ved utgangen av 2021 hadde vi, som ledende tilsynsmyndighet, ni åpne søknader om godkjenning av BCR som overføringsgrunnlag.
I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Vi har dessuten deltatt som nøytral datatilsynsmyndighet ved behandling av to BCR-søknader i rådet, hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten.
Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2021 gjaldt dette ti konsern.
Vi kan også godkjenne administrative ordninger mellom offentlige myndigheter eller organer som overføringsgrunnlag. Også dette krever at søknaden legges frem for Personvernrådet for en uttalelse. I 2021har vi godkjent én slik ordning.
Koordineringsgrupper for tilsyn med Schengen informasjonssystem (SIS), Visuminformasjonssystem (VIS) og Eurodac
Disse tre koordineringsgruppene har som formål å koordinere og utveksle informasjon om datatilsynsmyndighetenes tilsyn med Schengen-systemene SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2021 deltok én jurist i disse møtene.
Oppfølging av Schengen-evaluering av Norge
Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985, og som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visuminformasjonssystem).
Etter Schengen-evalueringen i 2017, fikk vi åtte anbefalinger, blant annet å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Tilsyn med UDI ble gjennomført i 2019, og den endelige rapporten fra dette tilsynet er nylig sendt ut. Vi gjennomførte så brevkontroll med Kripos som behandlingsansvarlig for SIS i 2021. Foreløpig tilsynsrapport er under arbeid.
Norges etterlevelse av Schengen-regelverket skal igjen evalueres i 2022. Evalueringen vil innebære en inspeksjon av etterlevelsen vår av tilsynsoppgavene etter SIS og VIS. Kripos og UDI, som er behandlingsansvarlige for henholdsvis SIS og VIS, vil evalueres samtidig. Arbeidet med forberedelser til evalueringen er påbegynt, blant annet gjennom en besvarelse av Schengen Questionnaire i 2021.
Global Privacy Assembly (GPA)
GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2021 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.
Fra 2021 er vi dessuten én av fire såkalte co-chairs for International Enforcement Working Group.
Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter
Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2021, og én jurist har deltatt.
Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.
Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg sammen med European Policy Centre. Møtene samler blant annet representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan man kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2021 har én samfunnsviter og én jurist deltatt på disse møtene.
Andre samarbeid
Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT), og vi har egne møter med de øvrige nordiske datatilsynsmyndighetene. Sistnevnte forum har ikke hatt faste møter i 2021 på grunn av koronasituasjonen.
1.3.3.2 Ressursbruk
Arbeidet i Personvernrådet og dets ekspertgrupper krever betydelige ressurser. For å delta i møtene er det ofte nødvendig med grundige forberedelser, siden prinsipielle spørsmål om forståelsen av personvernreglene står på agendaen. I 2020 møttes rådet og ekspertgruppene langt oftere enn vanlig grunnet pandemisituasjonen. I 2021 har imidlertid møtehyppigheten normalisert seg, slik at de fleste gruppene har omlag ett møte i måneden.
Saksbehandling av grenseoverskridende saker og BCR-søknader er et særlig tidkrevende og møysommelig arbeid som også legger bånd på store ressurser. I disse sakene må vi følge særskilte prosessregler, og vi er avhengig av samarbeid med andre datatilsynsmyndigheter i EØS i saksbehandlingen.
Som en del av omorganiseringen av Datatilsynet i 2019, ble det opprettet en egen internasjonal seksjon, og seksjonen har fått tilført ytterligere ressurser i 2020 og 2021. Seksjonen har særlig ansvar for arbeidet i Personvernrådet, grenseoverskridende saker og overføring av personopplysninger til tredjeland. Å samle disse oppgavene i én enhet har gjort det enklere å tilnærme seg det internasjonale arbeidet på en systematisk og helhetlig måte, noe som igjen har ført til bedre ressursutnyttelse.
1.3.3.3 Måloppnåelse
Vår deltakelse på den internasjonale arenaen gjør at vi stadig øker den faglige kompetansen vår, noe som bidrar til å nå målsetningen om å være et kompetent og fremtidsrettet tilsyn. Arbeidet i Europa vil dessuten føre til en mer harmonisert regelanvendelse, noe som i sin tur bidrar til en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.
Vi har også hatt som et uttalt mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Dette målet er særlig realisert gjennom den stadig mer aktive deltakelsen vår i Personvernrådet. Tilfanget av ressurser til det internasjonale arbeidet gjør at vi har stadig større mulighet til å påvirke tolkningen av regelverket, samt utfallet i prinsipielle, internasjonale enkeltsaker. Dette vil igjen ha mye å si for personvernet i Norge.
1.3.4 Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens
I regjeringens nasjonale strategi for kunstig intelligens (KI), som ble lansert i januar 2020, var et av tiltakene å etablere en regulatorisk sandkasse for ansvarlig kunstig intelligens. Sandkassen ble opprettet høsten 2020, og 2021 var det første operative året.
Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvernperspektiv. Kunstig intelligens representerer store muligheter, men byr også på utfordringer når det kommer til personvern og bruk av personopplysninger. Sandkassen hjelper enkeltaktører med å følge regelverket og utvikle personvernvennlige KI-løsninger. Vi kan så bruke eksempler og læring fra de ulike prosjektene til å lage veiledning som kan hjelpe andre virksomheter å ta i bruk kunstig intelligens på en personvernvennlig måte.
Sandkassen er finansiert av et tverr-departementalt samarbeid. Det inkluderer Kommunal- og distriktsdepartementet, Arbeids- og sosialdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet, Nærings- og fiskeridepartementet og Samferdselsdepartementet.
1.3.4.1 Gjennomførte aktiviteter
I 2021 har hovedaktivitetene i sandkassen vært opptak av sandkasseprosjekter og drift av prosjektene. I tillegg har vi drevet utadrettet kommunikasjon for å få søkere og for å spre læringen fra de første prosjektene.
Søknadsrunder
I 2021 har vi hatt to søknadsrunder. Den første hadde søknadsfrist i januar og den andre i september. Til sammen fikk vi inn 46 søknader som representerte et bredt utvalg sektorer og personvernproblemstillinger knyttet til KI. Søknadsbunken inneholdt mange spennende innovasjonsprosjekter som berørte bruk av kunstig intelligens i Norge. Temaer som gikk igjen i søknadene var transparens, rettferdighet, dataminimering, anonymisering og behandlingsgrunnlag.
Opptakskomiteen bestod av en intern, tverrfaglig gruppe som gjennomførte samtaler med samtlige søkere. En ekstern referansegruppe med medlemmer fra Innovasjon Norge, Norsk Regnesentral, Likestillings- og diskrimineringsombudet og Tekna hjalp oss med å vurdere samfunnsnytten i prosjektene. Den endelige utvelgelsen av prosjektene som ble tatt opp i sandkassen, ble gjort av styringsgruppen som består av ledelsen i tilsynet.
Utvelgelsen av prosjektene var basert på noen konkrete søknadskriterier. Prosjektene må blant annet involvere kunstig intelligens og de må ha konkrete personvernproblemstillinger det ønskes hjelp til for å muliggjøre en tjeneste. I utvelgelsen var det viktig for tilsynet å velge ut aktører som representerer et spenn av virksomheter (offentlig, privat, oppstartsbedrifter, større virksomheter). Vi la spesielt vekt på om personvernproblemstillingene i prosjektene er relevante for andre aktører som benytter KI for å skalere effekten av sandkassen.
Gjennomførte og påbegynte sandkasseprosjekter
Første runde hadde oppstart i slutten av mars og bestod av fire prosjekter:
Age Labs er et ungt gründerselskap innenfor prediktiv diagnostikk. De kombinerer maskinlæring og biobanker, og ser på epigenetikken, altså hvordan genene blir slått av og på. Med maskinlæring finner de signaler på sykdom, og målet er å oppdage diagnoser tidligere. I dette prosjektet så vi på hvilke muligheter det er for å bruke KI til dette formålet. Det ble vurdert hvordan anonymisering kan legge til rette for bruk av personopplysninger til å avdekke aldersrelatert sykdom.
Secure Practice jobber med informasjonssikkerhet. De ønsker å utvikle en tjeneste som profilerer ansatte for å kunne tilby tilpasset sikkerhetsopplæring basert på hvilke profilkategorier de ansatte havner i. I sandkassen synliggjorde vi hvordan rollen til Secure Practice som databehandler/behandlingsansvarlig kunne brukes til å begrense arbeidsgiverens tilgang til de ansattes data for å ivareta personvernet på en god måte. Vi gjennomførte også fokusgrupper som bidro til å belyse hvilke behov den ansatte har for informasjon om hvordan opplysningene deres brukes.
NAV vil bruke KI til å predikere sykefraværslengden til sykmeldte personer. Formålet er å få en mer brukervennlig og effektiv oppfølging av sykmeldte, ved å unngå å kalle inn til unødvendige møter. I dette prosjektet avdekket vi at det er uklart hjemmelsgrunnlag for utvikling av kunstig intelligens i særlovgivningen. Dette er et viktig funn som er relevant for andre sektorer innen det offentlige, og som kan være en barriere for utvikling av KI.
Kommunenes sentralforbund (KS) ønsker å analysere elevers data fra ulike digitale læringsverktøy for å støtte lærerne i vurderingsarbeidet og for å tilpasse undervisningen bedre til elevenes individuelle nivå. KS samarbeider med Slate ved Universitetet i Bergen og Utdanningsetaten i Oslo i prosjektet, og temaet var behandlingsgrunnlag og åpenhet. Dette er et foregangsprosjekt som viser hvordan utdanningssektoren kan implementere kunstig intelligens i læringsverktøy på en personvernvennlig og ansvarlig måte.
Andre runde hadde oppstart i november og består av tre prosjekter som ikke er avsluttet ved årsskiftet:
Finterai er en fersk oppstartsbedrift som vil gå løs på et samfunnsproblem langt større aktører har slitt med tidligere: hvitvasking og terrorfinansiering. De vil benytte seg av føderert læring, en desentralisert metode som blir ansett som mer personvernvennlig. Slik skal bankene lære av hverandres data uten å faktisk dele dem.
Simplifai ønsker å ta i bruk maskinlæring for å identifisere og foreslå hvilke eposter og tilhørende dokumenter som regnes som arkivverdige. Målet er å hjelpe offentlig sektor med å møte arkiveringskravene i regelverket og effektivisere arkiveringsprosessen.
Helse Bergen HF ønsker å bruke kunstig intelligens for å identifisere pasienter som trenger ekstra oppfølging. Hvis disse pasientene skrives ut med en ekstra oppfølgingsmerkelapp, kan de få bedre hjelp av tverrfaglige helsetjenesteteam. Slik kan risikoen bli redusert for en rask retur til sykehuset, noe som er gunstig både for pasientene og helsevesenet.
Utadrettet aktivitet
Å skape nytteverdi for andre virksomheter enn de som deltar, er et viktig mål for sandkassen. I alle prosjektene praktiserer vi åpenhet ved å publisere prosjektplanene og sluttrapportene på nettsidene våre.
Vi har opprettet en egen podkast-serie om sandkassen, SandKasten. Der deler vi innsikt fra de ulike prosjektene. Vi innledet også et samarbeid med Digital Norway, hvor vi har utviklet et e-læringsopplegg om behandlingsgrunnlag – et tema som går igjen i søknadene til sandkassen.
Vi har videre arrangert to workshops for alle søkerne om tematikk vi så gikk igjen. Det arrangeres faste møter på tvers av deltagerprosjektene for å få synergier på tvers av prosjektene. Vi arrangerte et panel om personvern og kunstig intelligens sammen med Digital Norway på Arendalsuka, og i slutten av august arrangerte vi et åpent seminar der sandkassedeltakerne presenterte erfaringer fra prosjektene.
Vi har i 2021 opplevd stor interesse for sandkassen, både nasjonalt og internasjonalt. Vi har holdt innlegg om sandkassen på over 30 ulike konferanser og arrangementer i både inn- og utland, og både utenlandske og norske medier med fokus på teknologi og utvikling, har vært interesserte i erfaringene våre. Disse nyttige for å nå frem til de primære målgruppene våre.
Vi har arrangert koordineringsmøter med Arkivverket og Finanstilsynet som har sandkasser i sine sektorer, og vi holder i et europeisk nettverk for sandkasser der ICO i Storbritannia og CNIL fra Frankrike deltar. Vi har også hatt møter med myndigheter i flere land som er interessert i å høre om erfaringene våre, blant annet Italia, Saudi-Arabia, Kroatia, Estland og Bermuda.
Flere masterstudenter og doktorgradsstipendiater har skrevet oppgaver om sandkassen, og vi har delt erfaringene våre med dem. En doktorgradsstipendiat fra Senter for rettsinformatikk ved Universitetet i Oslo har fulgt ett av sandkasseprosjektene fra oppstart.
1.3.4.2 Erfaringer
I løpet av 2021 har vi altså gjennomført den første runden med prosjekter, og startet på runde nummer to. Etter at prosjektene er valgt ut, skal det lages en prosjektplan, selve prosjektet skal gjennomføres, sluttrapport skal skrives og prosjektet evalueres. Vi har lært mye gjennom den første runden, både når det kommer til det personvernfaglige og metodisk.
Gjennom sandkassen har vi mulighet til å gi virksomhetene som deltar direkte og grundig veiledning på tema som de finner utfordrende. Gjennom arbeidsmøter har vi hjulpet deltakerne med å blant annet definere egen rolle på en måte som kan beskytte dataene til sluttbrukerne. Vi har også belyst hvordan åpenhet og forklarbarhet ikke bare kan løses på en måte som tilfredsstiller kravene i regelverket, men som også kan bidra til at folk har tillit og er villige til å dele reelle data – noe som i konsekvens gir mer presise resultater. I et par av prosjektene brukte vi fokusgrupper for å forstå sluttbrukerperspektivet bedre. I NAV-prosjektet har vi identifisert at en barriere i regelverket relatert til behandlingsgrunnlag kan hindre utvikling av kunstig intelligens i offentlig sektor.
Evalueringen fra første runde med prosjekter viser at nytteverdien for både deltakerne og Datatilsynet er stor. Vi ser at det er viktig å prioritere nøye hvilke spørsmål vi skal besvare i hvert enkelt sandkasseprosjekt. Hvis vi biter over for mye er det krevende å gå i dybden på problemstillingene. Og det er ofte i dybden det blir interessant – målet med sandkassen er jo å gi konkrete eksempler hvordan regelverket kan implementeres i praksis, fremfor å gi generell veiledning. Vi ser også at sluttrapportene, som er en oppsummering av prosess og funn i hvert prosjekt, er ressurskrevende å utarbeide og vi vurderer å endre på formatet til andre runde.
Muligheten for å gå dypere inn i problemstillinger, og forstå hvordan disse oppleves i virksomheten, er verdifull innsikt for Datatilsynet. Det bidrar til å bygge kompetanse og innsikt på viktige felt, både juridisk, teknologisk og samfunnsmessig. Denne kompetansen spres internt i tilsynet ved at medarbeiderne som arbeider i sandkassen representerer ulike seksjoner. Vi deler det også gjennom internt kommunikasjon slik som ukentlige oppdatering, interne nyhetsbrev og faglige påfyll. Økt forståelse for kunstig intelligens og hvordan regelverket kommer til anvendelse, er viktig for at tilsynet skal kunne gi veiledning, gjøre saksbehandling og tilsynsvirksomhet på dette området på en god og kompetent måte.
1.3.4.3 Ressursbruk
I 2021 ble sandkassen finansiert med ni millioner. Størsteparten av midlene går til lønnsutgifter knyttet til sandkasseaktiviteter. Det er ansatt én prosjektleder og én kommunikasjonsrådgiver for å drifte sandkassen. I tillegg har vi hentet inn fem midlertidige ansatte som skal avlaste ressursene som blir brukt fra organisasjonen til opptak, gjennomføring av prosjektene, utarbeidelse av veiledningsmateriell og utadrettet virksomhet.
Avdelingsdirektøren for teknologi, analyse og sikkerhet er intern prosjekteier og bruker tid på oppfølging og kvalitetssikring av drift og innhold, mens ledelsen i tilsynet fungerer som styringsgruppe, og har det overordnede ansvaret for sandkassen.
Hvert enkelt prosjekt har en intern prosjektleder som bruker rundt 50 prosent av tiden sin på sandkassen i prosjektperioden. Prosjektlederne har gjennomført prosjektlederkurs i henhold til Prosjektveiviseren til DigDir i løpet av året. I tillegg bruker vi 2-3 tilknyttede interne ressurser som bruker en mindre prosentdel av stillingene sine til å bidra inn i prosjektene. Vi involverer fagressurser, seksjonsledere og avdelingsdirektører for forankring av konklusjonene i prosjektene.
I tillegg til lønnsutgifter og faste utgifter til ansatte, har vi brukt midler til kommunikasjonstiltak (annonsering, arrangement), innleie av konsulent for å avlaste i påvente av nyansettelser, leie av møterom, reisevirksomhet og kjøp av software-tjenester.
På tampen av 2021 ble sandkassen nominert til Bedre stat-prisen 2022. Det er en pris som går til prosjekter som har effektivisert eller forbedret offentlig sektor.
1.3.4.4 Måloppnåelse
Vi har tre overordnede mål for den regulatoriske sandkassen:
1. For virksomhetene skal sandkassen bidra til å øke forståelsen for de regulatoriske kravene som stilles, og for hvordan personvernregelverket får anvendelse på nye forretningsmodeller, produkter og tjenester. I løpet av det første året har sandkassen oppnådd dette målet ved å hjelpe en håndfull sandkassedeltakere med de konkrete personvernutfordringene disse har. I tillegg har vi nådd ut til et bredere publikum med erfaringen og kunnskapen fra prosjektene gjennom synlighet på konferanser, i media, på podkast, blogg og gjennom nettsidene våre. Den utadrettede aktiviteten fremover er viktig for å skalere effekten av sandkassen på en god måte.
2. For Datatilsynet skal den regulatoriske sandkassen bidra til å øke forståelsen og kunnskapen om nye teknologiske løsninger. På bakgrunn av løsninger som er utviklet i sandkassen skal vi utarbeide veiledning, og vi skal identifisere sektorer/problemstillinger der det kan være nyttig å lage bransjenormer eller avklare regelverksanvendelsen. Gjennom prosjektene har de ansatte i tilsynet opparbeidet seg verdifull kunnskap om hvordan personvernregelverket kommer til anvendelse ved bruk av KI. Det har gitt oss mulighet til å gå i dybden på problemstillinger der det finnes liten praksis, og der det er stor usikkerhet rundt praktisk tolkning og implementering av regelverket. Kompetansebygging på kunstig intelligens er et viktig bidrag til arbeidet vårt på dette området, inkludert utvidelse av tilsynsmetodikken vår til å inkludere tilsyn med algoritmer.
3. Ikke minst vil enkeltpersoner og samfunnet som helhet tjene på at utvikling av nye og innovative løsninger foregår innenfor en ramme som sikrer ansvarlighet og etterrettelighet, og som ivaretar hensynet til enkeltmenneskets grunnleggende rettigheter og friheter. Dette legger grunnlaget for utvikling av tjenester som ivaretar innbyggernes tillit. Dette er et langsiktig mål, men allerede i de første prosjektene ser vi hvor viktig tillit er for at løsninger som tar i bruk kunstig intelligens skal lykkes på sikt. Vi har hatt et aktivt sluttbrukerfokus i prosjektene. Fokusgruppene med sluttbrukere ga verdifull innsikt i hvordan løsningene kan utformes for å ivareta rettighetene og interessene til individer og grupper som skal ta i bruk denne teknologien.
1.3.5 Spesielt om barn og unge
Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen, og det er et stort ønske om å bruke og dele opplysningene til mange, ulike formål. Økt digitalisering og registrering øker også faren for at det behandles overskuddsinformasjon om barn.
Barn er gitt rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandlingene av opplysningene deres oftest besluttes av andre enn dem selv. I tillegg anses de ikke å fullt ut kunne vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.
I tillegg er det spesielle utfordringer som oppstår når all aktivitet, vurderinger og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Datatilsynet mottar mange meldinger om avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy. I tillegg er det i mange tilfeller avvik som oppstår som følge av feil bruk av systemene man har, for eksempel ved å sende opplysninger til feil mottakere.
Utfordringsbildet i sakene vi har behandlet i 2021, er fremdeles at det er liten kompetanse blant ansatte i stat, kommune og fylkeskommune om hvordan personopplysninger skal behandles i tråd med personvernregelverket.
1.3.5.1 Gjennomførte aktiviteter
Sentrale høringsuttalelser
I 2021 har vi gitt høringsinnspill i to sentrale lovforslag som påvirker barn og unges personvern. Disse forslagene gjelder ny opplæringslov og ny barnelov.
I høringsinnspillet vårt til den nye barneloven, ga vi støtte til behovet for en tydeliggjøring av forholdet mellom barns rett til personvern og foreldrenes plikt til å ivareta barnets beste. Vi støttet forslaget om å etablere tydelige bestemmelser for fastsettelse av generelle aldersgrenser. Vi presiserte også at det er positivt at utvalget har tatt barns rett til personvern på alvor, særlig når det gjelder i relasjon til omsorgspersoner.
Vi ga også en høringsuttalelse til ny opplæringslov i desember 2021. Vi presiserte blant annet at det er viktig at opplæringsloven tar høyde for personvernrettslige problemstillinger, både med tanke på omfanget av personopplysningene som blir behandlet, hvilke metoder som benyttes og spørsmål knyttet til utlevering av opplysninger til andre.
I opplæringssektoren er utfordringen å behandle opplysninger om elever på en måte som ivaretar formålet med opplæringsloven og den enkelte skolens handlingsrom, samtidig som elevenes personvern er ivaretatt. Selv om det er viktig at opplæringsloven inneholder et klart og tydelig rettslig grunnlag for behandling av personopplysninger for å utføre oppgaver som følger av loven, er det en rekke andre forpliktelser som følger av personvernforordningen skolesektoren må innrette seg etter samtidig.
Vi understreket derfor at personvernforordningen også innebærer en rekke rettigheter for elevene og deres foresatte som det er viktig at skolesektoren har systemer for å ivareta. Plikten til å sikre etterlevelse av personvernforordningen genererer behov for ressurser og kompetanse. Retningslinjer og kvalitetssystemer må utarbeides, og tilstrekkelig informasjonssikkerhet koster mer enn vanlig informasjonssikkerhet. Vår anbefaling var blant annet å utforme klare henvisninger til personvernregelverket i den nye opplæringsloven.
Avvikssaker
Vi behandler forskjellige typer saker som kommer inn til Datatilsynet, og også i 2021 har vi mottatt flere meldinger om brudd på personopplysningssikkerheten ved bruk av digitale verktøy i skolen. Sakene gjelder både tekniske og menneskelige feil. Vi ser at sektoren har blitt mer modne når det gjelder bruk av digitale verktøy, men at det fortsatt er behov for opplæring i bruken for å minimere risikoen for menneskelige feil. Typiske hendelser er feilsending av dokumenter som er underlagt taushetsplikt. De fleste av disse sakene blir avsluttet med veiledning fra vår side.
Øvrige aktiviteter
Rundebordskonferanse om personvern i skolen
Datatilsynet arrangerte i februar 2021 den tredje rundebordskonferansen med tema informasjonssikkerhet og personvern i skolen. Konferansen fulgte opp tilsvarende konferanser i 2019 og i 2020, og hovedtema var behovet for samarbeid mellom kommuner, interesseorganisasjoner og myndigheter. Videre ble behovet for sentrale føringer og styring med personvern i skolesektoren diskutert, og dette har i etterkant av konferansen blitt gjentatt i flere relevante sammenhenger.
Gjennom runden kom det i likhet med tidligere frem at personvern og informasjonssikkerhet er kompliserte tema som kommunene bruker mye ressurser på, og at de har behov for bistand fra hverandre og de sentrale myndighetene.
Vi vil fortsetter samarbeidet med relevante aktører som blant annet KINS og KS for videre oppfølging av personvernproblemstillinger på dette feltet.
DuBestemmer-prosjektet
Vi har i 2021 fortsatt det formelle samarbeidet vårt med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no, som vi driver sammen med direktoratet, er her en viktig kanal for å nå frem til både elever og lærere med grunnleggende informasjon om personvern og rettigheter.
Høsten 2020 og våren 2021 arbeidet prosjektet med å bygge nye nettsider. Alt det gamle innholdet ble revidert og mye nytt innhold produsert. I juni ble så de nye nettsidene publisert, og har fått mange positive tilbakemeldinger fra skolene som har tatt dem i bruk.
1.3.5.2 Ressursbruk
Datatilsynets arbeid med barn og unge, og spesielt skolesektoren, tar mye tid. Avviksmeldinger som gjelder skolesektoren har også vist seg å være tidkrevende å behandle, ettersom handlingsforløpene er uoversiktlige og forskjellige. Teknologien er også ofte kompleks med tanke på relasjoner mellom ulike fagsystem og tilganger gitt i de ulike systemene. De største sakene har krevd omfattende saksbehandlingsressurser i Datatilsynet. Seksjonen har imidlertid hatt en del sykefravær, og innsatsen har måttet bli noe redusert.
1.3.5.3 Måloppnåelse
Vi har i likhet med 2020 brukt mye tid på veiledning til behandlingsansvarlige og databehandlere på dette området. Dette er en riktig prioritering som er forankret i vårt strategiske mål om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Både skoleeiere og virksomhetene trenger veiledning i informasjonssikkerhet og etterlevelse av personvernregelverket. Vi har inntrykk av at vårt arbeid med å dele informasjon har blitt positivt mottatt.
Vårt inntrykk er at sektoren er på riktig vei. Mange initiativer har blitt satt i gang, og nye etater har satt personvern i skolen på dagsorden. Det er vanskelig å måle effekten av denne typen arbeid, men vi mener at våre aktiviteter har bidratt til at sektoren jobber bedre med personvern i skolen enn tidligere.
At det blir brukt forholdsvis mye tid på behandling av avviksmeldinger, mener vi er både riktig og viktig. Dette arbeidet er forankret i vårt strategiske mål om å være et kompetent og fremtidsrettet tilsyn. Det er viktig at de avgjørelsene som blir tatt er grundig vurdert og at omverdenen opplever at Datatilsynet bruker sanksjonsapparatet i personvernforordningen på en rettferdig måte. Flere saker med store overtredelsesgebyrer har bidratt sterkt til å rette oppmerksomheten mot personvern i skolen. Måten kommunene har håndtert disse sakene på har også bidratt positivt, blant annet har de vist stor åpenhet om feil de har gjort, forsøkt å lære selv og ønsket å forhindre at andre gjør samme feil.
Vi vurderer egen måloppnåelse på dette punktet i strategien som god, tatt i betraktning de tilgjengelige ressursene.
1.3.6 Annen vesentlig aktivitet
1.3.6.1 Akkreditering og sertifiseringsordninger
Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art 40-43).
Dette prosjektet er delt i tre faser:
Fase 1: Utarbeidelse og formell godkjenning av kriterier for akkreditering av kontrollorganer for atferdsnormer
Fase 2: Utarbeidelse og formell godkjenning av tilleggskriterier for akkreditering av sertifiseringsorganer, samt etablere en mekanisme for akkreditering
Fase 3: Utrede spørsmål knyttet til etableringen av en prosess for å evaluere og godkjenne kriterier for sertifiseringsordninger
Arbeidet har vært høyt prioritert i 2021 og prosjektets første fase er ferdigstilt. Prosjektet er nå i avslutningen av fase 2 og arbeidet med fase 3 er påbegynt.
Vi deltar aktivt på møter i Personvernrådets undergrupper hvor spørsmål knyttet til etablering av kriterier for sertifiseringsordninger er tema, og da særlig hvordan prosessen for godkjennelse av sertifiseringsordninger blir mest mulig konsistent gjennom hele EØS-området. Vi kommer til å fortsette denne deltakelsen i 2022. Prosjektet gjennomfører også jevnlig intern opplæring, og har ansvaret for overføring av oppgaver videre ut i organisasjonen.
1.3.6.2 Arbeidsliv
Når arbeidstakere er på jobb legger de igjen mange personopplysninger i form av digitale spor, og det er ikke fritt frem for arbeidsgiver å bruke alle disse. Retten til personvern gjelder også når man er på jobb, og alle arbeidsgivere må holde seg innenfor grensene i personvernregelverket når de behandler personopplysninger om sine ansatte.
Datatilsynet får mange henvendelser om personvern i arbeidslivet hvert år. I løpet av 2021 mottok vi 77 klager som gjaldt behandling av personopplysninger på arbeidsplassen. I tillegg har vi mange løpende saker til behandling, og vi får mange forespørsler om veiledningsmøter og foredrag knyttet til personvern i arbeidslivet.
Klagesakene innenfor dette temaet er ofte preget av høyt konfliktnivå og stor kompleksitet. En eller flere av partene har ofte advokatbistand, og mange av klagerne står i en særlig sårbar posisjon. Typiske problemstillinger i klagene er innsyn i arbeidstakeres e-post og annet elektronisk utstyr, videresending av e-post eller manglende sletting av opplysninger, personopplysninger i personalmapper, kameraovervåking på arbeidsplassen, og andre typer kontrolltiltak som GPS-sporing, tidsmåling og logging.
Spørsmål knyttet til personvern i arbeidslivet utgjør dessuten en stor andel av henvendelsene til veiledningstjenesten. Hele 28 prosent av de registrerte henvendelsene til denne tjenesten gjaldt spørsmål om personvern i arbeidslivet, slik som innsyn, overvåking og kontroll.
Korrigerende tiltak
Når en arbeidsgiver bryter personvernforordningen, reagerer Datatilsynet ofte med overtredelsesgebyr eller andre korrigerende tiltak. Vi ser alvorlig på disse sakene, og en av grunnene er det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.
I 2021 har vi fattet vedtak om overtredelsesgebyr i syv saker. Seks av sakene er endelig avgjort, mens en sak er påklaget og venter på klagebehandling. Tre av overtredelsesgebyrene gjaldt ulovlig innsyn i eller videresending av ansattes e-post, to saker gjaldt ulovlig kameraovervåking på arbeidsplassen, mens de to øvrige gjaldt annen ulovlig behandling av personopplysninger om ansatte. Vi fattet videre vedtak om irettesettelse i fire saker. I tillegg sendte vi ut tre varsel om overtredelsesgebyr, og femten varsel om andre korrigerende tiltak til arbeidsgivere. Slike korrigerende tiltak er for eksempel pålegg om å utarbeide skriftlige rutiner, pålegg om å gi innsyn, eller pålegg om å slette personopplysninger.
Personvernnemnda behandlet til sammen tre vedtak fra Datatilsynet som gjaldt personvern i arbeidslivet. En av sakene gjaldt kameraovervåking på arbeidsplassen, og nemnda var enig med Datatilsynet i at overvåkingen var ulovlig. Samtidig mente den at lovbruddet ikke skulle sanksjoneres med overtredelsesgebyr.
Veiledningsarbeid og myndighetskontakt
Datatilsynet ser på veiledningsarbeid og kontakt med aktørene i arbeidslivet som svært viktige verktøy for å sikre personvernet i arbeidslivet. Det er helt avgjørende at arbeidsgivere kjenner til de rettslige rammene for driften deres, og at arbeidstakerne er klare over hvilke rettigheter de har for eksempel i møte med kontrolltiltak fra arbeidsgivers side.
Personvern i arbeidslivet og reglene i arbeidsmiljøloven, som håndheves av Arbeidstilsynet, henger tett sammen. Vi har derfor hatt jevnlig kontakt med Arbeidstilsynet og andre relevante aktører i arbeidslivet gjennom meldingsåret for å utveksle erfaringer og bidra til hverandres arbeid. Vi jobber for tiden med å oppdatere veiledningen om personvern i arbeidslivet på nettsidene våre, og har i den forbindelsen også vært i dialog med Arbeidstilsynet for å utveksle erfaringer.
På bakgrunn av dialog med Arbeidstilsynet laget vi også et eget veiledningsskriv om reglene for kameraovervåking i virksomhet rettet mot overnattings- og serveringsbransjen, og som Arbeidstilsynet nå deler ut på stedlige tilsyn der det er relevant. Veiledningsskrivet er også publisert på nettsiden vår. Vi har dessuten opprettet en tipskanal, der Arbeidstilsynet har mulighet til å tipse Datatilsynet om potensielt ulovlig kameraovervåking som de finner på sine stedlige tilsyn.
Vi har gjennomført flere veiledningsmøter og foredrag om personvern i arbeidslivet, blant annet for LOs sommerpatrulje om kameraovervåking på arbeidsplassen, og for Arkivverket om bruken av kunstig intelligens i ansattes e-postkasser for å identifisere hva som er journal- og arkivverdig.
Veiledningstjenesten vår har som nevnt fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, blant annet begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».
1.3.6.3 Bank, finans og kredittvurdering
Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og nye og flere aktører kommer til. Dette ses blant annet i utviklingen av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.
Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om svært mange. En sammenstilling av disse kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen har derfor høy risiko, og kan få store konsekvenser for de registrerte.
Så mye som 22 prosent av meldingene vi mottok om brudd på personopplysningssikkerheten i 2021, kom fra finanssektoren. Dette er dermed den sektoren som sendte nest flest avviksmeldinger til Datatilsynet i løpet av året. De fleste av disse meldingene gjaldt personopplysninger sendt til feil mottaker. Andre gjennomgangstema for meldingene fra denne bransjen var manglende eller feil i tilgangsstyring og utilsiktet publisering.
I 2021 har vi gjennomført flere veiledningsmøter og holdt foredrag for aktører innen bank og finans. Vi har også hatt kontaktmøter med Finans Norge og Finanstilsynet om utfordringer i bransjen, og gitt en høringsuttalelse om bakgrunnsundersøkelser ved Norges Bank. I tillegg har vi gitt en uttalelse til Barne- og familiedepartementet om personvernkonsekvenser ved en eventuell utvidelse av gjeldsinformasjonsordningen.
Vi følger særlig med på hvordan innføringen av PSD2 har åpnet for nye og flere aktører innen betalingsinitierings- og kontoinformasjonstjenester. Dialogen med Finanstilsynet er særlig nyttig her.
Kredittopplysninger
Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2021 mottok vi omlag 24 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger. Det er 16 færre enn i 2020.
En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.
For at en kredittvurdering skal være lovlig må virksomheten som henter inn kredittvurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klagesakene vi behandler er ikke dette kravet oppfylt. I 2021 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og fattet tre vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på henholdsvis 100 000 og 125 000 kroner, mens en siste virksomhet har fått et gebyr på 1 million kroner. Et av vedtakene er påklaget og er til klagebehandling i Personvernnemnda.
1.3.6.4 Facebook-rapport
I 2021 skrev vi en rapport der vi gjorde en selvstendig og grundig personvernkonsekvensvurdering av om Datatilsynet skulle opprette en egen side på Facebook. Vi konkludert med at Datatilsynet ikke skal benytte Facebook til egen kommunikasjonsvirksomhet. Vi mener at behandlingen av personopplysninger gjennom å ha en side på Facebook, medfører en for høy risiko for brukernes rettigheter og friheter. Vi vurderer det slik at vi ved en eventuell tilstedeværelse på denne plattformen, ikke ville ha oppfylt alle vilkårene i personvernforordningens artikkel 26 om felles behandlingsansvar, da vi vurderer avtalen mellom Facebook og Datatilsynet som mangelfull.
Rapporten ble offentliggjort i september, og i etterkant har debatten gått høyt i både offentlig og privat sektor. Vi har deltatt på en rekke seminarer og informasjonsmøter om temaet. Vi ser at bevisstheten rundt bruk av sosiale medier og personvern har økt, og flere aktører både i offentlig og privat sektor har valgt å slette sin tilstedeværelse på Facebook eller har startet opp med sine egne risikovurderinger av tilstedeværelsen på plattformen.
1.3.6.5 Helse- og velferd
Vi har i 2021 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.
Vi ga blant annet overtredelsesgebyr til Statens pensjonskasse for innhenting og manglende sletting av overskuddsinformasjon i form av inntektsopplysninger om uføretrygd. Saken er påklaget til Personvernnemnda, men foreløpig ikke avgjort. Det ble også gitt vedtak om overtredelsesgebyr til Sykehuset Østfold HF og St. Olavs hospital HF for mangelfull tilgangsstyring ved lagring av pasientopplysninger uten informasjonssikring.
Vi har dessuten mottatt en stor mengde avvikssaker knyttet til konfidensialitetsbrudd i forbindelse med behandling av pasientopplysninger. En særlig utfordring er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik, er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.
Datatilsynet har også fulgt den nye helseforvaltningen og nye felles nasjonale løsninger for behandling av helseopplysninger tett. Dette har vi blant annet gjort ved å vurdere ny funksjonalitet i Nasjonal Kjernejournal gjennom skriftlig og muntlig innhenting av informasjon. Vi har også hatt flere møter om Helseanalyseplattformen og Helseplattformen. Disse prosessene er langsiktige oppgaver for oss, og må også følges i tiden fremover.
Relevante høringsuttalelser
I høringsinnspillene våre til forslag om innføring av koronasertifikat, sa vi at et koronasertifikat kan være et forholdsmessig tiltak, ettersom det åpner for lettelser der alternativet er å opprettholde strenge smitteverntiltak. Vi presiserte imidlertid at bruk av koronasertifikat likevel vil kunne utfordre sentrale menneskerettigheter, slik som retten til privatliv, bevegelses- og forsamlingsfrihet og vern mot diskriminering. Selv om bruk av koronasertifikat er frivillig, vil frivilligheten i noen tilfeller ikke oppleves som reell. Samtykke fra den enkelte vil derfor neppe være et egnet rettslig grunnlag.
Vi leverte også en omfattende uttalelse til forslaget om Nasjonal digital samhandling til beste for pasienter og brukere. Innspillene våre gjaldt utfordringen ved en nasjonal digital infrastruktur knyttet til spørsmålet om tilgangsstyring, og virksomhetenes praktiske mulighet til å følge opp denne delen av dataansvaret. Vi pekte også på mangler i utredningene av personvernkonsekvenser, men var positive til den foreslåtte reguleringen av og plasseringen av dataansvaret. Forslaget åpnet også for å kunne ta i bruk automatiserte beslutninger i «lite inngripende» tilfeller. Vi presiserte at dette kan være vanskelig å vurdere, og anbefalte at det derfor bør fastsettes mer konkrete kriterier for hvilke typer avgjørelser forslaget åpner for.
Det ble også sendt inn et omfattende innspill til Helse- og omsorgsdepartementets forslag til forskrift om løsning for tilgjengeliggjøring av helsedata. Overordnet stilte vi oss positive til at departementet i større grad enn tidligere anerkjente og redegjorde for personvernkonsekvensene av forslaget. Innspillene våre ellers gjaldt forslagets ivaretakelse av personvernforordningens grunnprinsipper, ivaretakelsen av den registrertes rettigheter, dataansvaret for plattformen, vilkår for tilgjengeliggjøring, informasjonssikkerhet og overføring til utlandet.
Øvrige aktiviteter
En stor del av de bruddene på personopplysningssikkerheten som meldes inn, er knyttet til manglende rutiner eller etterlevelse av eksisterende rutiner ved publisering gjennom offentlig elektronisk postjournal (OEP). Mange av disse bruddene gjelder manglende etterkontroll. Det vil si at man ikke gjør noen kvalitetskontroll på dokumenter etter et de er lagt ut. Slike brudd rubriseres gjerne under betegnelsen «menneskelig svikt». En slik betegnelse forutsetter imidlertid at det finnes rutiner om slik kontroll, noe som ikke alltid er tilfellet. Vi har i 2021 behandlet en rekke slike hendelser, gjennom avvik, klager og tips. Flere av tilfellene har blitt sanksjonert med overtredelsesgebyr.
Gjennom saksbehandlingen vår har vi sett utfordringer ved ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret praksisen med å gi innsyn i logger over oppslag, noe som også har medført flere saker inn til oss. NAV meldte også inn et avvik knyttet til nettsiden arbeidsplassen.no. Dette er en nettside som publiserer CVen til personer som mottar dagpenger, og det har vært et vilkår for å motta ytelsen at opplysningene blir publisert. Saken er ikke ferdigbehandlet.
På barnevernsområdet har vi mottatt et stadig økende antall saker, og de fleste er i form av klager fra de registrerte. Vi fant det derfor hensiktsmessig å lage veiledning til de registrerte om hvilken bistand Datatilsynet kan gi, og i hvilke tilfeller det er andre instanser som er de rette til å vurdere klager om for eksempel krav om retting eller sletting til. Mange tilfeller reguleres av arkivlovgivningen og ikke av personvernregelverket. I forbindelse med dette arbeidet, har vi vært i kontakt med statsforvalterne og det planlegges et felles møte mellom Datatilsynet og relevante deltakere fra de forskjellige statsforvalterne i landet. Dette er en problemstilling som er felles for også andre offentlige myndigheter, og vi planlegger derfor å generalisere veiledningen vår.
1.3.6.6 Idrett, forening og trossamfunn
Idrett
De aller fleste barn er innom barneidretten i løpet av oppveksten, og i norsk idrett blir det dermed behandlet personopplysninger om store deler av befolkningen.
Vi vedtok i mai 2021 å gi overtredelsesgebyr til Norges Idrettsforbund på 1,25 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Vi vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.
Datatilsynet har dessuten i løpet av året hatt to veiledningsmøter med Norges Idrettsforbund og selskapet MyGame om en plattform for strømming av norsk breddeidrett.
Trossamfunn
I trossamfunn kan det være en ubalanse i maktforholdet mellom ledere og menige medlemmer. I 2021 åpnet vi sak mot trossamfunnet Jehovas vitner, etter at vi hadde mottatt to klager og flere tips. Henvendelsene vi mottok beskrev at Jehovas vitner lagrer personopplysninger ulovlig, at det ikke gis fullt innsyn i personopplysninger, eller at personopplysninger ikke slettes i tråd med personvernregelverket. Enkelte sier at de har vært involvert i såkalte «dømmende utvalg» av ulike årsaker, ofte i forbindelse med seksuelle forhold. Det skal ha blitt tatt notater under disse utvalgene, og personene var bekymret for at det blir lagret opplysninger om deres seksuelle forhold. Datatilsynet har sendt trossamfunnet krav om redegjørelser i to omganger, og har mottatt svar på disse. Klagesakene er fortsatt under behandling.
I juni 2021 varslet vi om irettesettelse til Den norske kirke (DNK). Saken startet med en klage fra Human-Etisk Forbund på vegne av åtte klagere i 2020. Bakgrunnen for varselet var at DNK samlet inn fødselsmeldingene til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse folkeregisteropplysningene opphørte. Vår foreløpige konklusjon er at innsamlingen og den videre lagringen av fødselsmeldingene etter at tillatelsen opphørte, ikke hadde gyldig rettslig grunnlag. I tillegg har vi konkludert med at det ikke ble gitt lett tilgjengelig informasjon om innsamlingen av fødselsmeldingene fra Folkeregisteret.
1.3.6.7 Informasjonssamfunnstjenester og annonseindustrien («ad tech»)
I 2021 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som for eksempel applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler store mengder personopplysninger om brukerne.
Vi har særlig behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt dette som et prioritert område i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.
Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å ha reell kontroll over opplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, og mange berørte.
Grindr
I desember 2021 vedtok Datatilsynet et rekordstort overtredelsesgebyr på 65 millioner kroner til det amerikanske selskapet Grindr LLC. Grindr er en dating-app som retter seg mot homofile og bifile menn, transpersoner og skeive. Saken ble åpnet i 2020 etter at Forbrukerrådet klagde selskapet inn til oss fordi appen utleverte GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Datatilsynet varslet vedtak om overtredelsesgebyr i saken i januar 2021, og mottok både Grindr og Forbrukerrådet sine kommentarer til varselet.
Vår konklusjon i vedtaket er at Grindr i perioden fra juli 2018 til april 2020 delte personopplysninger til tredjepartsaktører for persontilpasset markedsføring, uten gyldig rettslig grunnlag, ettersom de såkalte samtykkene selskapet samlet inn ikke oppfylte kravene i personvernforordningen. Vi konkluderte også med at selskapet ulovlig delte opplysninger om brukernes seksuelle orientering, fordi opplysninger om at noen er Grindr-bruker sterkt indikerer at de tilhører en seksuell minoritet. Saken har vært svært omfattende, og har fått stor oppmerksomhet. Grindr har frist til å klage på vedtaket frem til 14. februar 2022.
Disqus
Vi varslet i mai 2021 om et overtredelsesgebyr på 25 millioner kroner mot Disqus Inc., et amerikansk selskap som blant annet tilbyr kommentarfeltløsninger. Datatilsynet ble kjent med saken i desember 2019, etter at NRK Beta avslørte at selskapet sporet, profilerte og utleverte personopplysninger om besøkende på norske nettsider som benyttet deres kommentarfeltløsninger – uten at brukerne ble informert om det.
Vår foreløpige konklusjon er at Disqus ikke hadde rettslig grunnlag for disse behandlingene av personopplysninger, og at selskapet ikke oppfylte informasjonskravene i personvernforordningen. Vi har også foreløpig konkludert med at selskapet har brutt ansvarlighetsprinsippet ved å feilaktig legge til grunn at personvernforordningen ikke gjaldt for fysiske personer i Norge. Vi har mottatt selskapets kommentarer til varselet, og vil fatte et endelig vedtak i saken i 2022.
Overvåkingsbasert markedsføring
I 2021 har vi tatt til orde for et europeisk forbud mot overvåkingsbasert markedsføring, og bedt regjeringen spille dette inn til EU i forbindelse med den pågående lovgivningsprosessen knyttet til Digital Services Act (DSA). Vi har sammen med Forbrukerrådet og Amnesty gått ut i media og hatt møter med politikere om dette standpunktet. Vi mener teknologigigantenes forretningsmodell og omfattende kommersielle overvåking, er i strid med grunnleggende menneskerettigheter, forbrukerrettigheter og rett til personvern. Et forbud mot overvåkingsbasert markedsføring vil være et viktig virkemiddel for å begrense disse virksomhetenes makt.
Store deler av personopplysningene som samles inn om norske internettbrukere og brukes i annonseindustrien, samles inn gjennom cookies og andre sporingsteknologier som reguleres av ekomloven. Arbeidet vi har gjort med cookies og høringen om ny ekomlov (les mer under «Telekom»), henger derfor tett sammen med arbeidet vårt med annonseindustrien.
MyHeritage
Datatilsynet opprettet i 2020 en sak mot gentestingsselskapet MyHeritage, basert på en oversendt rapport fra Forbrukerrådet. Forbrukerrådet fremhevet i sin rapport flere forhold som problematiske. Det var særlig forhold knyttet til informasjonen som blir presentert for brukerne av tjenesten, blant annet dokumentenes lengde, et uklart språk og et uklart forhold mellom norsk og engelsk versjon.
På bakgrunn i rapporten sendte vi i 2021 et krav om redegjørelse til selskapet. Vi har mottatt svar, men saken er fortsatt under behandling.
1.3.6.8 Justis
I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.
Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.
Vi har arbeidet aktivt med analyse av rettsutviklingen fra EU-domstolen og Den europeiske menneskerettsdomstolen (EMD) på området, samt skrevet flere større høringsuttalelser. Det har vært foreslått flere nye overvåkingstiltak, blant annet lagring av IP-adresser og flypassasjerinformasjon, og vi har uttalt oss om samarbeid om arbeidslivskriminalitet, påvirkningsoperasjoner og PSTs innhenting fra åpne kilder. Vi har fokusert på å formidle personvernets betydning for den enkelte og for samfunnet som helhet, og hvilke negative effekter overvåkingen kan medføre. I tråd med rettsutviklingen har det blitt lagt vekt på målretting av tiltak og gode kontrollmekanismer.
Tilsyn mot Kriminalomsorgen
I 2021 gjennomførte vi et tilsyn mot Kriminalomsorgsdirektoratet. Tema for kontrollen var fordeling av ansvar for behandling av personopplysninger i den samlede etaten, i tillegg til etterlevelse av internkontrollplikten. Kontrollrapporten er under arbeid. Dette tilsynet er planlagt fulgt opp gjennom verifiseringstilsyn med enkelte enheter, men dette måtte utsettes noe grunnet koronasituasjonen på tidspunktet gjennomføringen var planlagt.
1.3.6.9 Kundedata og infosikkerhet
Vi har behandlet to saker som gjelder personopplysningssikkerhet i kundeklubber og fordelsprogram i meldingsåret. Bakgrunnen var at medlemmene har kunnet registrere andres kontonummer på medlemsprofilen, og dermed skaffe seg tilgang til andres handlehistorikk. Fordelsprogrammene har ikke hatt en løsning for å verifisere at den som registrerer bankkontoen, også er den som er innehaver av kontoen. Det har vært innrettet slik at ved å registrere bankkonto, får man tilgang til hva, når og hvor man har handlet.
Rema sendte først inn melding om brudd på personopplysningssikkerheten da de ble kjent med et tilfelle der en Æ-bruker hadde registrert en annen person sitt kontonummer på egen bruker. Rema begrenset informasjonsmengden som var tilgjengelig for Æ-brukerne fram til en verifikasjonsløsning ble implementert. Vi avsluttet saken overfor Rema uten sanksjoner.
I 2016 gjennomførte vi et tilsyn med Trumf. Vi tydeliggjorde da hvor sentralt det var å sikre verifikasjon av kontoinnehaveren, slik at ingen Trumf-medlemmer kunne registrere andre personers bankkonto og på denne måten få tilgang til personopplysninger om dem. I etterkant av avviksmeldingen fra Rema, åpnet vi et nytt tilsyn mot Trumf. Det viste seg at en verifikasjonsløsning hadde ikke blitt innført, og Trumf har fått et varsel om overtredelsesgebyr på 5 millioner kroner. Saken er ikke endelig avgjort og gebyret er ikke endelig, men Trumf har nå sikret at kontonummer verifiseres før man får tilgang til handlehistorikken.
1.3.6.10 Personvernombudsordningen
I Norge har vi hatt en personvernombudsordning siden innføringen av den forrige personopplysningsloven i 2001. Personvernforordningen gjorde imidlertid utnevning av personvernombud obligatorisk for nesten alle offentlige etater og for mange virksomheter i privat sektor. Fra 2018 har derfor antallet oppnevnte ombud, vokst kraftig. Ved utgangen av 2021 var det registrert 1 420 personvernombud som representerte 1 992 virksomheter. Differansen skyldes at enkelte er personvernombud for flere behandlingsansvarlige.
Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene ivaretas kan best mulig, men også å kontrollere etterlevelsen av regelverket. I tillegg skal de være kontaktpunkt for de registrerte og overfor Datatilsynet. Personvernombudene skal ha en uavhengig rolle, og de skal ikke instrueres fra ledelsens side om sine prioriteringer eller utførelsen av oppgavene.
Dette innebærer at det å være personvernombud kan oppleves som en ensom, og tidvis også krevende rolle internt i virksomheten. For å beholde engasjementet og oppleve seg trygge i rolleutøvelsen, har ombudene derfor behov for å få motivasjon og støtte gjennom nettverksbygging med andre ombud – i tillegg til å sparre med Datatilsynet. Aller viktigst er dog at virksomhetens øverste ledelse viser forståelse og anerkjennelse for personvernombudets arbeid.
Gjennomførte aktiviteter
De siste årene har Datatilsynet valgt å ikke prioritere å holde kurs eller opplæring av personvernombudene i egen regi. Vi har imidlertid samarbeidet med blant annet Høgskolen i Innlandet, BI og Oslo Met, som har bygget opp deltidsstudier med studiekompetanse innen personvern. Vi har stilt opp med foredragsholdere hos alle disse i 2021.
Foreningen Personvernombudene
Foreningen Personvernombudene holdt sitt aller første medlemsmøte på den internasjonale personverndagen, 28. januar 2021, hvor tema var nettopp personvernombudsrollen og hva den innebærer av muligheter og utfordringer. Foreningen har etter dette holdt månedlige møter for sine hittil 350 medlemmer som kommer fra både offentlig og privat sektor. Vi har prioritert å stille opp med foredragsholder på alle medlemsmøtene ettersom vi er opptatt av å holde nær og god kontakt med foreningen, i tillegg til andre sektorvise og regionale nettverk for ombudene. Disse utgjør viktige kanaler for å formidle personvernfaglig kompetanse og bidra til motivasjon i ombudenes arbeid. Ikke minst er dette også viktige arenaer for å få konstruktive tilbakemeldinger om hvordan vi og vårt arbeid, rutiner og regelverksforståelse blir oppfattet, forstått og akseptert i norske virksomheter.
Personvernombudsundersøkelsen
I desember 2020 gjennomførte vi i samarbeid med Opinion AS, en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan ombudene, to og et halvt år etter at personvernforordningen trådte i kraft, opplever arbeidshverdagen og rammebetingelsene sine. Dette sett både i relasjon til de behandlingsansvarlige og når det gjelder kontakten med Datatilsynet. Rapporten fra undersøkelsen ble ferdigstilt i løpet av våren, og publisert i september 2021.
I undesøkelsen svarte halvparten av personvernombudene at de det siste året hadde brukt 20 prosent stilling eller mindre på dette arbeidet. Elleve prosent meldte at de i realiteten ikke hadde brukt noen tid i det hele tatt på PVO-rollen. Nær hvert tredje ombud opplever at de ikke får satt av tilstrekkelig med tid til ombudsrollen, og at ledelsen i liten, eller svært liten grad viser interesse for deres arbeid. Bare halvparten av ombudene svarte at de gjennomfører faste møter med ledelsen.
Strategi for personvernombudsordningen
Basert på disse, og mange andre tilbakemeldinger fra personvernombudene, har vi utarbeidet en strategi for hvordan vi fra Datatilsynets side kan benytte ordningen som et mer aktivt virkemiddel, med mål om bedre personvernetterlevelse i norske virksomheter. Denne strategien vil implementeres i 2022. Det skal gjennomføres tiltak rettet både mot ombudene, behandlingsansvarlige virksomheter og de registrerte. Dette skal bidra til at personvernombudene opprettholder eller bygger mer motivasjon for arbeidet, og at ledelsen i virksomhetene i større grad blir bevisst sitt ansvar for å gi ombudene riktige rammebetingelser.
Datatilsynet har en egen kontaktperson for personvernombudene og virksomheter som har spørsmål om selve ombudsordningen. Vedkommende har brukt i underkant av 20 prosent av stillingen på å jobbe spesifikt med denne ordningen. I tillegg bruker tilsynet noe ressurser gjennom veiledningstjenesten og i forbindelse med foredragsvirksomhet.
Siden personvernforordningen så uttrykkelig legger ansvaret for etterlevelse på virksomhetene selv, har vi nedskalert den direkte ressursinnsatsen mot personvernombudene de siste årene. Undersøkelsen som ble gjennomført viser også at ombudene er godt fornøyd med både Datatilsynets nettsider og kontakten med veiledningstjenesten og personvernombudskoordinatoren.
1.3.6.11 Publisering på internett
Saker som gjelder publisering av personopplysninger på internett, havner ofte i spenn mellom de registrertes rett til beskyttelse av sine personopplysninger og allmennhetens ytring- og informasjonsfrihet. Vi mottar jevnlig saker der disse to rettighetene må veies opp mot hverandre.
Legelisten
I 2021 avgjorde Høyesterett (sak HR-2021-2403-A) at nettstedet legelisten.no har et gyldig rettslig grunnlag for publiseringen av anonyme vurderinger om helsepersonell som navngis på siden uten noen generell reservasjonsadgang. Nettsiden ble først klaget inn til Datatilsynet, og i 2017 fattet vi vedtak om at helsepersonell må gis reservasjonsrett for å bedre ivareta personvernet deres. Legelisten klaget saken inn til Personvernnemnda, som kom til en annen konklusjon. Legeforeningen gikk da til søksmål for å få omgjort vedtaket.
Høyesterett drøftet de samme vilkårene og vurderingstemaene som Datatilsynet ved vurderingen av behandlingsgrunnlaget. I vurderingen sin vektla imidlertid Høyesterett allmenhetens rett til informasjon tyngre enn hva vi hadde gjort i vurderingen vår. Saken fikk sin endelige konklusjon med denne avgjørelsen.
Shinigami Eyes
Vi mottok i 2021 en klage fra en privatperson mot nettlesertillegget «Shinigami Eyes». Dette tillegget markerer det som skal være «trans-vennlige» brukernavn på ulike nettsteder med én farge, mens det som skal være «trans-fiendtlige» brukernavn med en annen farge. Vi har vurdert klagen og varslet et forbud mot behandlingen av personopplysninger i «Shinigami Eyes», for brudd på kravet til rettslig grunnlag og manglende informasjon til de registrerte. Saken har skapt mye medieoppmerksomhet både nasjonalt og internasjonalt.
Babyverden
I 2021 ferdigstilte vi en sak mot nettsiden babyverden.no. Bakgrunnen for saken var en klage fra en person som tidligere hadde vært registrert som bruker på forumet til nettsiden, og som ønsket å få slettet innlegg fra forumet. Innleggene inneholdt personlig informasjon om klageren og klagerens familieliv, inkludert fotografier av klagerens barn.
Vi kom til at publiseringen av innleggene ikke utelukkende var journalistiske, og at personvernregelverket dermed kom til anvendelse. Videre kom vi til at interesseavveiningen mellom retten til beskyttelse av egne personopplysninger og ytrings- og informasjonsfriheten, falt i klagerens favør. Vi konkluderte derfor med at innleggene måtte slettes. Saken er prinsipielt viktig og illustrerer en situasjon der deler av en nettside ikke utelukkende hadde et journalistisk formål.
Sletting av søketreff i saksbehandlingen
Vi mottok 14 saker om sletting av søketreff i løpet av året. Ved overgangen til det nye året, har vi 22 saker som ikke er ferdigbehandlet og som handler om sletting av søketreff. To av sakene ble oversendt til Personvernnemda, som opprettholdt vår avgjørelse i begge sakene. Vurderingene i disse sakene kan være utfordrende, og krever at vi vekter den registrertes rett til vern av sine personopplysninger opp mot allmennhetens behov og interesse for informasjon.
Veiledning
Høsten 2021 publiserte vi veiledning om strømming av kultur- og idrettsarrangementer for barn. Vi har også jobbet med å oppdatere informasjonen om sletting av søketreff fra søkemotorer. Dette er gjort for å fange opp den nåværende rettstilstanden som følge av de siste rettsavgjørelsene på området fra EU-domstolen, og vil publiseres i 2022.
1.3.6.12 Schrems II – overføring til tredjeland
Den 16. juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.
Dette har naturlig nok skapt store utfordringer for norske virksomheter, siden de i stor grad er avhengig av særlig amerikanske tjenester. Spesielt for små og mellomstore virksomheter kan det være krevende å sikre tilstrekkelige økonomiske og faglige ressurser til å sikre etterlevelse med Schrems II-dommen.
I 2021 utarbeidet vi ny veiledning i reglene for overføring av personopplysninger til tredjeland til nettsidene våre, basert på anbefalingene til Personvernrådet. Vi har dessuten stilt som foredragsholder på en rekke arrangementer og konferanser for å informere om dette.
Vi behandlet ved årsskiftet tre klagesaker om Schrems II-problemstillinger, nærmere bestemt overføring av personopplysninger til USA i kontekst av Google Analytics og Facebooks påloggingsverktøy. Klagene ble fremmet av personvernorganisasjonen Noyb. Siden alle EØS-land har mottatt tilsvarende klager, koordineres klagebehandlingen i en ad hoc-arbeidsgruppe i regi av Personvernrådet.
I 2021 ble det gitt et overtredelsesgebyr på 5 millioner kroner til bomselskapet Ferde på Vestlandet. Gebyret ble gitt etter at selskapet benyttet en underleverandør i Kina til manuell avlesning av bilskilt uten at det forelå databehandleravtale og overføringsgrunnlag, og uten at det var gjennomført risikovurdering av informasjonssikkerheten.
1.3.6.13 Telekom
Vi mottar jevnlig henvendelser om informasjonskapsler (cookies). Plasseringen av slike informasjonskapsler og bruken av tilsvarende teknologi for å spore brukere, benyttes til å kartlegge store deler av aktiviteten vår på nett. Denne formen for sporing reguleres i lov om elektronisk kommunikasjon (ekomloven), som Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med.
Datatilsynet har ikke mulighet til å kontrollere den opprinnelige plasseringen av informasjonskapsler, men vi kan kontrollere hvordan de innsamlede personopplysningene benyttes i etterkant. I høringen om forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften, leverte vi en felles høringsuttalelse sammen med Forbrukertilsynet. Uttalelsen rettet seg spesifikt mot reguleringen av informasjonskapsler og samtykkekravet for plasseringen av informasjonskapsler. Vi understreket at den foreslåtte endringen etter vår mening ikke ivaretar personvernforordningens krav til samtykke, at ordlyden bør henvise direkte til personvernforordningens definisjon av samtykke, og at Datatilsynet også bør få tilsynskompetanse for bestemmelsen.
Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. I 2021 har vi fortsatt arbeidet vi startet på i 2020, og vi har jobbet med veiledning om temaet. Vi har fått innspill fra Nkom i dette arbeidet, og veiledningen vil ferdigstilles i 2022. Vi har også gitt innspill til regelverket for befolkningsvarsling i forbindelse med høring om ny ekomlov.
Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og hatt flere saksbehandlermøter om dette temaet. I møtene har vi sett på hvordan ekomregelverket og personvernregelverket utfyller hverandre når det gjelder nummeropplysningsvirksomhet. Vi har også deltatt på nummeropplysningsforum etter invitasjon fra Nkom, hvor teletilbyderne og representanter for nummeropplysningsvirksomhetene samles. Videre har vi hatt et veiledningsmøte med Telenor, Telia og Ice om utlevering av nummeropplysningsinformasjon, og vi har gitt innspill om regelverket for nummeropplysningsvirksomhet i høringen til ny ekomlov.
Vi har også hatt ytterligere samarbeid med Nkom, blant annet to direktørmøter og to overordnede saksbehandlermøter. Vi har samarbeidet om avvikssaker på telekom-området hvor begge tilsynene mottok avviksmeldinger om de samme hendelsene.
Høsten 2021 satte vi dessuten i gang med et 5G-prosjekt som vil undersøke potensielle personvernspørsmål knyttet til utbyggingen av 5G-nettverket nærmere. Prosjektet vil levere en rapport med funnene i løpet av 2022.
1.3.6.14 Østre Toten-saken
Østre Toten kommune fikk i 2021 et overtredelsesgebyr på 4 millioner kroner. Kommunen ble også pålagt å implementere et egnet styringssystem for informasjonssikkerhet og personopplysningssikkerhet.
Bakgrunnen for saken var at Østre Toten kommune i januar 2021 ble utsatt for et alvorlig dataangrep. Angrepet var særlig alvorlig fordi det rammet en betydelig del av kommunens data, kontrollen over personopplysningene ble fullstendig tapt og opplysninger om kommunens innbyggere og ansatte ble delt på det mørke nettet i ukjent omfang. Vi vurderte i etterkant at det var store og grunnleggende mangler ved Østre Toten kommunes personopplysningssikkerhet. Manglene knyttet seg både til logg og logganalyse, sikring av backup og manglende tofaktorautentisering eller tilsvarende sikkerhetstiltak.
Som følge av dataangrepet, har kommunen måttet bruke store summer på å gjenopprette et fungerende IT-system og sørge for tilfredsstillende informasjonssikkerhet. Kommunen har også gjort et omfattende arbeid opp mot tilsynsmyndigheter, politi og innbyggere/ansatte etter at avviket ble oppdaget. Uten disse forholdene, ville overtredelsesgebyret blitt satt vesentlig høyere.
1.3.7 Kommunikasjon og veiledning
Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.
Vi skal bidra til økt kunnskap om og interesse for personvern. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå målene våre. Her har kommunikasjon som virkemiddel vært svært viktig.
Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i virksomhetsinstruksen at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet.
Kommunikasjonen skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet. I 2021 har vi dessuten kommet godt i gang med egen podkast, Personvernpodden, samt formidling via video.
Det at veiledningstjenesten er en del av kommunikasjonsavdelingen, gjør oss godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.
1.3.7.1 Formidling gjennom egne kanaler
Nettstedet www.datatilsynet.no
Nettstedet er det viktigste verktøyet vårt for kommunikasjon med målgruppene våre, og vi har høye besøkstall. I 2021 hadde vi over 7 millioner sidevisninger. Vi legger stor vekt på at innholdet skal væregodt, relevant og enkelt tilgjengelig, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et av ønskene våre er å redusere antall henvendelser til veiledningstjenesten. I løpet av 2021 har vi fortsatt jobben med å forbedre tilgjengeligheten på og opplevelsen av nettsidene våre, såkalt universell utforming, for at så mange som mulig kan få informasjon uavhengig av funksjonsevne. Dette arbeidet vil vi fortsette å prioritere høyt også i 2022.
I perioden siden mars 2020, der vi i hovedsak har hatt hjemmekontor, er enkelte satsninger utsatt til vi igjen kan jobbe sammen på felles kontor. Dette gjelder blant annet en ny chat-funksjon som er tenkt brukt av veiledningstjenesten vår. Denne gir mest effekt når de som gir veiledning har vakter i samme fysiske rom og fortløpende kan fordele innkommende samtaler per telefon med en web-basert chat. Lanseringen av et intranett er imidlertid førsteprioritet. Dette arbeidet ble intensivert i 2021, og vi håper å kunne lansere ett første trinn med intern deling av sentral informasjon i løpet av våren 2022. På sikt vil intranettet by på muligheter for mer samhandling og økt funksjonalitet.
Arbeidet med et mer omfattende elektronisk klageskjema har høy prioritet. Vi har satt i gang et arbeid som skal kartlegge hvordan et slikt skjema raskt og trygt kan bli en ny kanal for publikum slik at de kan klage til oss via nettsiden.
I forbindelse med relanseringen av nettsiden Dubestemmer.no, valgte vi å gjenbruke løsninger vi har utviklet for Datatilsynet.no. Det gjelder statistikkløsningen vår som ikke bruker informasjonskapsler (cookies), ordlistefunksjonen og tofaktorautentisering. Dubestemmer.no bruker også Datatilsynets personvernvennlige videoløsning Dream Broker for å vise filmer. Dette gjenbruket er ressursbesparende, og er en fornuftig måte å tenke samarbeid og flerbruk på.
Tabell 1.4 Noen nøkkeltall fra statistikken på datatilsynet.no:
2020 | 2021 | |
---|---|---|
Antall sider på nettstedet | 1 039 | 1 240 |
Antall sidevisninger | 3 489 8451 | 7 088 320 |
Antall unike sidevisninger | 2 849 2931 | 6 307 509 |
1 Vi fikk ny statistikkløsning 1. juli 2020, så dette tallet gjelder bare de siste 6 mnd.
Veiledning på nett
Vi produserer, oversetter og publiserer veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg suksessivt. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.
Nettsidene om korona og personvern har blitt løpende oppdatert også dette året. Vi publiserte blant annet enkel veiledning om koronapass, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket under pandemien.
Mange er opptatt av konsekvensene av Schrems II-dommen. Personvernrådet har laget en egen veiledning som vi også har publisert, i tillegg til at vi løpende oppdaterer med informasjon og eksempler. Det er også laget egne temasider dedikert til alt innhold om den regulatorisk sandkassen. Her har vi samlet informasjon, tips, søknadsskjema og aktuelt stoff om tematikken. Vi publiserer også rapportene fra prosjektene der fortløpende.
Personvernblogg, sosiale medier og podkast
Personvernbloggen er et rom hvor vi kan reise andre problemstillinger enn vi gjør på den ordinære nettsiden. Det er et sted for faglig profilering blant ansatte og et sted der Datatilsynet i større grad kan benytte sin ombudsrollen. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.
Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.
Podkasten vår er, på samme måte som Personvernbloggen, en kanal hvor vi kan ta opp andre temaer og reise andre typer problemstillinger enn vi gjør i mye annen ekstern kommunikasjon og i den ordinære forvaltningen for øvrig. Podkasten skal engasjere både nye og eksisterende målgrupper, og bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2021 publiserte vi 13 episoder som ble publisert på vår egen nettside, samt på podkast-plattformen Acast og andre tredjepartstjenester
Høsten 2021 offentliggjorde vi en rapport med risikovurdering og personvernkonsekvensvurdering av å ha en egen side på Facebook. Vi konkluderte med at vi ikke kan bruke denne plattformen som kommunikasjonskanal. Offentliggjøringen ga oss mye oppmerksomhet, med blant annet 172 medieoppslag i perioden 22. september til 15. november. Denne rapporten er omtalt nærmere under «Annen vesentlig aktivitet».
Nyhetsbrev
Ved utgangen av 2021 var det 4 761 som abonnerte på det ordinære nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. I tillegg hadde vi 227 abonnenter på «Sandkassebrevet», som tar for seg nyheter fra den regulatoriske sandkassen vår for kunstig intelligens. Vi hadde også en julekalender i desember, med 816 abonnenter gjennom adventstiden.
I løpet av 2021 sendte vi ut 21 ordinære nyhetsbrev. Videre sendte vi ut fem «Sandkassebrev». Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men vi har grunn til å tro at vi har en høy åpningsrate i nyhetsbrevene våre, og at de skaper økt trafikk til nettsidene våre.
Tabell 1.5 Noen tall fra kanalene våre:
2018 | 2019 | 2020 | 2021 | |
---|---|---|---|---|
Innlegg på Personvernbloggen | 26 | 14 | 18 | 23 |
Twitterfølgere – Datatilsynets konto | 16 496 | 17 398 | 18 917 | 21 229 |
Twitterfølgere – direktør Bjørn Erik Thons konto | 6 204 | 6 527 | 6 704 | 6 937 |
Nedlastinger – Personvernpodden – Acast1 | - | - | 2 871 | 13 112 |
1 Rapportering f.o.m. opprettelsen i mai 2020
1.3.7.2 Mediekontakt
Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2021.
Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 720 besvarte mediehenvendelser til kommunikasjonsavdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Vi benytter Retriever til medieovervåking og i løpet av våret har de registrert til sammen 5 173 oppslag i medier der «Datatilsynet» er omtalt, inkludert i internasjonale medier. Hele 23 prosent av oppslagene var i internasjonale kilder, da vi har hatt flere saker som har skapt internasjonal interesse.
Det er et relativt jevnt trykk når det gjelder omtale av Datatilsynet i mediene hele året, men av de sakene som har preget nyhetsbildet i 2021, kan vi trekke frem saken om dating-appen Grindr. Den gikk verden over, noe som gir store utslag på statistikken da varselet om vedtak ble gitt i januar, og så igjen i desember da vi vedtok et overtredelsesgebyr på 65 millioner kroner.
I desember 2021 ble det gjennomført et hackerangrep mot Amedia, og flere av datasystemene deres ble satt ut av drift. Dette er med på å gi det store utslaget på mediesaker i desember.
Ellers er det flere saker som har fått stor nasjonal oppmerksomhet, blant annet krav om redegjørelse fra Jehovas vitner, overtredelsesgebyr til bomselskapet Ferde for overføring av bilder til Kina og til Østre Toten for manglende informasjonssikkerhet, Facebook-rapporten vår, ulike koronarelaterte problemstillinger og at Bjørn Erik Thon fikk stillingen som likestillings- og diskrimineringsombud. Avvik som meldes inn til oss er også en gjenganger – enten som oppslag om enkeltsaker eller bruk av tall i generelle oppslag.
Tabell 1.6 De norske mediene med flest oppslag om Datatilsynet i 2021:
Medie | Medietype | Antall | |
---|---|---|---|
1. | NRK.no (inkl. NRK beta og regionale nyheter) | Web | 128 |
2. | Digi.no (inkl. Digi.no Ekstra) | Web | 119 |
.3 | VG (inkl. VG Nyhetsdøgnet) | Web og papir | 84 |
4. | Aftenposten | Web og papir | 80 |
5. | NRK nyhetssendinger på P1 og P2 | TV / Radio | 84 |
6. | Oppland Arbeiderblad | Web og papir | 62 |
7. | Computerworld Norge | Web og papir | 59 |
8. | Nettavisen | Web | 54 |
9. | Adresseavisen | Web og papir | 51 |
10. | Khrono | Web | 46 |
11. | Finansavisen | Web og papir | 46 |
12. | NRK distriktssendinger | TV / Radio | 43 |
13. | Dagsavisen | Web og papir | 43 |
14. | Fjordabladet | Web og papir | 42 |
15. | Dagens Næringsliv | Web og papir | 35 |
16. | Nyss | Web | 35 |
17. | FinansWatch | Web | 34 |
18. | Telecom Revy | Web | 32 |
19. | E24 | Web | 32 |
20. | ABC Nyheter | Web | 31 |
Når vi ser på de mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2021, ser vi at det er et bredt spekter av saker folk interesserer seg for, men der den røde tråden er personvernrettigheter:
Sak | Medie | Antall delinger | |
---|---|---|---|
1 | Massetekstmelding fra MDG skaper reaksjoner | Nettavisen, 24. august | 40 031 Facebook: 40 031 Twitter: 29 |
2 | Datatilsynet varsler bot på 5 millioner kroner mot bomselskap | NRK, 6. mai | 4 498 Facebook: 4 493 Twitter: 5 |
3 | Jacob (64) klippet plenen da banken ringte og fortalte at han var død | NRK Trøndelag, 20. mai | 4 468 Facebook: 4 455 Twitter: 13 |
4 | Voi raser mot Oslos nye regler: – Dårlig politisk håndverk | NRK Oslo og Viken, 13. juli | 3 812 Facebook: 3 782 Twitter: 30 |
5 | Coronaviruset: Vaksinepass skal gi oss friheten tilbake | Dagbladet, 5. februar | 2 560 Facebook: 2 559 Twitter: 1 |
6 | Datatilsynet gir mor rett etter ulovlig barnevernssak – personopplysningene skal slettes | NRK Nordland, 27. februar | 2 255 Facebook: 2 254 Twitter: 1 |
7 | Uskikket! Mor vil bli kvitt stempelet som uskikket etter barnevernssak | NRK Rogaland, 24. april | 2 269 Facebook: 2 264 Twitter: 5 |
8 | Må sleppe inn kraftselskapet i huset – sjølv om han trur familien blir sjuk | NRK Møre og Romsdal, 1. juni | 5 506 Facebook: 5 506 |
9 | Godt frykt år! (Frykten kan lamme de kritiske instinktene i selv de mest demokratisk anlagte sinn.) | Trønderdebatt, 5. januar | 2 220 Facebook: 2 208 Twitter 12 |
10 | Coronahåndteringen i Norge peker på svakheter | Dagbladet, 12. oktober | 2 202 Facebook: 2 199 Twitter: 3 |
11 | Bompengeselskapet Ferde fekk millionbot frå Datatilsynet – bilistar må ta rekninga | NRK Vestland, 3. november | 2 176 Facebook: 2 167 Twitter: 9 |
12 | EU vil ha full kontroll over hva du ytrer på sosiale medier | Document.no, 19. mars | 2 044 Facebook: 2 039 Twitter: 5 |
13 | Fagforening: Ansatte opplever at sjefer krever koronainformasjon | NRK, 13. september | 1 987 Facebook: 1 982 Twitter: 5 |
14 | Da ni år gamle Lars ble overgriper. (Personvernrettigheter i saker der barnevernet er etterforsker, jury og dommer.) | NRK Rogaland, 22. mai | 1 966 Facebook: 1 944 Twitter: 22 |
15 | Datatilsynet opnar sak mot Jehovas vitner | NRK, 5. mars | 1 635 Facebook: 1 622 Twitter: 13 |
1.3.7.3 Foredragsvirksomheten
Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å informere om rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner og publikum.
Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet. I 2021 har mange av foredragene vært digitale grunnet smittevern.
Eksterne foredrag
I 2021 holdt vi 188 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Dette er en dobling av året før og er nok en naturlig konsekvens både av at det ble mulig å delta på fysiske arrangement igjen, men også at det ble planlagt flere digitale arrangement enn året før.
Egne arrangement
Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har deltatt som arrangør eller medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios, SKATE og Normkonferansen.
Personverndagen
I 2021 markerte vi for niende gang den internasjonale personverndagen i januar med et seminar i samarbeid med Teknologirådet på DOGA i Oslo. På grunn av smittesituasjonen ble arrangementet strømmet og publisert på nettsiden vår i etterkant. Arrangementet var planlagt som en «korona spesial», og tok opp temaer som vaksinepass, smittesporing og personvern.
Konkurranse om innebygd personvern i praksis
De siste årene har vi utlyst en konkurranse for alle som har utviklet en løsning, applikasjon eller et system i tråd med kravene til innebygd personvern. Målet er å løfte frem gode eksempler på praktisk bruk av innebygd personvern.
Vinneren av prisen for 2020 var «Anonyme Tokens», og prisen ble delt ut på et digitalt seminar våren 2021. Gruppen bak bidraget har utviklet en løsning som gir brukere med en positiv COVID 19-test økt anonymitet ved bruk av appen Smittestopp. »Anonyme Tokens» er dermed den fjerde vinneren av Datatilsynets konkurranse om innebygd personvern, og gruppen besto av deltakere fra NTNU og Forsvarets Forskningsinstitutt.
Ifølge juryen er vinnerbidraget på mange måter et produkt av tiden vi er inne i. Den pågående pandemien har vært en driver for økt digitalisering og utvikling av løsninger som på ulikt vis bidrar til å løse de utfordringene pandemien har ført med seg. Juryen mente at bidraget er egnet til å styrke enkeltpersoners kontroll over egne personopplysninger og kan gjøre det enklere for virksomheter å etterleve personvernregelverket.
Det er utlyst en tilsvarende konkurranse for 2021, og vinneren vil kåres i løpet av våren 2022.
Arendalsuka
Arendalsuka ble i år arrangert fra 16. til 20. august, og Datatilsynet deltok på flere arrangementer. Personvernets status i Norge og verden anno 2021, barn og unges personvern, datadeling og kunstig intelligens er bare noe av det vi var med på å debattere.
Vi hadde tre egne arrangementer i løpet av uka: «Personvernet slår tilbake» med Big Tech og personvern som hovedtema, «Personvern for barn og unge – hvordan sikrer vi at barna blir hørt?» og en debatt om kunstig intelligens, innovasjon og personvern i tilknytning til den regulatoriske sandkassen vår. Alle arrangementene ble strømmet, og ligger i opptak på nettsiden vår.
Webinar om personvernombudsrollen
I desember arrangerte vi et digitalt seminar om personvernombudsrollen sammen med Foreningen personvernombudene. På webinaret diskuterte vi funnene fra rapporten vår om ombudenes arbeidsvilkår, personvernombudsundersøkelsen 2020/21, og hvordan det oppleves å være personvernombud i dag.
Omdømmeundersøkelse
Datatilsynet var for tredje år på rad med i IPSOS omdømmeundersøkelse. Vi ligger godt innenfor kategorien «godt omdømme», og skårer spesielt høyt på samfunnsansvar og kunnskap. Av de 18 tilsynsvirksomhetene, ombudene og nemdene som vi sammenlignes med, skårer vi aller høyest på kompetanse og fagkunnskap.
1.3.7.4 Veiledningstjenesten
Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saksbehandling om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i personvernlovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.
I løpet av 2021 har veiledningstjenesten statistikkført totalt 5 911 henvendelser.
Hvem kontakter oss?
Statistikken viser at 42 prosent av de som tar kontakt med veiledningstjenesten, er representanter for virksomheter, mens 51 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.
Personvernombudene står for syv prosent av henvendelsene. Det er også flere henvendelser fra personvernombud som går til Datatilsynets egen personvernkoordinator. De er ikke inkludert i denne statistikken.
Hva handler henvendelsene om?
Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem de kommer fra. I tillegg registrerer vi dersom det dreier seg om arbeidsliv. Siden 2020 har vi også registrert om henvendelser gjelder spørsmål som er særskilt knyttet til pandemien. Vi fører denne statistikken for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.
Imidlertid ser vi at av 7 392 registrert besvarte samtaler i telefonsystemet vårt, er bare 5 911 statistikkført. Det kan være ulike grunner til dette avviket, slik som dobbeltoppringning, feil tastevalg eller rett og slett forglemmelse. Uansett vil det være et mål for kommende år å minke gapet mellom antall mottatte og registrerte henvendelser.
Personopplysninger i registre
Hele 37 prosent av henvendelsene til veiledningstjenesten gjelder personopplysninger i registre. Dette handler ofte om personlige opplysninger som registreres, lagres og brukes, samt rettigheter knyttet til innsyn. Blant henvendelsene fra privatpersoner, er særlig personopplysninger i kunderegister og personalregister vanlige tema. Vi har også fått et betraktelig antall henvendelser om kredittvurderinger og inkasso.
Overvåking og sporing
Overvåking og sporing er det nest største temaet, og går igjen i 22 prosent av henvendelsene. Dette gjelder ofte privatpersoner som har spørsmål knyttet til overvåking av hjem og bolig (inkludert hytte), men også lydopptak av samtaler. Fra virksomheter får vi også mange henvendelser som er direkte knyttet til kameraovervåking, særlig av kunder, besøkende og gjester, eller på arbeidsplassen.
Internkontroll og informasjonssikkerhet
21 prosent av henvendelsene gjelder internkontroll og informasjonssikkerhet, og tallet holder seg på samme nivå som i fjor. Disse henvendelsene handler ofte om problemstillinger som er nært knyttet opp til personvernregelverket, og etterlevelsen av regelverket i virksomhetene. Fra virksomhetene får vi henvendelser om databehandlere, databehandleravtaler og behandlingsansvar. Også avviksbehandling og internkontroll (oversikter, rutiner, dokumentasjon og personvernerklæringer) går igjen.
Personopplysninger på internett
Henvendelser om personopplysninger på internett er en gjenganger ettersom mange lever stadig større deler av livene sine digitalt. Vi ser at antall henvendelser her har økt noe i forhold til i fjor (fra åtte til ni prosent). Spørsmålene gjelder særlig deling og publisering av bilder, film og tekst, samt sosiale medier og avindeksering.
Overføring av personopplysninger til utlandet
Denne kategorien står for tre prosent av henvendelsene og har økt noe i forhold til 2020. Det henger trolig sammen med Schrems II-dommen. Denne dommen fra EU-domstolen fikk store konsekvenser for alle som overfører personopplysninger til land utenfor EØS, og ga en rekke vilkår som må være oppfylt for at en slik overføring skal være lov.
Annet
Noen av kategoriene våre er så små at vi har valgt å samle dem under «Annet». Dette gjelder «Bransjenormer og samarbeidsmekanismer», «Bruk av kunstig intelligens (inkludert maskinlæring og avanserte algoritmer)» og «Sertifisering og akkreditering». Disse ligger alle under én prosent av det totale antallet henvendelser, men vil sannsynligvis øke de neste årene da dette er noe som får stadig større plass.
Spesielt om henvendelser knyttet til arbeidsliv
Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori.
Statistikken viser at hele 28 prosent av de registrerte henvendelsene dreide seg om arbeidsliv, noe som er på linje med tidligere år. Av disse står virksomheter for 54 prosent og privatpersoner for 38 prosent av henvendelsene.
Av henvendelsene fra privatpersoner er det mange som har spørsmål knyttet til arbeidsforholdet sitt. Spørsmål som går igjen er behandling av personopplysninger i personalregistre, innsyn i ansattes epost og annet elektronisk lagret data, samt kontroll og overvåking. Andre gjengangere er kameraovervåking på arbeidsplassen og bruk av lokasjonsdata i virksomheter (slik som for eksempel GPS-sporing). Både arbeidstakere og arbeidsgivere er opptatt av hva som er lov å gjøre med opplysningene som er lagret i virksomheten.
Spesielt om henvendelser knyttet til korona
I det første «koronaåret» fikk veiledningstjenesten mange spørsmål om problemstillinger som hadde oppstått på grunn av pandemien. I 2020 var syv prosent av alle henvendelsene relatert til korona. I 2021 har vi imidlertid sett en nedgang i dette, og i løpet av året mottok vi bare om lag tre prosent slike henvendelser. Dette kan sees i sammenheng av at pandemien har vart i lang tid, og mange oppstartsproblemer knyttet til kontrolltiltak og informasjonssikkerhet har blitt håndtert.
De mest vanlige temaene for henvendelser relatert til korona i 2021, har vært behandling av personopplysninger i personalregister og andre registre. Den sektoren som har hatt flest korona-relaterte henvendelser er kommune- og fylkesadministrasjonen, etterfulgt av helse og omsorg.
1.3.7.5 Ressursbruk
Kommunikasjon om personvernforordningen – til både enkeltpersoner og virksomheter – er vår primære oppgave. I 2021 har vi i tillegg måttet jobbe med personvernspørsmål som har oppstått i forbindelse med koronasituasjonen. Det har vært et stort medietrykk fra hele landet, med både riksmedier, lokalpresse og nisjepublikasjoner rettet mot både privat og offentlig sektor. Dette er kanaler vi aktivt har brukt for å kommunisere våre budskap, og er en aktivitet vi har prioritert høyt. Vi har også opplevd et større trykk fra internasjonal presse grunnet internasjonale saker.
Nettsider, podkast, video og forarbeid til chat og strømming har også vært prioritert. I tillegg har arbeidet med intern kommunikasjon og eget intranettarbeid blitt intensivert, og ressurser i kommunikasjonsavdelingen var satt av til dette arbeidet.
Vi anslår at omlag 75 prosent av kommunikasjonsavdelingens ressurser har vært brukt i arbeid relatert til nettsider og kommunikasjon i nye kanaler, inkludert intranett. Mediehenvendelser tar også mye tid, og vi hatt store og tunge saker som til tider har krevd betydelige ressurser.
Veiledningsenheten er en del av kommunikasjonsavdelingen. Vi ser at dette gir gevinst på sikt gjennom muligheten til å målrette og effektuere kommunikasjonsarbeidet vårt i enda større grad. Det har vært prioritert å knytte betydelige ressurser til denne tjenesten i løpet av året. Vi har i 2021 hatt til sammen ti studenter tilknyttet veiledningstjenesten. Alle Datatilsynets ansatte med juridisk, teknologisk eller samfunns-vitenskapelig utdannelse deltar dessuten gjennom faste vaktordninger.
Vi jobber med stadig effektivisering av veiledningsarbeidet, og kobler dette også opp mot tipsbasen på nettsidene. Telefonveiledningen kombinert med god veiledning på nettsidene våre, fungerer i godt tospann. I økende grad har virksomheter og enkeltpersoner blitt henvist til eksisterende veiledningsmateriell, og det har blitt mindre en-til-en-veiledning.
1.3.7.6 Vurdering av måloppnåelse
Kommunikasjonsarbeidet bygger opp under Datatilsynets hovedstrategi for 2021-2023. Vi har lagt vekt på målet om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Vi har også jobbet med målet om å bidra til at individet i større grad kan ivareta sitt eget personvern, og har hatt ekstra fokus på personvernrelaterte spørsmål i tilknytning til koronasituasjonen. Nettsidene har vært et viktig virkemiddel i dette arbeidet. Datatilsynet.no er vår primære kommunikasjonskanal, og vi jobber kontinuerlig med at våre viktigste målgrupper enkelt finner den informasjonen de til enhver tid trenger.
Vi mener vi har lykkes godt ut i fra de ressursene vi har hatt til rådighet. Ventetiden på telefon har gått ned, og nettsidene er hyppig benyttet.
Veiledningstjenesten har vært viktig for å nå flere av Datatilsynets mål for 2021. Tjenesten er et lavterskeltilbud som brukes av et stort antall virksomheter og privatpersoner, og bidrar slik til at virksomheter blir mer kompetente, forstår viktigheten av godt personvern og i større grad evner å etterleve regelverket. I tillegg bidrar tjenesten til at individet i større grad kan ivareta sitt eget personvern.
I kommende periode satses det sterkere på veiledning ut til publikum. Vi skal satse enda mer på nettbasert veiledning, og vi vil teste chat som verktøy. I første omgang vil vi åpne for en-til-en chat på noen utvalgte områder.
I strategien er det også satt som mål at vi skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom å gi kunnskap om og bevisstgjøring av regelverket, har vi arbeidet målrettet for å nå dette målet.
Vi har også jobbet med å realisere en annen uttalt målsetning, nemlig at Datatilsynet skal være et kompetent og fremtidsrettet tilsyn. Vi er opptatt av å utvikle og videreformidle all vår samlede kunnskap i digitale kanaler, slik som på nettstedet vårt, gjennom videoopptak, i podkast og i nyhetsbrevet. Slik bidrar vi til bedre etterlevelse av regelverket.
Vi mener derfor vi har nådd målene våre.
1.3.8 Nasjonale samarbeidsrelasjoner
Datatilsynet har utstrakt kontakt med andre aktører. Her følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.
I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale, statlige virksomheter.
Aktørforum e-signatur
Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet.
Arkivverket
Arkivverket og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjon- og erfaringsutveksling. I sandkassen har vi jevnlige møter med Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.
Brønnøysundregistrene
Samarbeidet går ut på utveksling av erfaringer, og det er regelmessige møter både på direktør- og saksbehandlernivå.
Dataforeningen
Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet har lenge sittet i styret for gruppen som jobber med informasjonssikkerhet, vi har ledet og arrangert fagseminarer på Software, «Cybersikkerhet på styrerommet» med mer, og bidratt til å sette personvern på agendaen.
Digitaliseringsdirektoratet
Datatilsynet samarbeider med Digitaliseringsdirektoratet sitt kompetansemiljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet å lage veiledere for anskaffelser, utvikling, internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.
Direktoratet for e-helse
Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktør- og saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.
Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.
Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.
Direktoratet for forvaltning og økonomistyring (DFØ)
Datatilsynet samarbeider med DFØ blant annet på områder knyttet til vurderinger og retningslinjer for bruk og innkjøp av skytjenester i offentlig sektor.
Finanstilsynet
Finanstilsynet og Datatilsynet har jevnlige møter på saksbehandler- og direktørnivå for gjensidig informasjons- og erfaringsutveksling. I sandkassen har vi jevnlige møter med både Finanstilsynet og Arkivverket for å dele erfaringer om sandkassearbeid på tvers av organisasjonene.
Forbrukertilsynet og Konkurransetilsynet
Vi har etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet, og planen er å formalisere dette samarbeidet ytterligere. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for våre respektive tilsyn, og behandling av personopplysninger har så vel konkurranse- og forbrukerutfordringer.
Foreningen kommunal informasjonssikkerhet (KINS)
Datatilsynet har deltatt som samarbeidspartner i KiNS. Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KiNS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.
Foreningen Personvernombudene
Datatilsynet har et nært samarbeid med Foreningen Personvernombudene som hadde sitt aller første medlemsmøte i januar 2021. Noen av møtene arrangeres i felleskap med foreningens danske og svenske søsterorganisasjoner. Datatilsynet har deltatt med foredragsholdere på nesten alle foreningens møter. Ved årsskiftet hadde foreningen 350 medlemmer.
Helsedirektoratet
Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktør- og saksbehandlernivå.
ID-nettverket for en helhetlig ID-forvaltning
Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet og dermed redusere trusselen mot velferdsstaten. Deltakelsen vår er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.
IKT-Norge
Vi har et godt samarbeid med IKT-Norge. På bakgrunn av satsingen vår på barn og unge, har vi satset på å formidle innebygd personvern for gruppen EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.
Konkurransetilsynet
I forbindelse med Datatilsynets etablering av ny tilsynsmetodikk, har vi hatt nyttige møter og god erfaringsutveksling.
KS
I forbindelse med Datatilsynets satsing for barn og unge, har vi intensivert arbeidet vårt sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.
Nasjonal Kommunikasjonsmyndighet (Nkom)
Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og det har vært gjennomført flere slike møter.
Kontakten omfattet særlig kommunikasjonsverndirektivet og den kommende kommunikasjonsvernforordningen. Det har også vært et omfattende samarbeid innen befolkningsvarsling og nummeropplysning.
Nasjonal sikkerhetsmyndighet (NSM)
Datatilsynet har et godt samarbeid med NSM, på direktør- og saksbehandlernivå. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.
Nasjonalt råd for Facilitation – NAFAL
Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.
NAV
Det er jevnlig kontakt mellom Datatilsynet og NAV, både på saksbehandler- og på direktørnivå.
Norges Nasjonale Institusjon for Menneskerettigheter (NIM)
Datatilsynet samarbeider med NIM, blant annet i forbindelse med høringsuttalelser. Det er mange fellesnevnere i debatten om personvern og menneskerettigheter, blant annet når det gjelder digitalt grenseforsvar. Begge institusjonene deltok i Sametingets høring om bruk av samisk etnisitet i blant annet helseforskning, og diskuterte synspunkter i forkant.
Norsk Biometri Forum
Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.
Forumet møtes to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).
Norsk Informasjonssikkerhetsforum (ISF)
ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.
Norsk konferanse for IKT i offentlig sektor (NOKIOS)
Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.
Norsk senter for informasjonssikring (NorSIS)
Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.
Referansegruppe for opptak av prosjekter til sandkassen
Den regulatoriske sandkassen vår for personvern og kunstig intelligens, har en referansegruppe i forbindelse med opptak av nye prosjekter. Gruppen bistår oss i å vurdere samfunnsnytten i prosjektene som søker opptak til sandkassen, og består av Likestillings- og diskrimineringsombudet (LDO), Norsk regnesentral, Innovasjon Norge og Tekna.
Riksrevisjonen
I forbindelse med utvikling av ny tilsynsmetodikk og arbeidet med metodikk for tilsyn med algoritmer, har det vært jevnlig kontakt med Riksrevisjonen. Det utveksles erfaringer og gis oppdateringer på arbeidet som gjøres innen teknologi og informasjonssikkerhet.
Samarbeidsprosjektet Du Bestemmer
Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi nettressursen dubestemmer.no som skal bidra til at barn og unge kan lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2021 ble det holdt to styringsgruppemøter, og nye nettsider ble lansert.
Skatteetaten («Folkeregisterprosjektet»)
Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har hatt én representant i referansegruppen, og vi har deltatt i enkelte møter i prosjektet.
Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til. Det har vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.
Standardisering – komitédeltagelse
Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.
Datatilsynet deltar i fire komiteer:
SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques
SN/K 175 Intelligente Transportsystemer (ITS)
SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort
SN/K 186 Læringsteknologi
Statens Vegvesen
Datatilsynet har et godt samarbeid med Statens vegvesen. Spesielt har samarbeidet vært omfattende innen ITS (Intelligente transportsystemer).
Styring og koordinering av tjenester i e-forvaltning (Skate)
Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har i 2021 blant annet holdt innlegg om avviksmeldinger.
1.3.9 Samlet vurdering av prioriteringer, ressursbruk, resultater og måloppnåelse
I tilbakemeldingen på årsrapport for 2020, ba departementet om at vi i årets rapport også omtalte endringer vi opplever som følge av arbeidet vårt. Det vil vi gjøre nedenfor. Det ble foreslått å knytte dette til forhåndsdefinerte kriterier. I 2021 opererte vi ikke med indikatorer, men i planverket for 2022 er dette endret, og oppfordringen fra departementet vil derfor bli fulgt opp i årsrapporten for 2022.
Som kjent er hovedmålet vårt et godt personvern for alle. Vi har gjennom rapporten redegjort for de viktigste prioriteringene og resultatene våre, samt måloppnåelse knyttet til de ulike prioriteringene og andre viktige oppgaver. I dette kapitlet vil vi forsøke å sammenstille dette, og se på helheten for virksomheten.
Prioriteringer er en vanskelig øvelse. Det er enkelt å prioritere opp, men vanskeligere å prioritere ned. Som omtalt i avsnittet «Kontroll og saksbehandling», har vi sett en økning i antall klager, veiledningshenvendelser og meldinger om brudd på personopplysningssikkerheten (avvikssaker). Klager er det vi kaller «må-saker», og som vi er forpliktet til å behandle. Veiledning er vi også forpliktet til å drive. Avvikssaker er vi derimot kun nødt til å motta og registrere. Det er likevel slik at mange avvik er svært alvorlige, faktisk så alvorlige at de kvalifiserer til overtredelsesgebyr. Saken mot Østre Toten er et illustrerende eksempel.
Nettopp på grunn av den store mengden klagesaker, har vi vært nødt til prioritere ned en lang rekke avviksmeldinger. Vi har laget et kriteriesett for hvilke avvik vi skal behandle, der blant annet avvikets alvor og antall berørte tillegges vekt. Vi realitetsbehandler anslagsvis 20 prosent av de avviksmeldingene vi får inn. Vi har altså sett oss nødt til å gjøre en tydelig nedprioritering av avvikssaker. Vi har også i 2021 gitt en klar føring om at klagesaksbehandling skal prioriteres foran høringsarbeid.
Disse prioriteringene har hatt betydning for de oppnådde resultatene. Vi har hjulpet flere enkeltpersoner, men har måttet prioritere ned påvirkning gjennom høringer og behandling av avvik på områder der det systematisk gjøres feil. Vi ser dette som uheldig, men dessverre nødvendig, gitt de ressursene vi har til rådighet og lovens krav om å prioritere klager fra forbrukere og borgere. En del av disse klagene har også en slik karakter at de i det store bildet har liten betydning for etterlevelsen som sådan, og kanskje også for den som klager.
Når det gjelder endringene dette arbeidet, og prioriteringene, har medført, er det vanskelig å måle. Selv om vi behandler prosentvis relativt få brudd på personopplysningssikkerheten, har de stor signaleffekt. Overtredelsesgebyret mot Østre Toten har utvilsomt skjerpet rutinene i mange kommuner. Tilsvarende har klagesaker der forbrukere har fått medhold av oss, bidratt til å endre rutiner, og til at enkeltmennesker har opplevd å bli hørt og fått gjennomslag for sitt syn. Dette er selvsagt viktig.
Også det internasjonale arbeidet er ressurskrevende, og det har vært høyt prioritert. Vi kunne valgt å prioritere dette lavere, ved for eksempel å være mindre aktive i Personvernrådet, deltatt i færre undergrupper eller lagt mindre vekt på intern rapportering og kompetanseoppbygging. De som deltar på møtene skriver referater og vi har periodisk gjennomgang for alle under vignetten «nytt fra Brussel»). Grunnen til at vi likevel har valgt å prioritere dette høyt, er fordi mye av rettsdannelsen skjer på møtene i Personvernrådet og undergruppene. For å bli lyttet til, må vi være aktiv deltager, ikke passiv observatør. Vi har gitt kommentarer i flere viktige saker som har vært til behandling i Personvernrådet, blant annet om kontrakt eller samtykke som behandlingsgrunnlag. Sakene er ikke ferdig avgjort, men dersom det går vår (og kollegaer i andre land) sin vei, vil det utvilsomt bidra sterkt til å oppnå hovedmålet om et godt personvern for alle.
Sandkassen har også vært høyt prioritert. Å drifte en sandkasse er ikke en «må-oppgave» for Datatilsynet. Vi har fått bevilget ekstra ressurser til dette arbeidet, men det har likevel hatt administrative konsekvenser, og medført omrokeringer i arbeidsstokken og diskusjoner om ressursfordelinger. Dette kunne vi «sluppet» dersom vi ikke hadde påtatt oss denne oppgaven. Vi vil likevel sterk argumentere for at den regulatorisk sandkassen i stor grad bidrar til å oppfylle hovedmålet. Et prosjekt som oppnår hovedmålsettingen i sandkassen – å være innovativt, samfunnsnyttig og med godt personvern – vil komme alle borgere og forbrukere til gode. Det er dessuten viktig å prøve ut nye måter å sikre regelverksetterlevelse på. Tilsyn og klagebehandling er nødvendig, men å utforske hvordan vi kan oppnå godt personvern og være samfunnsnyttige samtidig, uten saksbehandling, er også sentralt.
Det er også viktig å se på samfunnsoppdraget vårt i et bredere perspektiv. Vi skal håndheve regelverk, men dersom vi kan bidra til å utvikle en metodikk som reduserer faren for re-innleggelse på sykehus, eller at man kan unngå ressurskrevende oppfølgingsmøter i NAV, sparer vi samfunnet for betydelige kostnader. Effekten av arbeidet kan derfor være betydelig.
Å klare å sikre etterlevelse av regelverket uten å måtte drive tilsyn, eller behandle klager og avviksmeldinger, er smart. Vi har derfor prioritert veiledning, informasjon, kommunikasjon, ulike nettressurser og personvernombudsordningen høyt. Vi har oppskalert veiledningstjenesten, og for å skape en mest mulig slagkraftig tjeneste, er den lagt under kommunikasjonsavdelingen. Det gir synergier mellom veiledning, informasjon og kommunikasjon. Som det fremgår i avsnittet «Kommunikasjon og veiledning», er aktivitetsnivået høyt. Dette har vært en bevisst prioritering. I 2021 har vi også prioritert en stor omlegging av nettressursen Dubestemmer.no. Dette har vært ressurskrevende, men nødvendig, fordi det bidrar til at folk flest, og særlig barn og unge i større grad kan lære om og ivareta sitt eget personvern.
For å forebygge at virksomhetene gjør feil, har vi også satset mer på personvernombudsordningen. Vi har blant annet utarbeidet en egen strategi for hvordan vi best kan jobbe for å fremme denne viktige ordningen. En effekt av det aktive arbeidet vårt de siste årene, har blant annet vært at ombudene i stadig større grad profesjonaliseres og at de finner sammen i organisasjoner eller ulike grupperinger. Vi mener dette har vært en riktig prioritering, og riktig å bruke ressurser på, og det underbygger hovedmålet.
Basert på analysen over mener vi å ha oppfylt hovedmålet vårt.
1.4 Styring og kontroll i virksomheten
1.4.1 Virksomhetens overordnede vurdering av opplegget for styring og kontroll
Sammen med tildelingsbrevet, legger revidert økonomi- og økonomiinstruks fastsatt 18. desember 2019, samt digitaliseringsrundskriv rammene for Datatilsynets virksomhet.
For å nå hovedmålet vårt, et godt personvern for alle, er det etablert ulike mål- og styringssystemer. Plan-, strategi- og budsjettarbeid forankres i ulike prosesser der ledere, medarbeidere og tillitsvalgte deltar på ulike nivåer.
Utgangspunktet for virksomhetsplanleggingen vår er tildelingsbrevet og virksomhetsinstruksen fra departementet, den overordnede strategien vår og områdestrategier for delsektorer, erfaringer fra saksbehandlingen, tilsyn og utredningsarbeid med mer.
I tillegg til plandokumenter, er det etablert støtte- og oppfølgingssystemer for å ivareta god økonomi- og virksomhetsstyring. Et årshjul ivaretar ledelsens ansvar for å kontrollere viktige aktiviteter og oppfølgingspunkter. Det er også regelmessig rapportering og oppfølging av planer i ledermøter og utvidede ledermøter.
Datatilsynets strategi ble revidert, og definerte mål som skal gjelde for perioden 2021-2023 ble besluttet, tidlig i 2021. En virksomhetsplan (VP) er utarbeidet for to år og gjelder i 2021 og 2022.
1.4.2 Vesentlige forhold knyttet til Datatilsynets planlegging, gjennomføring og oppfølging
1.4.2.1 Mål- og styringssystemer
I den overordnede strategien vår, har vi seks satsinger. Vi har plukket ut tre satsinger hele organisasjonen skal ha spesielt fokus på i 2021 og 2022, og som alle aktiviteter skal forankres i. De kommende årene vil andre satsinger gis høyere prioritet, slik at vi får oppfylt alle satsingene.
Delmålene er en operasjonalisering av de strategiske satsingene. Under hver enkelt satsing er det mellom seks og ti delmål. Vi har besluttet hvilke to delmål alle i Datatilsynet skal prioritere i 2021 og 2022, mens hver avdeling og seksjon kan prioritere ytterligere to delmål de ønsker å prioritere.
For å oppfylle de overordnede målene og delmålene må vi gjennomføre en lang rekke aktiviteter. Det er opp til hver enkelt avdeling og seksjon å beslutte hvilke aktiviteter som skal gjennomføres. Et eksempel kan være tilsyn, samt alle aktiviteter som følger i kjølvannet av et tilsyn, slik som for eksempel kommunikasjonsarbeid og å se til at alle aktører i en sektor endrer praksis i overensstemmelse med vedtakspunktene etter tilsynet.
For å vite om den enkelte aktiviteten oppfyller delmålet (som i sin tur oppfyller den strategiske satsingen), har vi et fjerde nivå i VP-hierarkiet, nemlig styringsparametere eller indikatorer (Indikator er et godt ord ettersom vi ikke opererer i en verden med sikker kunnskap, men vi kan langt på vei indikere om det vi gjør har effekt).
Indikatorer vil til dels være rene tellinger, slik som antall saker og tilsyn, nettmeldinger eller veiledningssaker. Det kan være fast rapportering av interne avvik eller restanser, prosjekter, eller gjennomførte prosesser. Det kan også være nedgang i restanser, eller kortere saksbehandlingstid på tilsyn. Videre kan en indikator være en kvalitativ vurdering, slik som om dialogen med en sektor er blitt bedre eller at vi har blitt lyttet til av et konkret offentlig organ.
Indikatorer bestemmes i samarbeid mellom avdelingsdirektør og seksjonssjef. Indikatorene skal så langt som mulig være målbare og resultatorienterte.
1.4.2.2 Bemannings-, kapasitets- og kompetansesituasjonen
Personvernkompetanse er svært etterspurt. Det er en prioritert oppgave å motvirke at dyktige medarbeidere slutter, og vi opplever at vi lykkes med dette arbeidet selv om åtte stykker har sluttet i 2021. Av disse er én gått av ved pensjonsalder, mens tre studenter er ferdige med studier og har søkt seg til nye stillinger. Øvrige som har sluttet er rekruttert til å arbeide med personvern i andre virksomheter.
Ledere og etablerte medarbeidere har tatt stort ansvar. De har lagt til rette for at alle skal ha gode rammevilkår, klare roller og ledere og kollegaer som gir støtte i hverdagen. Å opprettholde et godt arbeidsmiljø, har vært krevende også i 2021, men vi vurderer det slik at vi sammen har lykkes godt med dette arbeidet.
Det har gjennom året vært tilrettelagt for å kunne ha tilstedeværelse på kontoret for de som har hatt behov for det, og mange har tatt ansvar for å opprettholde et godt arbeidsmiljø.
Vakanser fra 2020 og nyetablerte stillinger (faste og midlertidige), er i hovedsak fylt opp i 2021. Til sammen har 13 nye medarbeidere begynt i løpet av året, og alle har startet på et tidspunkt der de ikke hadde en ordinær arbeidsplass å kunne gå til regelmessig. Av disse var 6 midlertidige, alle var tilknyttet den regulatoriske sandkassen. De har måttet forholde seg til hjemmekontor og det å hovedsakelig ha digital kontakt med ledere og kollegaer. Også seks nye studenter har startet i 2021. Det står respekt av hvordan hver og en har håndtert dette, og også av hvordan ledere og kollegaer har tatt imot nye medarbeidere. Vi erfarer også i 2021 at de nyansatte er selvstendige, tar stort ansvar, viser initiativ og er meget dyktige. De har tilført oss mye verdifull kompetanse i en krevende periode.
Opprettelse av seksjon for intern IKT, sikkerhet og etterlevelse
I januar 2021 ble det opprettet en egen seksjon for intern IKT, sikkerhet og etterlevelse (ISE), under avdelingen for teknologi, analyse og sikkerhet (TAS).
ISE har ansvaret for god og sikker forvaltning av Datatilsynets systemer og infrastruktur, herunder egen internkontroll. Målet med etableringen av seksjonen er å sørge for at Datatilsynets IKT-portefølje er i takt med de kravene som stilles til digitalisering, personvern og personopplysningssikkerhet i offentlig sektor.
For å styrke Datatilsynets arbeid med egen internkontroll, ble det opprettet en egen stilling for etterlevelse (compliance) i august 2021.
Opprettelse av seksjon for teknologi, sikkerhet og tilsyn
Under avdelingen for teknologi, analyse og sikkerhet (TAS), ble det høsten 2021 opprettet egen seksjon for teknologi, sikkerhet og tilsyn (TST). Medarbeidere i denne seksjonen hadde tidligere tilhørt i stab til avdelingsdirektøren.
I TST er det ressurser med spisskompetanse på personopplysningssikkerhet. TST har dessuten ansvar for tilsynsmetodikk og -koordinering, saksbehandling i forbindelse med meldinger om brudd på personopplysningssikkerheten, akkreditering- og sertifiseringsordningen, samt å være kontaktpunkt for eksterne personvernombud. Det er laget egne retningslinjer og rutiner for samhandlingen mellom TST og seksjonene i avdeling for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) når det gjelder saksbehandling.
Målet med endringen er enhetlig og effektiv bruk av teknologiske ressurser i alle saker relatert til personopplysningssikkerheten.
1.4.2.3 Datatilsynets risikostyring
Gjennom risikostyring og risikoanalyse skal vi kunne identifisere, vurdere, håndtere og følge opp risiko slik at den kommer innenfor akseptert nivå. Vi har i år oppdatert malen vår for risikorapportering til departementet. Dokumentet inneholder måloppnåelse, risikovurdering og rapport om sikkerhetstilstanden. Risikorapporten sendes til departementet som et eget vedlegg.
1.4.2.4 Status internkontroll
Datatilsynets internkontroll følges opp for å sikre at kravene til virksomheten etterleves. Håndtering av mulige brudd på informasjonssikkerheten bidrar til at vi fanger opp, håndterer og herder våre systemer og rutiner, i tillegg til at vi lærer av uønskede hendelser.
I januar 2021 ble det som nevnt over opprettet en egen seksjon for intern IKT, sikkerhet og etterlevelse (ISE) i Datatilsynet. Seksjon ISE har ansvaret for god og sikker forvaltning av Datatilsynets systemer og infrastruktur, herunder egen internkontroll. I første kvartal (Q1) gjennomføres ledelsens gjennomgang med henholdsvis personvernombudet (PVO) og sikkerhetslederen. PVO og sikkerhetslederen deltar på begge gjennomgangene om avvik og anbefalinger. Det besluttes så tiltak som det skal jobbes med i løpet av året. Avdelingsdirektøren for TAS har kvartalsvis oppfølging med sikkerhetslederen og PVO, og rapporterer om framdrift i ledergruppen.
Datatilsynets årsplan gir en oversikt over oppgaver og frister knyttet til ulike plan- og kontrolloppgaver. Ledere og andre som er gitt ansvar for oppgavene oppdaterer planen, og rapporterer om gjennomførte tiltak og eventuelle avvik som må følges opp. Årsplanen og behov for oppfølging av spesifikke avvik drøftes regelmessig i tilsynets ledermøter. Det er også fra ledelsens side satt av mer ressurser til arbeidet med internkontroll og styringssystemer. Langsiktige aktiviteter knyttet til internkontroll og informasjonssikkerhet, har i år blitt nedprioritert til fordel for mer umiddelbare behov i forbindelse med hjemmekontor og smittesituasjon.
1.4.2.5 Prosjekter og igangsatte tiltak knyttet til virksomhetens systemer
Vi oppnår aller best resultater når vi jobber sammen om felles mål. I 2021 satte vi i gang flere tverrfaglige prosjekter for å bidra til at vi skal være en strømlinjeformet organisasjon med god ressursplanlegging og effektiv saksbehandling.
Vi har utfordringer med dokumentstruktur og deling av informasjon internt. Epost og chat er sentrale informasjonsdelingsplattformer, og behovet for et intranett er betydelig. Vi har også mange kilder til kunnskap vi ikke får øst av, slik som klagesaker, tilsyn, veiledningshenvendelser og avviksmeldinger. Bedre analyser av dette gullet vil bidra til bedre informasjon ut, bedre interne prioriteringer, mer kunnskap om utfordringer og en rekke andre ting. De tverrfaglige prosjektene i 2021 og 2022 er:
Nytt intranett
Kartlegging av behov, variabler, prosedyrer og strategi for Datatilsynets analyse av interne kunnskapskilder
Regulatorisk sandkasse
Tilsynsprosjekt, fase 2 og 3. Vi skal oppdatere med algoritmetilsynsmetodikk i henhold til ny forordning
Klageskjema og avviksskjema
Utarbeide en rapport om personvernkonsekvenser av 5G
I tillegg har det vært lagt ned mye arbeid for å forbedre arbeidsprosessene våre, og for at arkiv- og saksbehandlingssystemene skal bli mer effektive, smidige og bedre verktøy for saksbehandlerne. Vi har også aktivert innsynsmodulen.
Flere IKT-prosjekter relatert til drift og stabilitet legges ved årsrapporten, «Risikovurdering samfunnsberedskap og informasjonssikkerhet 2021».
1.4.2.6 Digitalt førstevalg
Vi har satt i gang en rekke interne digitaliseringstiltak for å fornye, forenkle og forbedre ulike interne prosesser. Blant annet kan innsynskrav i saker nå gjøres fullt ut digitalt. Vi har også implementert en grunnmur blant annet for intranett, prosjektverktøy, ledelsessystemer og lignende. Videokonferanseverktøyet er også oppgradert.
Videre er det gjennomført kartlegginger som ville danne grunnlaget for nye, sikre og bedre digitale tjenester hos oss. De skal være enkle å bruke, effektive og pålitelige, både for egne ansatte, virksomheter og innbyggere.
Ikt-strategi
Vi har startet arbeidet med en oppdatert IKT-strategi for perioden 2022-2025. IKT-strategien peker ut fire hovedområder som skal støtte opp under virksomhetsstrategien, den digitale informasjonsforvaltningen, kommunikasjonskanaler, dataverktøy og IKT-sikkerhet. Felles for de fire områdene er at de skal være målrettede, fokuserte og handlingsorienterte. IKT-strategien skal gjennomgås i utvidet ledergruppe og godkjennes i ledergruppen første kvartal 2022.
1.4.2.7 Forvaltning av egne eiendeler
Flytteprosess og nye lokaler – evaluering
I februar 2021 flyttet Datatilsynet til nye arealeffektive lokaler i Trelastgata 3. Statsbygg bisto i prosessen med anskaffelse av ny leiekontrakt. Mulighetene i markedet til å redusere arealbruk og utgifter til kontorleie, samt nye arbeidsplasskonsepter, ble sett på. En eventuell økonomisk gevinstrealisering ble også vurdert sammen med øvrige gevinster som potensielt ville kunne utløses ved å flytte til arealeffektive, moderniserte lokaler. Om den nye leieavtalen totalt sett vil gi en økonomisk gevinstrealisering, vil først kunne fastslås i 4. kvartal 2021.
De nye lokalene er innredet med tanke på universell utforming. Det nye konseptet er en hybridløsning med landskap og cellekontor der ulike behov for konsentrasjon, samhandling og møteplasser ivaretas. Lokalene inneholder stillesoner, stillerom, multirom, aktivitetsbaserte soner, sosial sone og ulike funksjonsområder. Det er dessuten lagt vekt på gjenbruk i materialvalg i tepper og stoffer, og i miljøvennlig interiør. IKT-utstyr og flere kontormøbler er flyttet med fra de tidligere lokalene i Tollbugata. Andre etater som planlegger å tilrettelegge for nye lokaler og arbeidskonsepter, har tatt kontakt og har latt seg inspirere av løsningen vi har valgt.
For å kunne evaluere konseptet, er det opprettet en egen kanal (e-postadresse) der alle medarbeidere kan melde inn synspunkter og forslag, og disse følges opp fortløpende. I tillegg evalueres erfaringene med de nye lokalene ukentlig under et fast punkt i ledermøtet. Vi vil også foreta en større evaluering og følge opp med eventuelle tiltak når vi har hatt normal drift over noe tid. Tilbakemeldingene så langt er positive.
1.4.2.8 Oppfølging av vesentlige avdekkede avvik/feil/mangler
Det er ikke avdekket vesentlige avvik/feil/mangler i forhold til styring og kontroll i virksomheten. Det foreligger heller ikke merknader fra Riksrevisjonen.
1.4.3 Vesentlige forhold knyttet til personalsituasjonen
Datatilsynet gjennomførte en omorganisering sent i 2019. Det var planlagt å evaluere dette i løpet av høsten 2020 for å avdekke om det var behov for å foreta justeringer, men på grunn av pandemien måtte den utsettes. Koronasituasjonen og unntakstilstand gjorde at vi ikke fikk høstet nok kunnskap og erfaring med den «nye organisasjonen» til at vi kunne gjennomføre evalueringen som planlagt. Vi besluttet imidlertid å likevel gjennomføre en evaluering når pandemien også trakk over i 2021. Dette resulterte i noen organisatoriske justeringer der blant annet stab i avdelingen for teknologi, analyse og sikkerhet ble organisert som en seksjon med seksjonsleder.
Som en følge av at Datatilsynet de siste årene har vokst fra å være en liten organisasjon til å bli en mellomstor, så vi også behov for å styrke funksjoner knyttet til styring, drift og HR. Vi ser en positiv effekt av dette.
1.4.3.1 Likestilling og mangfold
Datatilsynet arbeider aktivt, målrettet og planmessig for å fremme likestilling og hindre diskriminering. Vi rekrutterer slik at vår arbeidsstyrke gjenspeiler mangfoldet i befolkningen, og vi har en god balanse når det gjelder kjønn, alder, etnisitet, nedsatt funksjonsevne, hull i cv, ulik religiøs tilhørighet og livssyn. Vi opplever meget god søkning til vakante stillinger, både fra erfarne og nyutdannede, og Datatilsynet er fremdeles ansett å være en populær arbeidsplass å søke seg til.
Vi ser ikke at vi har ulikheter som gjør det nødvendig å iverksette særskilte tiltak overfor grupper eller personer. Vurderingen vår er at alle gis like muligheter i organisasjonen, og at det ikke har vært behov for å iverksette særskilte tiltak for å fremme likestilling eller hindre diskriminering utover det å forsøke å ha stort mangfold, god aldersspredning og en god kjønnsbalanse.
Tabell 1.7 Likestillingstabell:
2018 | 2019 | 2019 | 2021 | ||
---|---|---|---|---|---|
Antall ansatte | 41 | 45 | 58 | 72 | |
Andel | Menn | 36,6 % | 40 % | 41,4 % | 41,7 % |
Kvinner | 63,4 % | 60 % | 58,6 % | 58,3 % | |
Kvinners lønn i % av menns lønn1 | - | - | 99,3 | 95,6 % | |
Deltid | Menn | 2,4 % | 2,2 % | 5,2 % | 10 % |
Kvinner | 4,9 % | 4,4 % | 1,7 % | 4,8 % | |
Midlertidig | Menn | 2,4 % | 2,2 % | 6,9 % | 20 % |
Kvinner | 0 % | 2,2 % | 5,2 % | 19 % | |
Legemeldt fravær | Menn | 0,6 % | 1,8 % | 0 % | 1,9 % |
Kvinner | 1,7 % | 3,1 % | 5,2 % | 4,0 % |
1 Ikke rapportert på før 2020
Lønns- og personalpolitikken vår har også i seg elementer som skal ivareta likestilling og mangfold. Vi erkjenner at ansatte er i ulike faser i livet (junior, karriere, senior), og at hver fase innebærer ulike behov. Den enkelte medarbeiders forutsetninger vil variere over tid, og Datatilsynet som arbeidsgiver må derfor tilby den enkelte ulike tiltak i de ulike fasene.
1.4.3.2 Inkluderende arbeidsliv og HMS/arbeidsmiljø
Samarbeidet med bedriftshelsetjenesten er videreført i 2021. Vi har en lav terskel for å gi tilbud om forebyggende tiltak og individoppfølging ved behov, og vi har opprettholdt ordningen med å gi tilskudd til trening for alle ansatte. Det har vært regelmessige møter både med tillitsvalgte og i arbeidsmiljøutvalget (AMU) i 2021. Nytt representant for AMU og nytt verneombud ble valgt i november 2021.
Datatilsynet har videreført intensjonsavtalen om IA, og den ivaretas i tillegg gjennom lønns- og personalpolitikken vår.
Arbeidsbelastning, forventninger, mestringsfølelse og andre utfordringer som blant annet kan knyttes til utstrakt bruk av hjemmekontor og begrenset sosial omgang, følges opp i regelmessige arbeidssamtaler.
Spesielt om koronasituasjonen
Datatilsynet skal være en god arbeidsplass for alle ansatte. Også i 2021 har vi hatt stor oppmerksomhet på å ivareta et godt arbeidsmiljø, og det at alle skal føle seg trygge på jobb. Perioden med pandemi og strenge tiltak, har imidlertid utfordret denne målsettingen. Også dette året har de fleste ansatte arbeidet hjemmefra, og mange har møtt andre kollegaer i svært begrenset grad. Arbeidsbelastningen har vært stor, og det er behov for å følge opp hvordan den kan reduseres fremover.
Lederne har tatt stort ansvar og har vært tett på medarbeiderne. Det er gitt fleksibilitet med tanke på tilstedeværelse, tilrettelegging for ivaretagelse av den enkeltes behov og etablering av arenaer for god kommunikasjon. En rekke faglige og sosiale aktiviteter er gjennomført digitalt, og vi har klart å ha noen fysiske treff i perioder det har vært tillatt.
Det har vært viktig for oss å følge myndighetenes råd, anbefalinger og påbud, samtidig som vi ivaretar den enkeltes behov. Vi opplever å ha sterk lagfølelse og godt samarbeid, og vi er stolte av at alle våre medarbeidere gjennom året har støttet opp om vanskelige avveininger og beslutninger. Vi er også stolte av den enkeltes evne til å hente motivasjon slik at vi også i 2021 har hatt et forsvarlig arbeidsmiljø der vi leverer et meget godt resultat som er i henhold til strategi og målsettinger.
1.4.3.3 Sykefravær
Sykefraværet for 2021 var 4,1 prosent mot 3,35 prosent i 2020. Av dette er 0,6 prosent egenmeldt fravær mot 0,96 prosent i 2020. Noe av dette kan nok ha sin årsak i utstrakt bruk av hjemmekontor og den fleksibiliteten det har gitt.
Også i 2021 det vært spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Vi har tilrettelagt for at ansatte skulle kunne etablere gode alternative arbeidsplasser hjemme, og ergonomi på hjemmekontor har vært prioritert. Økningen i det ikke egenmeldte sykefraværet, skyldes imidlertid i hovedsak at det ikke har vært mulig å iverksette forebyggende tiltak i forbindelse med blant annet langtidsfravær knyttet til svangerskap og koronarelatert sykdom.
1.4.3.4 Lærlinger
Vi har ikke hatt noen lærlinger i meldingsåret.
1.4.4 Andre forutsetninger og krav
1.4.4.1 Fellesføringer
Oppfølging av regjeringens inkluderingsdugnad
Datatilsynet har arbeidet med å utvikle rutiner og arbeidsformer for å nå målene for regjeringens inkluderingsdugnad. For å nå målet om fem prosent, har alle stillingsutlysninger inneholdt en mangfoldserklæring som oppfordrer kvalifiserte kandidater til å søke uavhengig av kjønn, funksjonsevne, hull i CV, innvandrerbakgrunn eller seksuell legning. Datatilsynet har stort mangfold og har også stor variasjon i aldersgrupper.
Rekrutteringsverktøyet som vi benytter, har funksjonalitet slik at søkerne selv kan legge inn at de har hull i CV, innvandrerbakgrunn eller nedsatt funksjonsevne. Vi kaller inn søkere til intervju i henhold til retningslinjer som gjelder, men erfarer også at enkelte søkere ikke benytter denne funksjonaliteten og ikke oppgir at de har nedsatt funksjonsevne eller hull i CVen. Vi mener likevel at vi fanger opp de fleste, slik at de vurderes i henhold til regelverket.
I 2021 har det vært søkere innkalt til intervju som har oppgitt hull i cv eller nedsatt funksjonsevne og som samtidig har fylt kvalifikasjonskravene, men ingen fra denne gruppen nådde opp i konkurranse på ellers like vilkår, og ingen ble tilbudt stilling. Vi har derfor ikke nyansatte med nedsatt funksjonsevne eller hull i CVen i 2021, men vi har tidligere rekruttert medarbeidere fra denne gruppen, og vi har veldig god erfaring med det. Søkere med innvandrerbakgrunn er imidlertid tilbudt stilling.
Datatilsynet ønsker å bidra positivt til inkluderingsdugnaden og vi har god erfaring med å legge til rette for medarbeidere som har behov for tilrettelegging på arbeidsplassen eller i arbeidsforholdet.
I valg av nye lokaler var universell utforming høyt prioritet, og det var en viktig faktor i beslutningen.
Tabell 1.8 Handlingsplan:
Tiltak | Resultater og erfaringer | Veien videre |
---|---|---|
Forbedre rekrutteringsprosessene1 | Behovsanalyser, rutiner, e-læringskurs og webinarer | Videreutvikle og fortsette å bygge kompetanse ved deltagelse i ulike fora |
Tilpasse utlysningstekster | Spisse tekster og fremheve Datatilsynet som en arbeidsplass der mangfold verdsettes | Utvikle nye maler, evaluere tiltak |
Tilrettelegge for praksisplass for 1-2 innen utløpet av 2022 | Er i prosess og har dialog med NAV | Etablere praksisplass, evaluere tiltak |
Gi ledere gode verktøy til hjelp i rekrutteringsprosess og behovsanalyser1 | Har bygget opp egen personaldel på intranett for å gi ledere et godt verktøy å benytte ved rekruttering. Maler, linker, regelverk, rutiner, policy mm Har styrket kompetanse ved å opprette HR-rådgiverstilling | Implementere og videreutvikle, evaluere, følge opp med ny informasjon og kompetansetiltak |
Tilrettelegge for lærling | Vurdere behov og kapasitet i dialog med ledere | |
Bidra til å oppnå 5 prosentmålet i inkluderingsdugnaden | Dialog med ledere |
1 Datatilsynet har i 2021 brukt store ressurser på å tilrettelegge for lansering av nytt intranett. Det etableres et helt nytt verktøy som skal gi ledere og ansatte enkel tilgang til informasjon om regelverk på området, til maler, rutine, linker, e-læringskurs mm. Utrullingen av intranettet vil skje i løpet av 2022. Dette arbeidet inngår i satsningen på ulike tiltak i handlingsplanen.
1.4.4.2 Oppfølging av bærekraftsmålene
Likestilling
Når det rekrutteres nye medarbeidere, legges det vekt på betydningen av å ha mangfold og kjønnsbalanse. I lønns- og personalpolitikken vår fremgår det at vi skal tilrettelegge for ulike behov i forbindelse med ulike livsfaser.
Klima og miljø
Ved skifte av kontorlokaler, samarbeidet vi med Statsbygg. Et av effektmålene var å ha miljøvennlige arealer som bidrar til sirkulærøkonomi og lavest mulig klimautslipp. Lokalene som ble valgt er areal- og energieffektive, og utleieren stiller høye krav til avfallshåndtering og kildesortering, samt energieffektiv drift.
Det har vært arbeidet mye med utforming av lokalene for å tilpasse behov og arbeidsmønster. De nye lokalene har gode lysforhold, god universell utforming og vi har lagt vekt på miljøvennlig drift og et godt inneklima. Det er blant annet mange grønne planter i lokalene, noe som skal bidra til god luftkvalitet. Det er også i anskaffelsene lagt stor vekt på å unngå helse- og miljøskadelige stoffer i materialer og inventar, og å velge miljøvennlige tjenester der det er mulig. Gulvteppene består av gjenbruksmateriale i form av gamle fiskegarn, og alle stoffer og annet materiale er valgt med stor vekt på klima- og miljømessige faktorer. Det er mye gjenbruk av bygningsmateriale der det har vært mulig, slik som for eksempel himlinger og modulvegger.
Vi har også lagt vekt på gjenbruk av kontormøbler, IKT-utstyr og annet kontormateriale som vi tok med fra våre tidligere kontorlokaler i Tollbugata 3.
Datatilsynet har ingen parkeringsplass for bil. Vi har prioritert sykkelparkering, garderobefasiliteter og plassering sentralt nær knutepunkter for kollektivtrafikk ved valg av nye lokaler. I løpet av lange perioder har de ansatte uansett hatt sin jobbhverdag på hjemmekontor på grunn av pandemien. Dette har ført til færre klimaavtrykk med hensyn til reiser. Fysiske jobbreiser og transport til andre steder både i Norge og internasjonalt, har dessuten vært kraftig redusert på grunn av pandemien.
Det er tilrettelagt for økt bruk av digitale møter, noe vi antar vil gi redusert reiseaktivitet. Utstrakt bruk av hjemmekontor i lange perioder har også gitt redusert reiseaktivitet.
1.4.4.3 Redusere antall ansatte
Datatilsynet har i 2021 ikke vært i en situasjon der det har vært mulig å redusere antall ansatte. Det har derimot vært behov for å styrke bemanningen som følge av nytt regelverk, og nye og ressurskrevende arbeidsoppgaver. Budsjettet er også styrket som følge av dette, noe det også er opplyst om i styringsdialog med departementet.
Vi har dessuten etablert den regulatoriske sandkassen, og det har vært behov for å ansette medarbeidere i midlertidige stillinger som varer i to år til denne.
Vikarer og ekstrahjelp er tilsatt midlertidig for å dekke opp for permisjoner, og for å dekke opp for uttak av ressurser fra organisasjonen, samt til veiledningsoppgaver. Studenter benyttes dessuten til veiledningstjenesten.
Det er for tidlig å realisere eventuelle effektiviseringsgevinster fra iverksatt arbeid med digitalisering, automatisering av oppgaver og saksbehandling.
1.5 Vurdering av framtidsutsikter
Vi ser en rekke interne og eksterne forhold som vil kunne skape utfordringer for virksomheten vår i tiden fremover, både på kort og lang sikt, og ikke minst vil slike forhold kunne påvirke mulighetene våre for å nå målene vi har satt oss.
Vi har vært inne på ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet klagesaker kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysningssikkerheten og sentrale høringssaker, eller prosjekter, slik som den regulatoriske sandkassen. Det er ønskelig å gjennomføre flere stedlige tilsyn, inspeksjoner og andre kontrolltiltak av eget tiltak fremover, ikke minst i privat sektor. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen.
Vi ser også for oss at avgjørelsene våre vil bli utfordret rettslig i større grad enn tidligere. Ved siden av å bidra til viktige rettslige avklaringer, vil samtidig konsekvensene for Datatilsynets kapasitet bli merkbare, for eksempel i forbindelse med forberedelser av flere klagesaker for Personvernnemnda.
På grunn av regelverkets teknologinøytrale karakter og teknologiens potensiale, er det sannsynlig at sakene over tid også vil øke i faktisk kompleksitet. Et eksempel er Cambridge Analytica-saken i Storbritannia. Et førtitalls medarbeidere i ICO (den britiske datatilsynsmyndigheten), pluss en håndfull innleide konsulenter, arbeidet i lang tid med å kartlegge hva som faktisk hadde skjedd, og analyserte i den forbindelse mange terabyte med beslaglagte data.
Håndhevelse av regelverket overfor internasjonale teknologigiganter er også en utfordring. Kun et fåtall av disse selskapene har blitt ilagt korrigerende tiltak for manglende lovlighet siden regelverket trådte i kraft i 2018. Mange av selskapene går dessuten ofte til søksmål mot tilsynsmyndighetene, noe som forlenger prosessene. Dette er utfordrende både for den enkelte, som er avhengig av teknologiselskapenes tjenester, og for norske virksomheter, som er i konkurranse med disse aktørene.
Den internasjonale dimensjonen medfører at mange av sakene fremstår som komplekse og utfordrende, både for de registrerte, pliktsubjektene, for tilsynsmyndigheten og for Personvernnemnda – og eventuelt også domstolene som behandler dem i neste instans.
En praktisering av personvernforordningen i harmoni med resten av Europa, vil forbli en utfordring. Vi ser det som et særlig ansvar å sørge for at Norges EØS-forpliktelser blir etterlevd. Harmonisert praktisering av regelverket er en del av dette, og en forutsetning for at norske innbyggere kan nyte godt av et rettsvern som er på samme nivå som resten av landene i EØS-området. Det vil også forventes at vi kan veilede om rettsutviklingstrekkene i Europa, både overfor enkeltpersoner og overfor offentlige og private virksomheter. Schrems II-dommen, og det behovet for avklaringer som oppsto i kjølvannet av den, er et eksempel på dette. Vi ser for oss at lignende situasjoner kan oppstå også i tiden fremover.
Arbeidet i det europeiske Personvernrådet vil være essensielt i den forbindelsen, og er et satsningsområde for oss. Utstrakt deltakelse i Personvernrådet med undergrupper vil derfor fortsatt ha høy prioritet. Dette arbeidet vil være en nødvendig forutsetning for å ruste oss til å møte de rettslige utfordringene som kommer. Kunnskap om rettsutviklingen i EU og EØS er nødvendig for en korrekt regelverkshåndhevelse einnenfor personvernretten.
Vi regner også med at det høye antallet BCR-saker og andre ressurskrevende grenseoverskridende saker vil vedvare. Dette er saker som vi har plikt til å behandle, og dermed kan behandlingen av dem måtte gå foran andre viktige oppgaver.
Datatilsynet er godt i gang med andre runde av sandkassen, og opptaksrunde tre utlyses våren 2022. I tillegg til å gjennomføre oppstartede og nye prosjekter, vil vi jobbe med utadrettet veiledningsvirksomhet med mål om å hjelpe et bredt spekter av norske virksomheter som skal utvikle eller ta i bruk kunstig intelligens på personopplysninger.
EU-kommisjonen har foreslått en «AI Act» for å regulere kunstig intelligens, og sandkasser er foreslått som ett av tiltakene. Vi har opplevd stor interesse for sandkassen vår nasjonalt og internasjonalt, og vi tror dette er en metode som vil ha stor nytte for både virksomheter og myndigheter fremover. Vi opplever det som en effektiv metode for å utforske grensene for innovasjon og personvern – og ikke minst hvordan disse to kan gå hånd i hånd. Høsten 2021 sendte vi et satsingsforslag til Kommunal- og distriktsdepartementet med forslag om å etablere en permanent sandkasse for ansvarlig innovasjon, med oppstart i 2023.
Når det gjelder barn og unge, er utviklingen positiv, men det gjenstår det mye arbeid. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil. Det er derfor et stort behov for veiledning, selvhjelpsverktøy og bistand. Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet.
Kommunesektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene, er økende. Bedre samordning og koordinering er viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe». Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog og som pådriver. I tillegg vil vi fortsatt behandle enkeltsaker og avviksmeldinger, og gjennomføre tilsyn. Vi opplever dialogen med aktørene på feltet som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.
Vi mottar fortsatt svært mange henvendelser om personvern i arbeidslivet. Dette er bekymringsfullt. Norske arbeidstakere tilbringer mye tid på arbeidsplassen. Det er et sted vi skal utvikle oss, i tillegg til å være en viktig sosial arena. Vår vurdering er at regelverket er godt, men at etterlevelsen er for dårlig. Datatilsynet har en viktig oppgave fremover med å gi råd og veiledning både til virksomheter og arbeidstagere, og kontrollere at regelverket følges. En del av sakene vi mottar, viser at det ofte er en underliggende konflikt som ligger bak et overvåkingstiltak fra arbeidsgiveren. Dette gjør bevisbildet komplisert, og saken vanskelig å løse. Vi må derfor utvikle strategier for mer effektiv behandling av saker om personvern i arbeidslivet.
En annen bekymring er knyttet til cybersikkerhet. Vi behandlet flere store saker knyttet til dette det siste året, og i årets siste uker var det fire store sikkerhetshendelser som rammet svært mange borgere i Norge. Mange virksomheter tar ikke sikkerhet på alvor før en hendelse inntreffer. Det er også påfallende at et angrep ofte starter ved at en ansatt åpner et vedlegg til en epost eller klikker på en lenke. Mange angrep kan forhindres med relativt enkle tekniske tiltak. Det blir derfor viktig for oss å aktivt spre informasjon om hvilke tiltak som bør iverksettes, og jobbe tett sammen med andre offentlige organer, private virksomheter og organisasjoner for å nå ut til flest mulig.
Datatilsynet er en populær arbeidsplass, og vi har en meget kompetent stab. Vi har mange gode søkere til de fleste stillingene våre, men vi ser at det er særlig utfordrende å få tak i folk med sikkerhetsbakgrunn.
I kommunikasjonsarbeidet vårt, ser vi også flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant publikum, skyter stadig fart, og vi må gjøre grundige risikovurderinger før nye verktøy og plattformer tas i bruk. Dette er tidvis ressurskrevende. I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper.
I skrivende stund har den tragiske krigen i Ukraina brutt ut. Vi vet at dette vil gi store ringvirkninger, også for personopplysningssikkerheten. Vi vil derfor følge utviklingen nøye.
1.6 Årsregnskap
1.6.1 Ledelseskommentarer med direktørens signatur
Datatilsynet er på nettoføringsordningen. Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto, og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.
Bevilgning
Datatilsynet fikk 66 660 000 kroner til disposisjon i budsjettproposisjonen for 2021. Vi fikk også 1 185 000 kroner i kompensasjon, som følge av budsjettmessige virkninger av lønnsoppgjøret i 2021. I tillegg ble det overført 2 293 000 kroner fra 2020. Når disse to var lagt til, hadde vi totalt 70 138 000 kroner til disposisjon i 2021.
Mellomværende med statskassen utgjorde 2 409 406 kroner per 31.12.2021. Dette er skyldig skattetrekk.
Samlet har Datatilsynet på kapittel 054501 hatt et mindreforbruk på 965 000 kroner.
Datatilsynet fikk i 2021 også følgende budsjettfullmakter til drift av regulatorisk sandkasse for personvern og kunstig intelligens:
Kommunal- og moderniseringsdepartementets kapittel 0541/22 kr. 4 000 000
Arbeids- og sosialdepartementets kapittel 0605/01 kr. 1 000 000
Helse- og omsorgsdepartementets kapittel 0701/21 kr. 1 000 000
Kunnskapsdepartementets kapittel 0226/21 kr. 1 000 000
Nærings- og fiskeridepartementets kapittel 0920/50 kr. 500 000
Nærings- og fiskeridepartementets kapittel 2421/50 kr. 500 000
Samferdselsdepartementets kapittel 1301/21 kr. 1 000 000
Det ble totalt sett ett mindreforbruk på 709 000 kroner her.
Statens konsernkontoordning
Datatilsynet omfattes av statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på konsernkontoen vår.
Fullserviceavtale med DFØ
Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for forvaltning og økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.
Avtale med Statens innkrevingssentral
Datatilsynet har en samarbeidsavtale med Statens innkrevingssentral om at de innkrever tvangsmulkt og overtredelsesgebyr på vegne av tilsynet. Gebyrer inngår ikke som driftsinntekt, men føres på kapittel 3545 i statsregnskapet. I 2021 beløper dette seg til 10 705 000 kroner.
Vurdering
Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R-115 fra Finansdepartementet, og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler.
Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er per dags dato ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen og revisjonsberetningen ikke lenger har status utsatt offentlighet.
Oslo, 10. mars 2022
Janne Stang Dahl
Konstituert direktør
1.6.2 Prinsippnote for årsregnskapet
Årsregnskapet er utarbeidet og avlagt etter nærmere retningslinjer fastsatt i bestemmelser om økonomistyring i staten («bestemmelsene»). Regnskapet er i henhold til krav i bestemmelsene pkt. 3.4.1, nærmere bestemmelser i Finansdepartementets rundskriv R-115 av desember 2019 og eventuelle tilleggskrav fastsatt av overordnet departement.
Oppstillingen av bevilgningsrapporteringen og artskontorapporteringen er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2. Grunnleggende prinsipp for årsregnskapet:
a. Regnskapet følger kalenderåret
b. Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret
c. Utgifter og inntekter er ført i regnskapet med brutto beløp
d. Regnskapet er utarbeidet i tråd med kontantprinsippet
Oppstillingene av bevilgnings- og artskontorapportering er utarbeidet etter de samme prinsippene, men gruppert etter ulike kontoplaner. Prinsippene samsvarer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.
Vi er tilknyttet statens konsernkontoordning i Norges Bank i henhold til krav i bestemmelsene pkt. 3.7.1. Bruttobudsjetterte virksomheter tilføres ikke likviditet gjennom året, men har en trekkrettighet på sin konsernkonto. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgang til nytt år.
Bevilgningsrapporteringen
Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet. Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitlene og postene i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Kolonnen «samlet tildeling» viser hva virksomheten har fått til disposisjon i tildelingsbrev for hver statskonto (kapittel/post). Oppstillingen viser i tillegg alle finansielle eiendeler og forpliktelser virksomheten står oppført med i statens kapitalregnskap.
Mottatte fullmakter til å belaste en annen virksomhets kapittel/post (budsjettfullmakter) vises ikke i kolonnen for samlet tildeling, men er omtalt i note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte budsjettfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen for regnskap. Avgitte budsjettfullmakter er inkludert i kolonnen for samlet tildeling, men bokføres og rapporteres ikke til statsregnskapet fra virksomheten selv. Avgitte budsjettfullmakter bokføres og rapporteres av virksomheten som har mottatt belastningsfullmakten, og vises derfor ikke i kolonnen for regnskap. De avgitte fullmaktene framkommer i note B til bevilgningsoppstillingen.
Artskontorapporteringen
Oppstillingen av artskontorapporteringen har en øvre del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter, og en nedre del som viser eiendeler og gjeld som inngår i mellomværende med statskassen. Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Vi har en trekkrettighet på konsernkonto i Norges Bank. Tildelingene er ikke inntektsført og er derfor ikke vist som inntekt i oppstillingen.
1.6.3 Årsregnskap
Oppstilling av bevilgningsrapportering
Utgiftskapittel | Kapittelnavn | Post | Posttekst | Note | Samlet tildeling | Regnskap 2021 | Merutgift (-) og mindreutgift |
---|---|---|---|---|---|---|---|
0226 | Kunnskapsdepartementet | 21 | Regulatorisk sandkasse for personvern og kunstig intelligens | A, B | 1 000 000 | 999 929 | 71 |
0541 | KMD | 22 | Reg. sandkasse for personvern og KI | A, B | 4 000 000 | 3 290 456 | 709 544 |
0545 | Datatilsynet | 01 | Driftsutgifter | A, B | 70 138 000 | 69 172 510 | 965 490 |
0605 | Arbeids- og sosialdepartementet | 01 | Reg. sandkasse for personvern og KI | A, B | 1 000 000 | 997 197 | 2 803 |
0701 | Helse- og omsorgsdepartementet | 21 | Reg. sandkasse for personvern og KI | A, B | 1 000 000 | 999 999 | 1 |
0920 | Nærings- og fiskeridepartementet | 50 | Reg. sandkasse for personvern og KI | A, B | 500 000 | 500 000 | 0 |
1301 | Samferdselsdepartementet | 21 | Reg. sandkasse for personvern og KI | A, B | 1 000 000 | 999 993 | 7 |
2421 | Nærings- og fiskeridepartementet | 50 | Reg. sandkasse for personvern og KI | A, B | 500 000 | 500 000 | 0 |
1633 | Finansdepartementet | 01 | Nettoordning for mva i staten | B | 0 | 2 496 975 | - |
Sum utgiftsført | 79 138 000 | 79 957 060 | - |
Inntektskapittel | Kapittelnavn | Post | Posttekst | Samlet tildeling | Regnskap 2021 | Merinntekt og mindreinntekt (-) | |
---|---|---|---|---|---|---|---|
5309 | Tilfeldige inntekter | 29 | Tilfeldige inntekter | 0 | 87 019 | ||
5700 | Arbeidsgiveravgift | 72 | Arbeidsgiveravgift | 0 | 7 323 706 | ||
Sum inntektsført | 0 | 7 410 726 | |||||
Netto rapportert til bevilgningsregnskapet | 72 546 335 | ||||||
Kapitalkontoer | |||||||
60065401 | Norges Bank KK/innbetalinger | 2 237 252 | |||||
60065402 | Norges Bank KK/utbetalinger | -74 342 648 | |||||
715003 | Endring i mellomværende med statskassen | -440 939 | |||||
Sum rapportert | 0 |
Beholdninger rapportert til kapitalregnskapet (31.12)
Konto | Tekst | 31.12.2021 | 31.12.2020 | Endring |
---|---|---|---|---|
715003 | Mellomværende med statskassen | -2 409 406 | -1 968 467 | -440 939 |
Note A – Forklaring av samlet tildeling utgifter
Kapittel og post | Overført fra i fjor | Årets tildelinger | Samlet tildeling |
---|---|---|---|
022621 | 1 000 000 | 1 000 000 | |
054122 | 4 000 000 | 4 000 000 | |
054501 | 2 293 000 | 67 845 000 | 70 138 000 |
060501 | 1 000 000 | 1 000 000 | |
070121 | 1 000 000 | 1 000 000 | |
092050 | 500 000 | 500 000 | |
130121 | 1 000 000 | 1 000 000 | |
242150 | 500 000 | 500 000 |
Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år
Kapittel og post | Stikkord | Merutgift (-) / mindreutgift | Merutgift (-) / mindreutgift etter avgitte belastningsfullmakter | Sum grunnlag for overføring | Maks. overførbart beløp | Mulig overførbart beløp beregnet av virksomheten |
---|---|---|---|---|---|---|
054501 | 965 490 | 965 490 | 965 490 | 3 506 900 | 965 000 | |
054122 | Kan overføres | 709 544 | 709 544 | 709 544 | 709 544 | 709 544 |
022621 | 71 | 71 | 0 | 0 | 0 | |
060501 | 2803 | 2 803 | 2 803 | 0 | 0 | |
070121 | 1 | 1 | 1 | 0 | 0 | |
092050 | 0 | 0 | 0 | 0 | 0 | |
130121 | 7 | 7 | 7 | 0 | 0 | |
242150 | 0 | 0 | 0 | 0 | 0 | |
163301 | 0 | 0 | Ikke aktuell | - | - |
Forklaring til bruk av budsjettfullmakter
Mottatte budsjettfullmakter (gjelder for både utgiftskapitler og inntektskapitler)
Datatilsynet omfattes av nettoføringsordningen i staten og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapittel / post 163301.
Samtlige andre budsjettfullmakter er benyttet fullt ut og ingen beløp overføres.
Stikkordet «kan overføres»
Datatilsynet har hatt en budsjettfullmakt på KMDs kapittel/post 054122. Mindreforbruket bes ikke overført til 2022 etter avtale med KMD.
Avgitte budsjettfullmakter (utgiftsført av andre på utgiftskapitler og inntektsført av andre på inntektskapitler)
Datatilsynet har ingen avgitte budsjettfullmakter i 2021.
Mulig overførbart beløp
Mindreutgifter på post 01 er beregnet til kr 965 000. Beløpet er under grensen for overføring av 5 prosent av årets tildeling på post 01, hvor hele beløpet søkes overført til 2022. Mindreforbruk skyldes i hovedsak vakanser ved årsslutt og forskyving av utgifter som belastes tidlig i 2022.
Oppstilling av artskontorapportering
Note | 2021 | 2020 | |
---|---|---|---|
Driftsinntekter rapportert til bevilgningsregnskapet | |||
Innbetalinger fra gebyrer | 0 | 0 | |
Innbetalinger fra tilskudd og overføringer | 0 | 0 | |
Salgs- og leieinnbetalinger | 0 | 0 | |
Andre innbetalinger | 0 | 0 | |
Sum innbetalinger fra drift | 0 | 0 | |
Driftsutgifter rapportert til bevilgningsregnskapet | |||
Utbetalinger til lønn | 1 | 59 847 429 | 49 971 450 |
Andre utbetalinger til drift | 2 | 15 510 483 | 16 754 174 |
Sum utbetalinger til drift | 75 357 912 | 66 725 625 | |
Netto rapporterte driftsutgifter | 75 357 912 | 66 725 625 | |
Investerings- og finansinntekter rapportert til bevilgningsregnskapet | |||
Innbetaling av finansinntekter | 0 | 0 | |
Sum investerings- og finansinntekter | 0 | 0 | |
Investering- og finansutgifter rapportert til bevilgningsregnskapet | |||
Utbetaling til investeringer | 4 | 2 089 713 | 1 374 583 |
Utbetaling til kjøp av aksjer | 0 | 0 | |
Utbetaling av finansutgifter | 3 | 12 461 | 4 114 |
Sum investerings- og finansutgifter | 2 102 174 | 1 378 697 | |
Netto rapporterte investerings- og finansutgifter | 2 102 174 | 1 378 697 | |
Innkrevingsvirksomhet og andre overføringer til staten | |||
Innbetaling av skatter, avgifter, gebyrer m.m. | 0 | 0 | |
Sum innkrevingsvirksomhet og andre overføringer til staten | 0 | 0 | |
Tilskuddsforvaltning og andre overføringer fra staten | |||
Utbetalinger av tilskudd og stønader | 0 | 0 | |
Sum tilskuddsforvaltning og andre overføringer fra staten | 0 | 0 | |
Inntekter og utgifter rapportert på felleskapitler | |||
Gruppelivsforsikring konto 1985 (ref. kap. 5309, inntekt) | 87 019 | 73 400 | |
Arbeidsgiveravgift konto 1986 (ref. kap. 5700, inntekt) | 7 323 706 | 6 144 170 | |
Nettoføringsordning for merverdiavgift konto 1987 (ref. kap. 1633, utgift) | 2 496 975 | 2 921 842 | |
Sum inntekter og utgifter rapportert på felleskapitler | -4 913 751 | -3 295 728 | |
Netto rapportert til bevilgningsregnskapet | 72 546 335 | 64 808 594 | |
Oversikt over mellomværende med statskassen | |||
Eiendeler og gjeld | |||
Fordringer | 18 646 | 12 500 | |
Kontanter | 0 | 0 | |
Bankkontoer med statlige midler utenfor Norges Bank | 0 | 0 | |
Skyldig skattetrekk og andre trekk | -2 404 349 | -1 980 967 | |
Skyldig offentlige avgifter | -23 703 | 0 | |
Avsatt pensjonspremie til Statens pensjonskasse | 0 | 0 | |
Mottatte forskuddsbetalinger | 0 | 0 | |
Lønn (negativ netto, for mye utbetalt lønn m.m.) | 0 | 0 | |
Differanser på bank og uidentifiserte innbetalinger | 0 | 0 | |
Sum mellomværende med statskassen | 5 | -2 409 406 | -1 968 467 |
Note 1 – Utbetalinger til lønn
31.12.2021 | 31.12.2020 | |
---|---|---|
Lønn | 48 219 658 | 39 586 513 |
Arbeidsgiveravgift | 7 323 706 | 6 144 170 |
Pensjonsutgifter1 | 5 389 877 | 4 719 638 |
Sykepenger og andre refusjoner (-) | -2 237 252 | -1 532 047 |
Andre ytelser | 1 151 440 | 1 053 177 |
Sum utbetalinger til lønn2 | 59 847 429 | 49 971 450 |
Antall årsverk: | 60,6 | 51,6 |
1 Pensjoner kostnadsføres i resultatregnskapet basert på faktisk påløpt premie for regnskapsåret. Premiesats for både 2020 og 2021 er 14 prosent.
2 Årsak til økning i lønnsutgifter og arbeidsgiveravgift er midlertidig tilsetting i prosjekt sandkasse, og nyopprettede stillinger. Det har vært høyere andel sykefravær og flere foreldrepermisjoner i 2021.
Note 2 – Andre utbetalinger til drift
31.12.2021 | 31.12.2020 | |
---|---|---|
Husleie1 | 3 962 475 | 4 520 540 |
Vedlikehold egne bygg og anlegg | 0 | 0 |
Vedlikehold og ombygging av leide lokaler | 1 870 | 35 351 |
Andre utgifter til drift av eiendom og lokaler2 | 1 239 326 | 839 134 |
Reparasjon og vedlikehold av maskiner, utstyr mv. | 50 016 | 60 308 |
Mindre utstyrsanskaffelser | 433 285 | 365 766 |
Leie av maskiner, inventar og lignende | 3 925 248 | 4 641 160 |
Kjøp av konsulenttjenester3 | 2 265 575 | 3 584 020 |
Kjøp av fremmede tjenester4 | 924 144 | 331 709 |
Reiser og diett | 283 664 | 378 761 |
Øvrige driftsutgifter5 | 2 424 879 | 1 997 427 |
Sum andre utbetalinger til drift | 15 510 483 | 16 754 174 |
1 Uttrekk overhead, midlertid drift knyttet til prosjekt sandkasse.
2 Utgifter i forbindelse med flytting til nye lokaler.
3 Lavere aktivitet på prosjekter som følge av pandemi.
4 Kjøp av konsulenttjenester til drift av IKT systemer i forbindelse med flytting.
5 Diverse andre utgifter i forbindelse med flytting og etablering av nye kontorarbeidsplasser.
Note 3 – Finansinntekter og -utgifter
31.12.2021 | 31.12.2020 | |
---|---|---|
Innbetaling av finansinntekter | ||
Renteinntekter | 0 | 0 |
Valutagevinst | 0 | 0 |
Annen finansinntekt | 0 | 0 |
Sum innbetaling av finansinntekter | 0 | 0 |
Utbetaling av finansutgifter | ||
Renteutgifter | 12 461 | 4 114 |
Valutatap | ||
Annen finansutgift | ||
Sum utbetaling av finansutgifter | 12 461 | 4 114 |
Note 4 – Utbetaling til investeringer og kjøp av aksjer
31.12.2021 | 31.12.2020 | |
---|---|---|
Utbetaling til investeringer | ||
Immaterielle eiendeler og lignende | 0 | 0 |
Tomter, bygninger og annen fast eiendom | 0 | 0 |
Infrastruktureiendeler | 0 | 0 |
Maskiner og transportmidler | 0 | 0 |
Driftsløsøre, inventar, verktøy og lignende1 | 2 089 713 | 1 374 583 |
Sum utbetalt til investeringer | 2 089 713 | 1 374 583 |
Utbetaling til kjøp av aksjer | ||
Kapitalinnskudd | 0 | 0 |
Obligasjoner | 0 | 0 |
Investeringer i aksjer og andeler | 0 | 0 |
Sum utbetaling av aksjer | 0 | 0 |
1 Har økt som følge av skifte av diverse IKT-utstyr i forbindelse med flytting til nye kontorlokaler.
Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen
Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen
31.12.2021 Spesifisering av bokført avregning med statskassen | 31.12.2021 Spesifisering av rapportert mellomværende med statskassen | Forskjell | |
---|---|---|---|
Finansielle anleggsmidler | |||
Investeringer i aksjer og andeler | 0 | 0 | 0 |
Obligasjoner | 0 | 0 | 0 |
Sum | 0 | 0 | 0 |
Omløpsmidler | |||
Kundefordringer | 0 | 0 | 0 |
Andre fordringer | 18 646 | 18 646 | 0 |
Bankinnskudd, kontanter og lignende | 0 | 0 | 0 |
Sum | 18 646 | 18 646 | 0 |
Langsiktig gjeld | |||
Annen langsiktig gjeld | 0 | 0 | 0 |
Sum | 0 | 0 | 0 |
Kortsiktig gjeld | |||
Leverandørgjeld | -1 223 367 | 0 | -1 223 367 |
Skyldig skattetrekk | -2 404 349 | -2 404 349 | 0 |
Skyldige offentlige avgifter | -23 703 | -23 703 | 0 |
Annen kortsiktig gjeld | 0 | 0 | 0 |
Sum | -3 651 419 | -2 428 052 | -1 223 367 |
Sum | -3 632 773 | -2 409 406 | -1 223 367 |
1.7 Vedlegg
A. Høringsuttalelser
Tabellen viser en oversikt over høringer Datatilsynet har hatt merknader til i 2021. (Tabellen er sortert etter hvem som har sendt ut høringen.)
Dok.nr. | Tittel | Dok.dato | Til/fra | |
---|---|---|---|---|
1. | 21/02085-2 | Høringsuttalelse – endring i sosialtjenesteloven § 51 a om bestemmelser ved allmennfarlig smittsom sykdom | 02.08.2021 | Arbeids- og sosialdepartementet |
2. | 21/01237-2 | Høringsuttalelse – endringer i reglene om påseplikt etter allmenngjøringsloven (oppdragstakers dokumentasjonsplikt) | 28.05.2021 | Arbeids- og sosialdepartementet |
3. | 21/01924-2 | Høringsuttalelse – Forslag til endring i Riksarkivarens forskrift | 09.08.2021 | Arkivverket |
4. | 21/03331-2 | Høringsuttalelser – forslag til endringer i barnevernloven og forskrift om politiattest i henhold til barnevernloven (politiattest for ansatte i Bufetat som er i kontakt med mindreårige mv.) | 06.12.2021 | Barne- og familiedepartementet |
5. | 21/00294-2 | Høringsuttalelse – Høring NOU 2020: 14 Ny barnelov | 06.05.2021 | Barne- og familiedepartementet |
6. | 20/04889-2 | Høringsuttalelse – tverrfaglig helsekartlegging av barn i barnevernet | 23.03.2021 | Barne- og familiedepartementet |
7. | 20/04387-2 | Høringsuttalelse – Gjennomføring av moderniseringsdirektivet i norsk rett | 10.02.2021 | Barne- og familiedepartementet |
8. | 21/02345-2 | Høringsuttalelse – Forslag til forskrift om behandling av opplysninger om natur- og vannskader i Kunnskapsbanken | 24.09.2021 | Direktoratet for samfunnssikkerhet og beredskap (DSB) |
9. | 21/03287-2 | Høringsuttalelse – Nytt verdsettelsessystem for fritidsboliger | 20.12.2021 | Finansdepartementet |
10. | 21/01918-2 | Høringsuttalelse – Utkast til forskrift om innhenting av politiattest, gjelds- og kredittopplysninger ved arbeid eller tjeneste for Norges Bank | 29.09.2021 | Finansdepartementet |
11. | 21/02203-2 | Høringsuttalelse – Eiendomsmeglingsutvalgets utredning | 17.08.2021 | Finansdepartementet |
12. | 21/01349-2 | Høringsuttalelse – Norge mot 2025 NOU 2021: 4 Om grunnlaget for verdiskaping, produksjon, sysselsetting og velferd etter pandemien | 21.06.2021 | Finansdepartementet |
13. | 21/02974-2 | Høringsuttalelse – Forslag til endringer i matloven og kosmetikklova (behandling av personopplysninger mm) | 20.12.2021 | Helse- og omsorgsdepartementet |
14. | 21/02563-2 | Høringsuttalelse – Oppfølging av forslagene fra Tvangslovutvalget | 01.11.2021 | Helse- og omsorgsdepartementet |
15. | 21/02551-2 | Høringsuttalelse – Endringer i pasientjournalloven m.v. – Nasjonal digital samhandling til beste for pasienter og brukere | 15.10.2021 | Helse- og omsorgsdepartementet |
16. | 21/03000-2 | Høringsuttalelse – midlertidige endringer i smittevernloven (forskriftshjemler om koronasertifikat, oppholdssted under innreisekarantene samt isolering og begrensninger i bevegelsesfrihet for å forebygge eller motvirke overføring av SARS-CoV-2) | 15.09.2021 | Helse- og omsorgsdepartementet |
17. | 21/02834-2 | Høringsuttalelse – forslag om endring i overvåkingen av influensa i MSIS | 01.10.2021 | Helse- og omsorgsdepartementet |
18. | 21/01606-2 | Høringsuttalelse – forslag til forskrift om løsning for tilgjengeliggjøring av helsedata | 12.08.2021 | Helse- og omsorgsdepartementet |
19. | 21/02314-2 | Høringsuttalelse – forslag til endringer i pasientjournalloven og IKT-standardforskriften – tilgjengeliggjøring av og betaling for nasjonale e-helseløsninger | 12.08.2021 | Helse- og omsorgsdepartementet |
20. | 21/02094-2 | Høringsuttalelse – forslag til lov om informasjonstilgang m.m. for utvalg som skal undersøke saker om overgrep begått av helsepersonell mot pasienter i perioden 2010 til 2020 | 03.06.2021 | Helse- og omsorgsdepartementet |
21. | 21/01761-2 | Høringsuttalelse – koronasertifikat – endringer i smittevernloven | 11.05.2021 | Helse- og omsorgsdepartementet |
22. | 20/04703-2 | Høringsuttalelse – forslag til endringer i medisinsk fødselsregisterforskriften | 09.03.2021 | Helse- og omsorgsdepartementet |
23. | 21/02890-2 | Høringsuttalelse – Forslag til endringer i Forskrift om kommunalt pasient- og brukerregister-private tannhelsetjenester | 06.12.2021 | Helsedirektoratet |
24. | 21/02939-2 | Høringsuttalelse – elektronisk kontroll ved brudd på besøksforbud (omvendt voldsalarm) | 30.11.2021 | Justis- og beredskapsdepartementet |
25. | 21/03005-2 | Høringsuttalelse – endringer i straffeloven og skadeserstatningsloven (skjult personforfølgelse mv.) | 30.11.2021 | Justis- og beredskapsdepartementet |
26. | 21/02629-2 | Høringsuttalelse – Forslag til forskrift om deling av taushetsbelagte opplysninger og behandling av personopplysninger m.m. i det tverretatlige samarbeidet mot arbeidslivskriminalitet | 08.09.2021 | Justis- og beredskapsdepartementet |
27. | 21/02431-2 | Høringsuttalelse – Forslag til endringer i utlendingsloven og ny forskrift (statlig tilsyn med omsorgen for enslige mindreårige som bor i asylmottak) | 20.09.2021 | Justis- og beredskapsdepartementet |
28. | 21/02627-2 | Høringsuttalelse – forslag til ny rettsakt om Schengen evalueringsmekanisme | 31.08.2021 | Justis- og beredskapsdepartementet |
29. | 21/02275-2 | Høringsuttalelse – Forslag til endringer i forbrukerkjøpsloven | 23.09.2021 | Justis- og beredskapsdepartementet |
30. | 21/02033-2 | Høringsuttalelse om endringer i straffeloven mv. – påvirkningsvirksomhet | 13.08.2021 | Justis- og beredskapsdepartementet |
31. | 21/01376-3 | Høringsuttalelse – forslag til ny forskrift om grensetilsyn og grensekontroll av personer (grenseforskriften) mv. og nytt kapittel 60 i politiregisterforskriften om behandling av passasjerinformasjon (PNR-opplysninger) | 25.06.2021 | Justis- og beredskapsdepartementet |
32. | 21/01726-2 | Høringsuttalelse – Forslag til endringer i utlendingsloven og utlendingsforskriften – rettshåndhevende myndigheters tilgang til Eurodac | 11.06.2021 | Justis- og beredskapsdepartementet |
33. | 21/01411-3 | Høringsuttalelse – endringer i SIS-loven – gjennomføring av nye rettsakter | 06.05.2021 | Justis- og beredskapsdepartementet |
34. | 21/00947-2 | Høringsuttalelse – NOU 2020: 17 «Varslede drap?» Partnerdrapsutvalgets utredning | 28.04.2021 | Justis- og beredskapsdepartementet |
35. | 21/01376-2 | Høringsuttalelse – endringer i grenseloven mv. – ny forskrift om grensetilsyn og grensekontroll av personer (grenseforskriften) mv. og nytt kapittel 60 i politiregisterforskriften om behandling av flypassasjerinformasjon (PNR-opplysninger) | 10.06.2021 | Justis- og beredskapsdepartementet |
36. | 20/04585-2 | Høringsuttalelse – Ny lov om levering av digitale ytelser til forbrukere (digitalytelsesloven) | 19.02.2021 | Justis- og beredskapsdepartementet |
37. | 20/04356-2 | Høringsuttalelse – Forslag til nye regler om tilsynsråd for kriminalomsorgen | 11.02.2021 | Justis- og beredskapsdepartementet |
38. | 20/04839-2 | Høringsuttalelse – militærpolitiets behandling av opplysninger | 10.02.2021 | Justis- og beredskapsdepartementet |
39. | 20/04161-2 | Høringsuttalelse – NOU 2020: 11 Den tredje statsmakt – Domstolene i endring | 07.06.2021 | Justis- og beredskapsdepartementet |
40. | 20/03968-2 | Høringsuttalelse – Endringer i ekomloven (lagring av IP-adresser mv) | 18.01.2020 | Kommunal- og moderniseringsdepartementet |
41. | 21/02527-3 | Felles høringsuttalelse fra Forbrukertilsynet og Datatilsynet – Forslag til ny ekomlov § 3-7 – samtykke til informasjonskapsler | 20.10.2021 | Kommunal- og moderniseringsdepartementet |
42. | 21/02527-2 | Høringsuttalelse – Forslag til ny ekomlov, ny ekomforskrift og endringer i nummerforskriften | 15.10.2021 | Kommunal- og moderniseringsdepartementet |
43. | 21/01648-2 | Høringsuttalelse – Forslag om å forskriftsfeste ansettelsesform for direktøren i Datatilsynet | Kommunal- og moderniseringsdepartementet | |
44. | 21/03077-2 | Høringsuttalelse – Forslag til egen bestemmelse om DNS-blokkering av nettsider som tilbyr pengespill som ikke har tillatelse i Norge | 02.11.2021 | Kulturdepartementet |
45. | 21/02427-2 | Høringsuttalelse – NOU 2021: 3 Barneliv foran, bak og i skjermen og notat om forslag til endringer i bildeprogramloven | 24.09.2021 | Kulturdepartementet |
46. | 21/01253-2 | Høringsuttalelse – Forslag til ny forskrift til åndsverkloven | 26.04.2021 | Kulturdepartementet |
47. | 21/02870-2 | Høringsuttalelse – Forslag til ny opplæringslov og endringer i friskoleloven | 20.12.2021 | Kunnskapsdepartementet |
48. | 21/03330-2 | Høringsuttalelse – Forskrift om behandling av personopplysninger i Lånekassen | 02.12.2021 | Kunnskapsdepartementet |
49. | 21/02524-2 | Høringsuttalelse – Forslag til endringer i universitets- og høyskoleloven, fagskoleloven og opplæringsloven | 01.10.2021 | Kunnskapsdepartementet |
50. | 21/02035-2 | Høringsuttalelse – Langtidsplan for forskning og høyere utdanning | 10.09.2021 | Kunnskapsdepartementet |
51. | 20/04253-3 | Høringsuttalelse – Forslag til endringer i barnehageloven, opplæringsloven og friskoleloven | 18.01.2021 | Kunnskapsdepartementet |
52. | 21/02945-2 | Høringsuttalelse – Forslag til endringer i lov om hundehold (hundeloven) | 18.11.2021 | Landbruks- og matdepartementet |
53. | 21/01224-2 | Høringsuttalelse – forslag til endring av avfallsforskriften kapittel 1 om kasserte elektriske og elektroniske produkter | 28.05.2021 | Miljødirektoratet |
54. | 21/03222-2 | Høringsuttalelse – Endringer i konkurranseloven | 21.12.2021 | Nærings- og fiskeridepartementet |
55. | 21/00685-2 | Høringsuttalelse til forslag om endringer i standard for god regnskapsføringsskikk (GRFS) | 16.02.2021 | Regnskap norge |
56. | 21/03141-3 | Høringsuttalelse – forslag til regelverk for kontrollutrustning i drosje | 21.12.2021 | Samferdselsdepartementet |
57. | 21/00654-2 | Høringsuttalelse – Forslag om krav til høyhastighetsbevis for fører av fritidsbåt, krav til automatisk nødstopp og fjerning av 10-knopsgrense for fører under 16 år | 16.02.2021 | Sjøfartsdirektoratet |
58. | 21/02889-3 | Høringsuttalelse – Forslag om opplysningsplikt om salgs- og kjøpstransaksjoner | 15.11.2021 | Skatteetaten |
59. | 21/00787-3 | Høringsuttalelse – Forslag om utlevering av opplysninger fra a-meldingen til NAV | 24.03.2021 | Skatteetaten |
60. | 20/04407-2 | Høringsuttalelse – Krav til banker og finansforetak om levering av kontrollopplysninger etter skatteforvaltningsloven §10-2 | 12.01.2021 | Skatteetaten |
61. | 21/02612-2 | Høringsuttalelse – Forslag til endringer i vegtransportloven og yrkestransportloven for gjennomføring av mobilitetspakken | 29.09.2021 | Statens vegvesen |
B. Saker sendt til Personvernnemnda
Tabellen viser alle sakene Datatilsynet har sendt til Personvernnemnda (PVN) for klagebehandling og som er registrert hos nemnda i 2021.
Sak | Klager | Tittel | Saksnr. PVN | Vedtak i PVN | |
---|---|---|---|---|---|
1. | 20/01787 | Ellingsrudåsen Senter Sameie | Klage på vedtak om pålegg – Opphør av kameraovervåking av fellesområder i boligsameie | PVN-2021-01 | Klagen tas til følge |
2. | 20/02330 | Privatperson | Klage på avslag på krav om innsyn i etterlysnings- og utleveringssak | PVN-2021-02 | Klagen tas ikke til følge |
3. | 20/02178 | Vink Norway AS | Klage på vedtak om overtredelsesgebyr – Innsyn i arbeidstakers e-post | PVN-2021-03 | Klagen tas til følge – Gebyr justert ned |
4. | 20/02172 | Lindstrand Trading AS | Klage på kredittvurdering uten saklig behov | PVN-2021-04 | Klagen tas ikke til følge |
5. | 20/02912 | Privatperson | Klage på vedtak om avslag på krav om sletting av treff i søkemotoren Google | PVN-2021-05 | Klagen tas ikke til følge |
6. | 21/00045 | Privatperson | Klage på avvisning av sak – Innsyn i personopplysninger knyttet til IP-adresser | PVN-2021-06 | Klagen tas ikke til følge |
7. | 20/01830 | Privatperson | Klage på vedtak om avvisning av klage – Klage på kredittvurdering uten behandlingsgrunnlag – Bunker Oil AS | PVN-2021-07 | Klagen tas til følge |
8. | 20/01873 | Privatperson | Klage på avgjørelse om å avslutt sak – Behandling av opplysninger om etnisk opprinnelse i helsejournal – NKS Jæren distriktspsykiatriske senter | PVN-2021-08 | Klagen tas ikke til følge |
9. | 20/01790 | Coop Finnmark SA | Klage på vedtak om overtredelsesgebyr – Utlevering av personopplysninger innsamlet ved kameraovervåking- PVN-2021-15 gjelder dekning av saksomkostninger | PVN-2021-09 og PVN-2021-15 | Klagen tas til følge |
10. | 20/01633 | Privatperson | Klage på avgjørelse om at kameraovervåking av inngangspartiet ikke innebar behandling av biometriske opplysninger – Expressgym Sellebakk | PVN-2021-10 | Klagen tas ikke til følge |
11. | 20/04531 | Privatperson | Klage på avgjørelse om å avslutte sak – Innhenting av opplysninger om stedsposisjon ved elektronisk signering | PVN-2021-11 | Klagen tas ikke til følge |
12. | 20/01873 | Privatperson | Klage på vedtak om avvisning av klage på grunn av oversittet klagefrist | PVN-2021-12 | Klagen tas ikke til følge |
13. | 20/01874 | Basaren Drift AS | Klage på vedtak om overtredelsesgebyr – kameraovervåking på arbeidsplassen | PVN-2021-13 | Klagen tas til følge |
14. | 20/02367 | Privatperson | Klage på vedtak om avslutning av sak – Innsyn i personopplysninger på arbeidsplassen – Vadsø kommune | PVN-2021-14 | Klagen tas ikke til følge |
15. | 20/02291 | Sykehuset Østfold HF | Klage på vedtak om overtredelsesgebyr – Melding om avvik | PVN-2021-16 | Klagen tas delvis til følge |
16. | 20/02389 | Google LLC | Klage på vedtak om sletting av søketreff i søkemotoren Google | PVN-2021-17 | Klagen tas ikke til følge |
17. | 20/02059 | Privatperson | Klage på vedtak om avslag på krav om sletting i søkemotoren Google | PVN-2021-18 | Under arbeid |
18. | 20/01913 | Privatperson | Klage på vedtak om at NAV ikke har behandlet personopplysninger ulovlig – Bruk av forskningsdata fra forskningsprosjektet Ny Medisinsk Vurdering | PVN-2021-19 | Under arbeid |
19. | 20/01648 | Waxing Palace | Klage på vedtak om overtredelsesgebyr – kameraovervåking på arbeidsplassen | PVN-2021-20 | Under arbeid |
20. | 20/02237 | Oslo universitetssykehus | Klage på vedtak i sak om tjenesteutsetting av laboratorieanalyser til andre land | PVN-2021-21 | Under arbeid |
21. | 20/02091 | Privatperson | Klage på privat kameraovervåking | PVN-2021-22 | Under arbeid |
C. Sanksjoner
Tabellen viser en oversikt over alle vedtakene Datatilsynet har fattet om overtredelsesgebyr (OTG) eller tvangsmulkt i 2021:
Saksnr. | Mottaker | Stikkord | Status | Gebyr | |
---|---|---|---|---|---|
1. | 20/02225 | Aquateknikk AS | Kredittvurdering uten rettslig grunnlag | 100 000 | |
2. | 20/02162 | Cyberbook AS | Innsyn i arbeidstakers e-post | 200 000 | |
3. | 20/02092 | Sandeid fengsel | Behandling av personopplysninger om ansatt | 200 000 | |
4. | 20/01916 | Bussring AS | Innsyn i arbeidstakers e-post | 250 000 | |
5. | 20/01516 | Asker kommune | Melding om avvik | 1 000 000 | |
6. | 20/01874 | Basaren Drift | Kameraovervåking på arbeidsplassen | Klagesak i PVN – Vedtak omgjort av PVN | |
7. | 20/01777 | Miljø- og kvalitetsledelse AS | Utlevering av personopplysninger fra kameraopptak | Klagebehandles | |
8. | 20/01627 | Dragefossen AS | Direktesending fra kameraovervåking av offentlig område | 150 000 | |
9. | 20/02147 | Ålesund kommune | Melding om avvik – Bruk av treningsappen Strava | 50 000 | |
10. | 20/01776 | Norges Fotballforbund | Behandling av personopplysninger om ansatt | 50 000 | |
11. | 20/01813 | St. Olavs Hospital | Melding om avvik | ||
12. | 20/01727 | Ferde AS | Overføring av personopplysninger til Kina | ||
13. | 20/02376 | BRABANK ASA | Melding om avvik | 400 000 | |
14. | 20/02165 | Moss kommune | Melding om avvik | 500 000 | |
15. | 20/02274 | Radio Grenland | Innsyn i arbeidstakers e-post | 150 000 | |
16. | 20/02375 | Ultra- Technology AS | Kredittvurdering uten rettslig grunnlag | Klagesak i PVN | |
17. | 20/01626 | Norges Idrettsforbund og Paraolympiske komitè | Melding om avvik | 1 250 000 | |
18. | 20/02023 | Oslo kommune | Melding om avvik | 400 000 | |
19. | 20/02042 | Innovasjon Norge | Kredittvurdering uten rettslig grunnlag | 1 000 000 | |
20. | 20/01879 | Høylandet kommune Helse og omsorg | Melding om avvik | Endring av vedtak – gebyr nedjustert | 200 000 |
21. | 20/01648 | Waxing Palace | Kameraovervåking på arbeidsplassen | Klagesak i PVN | |
22. | 20/02194 | Statens vegvesen | Manglende sletting av personopplysninger i bomringen | 1 000 000 | |
23. | 20/01893 | Statens pensjonskasse | Melding om avvik | Klagebehandles | 1 000 000 |
24. | 20/04401 | EAS/Elektro & Automasjon Systemer AS | Kredittvurdering uten rettslig grunnlag | 200 000 | |
25. | 20/04417 | T Stene Transport AS | Kredittvurdering uten rettslig grunnlag | 40 000 | |
26. | 20/02136 | Grindr LLC | 65 000 000 |