Meld. St. 29 (2022–2023)

Datatilsynets og Personvernnemndas årsrapportar for 2022

Til innhaldsliste

3 Administrasjon og ressursar

3.1 Budsjettet og rammevilkåra til Datatilsynet

Datatilsynet hadde i 2022 ei budsjettramme på kap. 545 post 01 på 69,83 mill. kroner, og fekk i tillegg 1,156 mill. kroner i lønskompensasjon. Det blei òg overført 0,965 mill. kroner i ubrukte midlar frå 2021, slik at samla disponible midlar på kap. 545 post 01 i 2021 var 71,951 mill. kroner. I tillegg fekk Datatilsynet budsjettdisponeringsfullmakter på totalt 9,2 mill. kroner til arbeidet med den regulatoriske sandkassa for personvern og kunstig intelligens. Budsjettdisponeringsfullmaktene kom frå Kommunal- og distriktdepartementet (4,0 mill. kroner), Arbeids- og inkluderingsdepartementet (1,2 mill. kroner), Helse- og omsorgsdepartementet (1,0 mill. kroner), Kunnskapsdepartementet (1,0 mill. kroner), Nærings- og fiskeridepartementet (1,0 mill. kroner) og Samferdselsdepartementet (1,0 mill. kroner)

Av utgiftene til tilsynet utgjorde 75,7 prosent utgifter til løn og 24,3 prosent utgifter til drift. Datatilsynet hadde i rapporteringsåret 55 faste og 13 mellombelse stillingar. Seks av dei mellombelse stillingane er prosjektstillingar knytte til den regulatoriske sandkassa. Vidare er sju av dei mellombels tilsette studentar i deltidsstillingar knytte til Datatilsynets ressurseining for rettleiing, med ein stillingsbrøk kvar på 25 prosent. Talet på årsverk i 2022 var 60,68. Talet held seg nokså stabilt frå 2021, der talet var 60,6. Berekninga er grunna turnover i løpet av året, reduserte stillingsbrøkar og lengre periodar med vakanse.

Datatilsynet ble leidd av direktør Bjørn Erik Thon fram til han avslutta sitt andre åremål og fråtredde i februar 2022, etter å ha vore direktør i nesten tolv år. Kommunikasjonsdirektør Janne Stang Dahl blei konstituert som direktør frå og med 4. februar og fram til ny direktør, Line Coll, tiltredde 1. august 2022. Datatilsynet har dermed hatt tre direktørar i løpet av rapporteringsperioden.

I rapporteringsåret bestod leiargruppa av éin mann og tre kvinner i tillegg til direktøren. Vidare hadde tilsynet ved årsskiftet seks seksjonsleiarar: tre menn og tre kvinner. Dette utgjer til saman Datatilsynets utvida leiargruppe.

For dei faste stillingane var det 58,8 prosent kvinner og 41,2 prosent menn. Datatilsynet bestod ved utgangen av rapporteringsåret av fire avdelingar: administrasjonsavdelinga, avdeling for kommunikasjon og samfunnskontakt, avdeling for teknologi, analyse og tryggleik, og avdeling for regelverksetterleving, internasjonal samhandling og sanksjonar.

Saksmengda i Datatilsynet har vore stigande sidan personvernforordninga blei gjennomført i norsk rett i 2018. I rapporteringsåret blei det registrert eit rekordhøgt tal nye saker, totalt 3519. Til samanlikning blei det registrert 3474 i 2021, 3271 saker i 2020 og 3118 i 2019. 598 av sakene var fremja av einskildpersonar. Sakene gjaldt mellom anna personvern i kundeforhold, bruk av helseopplysningar og personvern på arbeidsplassen. Ein betydeleg del av sakene frå einskildpersonar gjaldt også klager på ulovleg behandling av personopplysningar ved hjelp av digitale system eller tenester, slik som internett, sosiale medium og applikasjonar for mobiltelefonar. I tillegg til at talet på klager aukar, blir sakene òg stadig meir komplekse og tidkrevjande.

Innføringa av personvernforordninga i 2018, og merksemda om dei høge gebyra som kan påleggast ved brot på regelverket, har ført til svært mange avviksmeldingar til Datatilsynet. Avviksmeldingar er meldingar om brot på personopplysningstryggleiken. Personvernforordninga stiller krav om at slike brot skal meldast til datatilsynsmyndigheita. I 2017, året før forordninga tredde i kraft, fekk Datatilsynet 349 avviksmeldingar. Sidan har det vore ein jamn og stor auke. I 2022 fekk Datatilsynet 2250 avviksmeldingar, mot 1275 i 2018. Talet har dei siste par åra stabilisert seg, og talet i rapporteringsåret ligg omtrent på same nivå som året før. Det høge talet på melde avvik har ført til auka ressursbruk knytt til saksbehandling. I 2022 fekk tilsynet i underkant av 190 meldingar i gjennomsnitt per månad. Datatilsynet skriv i årsrapporten at avviksmeldingane er ei viktig kjelde til informasjon om risiko, sårbarheiter og truslar ved behandlinga av personopplysningar, mellom anna ved planlegging av risikobaserte tilsyn.

Avviksmeldingane gjeld alt frå menneskelege feil som rammar éin eller nokre få personar, til målretta hackaråtak med mange hundre tusen ramma. Den vanlegaste årsaka til avvik er likevel at personopplysningar blir sendt til feil mottakar – 41 prosent av meldingane gjaldt dette. Slike saker fører som regel ikkje til nokon reaksjon frå Datatilsynet, og personane som blir ramma blir normalt informert om hendinga før avviket blir meldt til tilsynet. 32,9 prosent av avviksmeldingane kjem frå kommunesektoren, medan 19,2 prosent stammar frå finanssektoren. Datatilsynet peiker i årsrapporten på at sjølv om ein sektor melder om mange avvik, betyr ikkje dette nødvendigvis at sektoren er ein «personvernversting». Eit høgt tal på avvik kan kome av at sektoren behandlar store mengder personopplysningar og har gode rutinar for å melde inn avvik. Datatilsynet legg samtidig til at det kan vere grunn til å tru at det framleis er mørketal og at ein del avvik ikkje blir meldt inn.

I rapporteringsåret fatta Datatilsynet 301 vedtak. Dette talet er på same nivå samanlikna med året før, da talet på registrerte vedtak var 306. I 2020 blei det til samanlikning fatta 252 vedtak. 38 av dei 301 vedtaka Datatilsynet fatta i 2022 blei påklaga. Tala er om lag like som året før. Vidare blei 22 av sakene sendt til Personvernnemnda for klagebehandling, og fem av vedtaka blei heilt eller delvis endra. Dei resterande klagesakene var ved årsskiftet framleis til behandling hos Datatilsynet. 29 av klagene gjaldt vedtak om avvising eller avgjerder om å avslutte saka. Tilsynet fekk fem klager som gjaldt gebyr for brot på personvernregelverket, tre klager som gjaldt irettesetjingar og ei klage som gjaldt ei sak der Datatilsynet hadde gitt pålegg om utbetring av internkontroll og interne rutinar.

Datatilsynet tok 17 avgjerder om gebyr for brot på personvernregelverket i 2022. Dette er ein nedgang i talet på sanksjonar samanlikna med 2021, men talet er framleis høgare enn tidlegare år. Sakene gjaldt mellom anna brot på personopplysningstryggleika, ulovleg overvaking på arbeidsplassen, innhenting av kredittopplysningar og ulovleg utlevering av personopplysningar via mobilapplikasjonar. Dei høgste gebyra var båe på 5 mill. kroner til Arbeids- og velferdsetaten for publisering av CV på arbeidsplassen.no utan rettsleg grunnlag og til Trumf AS for behandling av personopplysningar ved registrering av kontonummer via Trumf. Vidare ga Datatilsynet Østre Toten kommune eit gebyr på 4 mill. kroner og Stortinget eit gebyr på 2 mill. kroner for utilstrekkeleg informasjons- og personopplysningstryggleik som førte til at uvedkommande skaffa seg tilgang til verksemdenes it-system og personopplysningar. Til saman fatta Datatilsynet vedtak om gebyr for regelbrot på omlag 18,3 mill. kroner i 2022. Dette er ein sterk nedgang samanlikna med 2021, der det samla talet var omlag 80 mill. kroner, men dette året skilde seg ut på grunn av gebyret i Grindr-saka på 65 mill. kroner. Til samanlikning, ga Datatilsynet gebyr på til saman dryge 5,87 mill. kroner i 2020. Berre fem av gebyrvedtaka i 2022 blei påklaga til Personvernnemnda.

I 2022 fekk Datatilsynet 6916 krav om innsyn etter offentleglova. Dette inneber ein markant auke samanlikna med tidlegare år. I 2021 fekk dei 5715 innsynskrav, og i 2020 var talet 3671. Dette svarer til ein auke på 21 prosent i forhold til året før, og samanlikna med 2020, har talet nesten dobla seg. Datatilsynet vurderer at noko av årsaka til auken kan vere auka dokumentproduksjon og ei stadig aukande interesse for Datatilsynets verksemd. Datatilsynet gir innsyn i dei fleste tilfella, medan delvis innsyn blei gitt i 2019 av sakene og avslag blei gitt i 493 av sakene. Auken har medført auka innsats for å handtera alle innsynskrava, og ikkje minst har arbeidet med å vurdere meiroffentlegheit vore meir ressurskrevjande enn nokosinne, særleg for den juridiske avdelinga. Datatilsynet har sett i verk ulike tiltak for å kome den veksande etterspurnaden i møte.

Behandling av dei mange krava om innsyn tek mykje ressursar hos Datatilsynet. I si vurdering av framtidsutsikter trekkjer dei særskilt frem auka i innsynskrav, til saman med auka i andre saker, som ein utvikling som kan gå ut over anna viktig arbeid, slik som stadleg tilsyn, arbeid med sentrale høyringssaker og oppfølging av tips og meldingar om brot på personopplysningstryggleiken. Datatilsynet skriv at det store omfanget av innsynskrav fører til forseinkingar i saksbehandlingstida og at det blir vanskelegare å utføre andre av oppgåvene til tilsynet på ein optimal måte. Journalførte saker og innkomne innsynskrav utgjorde til saman 10435  saker i 2022. Dette er ein auke på 14 prosent frå året før. I snitt gir dette 274 saker til behandling per tilsett i rapporteringsåret. Datatilsynet vurderer sjølv at dei ikkje har tilstrekkelege ressursar til å føre tilsyn i den grad dei ser behov for, og heller ikkje i den grad verksemdene etterspør tilsyn frå dem.

Kommunal- og distriktsdepartementet er tilfreds med arbeidet Datatilsynet har utført i rapporteringsåret. Aktivitetsnivået har vore høgt, og tilsynet har evna å tilpasse verksemda i samsvar med sakstilfanget. I tillegg har Datatilsynet medverka til å sette personvern på dagsordenen i ei rekke samanhengar, både nasjonalt og internasjonalt. Departementet vurderer at Datatilsynet bruker dei tildelte midla på ein føremålstenleg måte. Samtidig ser departementet at saksmengda i Datatilsynet er aukande, og vil framover ha merksemd retta mot ressurssituasjonen i tilsynet.

3.2 Budsjettet og rammevilkåra til Personvernnemnda

Personvernnemnda er klageorgan for vedtak gjorde av Datatilsynet. Nemnda består av sju medlemmer med faste varamedlemmer, alle oppnemnde for fire år om gongen. Den sitjande nemnda er oppnemnd for perioden 2021 til 2024. Nemnda blir leidd av sorenskrivar Mari Bø Haugstad. Nemnda er administrativt underlagd Kommunal- og distriktsdepartementet, og departementet gjennomfører eitt årleg administrativt møte med nemndas leiar.

Personvernnemnda hadde i 2022 ein opphavleg budsjettramme på drygt 2,6 mill. kroner. I Prop. 23 S (2022–2023) for Kommunal- og moderniseringsdepartementet, jf. Innst. 131 S (2022–2023) blei løyvinga redusert med 600 000  kroner som følgje av lågt forbruk. Dette gav ei endeleg løyving i 2022 på 2 mill. kroner. Nemnda har i rapporteringsåret brukt 1,88 mill. kroner, noko som gav eit mindreforbruk på 148 268 kroner. Det låge forbruket kjem hovudsakleg av at nemnda har hatt færre møte enn planlagt, og at eitt av møta blei gjennomført digitalt utan reisekostnader. Nemnda hadde vidare sett av nokre midlar til interne seminar og deltaking på kurs og konferansar som ikkje blei prioritert av omsyn til mellom anna saksproduksjon. Som i tidlegare år er løyvinga nytta til honorar og reisegodtgjersle til medlemmene i nemnda, løn til sekretariatet, innkjøp av litteratur og tenester, og deltaking på kurs.

Personvernnemndas sekretariat består av ein medarbeidar i 100 prosent stilling. Sekretariatet er administrativt knytt til Kommunal- og distriktsdepartementet. Departementet har likevel inga fagleg instruksjonsmyndigheit over sekretariatet.

Departementet meiner at Personvernnemnda har gjennomført oppgåvene sine på ein god måte i 2022 og brukt den tildelte løyvinga tilfredsstillande.

Til forsida