2 Merknader frå Kommunal- og moderniseringsdepartementet til Datatilsynets årsrapport
2020 har vore eit annleis år for Datatilsynet. Personvernproblematikk som oppstod som følgje av pandemien, gjorde at tilsynet måtte prioritere annleis enn planlagt. Samtidig har Datatilsynet utført vanlege oppgåver som behandling av enkeltsaker og avvikssaker, drive tilsynsverksemd, gjeve rettleiing, komme med høyringssvar, handtert mediesaker mv. Datatilsynet har òg vidareført arbeidet med å tilpasse verksemda til nye oppgåver som oppstod da den felles europeiske personvernforordninga vart gjennomført i norsk rett i 2018.
Forutan arbeidet med saksbehandling og kontroll (nærmare omtalt i pkt. 4.1) har Datatilsynet i 2020 særleg prioritert koronarelaterte personvernproblemstillingar, etablering av regulatorisk sandkasse for kunstig intelligens og personvern, barn, unge og utdanning og internasjonalt samarbeid.
2.1 Korleis koronapandemien har påverka verksemda til Datatilsynet
Koronapandemien har i stor grad påverka drifta av Datatilsynet i meldingsåret. Oppgåver oppstått som følgje av pandemien har teke mykje ressursar. Ein del av dette arbeidet har vore nybrottsarbeid som har kravd vanskelege avvegingar.
Ut frå alvoret i situasjonen da Noreg stengde ned i mars 2020, såg Datatilsynet nødvendigheita av å vise meir fleksibilitet og skjønn enn i ein normalsituasjon. Tilsynet valde mellom anna å ikkje handheve brott på 72-timarsfristen i personvernforordninga for å melde inn brott på personopplysningssikkerheita. Fordi mange verksemder sleit økonomisk og var avhengige av statlege kompensasjonsmidlar, var Datatilsynet også svært forsiktige med å påleggje gebyr for brott, særleg til mindre bedrifter. Der det var nødvendig å bruke nye digitale tenester utan at det var tid til å gjere tilfredsstillande risikovurderingar, råda Datatilsynet aktørar til å likevel utføre forenkla vurderingar og dokumentere desse. Departementet meiner det var nyttig at Datatilsynet la seg på ei pragmatisk linje og tilpassa handhevinga av regelverket til pandemisituasjonen.
I april 2020 lanserte Folkehelseinstituttet (FHI) appen Smittestopp. Denne første appversjonen skulle medverke til smittesporing, analyse og modellering av smitteverntiltak og til forsking. Appen samla mellom anna inn GPS-lokasjonen til brukarane, og opplysningane skulle lagrast i ein sentral database for forsking på pandemien. Utover våren gjennomførte Datatilsynet tilsyn med Smittestopp. Tilsynet resulterte først i varsel om pålegg om å endre risiko- og sårbarheitsanalysen og protokollen (dokumentasjon av behandlingsaktivitetane) i appen. I juni varsla Datatilsynet FHI om mellombels forbod mot å behandle personopplysningar i appen. Datatilsynet meinte mellom anna at nytteverdien til appen ikkje var tilstrekkeleg dokumentert, og at nødvendigheita av å bruke GPS-lokasjonsdata ikkje var godtgjord. I tillegg var Datatilsynet kritisk til at brukarane ikkje kunne velje å dele personopplysningar til berre eitt eller enkelte av fleire konkrete formål som appen var tenkt å ta i vare. Som følgje av varselet valde FHI å stanse datainnsamlinga og å slette opplysningane som var samla inn, før Datatilsynet i juli gjorde vedtak om mellombels forbod. I desember 2020 lanserte FHI ein ny versjon av Smittestopp. Den nye versjonen har berre smitte- og kontaktsporing som formål, og, som for den første versjonen av Smittestopp, er det frivillig å ta appen i bruk.
I meldingsåret oppretta Datatilsynet også mellom anna tilsynssak om lokasjonsbaserte SMS-varsel – ei tilsynssak som ikkje var avslutta da årsrapporten vart levert. Tilsynet har i tillegg gjeve fleire høyringsfråsegner om lov- og forskriftsforslag utarbeidde i lys av pandemien, fleire med svært korte fristar.
Vidare har Datatilsynet vore oppteke av å gje god rettleiing om problemstillingar som oppstod på grunn av pandemien. Tilsynet har fått spørsmål om behandling av personopplysningar i arbeidslivet, digitale legekonsultasjonar, bruk av digitale verktøy i skolen mv. Heile 7 prosent av alle førespurnadene til rettleiingstenesta i 2020 gjaldt koronarelaterte personvernspørsmål. 70 prosent av desse var frå verksemder.
Særleg våren 2020 fekk Datatilsynet mange arbeidslivsrelaterte spørsmål. Arbeidsgjevarar lurte typisk på kva slags informasjon dei kunne gje opp om tilsette som var i karantene eller var koronasmitta. Arbeidstakarar, på si side, fortalde om til dels svært inngripande kontrolltiltak på arbeidsplassen, som løpande innsyn i e-post eller krav frå arbeidsgjevar om å ha på kameraet gjennom heile arbeidsdagen. Slike førespurnader er ikkje innkomne til Datatilsynet som formelle klagesaker. Tilsynet trur at dette har samanheng med at arbeidstakarar, trass i teieplikta til Datatilsynet, kan ha høg terskel for å varsle i frykt for negative reaksjonar frå arbeidsgjevar.
For å rå bot på det massive behovet for rettleiing oppretta Datatilsynet ei eiga temaside på datatilsynet.no om koronarelaterte problemstillingar og personvern. Der vart det fortløpande publisert informasjon, artiklar og rettleiingar om mellom anna digitalisering og skole, digitale legekonsultasjonar, bruk av mobildata til befolkningsvarsling, besøksregistrering og smittesporing, retningslinjer om innsamling og behandling av helsedata og lokasjonsdata og kontroll og handheving av regelverket. Departementet ser det som positivt at Datatilsynet allokerte dei nødvendige ressursane til utettervend kommunikasjon om koronarelaterte personvernproblemstillingar.
Koronapandemien har ført til at digitaliseringa av samfunnet har skjedd i eit svært raskt tempo. Isolert sett er dette bra. Samtidig påpeiker Datatilsynet at fleire av tiltaka som vart sette i verk da samfunnet stengde ned våren 2020, og/eller den raske implementeringa av desse, ikkje nødvendigvis ville vore akseptable i ein normalsituasjon. Datatilsynet understrekar kor viktig det er at samfunnet kjem tilbake til ein før-korona-tilstand. Departementet deler denne oppfatninga. Tiltak som ikkje har vore tilstrekkeleg risikovurderte, må anten vurderast grundigare eller avsluttast. Der bruken av nye digitale løysingar held fram, for eksempel i skolen, er det også viktig at dei som bruker løysingane, får nødvendig kompetanseheving om personvern og informasjonssikkerheit.
2.2 Etablering av regulatorisk sandkasse for personvern og KI
Eit av tiltaka i Nasjonal strategi for kunstig intelligens (lansert januar 2020) var å etablere ein regulatorisk sandkasse i Datatilsynet for ansvarleg kunstig intelligens (KI). I meldingsåret tildelte departementet Datatilsynet 3 mill. kroner til etablering av sandkassen. Sandkassen blir finansiert med øyremerkte midlar og skal vere i drift i minimum to år frå 2021.
KI gjev store moglegheiter for å utvikle innovative digitale løysingar. Samtidig kan bruken by på utfordringar for personvernet. Den overordna målsetjinga med den regulatoriske sandkassen er å stimulere til etisk og ansvarleg bruk av KI. Sandkassen skal hjelpe aktørar med å rette seg etter personvernregelverket og utvikle personvernvennlege KI-løysingar. I sandkassen skal Datatilsynet gje gratis rettleiing til utvalde prosjekt. Prosjekta som blir valde ut, skal vere innovative og nytte personopplysningar på nye måtar. Dei vil derfor medføre uvisse om korleis personvernregelverket kan etterlevast. Saman vil verksemdene og Datatilsynet kunne identifisere eventuelle utfordringar og uklarleikar i regelverket og komme fram til balanserte løysingar som tek i vare personvernet. Datatilsynet vil bruke erfaringane frå arbeidet til å lage rettleiingsmateriell.
Datatilsynet har vore oppteke av å sikre at den regulatoriske sandkassen er relevant for både offentlege og private aktørar. Tilsynet har drive eit vidfemnande kommunikasjonsarbeid om prosjektet og har i etableringsfasen bede om innspel via datatilsynet.no, gjennomført bilaterale møte og arrangert digitale workshops. Totalt fekk Datatilsynet rundt 60 innspel frå ulike eksterne aktørar i prosessen med å definere rammene og kriteria for sandkassen.
Den første søknadsrunden til sandkassen vart opna 1. desember 2020. I mars 2021 vart dei fire første prosjekta valde ut. Både offentleg og privat sektor er representerte med prosjekt innan helse, velferd, arbeidsliv og utdanning i denne første puljen.
Den regulatoriske sandkassen har fått stor og positiv respons frå både offentlege og private aktørar og frå akademia. Dette viser ei betydeleg interesse for å ta i bruk KI-løysingar, men at personvernregelverket kan vere vanskeleg å implementere i praksis. Slik uvisse kan avgrense teknologiutviklinga.
Ivaretaking av personvernet betyr ikkje nødvendigvis at personopplysningar ikkje skal brukast, men at det skal skje på ein trygg og god måte. Departementet meiner at den regulatoriske sandkassen vil vere eit sentralt verkemiddel i Datatilsynets arbeid for å leggje til rette for ansvarleg bruk av personopplysningar. I sandkassen vil både Datatilsynet og dei deltakande verksemdene få verdifull erfaring med å nytte personvernreglane i møte med praktiske utfordringar. Handlingsrommet i eit detaljert og vanskeleg regelverk kan utforskast innanfor trygge rammer, og erfaringane vil danne eit grunnlag for framtidig rettleiing.
Datatilsynet opplever aukande arbeidsmengd og må utnytte tildelte ressursar effektivt for å løyse dei lovpålagde oppgåvene sine best mogleg. Å utforske nye verkemiddel og arbeidsformer er viktig for ei effektiv ressursutnytting. Erfaringane Datatilsynet gjer seg i sandkassen, vil vere eit viktig bidrag i så måte. Departementet følgjer arbeidet tett og med stor interesse.
2.3 Barn, unge og utdanning
Til liks med føregåande år har Datatilsynet i 2020 sett søkjelyset på personvernet til barn og unge. Barn nyt eit særleg vern etter personvernregelverket, mellom anna fordi det ofte er andre enn barna som bestemmer korleis opplysningane deira skal brukast. Datatilsynet påpeiker også i årsrapporten at der barn sjølve samtykkjer til behandling av personopplysningar, kan dei mangle føresetnadene som trengst for å sjå for seg dei fulle konsekvensane av denne behandlinga. Dette gjer dei særleg sårbare.
Dei seinare åra har barnehagar og skolar i aukande grad teke i bruk digitale verktøy, både i læringssituasjonen og i kommunikasjonen med føresette. Trygg bruk av slike verktøy føreset god kunnskap om personvern og informasjonssikkerheit hos mellom anna leverandørar, kommunar, lærarar, elevar og føresette. Datatilsynet opplever samtidig eit aukande tal på avvikssaker om bruken av digitale verktøy i barnehage- og skolesektoren som følgje av manglande kunnskap og risikoforståing.
Som ein konsekvens av koronapandemien er det teke i bruk ei rekkje nye digitale verktøy i skolen. Anskaffing og iverksetjing av løysingar for fjernundervisning og kommunikasjon skjedde på svært kort tid, noko som igjen resulterte i mange avviksmeldingar. Avvika var ikkje berre forårsaka av dei tekniske løysingane i seg sjølve, men òg av manglande kunnskap hos dei som hadde begynt å bruke løysingane. I meldingsåret har derfor Datatilsynet brukt mykje tid på å behandle avvikssaker og gje rettleiing om behandling av personopplysningar om barn.
Fleire kommunar har i 2020 opplevd brott på personopplysningssikkerheita i skolen. Noko av årsaka er truleg manglande risikovurderingar i forkant av at nye løysingar er tekne i bruk. Fleire av brotta skriv seg frå dårlege rutinar ved behandling av fortruleg adresse. Dette var tilfellet i den såkalla Vigilo-saka, som medførte at Bergen kommune vart pålagd eit gebyr for brott på 3 mill. kroner. Vigilo er ein app som mange kommunar har brukt for administrative formål og til kommunikasjon mellom skole/barnehage og heimen. Ein feil ved oppdateringa av appen gjorde at adressa til barn med fortruleg adresse vart tilgjengeleg for uvedkommande (foreldre utan foreldreansvar). Feilen kom av innlasting av informasjon frå Folkeregisteret som så skreiv over manuelle endringar gjorde av kommunen. I vurderinga om å påleggje gebyr for brott la Datatilsynet mellom anna vekt på at Bergen kommune ikkje hadde etablert nødvendige retningslinjer for bruk av appen.
Ei anna personvernutfordring, som Datatilsynet trekkjer fram, er at marknadsleiande aktørar tilbyr gratis applikasjonar og programvarer til bruk i skolen. Tenestene verkar å vere gratis, men er sjeldan det. Tvert imot blir det ofte føresett at brukarane gjev ei motyting i form av eigne opplysningar, som selskapa sidan bruker i kommersiell samanheng. Fordi kommunen, skolen eller lærarane vel løysingane, kan ikkje elevar og føresette velje dei bort. Dette betyr at dei i liten grad kan påverke tilgangen dei kommersielle aktørane har til personopplysningane deira, og korleis desse aktørane behandlar opplysningane.
Mange kommunar har teke i bruk løysingane frå Google i grunnskolen. Med grunnlag i spørsmål frå føresette valde Datatilsynet i 2020 å sjå nærmare på tre kommunar som hadde teke i bruk Google Chromebook (berbar PC med operativsystemet Chrome OS) og G Suite for Education (skyteneste med digitale verktøy). Datatilsynet avdekte fleire manglar og retta kritikk mot kommunane. På bakgrunn av funna utarbeidde Datatilsynet også ei rettleiing til støtte for kommunar som ønskjer å ta i bruk tenestene frå Google i skolen.
Dei tre siste åra har Datatilsynet arrangert rundebordskonferansar om personvern og informasjonssikkerheit i skolen. Møtearenaen har mellom anna avdekt behov for å styrkje innkjøpskompetansen hos kommunane, slik at dei kan anskaffe sikre og personvernvennlege løysingar. Hovudtemaet for rundebordskonferansen i 2020 var behovet for auka samarbeid mellom kommunar, interesseorganisasjonar og myndigheiter.
Det er Datatilsynets oppfatning at utviklinga i barnehage- og skolesektoren går i rett retning. Samtidig står mykje att, mellom anna i form av kompetanseheving. Departementet meiner det er positivt at Datatilsynet er oppteke av å fremje gode løysingar for personvern i barnehage- og skolesektoren. Digitale verktøy kan medverke til betre tilrettelagd undervisning og større læringsutbyte for den enkelte eleven. Samtidig er det viktig å sikre at digitaliseringa i skolen er i samsvar med gjeldande lover og reglar for personvern.
Kommunane har, i kraft av rolla si som skoleeigarar og behandlingsansvarlege, ansvar for å etterleve personvernregelverket. Kommunane må sørgje for å kjøpe inn personvernvennlege løysingar og setje i verk nødvendige tiltak for å ta i vare informasjonssikkerheita i skolen. Departementet deler Datatilsynets vurdering av at det er viktig å hjelpe kommunane for å setje dei betre i stand til å ta i vare dette ansvaret. Det er behov for samordning, koordinering og erfaringsutveksling. I 2020 la Kunnskapsdepartementet fram Handlingsplan for digitalisering i grunnopplæringen, med mellom anna mål om å styrkje personvernet og informasjonssikkerheita i skolen. Utdanningsdirektoratet er gitt ansvar for fleire av tiltaka i handlingsplanen, og har utarbeidd ei informasjonsside om personvern der også Datatilsynet sine rettleiingar til sektoren er presenterte. Eit av tiltaka er å setje ned ei ekstern ekspertgruppe for å greie ut pedagogiske, juridiske, teknologiske og etiske problemstillingar knytte til læringsanalyse og eigarskapen til elevdataa. Vidare har Personvernkommisjonen (omtalt nærmare i pkt. 1.4) mellom anna fått i mandat å kartleggje korleis personvernet til barn og unge blir teke i vare i Noreg, irekna ivaretaking av personvernet til barn i barnehage- og skolesektorane og bruken av «gratis» applikasjonar i skolane som blir betalt med personopplysningane frå barna.
2.4 Datatilsynets nasjonale samarbeidsrelasjonar
Datatilsynet har vid kontakt med nasjonale aktørar i både offentleg og privat sektor, av anten kortvarig eller langvarig art. I årsrapporten gjev Datatilsynet ei oversikt over den mest sentrale deltakinga si i nasjonale forum og samarbeid. I det følgjande blir nokre av desse omtalte.
Datatilsynet og Digitaliseringsdirektoratet har fleire overlappande ansvarsområde og samarbeider om mellom anna rettleiingar for internkontroll og informasjonssikkerheit. På informasjonssikkerheitsområdet har Datatilsynet i tillegg god dialog med Norsk senter for informasjonssikring (NorSIS), Nasjonalt tryggingsorgan (NSM) og Den norske dataforening.
Også Nasjonal kommunikasjonsmyndigheit (Nkom) har ansvar som grensar til det Datatilsynet har. Nkom fører tilsyn med ekomregelverket, som stiller opp spesialreglar for korleis ekomleverandørane skal behandle personopplysningar. Dette kan skape ein utfordrande grensegang mot personvernregelverket og føreset eit godt samarbeid mellom tilsynsmyndigheitene. Organa har derfor jamlege møte. Nkom samlar også aktørar innan e-signaturområdet i eit forum, der hovudtemaet er EU-kommisjonens forslag til forordning om mellom anna e-ID og e-signatur. Datatilsynet deltek i dette forumet.
I samband med arbeidet innan skole- og barnehagesektoren samarbeider Datatilsynet med Utdanningsdirektoratet. Saman driv organa nettressursen dubestemmer.no, med mål om å medverke til at barn og unge lærer å ta kontroll over eigne personopplysningar og samtidig respektere andre sin personlege integritet. Som ledd i Datatilsynets arbeid med personvernet til barn og unge har tilsynet vidare intensivert samarbeidet med Kommunesektorens Organisasjon (KS). Formålet er å setje søkjelyset på arbeidet til kommunane med informasjonssikkerheit og personvern i skolen. Datatilsynet deltek for eksempel som observatør i SkoleSec-prosjektet1. Datatilsynet har dessutan eit godt samarbeid med IKT-Norge, mellom anna om ivaretaking av personvernet til barn og unge. Tilsynet har for eksempel gjeve innspel om innebygd personvern i læringsteknologi (EdTech, educational technology).
Framveksten av den datadrivne økonomien og store plattformselskap har gjort at personvern-, forbrukarvern- og konkurranseutfordringane overlappar enda meir. Datatilsynet har etablert eit godt samarbeid med Forbrukartilsynet og Konkurransetilsynet, med plan om å formalisere samarbeidet ytterlegare ettersom problemstillingane vil bli særleg viktige i åra framover.
I samband med etableringa av den regulatoriske sandkassen for personvern og KI har Datatilsynet teke på seg ei koordineringsrolle for møte med Finanstilsynet og Arkivverket, som òg har eigne sandkasseprosjekt.
Det breie samarbeidet Datatilsynet har med ulike aktørar, viser at personvern er relevant på svært mange samfunnsområde, og at personvernregelverket grensar til fleire lovverk. Behovet for å verne personopplysningar oppstår ikkje i eit vakuum. Spørsmål om korleis personvernet skal takast i vare, oppstår gjerne på grunn av ønske om å setje i gang tiltak som i ulik grad vil kunne utfordre personvernet. Ved at Datatilsynet samarbeider med mange ulike aktørar, får tilsynet sjansen til å dele kunnskapen sin om personopplysningsregelverket på eit tidleg stadium og starte dialog om korleis personvernet best kan takast i vare. Eit slikt breitt samarbeid gjer det også mogleg for Datatilsynet å fange opp og analysere trendar og tendensar, slik at det kan få eit godt overblikk over dei totale personvernutfordringane i samfunnet. Dette er sentralt for at Datatilsynet skal kunne vere i forkant og allokere ressursar til rettleiing og anna utettervend verksemd der behovet er størst. Det er formålstenleg at Datatilsynet arbeider breitt og overordna, i tillegg til å behandle enkeltsaker og avvikssaker – der brott på regelverket ofte allereie har skjedd. Departementet meiner difor at det er svært positivt at Datatilsynet har brei og god dialog med ei rekkje aktørar, i både offentleg og privat sektor.
2.5 Internasjonalt samarbeid
Internasjonalt personvernsamarbeid er sentralt for Datatilsynet. Fordi personvernforordninga skal tolkast likt i heile EØS-området, er det viktig at Datatilsynet har tett og god dialog med dei andre europeiske datatilsynsmyndigheitene.
Særleg deltakinga i Det europeiske personvernrådet (Personvernrådet) er viktig2. Ei av Personvernrådets viktigaste oppgåver er å gje retningslinjer og utsegner om korleis personvernforordninga skal tolkast og nyttast. Som i førre året har Datatilsynet i 2020 valt å ta ei aktiv rolle i arbeidet til rådet. I tillegg til å ha delteke på Personvernrådets månadlege plenumsmøte har tilsynet delteke i alle dei tolv ekspertgruppene til rådet. Datatilsynet har òg fått i ansvar å leie arbeidet med å organisere Personvernrådets plenumsmøte, for å gjere desse meir effektive.
Saker som vedkjem registrerte, behandlingsansvarlege og/eller tilsynsmyndigheiter i fleire EØS-land, skal behandlast etter samarbeidsmekanismen i personvernforordninga. I 2020 vart Datatilsynet i 320 grenseoverskridande saker identifisert som eit av datatilsyna desse sakene vedkom, og i 20 slike saker var det leiande datatilsyn. Samarbeidsmekanismen er viktig for å sikre ei harmonisert forståing av regelverket. Samtidig er behandlinga krevjande. Sakene føreset mykje koordinering mellom datatilsynsmyndigheitene, og det kan vere utfordrande å oppnå semje.
For at beskyttelsesnivået i EØS-området ikkje skal bli undergrave, stiller personvernforordninga vilkår for overføring av personopplysningar til tredjeland. I Schrems II-dommen frå juli 2020 kom EU-domstolen til at EU-kommisjonens adekvansavgjerd, som tillét overføring av personopplysningar til mange amerikanske verksemder etter Privacy Shield-rammeverket, var ugyldig. I avgjerda stilte EU-domstolen opp strenge vilkår for lovleg overføring av personopplysningar til tredjestatar, noko som har skapt utfordringar og uvisse for svært mange verksemder. I 2020 har Datatilsynet derfor prioritert å utarbeide rettleiingsmateriell om kva konsekvensar avgjerda har for norske verksemder, og gjennomført dialogmøte og halde føredrag om tematikken.
Bindande verksemdsreglar (Binding Corporate Rules, BCR)3 er eit anna rettsleg grunnlag for å overføre personopplysningar til tredjestatar. Bindande verksemdsreglar må godkjennast av relevant nasjonal datatilsynsmyndigheit, etter å ha vore lagt fram for Personvernrådet slik at dei kan uttale seg. Det har teke tid å få på plass prosedyrar for behandlinga i rådet, og i meldingsåret la Datatilsynet fram den første norske BCR-søknaden for Personvernrådet. Ved utgangen av 2020 hadde Datatilsynet totalt tolv opne søknader om godkjenning av bindande verksemdsreglar4 til behandling.
Departementet meiner det er positivt at Datatilsynet også i 2020 har delteke aktivt i det europeiske personvernsamarbeidet. Dette gjev moglegheit til å påverke den felleseuropeiske lovtolkinga. Det er også viktig at Datatilsynet held seg oppdatert om rettsutviklinga i EØS. Internasjonalt personvernsamarbeid tek mykje ressursar hos Datatilsynet. Sidan gjennomføringa av personvernforordninga i norsk rett i 2018 har departementet årleg styrkt budsjettet til tilsynet. Formålet har mellom anna vore å setje Datatilsynet i stand til å delta i det europeiske personvernsamarbeidet på ein effektiv og formålstenleg måte. Departementet vurderer det slik at Datatilsynet bruker ressursane godt. I 2019 oppretta tilsynet ein eigen internasjonal seksjon for å nærme seg arbeidet på ein systematisk, effektiv og heilskapleg måte. Departementet er trygg på at Datatilsynet vil vere ein tydeleg og synleg bidragsytar i det europeiske personvernsamarbeidet framover òg.
I tillegg til å vere representert i Personvernrådet deltek Datatilsynet i ei rekkje andre internasjonale personvernsamarbeid og -forum òg. Dei seinare åra er det, med framveksten av den datadrivne økonomien, mellom anna blitt retta meir merksemd mot at personvern-, forbrukarvern- og konkurranseutfordringar overlappar. Personvernrådet og det tilsvarande forumet for forbrukartilsynsmyndigheiter, Consumer Protection Cooperation Network, har sett i gang eit arbeid med mål om tettare samarbeid mellom datatilsyns- og forbrukartilsynsmyndigheiter. Arbeidet er mellom anna inspirert av Datatilsynets nære samarbeid med Forbrukartilsynet nasjonalt. Datatilsynet deltek elles i Digital Clearinghouse, ein møtearena for datatilsyns-, forbrukar- og konkurransetilsynsmyndigheiter frå fleire land. Global Privacy Assembly er eit anna forum Datatilsynet deltek i, som ser på utfordringar i kryssingspunktet mellom personvern, forbrukarvern og konkurranserett.
Departementet og Datatilsynet har i fleire år hatt god dialog om verdien av å delta i internasjonalt arbeid. Stadig aukande internasjonal handel og samhandling fører til større flyt av personopplysningar over landegrensene – også til land utanfor EØS. Det er avgjerande at personvernutfordringar blir handterte gjennom internasjonalt samarbeid og felles løysingar. Departementet er fornøgd med den framskotne rolla Datatilsynet har teke internasjonalt og spesielt i det felleseuropeiske personvernsamarbeidet.
Fotnotar
Eit initiativ sett i gang av KS våren 2020 i form av eit forprosjekt som skal vurdere, prøve ut og evaluere ulike innsatsar og tiltak som både på kort og lang sikt vil styrkje innramminga og sikringa av det digitale læringsmiljøet til elevar.
Rådet er eit uavhengig EU-organ, oppretta i samsvar med personvernforordninga. Det består av datatilsyna i EØS og Det europeiske datatilsynet (European Data Protection Supervisor) – datatilsynet for EU-organa. I tillegg deltek Europakommisjonen og EFTAs overvakingsorgan (ESA), med talerett. Som EØS-stat er Noreg, ved Datatilsynet, fullverdig medlem, men utan røysterett.
BCR er interne reglar for dataoverføring i multinasjonale selskap, eit konsern eller ei gruppe av føretak som utøver felles økonomisk verksemd.
Berre fire datatilsyn i EØS har hatt fleire slike søknader til behandling.