26 Tilsynsmyndighetens oppgaver
26.1 Gjeldende rett
Datatilsynets oppgaver er i dag regulert i personopplysningsloven § 42. I henhold til denne bestemmelsen skal Datatilsynet blant annet føre tilsyn med etterlevelse av personvernregelverket, gi råd og veiledning, holde seg orientert om utviklingen på personvernområdet og delta i den offentlige debatten om personvern, og gi uttalelser i spørsmål om behandling av personopplysninger. I tillegg følger det av andre bestemmelser i loven at Datatilsynet kan gi pålegg eller tillatelser til behandlingsansvarlige i forskjellige saker, avgjøre konsesjoner og ilegge tvangsmulkt og overtredelsesgebyr, jf. personopplysningsloven §§ 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 og 47.
Datatilsynet avgir årlige rapporter om sin virksomhet til Kongen, jf. personopplysningsloven § 42 tredje ledd nr. 8.
26.2 Forordningen
Tilsynsmyndighetens kompetanse reguleres i artikkel 55. Hver tilsynsmyndighet er kompetent i samsvar med de plikter og fullmakter tilsynet er gitt etter forordningen på sitt hjemlands territorium. Artikkel 55 bestemmer også at tilsynsmyndighetene ikke skal ha kompetanse til å føre tilsyn med domstolenes behandling av personopplysninger i deres dømmende virksomhet. I artikkel 56 reguleres kompetansen til den ledende tilsynsmyndigheten i saker som involverer tilsynsmyndigheten i flere land.
Artikkel 57 gir en oppregning av tilsynsmyndighetenes oppgaver. Det følger av bestemmelsen at tilsynsmyndigheten blant annet skal føre tilsyn med og håndheve anvendelsen av forordningen og behandle klager. Tilsynsmyndigheten skal videre blant annet ha rådgivnings- og informasjonsoppgaver. I tillegg skal den vedta standardkontraktsvilkår, godkjenne atferdsnormer og bindende virksomhetsregler og utarbeide kriterier for akkrediterings- og sertifiseringsorganer. Det fastslås at tilsynets tjenester skal være gratis for den registrerte.
Artikkel 58 gir nærmere bestemmelser om hvilken myndighet tilsynsmyndighetene skal ha. Tilsynsmyndighetene skal ha nærmere definert undersøkelsesmyndighet, myndighet til å beslutte korrigerende tiltak og til å godkjenne visse typer behandlinger samt standardregler.
Artikkel 59 bestemmer at hver tilsynsmyndighet skal utarbeide en årlig rapport. Rapporten skal sendes nasjonalforsamlingen, regjeringen og andre organer utpekt i nasjonal rett, og skal inneholde en oversikt over de tiltak som er iverksatt med grunnlag i forordningen artikkel 58 nr. 2 for å håndheve regelverket. Rapporten skal gjøres tilgjengelig for allmennheten, for Kommisjonen og Personvernrådet.
Artikkel 57 og 58 om tilsynsmyndighetenes oppgaver og myndighet vil gjelde direkte som norsk rett ved at forordningen inkorporeres i personopplysningsloven. Artikkel 58 nr. 6 åpner i tillegg for at nasjonal lovgivning kan gi tilsynsmyndigheten mer omfattende myndighet så langt det ikke hindrer en effektiv anvendelse av kapittel VII.
Artikkel 77 fastsetter at enhver har rett til å inngi klage til tilsynsmyndigheten, og at tilsynsmyndigheten plikter å underrette klageren om forløpet av klagebehandlingen og utfallet av klagen. Artikkel 80 nr. 1 fastsetter at den registrerte kan la seg representere av en ideell organisasjon som er aktiv på personvernområdet.
26.3 Forslaget i høringsnotatet
Det ble i høringsnotatet vist til at en rekke av de oppgaver forordningen tillegger tilsynsmyndigheten, tilsvarer de oppgaver Datatilsynet har i dag. Videre ble det vist til at Datatilsynet også vil få en rekke nye oppgaver etter forordningen.
Departementet fremholdt at forordningen må forstås slik at Datatilsynet har samme oppgaver og myndighet etter forordningen artikkel 57 og 58 uavhengig av om behandlingen av personopplysningene er regulert direkte av forordningen eller om den er regulert i særlov i medhold av forordningen. Departementet foreslo at personvernbestemmelser i særlovgivningen som regulerer behandling av personopplysninger til formål som faller utenfor EØS-avtalen, og derfor ikke er omfattet av forordningen, bør omfattes av Datatilsynets myndighet i artikkel 57 og 58 med mindre annet er særskilt fastsatt. Det ble vist til at en slik løsning innebærer at Datatilsynet har den myndighet som fremgår av forordningen artikkel 57 og 58 for all behandling av personopplysninger.
26.4 Høringsinstansenes syn
Det er kun Datatilsynet som har uttalt seg om forslagene som fremmes under dette punktet. Datatilsynet påpekte at de deler departementets vurderinger av de krav som forordningen stiller til tilsynsmyndigheten, slik de er beskrevet i forordningen kapittel VI. Datatilsynet viste til at departementet mener at Datatilsynets myndighet også bør omfatte særlovgivningen som faller utenfor EØS-avtalen og at hovedregelen dermed vil være at Datatilsynet har den myndighet som fremgår av forordningen artikkel 57 og 58 for all behandling av personopplysninger. Datatilsynet etterlyste en omtale i høringsbrevet av hvilke konsekvenser en slik plassering av ansvar eventuelt vil få for andre myndigheter og organer som i dag er tillagt oppgaver knyttet til ivaretakelse av personvernet.
26.5 Departementets vurdering
Forordningen gir en detaljert regulering av tilsynsmyndighetens oppgaver. Etter departementets syn er det derfor ikke behov for å foreslå noen nasjonale regler om tilsynsmyndighetens oppgaver. Departementet fastholder forslaget om at Datatilsynet skal ha tilsynskompetanse også for behandling av personopplysninger som faller utenfor EØS-avtalens virkeområde med mindre annet er fastsatt. Dette innebærer at Datatilsynet har den myndighet som fremgår av forordningen artikkel 57 og 58 for all behandling av personopplysninger. Reglene i forordningen artikkel 56 og kapittel VII om samarbeids- og konsistensmekanismen, vil imidlertid ikke komme til anvendelse for behandling av opplysninger som ikke dekkes av forordningen.
I en rekke tilfeller åpner forordningen for nasjonale regler som spesifiserer og supplerer forordningens regler. Departementet foreslår en særskilt bestemmelse som gjør det klart at tilsynsmyndigheten har kompetanse også når det gjelder overholdelse av nasjonale regler om behandling av personopplysninger i personopplysningsloven og i særlovgivningen, som utfyller forordningens regler. Datatilsynet har etterlyst en omtale av hvilke konsekvenser det at Datatilsynet har myndighet til å føre tilsyn med all behandling av personopplysninger vil få for andre myndigheter og organer som i dag er tillagt oppgaver knyttet til ivaretakelse av personvernet. Fordelingen av myndighet mellom Datatilsynet og eventuelle andre myndigheter vil bero på en tolkning av reglene i personopplysningsloven og eventuelle regler i særlovgivningen.
Forordningen gir den enkelte rett til å klage til tilsynsmyndigheten, men overlater til nasjonal rett å fastsette regler om behandling av klagen. Departementet legger til grunn at forvaltningslovens alminnelige saksbehandlingsregler vil gjelde for Datatilsynets behandling av klager.
Departementet foreslår en videreføring av gjeldende ordning som går ut på at Datatilsynet leverer årsrapport til Kongen, og at Kongen hvert år legger rapportene frem for Stortinget i en stortingsmelding. En slik ordning er etter departementets syn hensiktsmessig for å sikre at regjeringen årlig legger frem en redegjørelse for utviklingen på personvernområdet i foregående år for Stortinget i sammenheng med fremleggelse av årsrapporten. Departementet foreslår på denne bakgrunn en bestemmelse som fastslår at årsmeldingen skal legges frem for Kongen, som legger rapporten frem for Stortinget. Det følger i tillegg av forordningen artikkel 59 at rapporten skal gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet. Departementet foreslår ingen særlig nasjonal regulering knyttet til dette og legger til grunn at denne forpliktelsen påhviler Datatilsynet direkte etter artikkel 59.