4 Administrasjon og ressursar

4.1 Datatilsynets budsjett og rammevilkår

Datatilsynet hadde i 2020 ei budsjettramme på kap. 545 post 01 på 66,7 mill. kroner inkludert lønnskompensasjon. Det vart i tillegg overført 2,2 mill. kroner i ubrukte midlar frå 2019, slik at samla disponible midlar på kap. 545 post 01 i 2020 var 68,9 mill. kroner. I mai 2020 vart Datatilsynet tildelt 3 mill. kroner på kap. 541 post 22 for oppstart av arbeidet med den regulatoriske sandkassen for personvern og KI (omtalt i kapittel 2.2). Til liks med føregåande år kjem budsjettauken av auka kostnader som følgje av at tilsynet fekk nye oppgåver ved gjennomføringa av personvernforordninga i norsk rett i 2018. Dette er mellom anna kostnader til auka bemanning, kompetanseutvikling og auka deltaking i internasjonalt personvernarbeid. Elles har Datatilsynet brukt tildelte midlar til generell drift av verksemda, som flytting til nye kontorlokale, vidareutvikling og drift av IKT-system, nye digitale kommunikasjonsløysingar og informasjons- og kommunikasjonstiltak.

Av utgiftene til tilsynet utgjorde 68,6 prosent utgifter til lønn og 31,4 prosent utgifter til drift. Datatilsynet hadde i meldingsåret 50 faste og 8 mellombelse stillingar. I tillegg var sju studentar engasjerte i ressurseininga for rettleiing og enkel saksbehandling, som samla utgjorde 2,07 årsverk. På bakgrunn av turnover i løpet av året og lengre periodar med ledige stillingar er det samla talet på utførte årsverk i Datatilsynet berekna til 51,63. Dette er noko høgare enn året før.

Datatilsynet blir leidd av direktør Bjørn Erik Thon, som vart tilsett på åremål i 2010. Åremålet vart fornya for seks år i august 2016. Leiargruppa bestod i meldingsåret av éin mann og tre kvinner. Vidare hadde tilsynet ved årsskiftet fem seksjonsleiarar: to menn og tre kvinner. I Datatilsynet sett under eitt var det 58,6 prosent kvinner og 41,4 prosent menn.

Koronapandemien gjorde at Datatilsynet måtte endre dei planlagde prioriteringane for meldingsåret. For eksempel hadde Datatilsynet planar om å prioritere tilsynsverksemda høgt, men såg seg nøydd til å nedprioritere dette. I staden har Datatilsynet prioritert arbeidet med personvernproblematikk som oppstod som ein konsekvens av pandemisituasjonen.

Datatilsynet består i dag av fire avdelingar. I tillegg til administrasjonsavdelinga og ei avdeling for kommunikasjon og samfunnskontakt har tilsynet ei avdeling for teknologi, analyse og sikkerheit og ei avdeling for regelverksetterleving, internasjonal samhandling og sanksjonar.

Innføringa av personvernforordninga i 2018, og merksemda om dei svært høge gebyra som kan påleggjast ved brott på regelverket, har ført til eit betydeleg tal på avviksmeldingar til Datatilsynet. Avviksmeldingar er meldingar om brott på personopplysningssikkerheita, og personvernforordninga stiller krav om at slike brott skal meldast til datatilsynsmyndigheita. Dette speglar seg av i den auka saksbehandlingsmengda knytt til avviksmeldingar som tilsynet har fått. I 2020 fekk Datatilsynet 2009 avviksmeldingar, mot 1893 i 2019, 1275 i 2018 og berre 349 i 2017. Talet på melde avvik er dermed høgare enn tidlegare år, men Datatilsynet meiner at det kan sjå ut som at talet er i ferd å stabilisere seg på rundt 2000 tilfelle i året.

Avviksmeldingane gjeld alt frå menneskelege feil som rammar éin eller nokre få personar, til målretta hackaråtak med mange hundre tusen ramma. Ein ikkje ubetydeleg andel av meldingane gjeld mindre alvorlege avvik, som at personopplysningar er sende til feil mottakar. Det høge talet på avviksmeldingar skriv seg neppe frå at det skjer fleire feil enn tidlegare, men truleg heller eit auka medvit om plikta til å melde avvik. Det omfattande talet på avvikssaker har ført til auka ressursbruk for tilsynet. Samtidig er sakene ei god kjelde til kunnskap, slik at Datatilsynet kan allokere ressursar til tilsyn, rettleiings- og kommunikasjonsarbeid der det trengst mest.

31 prosent av avviksmeldingane kjem frå kommunesektoren, mens 23 prosent stammar frå finanssektoren. Datatilsynet påpeiker i årsrapporten at sjølv om ein sektor melder om mange avvik, betyr ikkje dette nødvendigvis at sektoren er ein «personvernversting». Eit høgt tal på avvik kan komme av at sektoren behandlar store mengder personopplysningar og har gode rutinar for å melde inn avvik. Datatilsynet legg samtidig til at det kan vere grunn til å tru at det framleis er mørketal, og at ein del avvik ikkje blir melde inn.

I tillegg til ein betydeleg auke i talet på avviksmeldingar har internasjonalt arbeid auka i omfang og viktigheit sidan personvernforordninga vart gjennomført i norsk rett. Til liks med tidlegare år har Datatilsynet prioritert deltaking og engasjement i EUs personvernarbeid, mellom anna å delta i Personvernrådet. Datatilsynets internasjonale arbeid er nærmare omtalt i punkt 2.5.

Datatilsynet registrerte eit rekordhøgt tal på nye saker i meldingsåret, totalt 3271, samanlikna med 3118 nye saker i 2019 og 2654 i 2018. Også datatilsyna i mange andre EØS-land har opplevd ein auke i saksomfanget dei siste åra. Saksmengda i Datatilsynet har vore stigande sidan personvernforordninga vart gjennomført i norsk rett. Truleg kjem auken av ei større interesse og meir merksemd om både personvernrettar og -plikter i samfunnet. Ei anna årsak kan vere at effektiv handheving dei siste åra, for eksempel via auka sanksjonering, viser at «det nyttar» å klage, og at fleire derfor nyttar denne retten.

Datatilsynet har i arkivsystemet registrert at det vart gjort 252 vedtak i 2020, men opplyser samtidig at talet er noko usikkert. Datatilsynet meiner at talet i realiteten er høgare ettersom det ikkje omfattar saker der tilsynet har påpeikt kva plikter ei verksemd har, utan at det er gjort eit formelt vedtak. Talet på registrerte vedtak er noko lågare enn i 2019, da det vart gjort 285 vedtak, men marginalt høgare enn i 2018, da det vart gjort 246 vedtak.

Departementet vil føye til at Datatilsynet sidan 2018 har gjort vesentleg færre enkeltvedtak enn i åra før personvernforordninga tredde i kraft. Dette er mellom anna ein konsekvens av at den generelle konsesjonsplikta vart avvikla da personopplysningsloven 2018 tredde i kraft. Ei anna årsak til nedgangen i talet på vedtak er at dei nogjeldande reglane ikkje krev at tilsynet gjev førehandsgodkjenning ved overføring av personopplysningar til tredjestatar i medhald av EU-kommisjonens standardkontraktar.

Berre 38 av dei 252 vedtaka Datatilsynet gjorde i meldingsåret, vart påklaga. Sjølv om talet er lågt, har talet på klager gått opp samanlikna med i 2019, da 23 av 285 vedtak vart påklaga. I 20 av dei påklaga sakene var den klagande parten ein privatperson. I dei resterande sakene var klagaren ei offentleg eller privat verksemd. I to av klagesakene gjorde Datatilsynet om vedtaket sitt under klagebehandlinga. 22 av sakene vart sende til Personvernnemnda for klagebehandling, og 3 av desse gjaldt gebyr for brott. Seks klagesaker var framleis til behandling i Datatilsynet ved overgangen til 2021. Av dei 38 totale klagesakene gjaldt 8 avslag på krav om innsyn etter offentleglova. Datatilsynet gjorde om vedtaket sitt i fem av desse sakene, éi klagesak vart trekt, mens to saker vart sende til Kommunal- og moderniseringsdepartementet for klagebehandling.

I 2020 tok Datatilsynet tolv avgjerder om gebyr for brott og éi om tvangsmulkt. Sakene gjaldt brott på krava i personvernregelverket som handlar om kameraovervaking, informasjonssikkerheit, overvaking på arbeidsplassen og innhenting av kredittopplysningar. Det høgaste gebyret var på 3 mill. kroner og vart pålagt Bergen kommune (Vigilo-saka). Det lågaste gebyret var på 75 000 kroner og gjaldt innsyn i e-postkassa til tilsette (vurdert etter personopplysningsloven 2000). I 2020 utferda Datatilsynet til saman gebyr for brott på dryge 5,87 mill. kroner. Berre tre av sakene om gebyr for brott vart påklaga til Personvernnemnda.

Departementet er tilfreds med arbeidet Datatilsynet har utført i meldingsåret. Datatilsynet har evna å tilpasse og justere verksemda ikkje berre i samsvar med sakstilfanget og sakstypar etter personvernregelverket, men som følgje av koronapandemien òg. Også i 2020 har Datatilsynet vist eit breitt engasjement på ei rekkje arenaer og fagområde, irekna om nye problemstillingar som har oppstått som følgje av pandemisituasjonen. Tilsynet har medverka til å setje personvern på dagsordenen i ei rekkje samanhengar, både nasjonalt og internasjonalt, og vore ein aktiv deltakar i den offentlege debatten om ulike personvernspørsmål.

4.2 Budsjettet og rammevilkåra til Personvernnemnda

Personvernnemnda er klageorgan for vedtak gjorde av Datatilsynet. Nemnda består av sju medlemmer med faste varamedlemmer, alle oppnemnde for fire år om gongen. Den sitjande nemnda er oppnemnd for perioden 2021 til 2024. Nemnda blir leidd av sorenskrivar Mari Bø Haugstad.

Personvernnemnda hadde i 2020 ei budsjettramme på 2 683 000 kroner og har i meldingsåret brukt 1 799 277 kroner. Dette gav eit mindreforbruk på 883 723 kroner. Mindreforbruket kjem hovudsakleg av at nemnda, på grunn av koronapandemien, har avvikla færre møte i 2020 enn planlagt, og at møta har vore gjennomførte som digitale møte utan reisekostnader. Nemnda hadde vidare sett av ein del midlar til deltaking på kurs og konferansar som ikkje vart noko av i 2020, også som følgje av pandemien. Løyvinga er, som i tidlegare år, nytta til innkjøp av litteratur og tenester, deltaking på digitale kurs, honorar og reisegodtgjersle til medlemmene i nemnda og lønn til sekretariatet.

Personvernnemndas sekretariat består av éin medarbeidar i 100 prosent stilling. Sekretariatet høyrer administrativt til i Kommunal- og moderniseringsdepartementet. Departementet har likevel inga fagleg instruksjonsmyndigheit over sekretariatet.

Departementet vurderer det slik at Personvernnemnda har brukt den tildelte løyvinga tilfredsstillande og har gjennomført oppgåvene sine på ein god måte i 2020.