1 Datatilsynets årsrapport for 2020

Tall og tendenser fra Datatilsynets virksomhet

1.1 Leders beretning

For Datatilsynet har 2020 vært et unntaksår, slik det har vært for hele samfunnet vårt. De prioriteringene vi gjorde da vi planla året, måtte brått kastes om da samfunnet ble stengt ned den 12. mars.

Det er nå to og et halvt år siden personvernforordningen trådte i kraft. Det har vært en prioritet for oss å bygge ny forvaltningspraksis etter det nye regelverket, få på plass en ny tilsynsmetodikk, utvikle rutiner for behandling av ulike sakstyper og jobbe for å få på plass akkreditering og sertifisering. Mye av dette arbeidet har vært samordnet med det europeiske Personvernrådets veiledere og praksis. Vi har også jobbet for å få på plass bedre statistikkverktøy, mer strømlinjeformet klagebehandling, en egen tipsbase, skjema for melding av avvik, ny prosess for virksomhetsplanlegging, ny strategi, nytt system for intern rapportering og bedre interne sikkerhetsløsninger. Det har vært krevende å få alt dette på plass i dette spesielle koronaåret, både fordi det rett og slett er store prosesser, fordi utviklingsarbeid møter andre utfordringer når vi alle jobber hjemmefra og fordi vi har opplevd stor pågang og hatt krevende enkeltsaker til behandling. Tross dette, og noen forsinkelser, har vi enten sluttført eller hatt god framdrift i alle disse prosessene.

Noen prosesser har imidlertid blitt satt på vent. Planen var blant annet å evaluere omorganiseringen vi gjennomførte i 2019, og å gjennomføre en bred arbeidsmiljøundersøkelse. Vi valgte å utsette evalueringen og gjennomførte en begrenset arbeidsmiljøundersøkelse om utfordringer knyttet til hjemmekontor.

Når det gjelder eksterne aktiviteter, har koronaen så absolutt satt sitt preg på vår arbeidshverdag og våre prioriteringer. Nytt for 2020 var at vi skulle gjennomføre prioriterte tilsyn. Tanken var, og er, at disse skal gis høy prioritet, bemannes med solide ressurser, ha stor innvirkning på den enkelte sektor eller marked og være forankret helt til topps i organisasjonen vår. Vi skulle også gjennomføre tre prioriterte prosjekter. Tre av de fire tilsynene ble gjennomført, mens ett ble «byttet ut» med tilsynssaken mot Smittestopp. Av prosjektene ble ett nedskalert, ett prioritert bort og ett gjennomført. En rekke aktiviteter som sprang ut av koronasituasjonen ble prioritert i stedet, for eksempel veiledning om digital undervisning, utstrakt veiledning og kommunikasjon om spørsmål knyttet til korona og SMS-varslinger og -tellinger.

Med prioriteringsøyne har imidlertid Smittestopp-saken hatt størst betydning. Når vi tok den opp til behandling, var det av stor betydning å sette sammen et tverrfaglig team med høy kompetanse, samt sørge for god framdrift. Dette førte til at andre saker, blant annet et av tilsynene, ble prioritert bort.

Men også andre forhold enn koronasituasjonen har hatt betydning for arbeidet og resultatoppnåelsen vår i 2020. Vi har opplevd en økning i antall klagesaker, mens antall innmeldte avvik har holdt seg på samme høye nivå som i 2019. Mange saker har fått mye omtale i media, blant annet den nevnte Smittstopp-appen, «SMS-overvåking» og overvåking i arbeidslivet. Det har også vært et betydelig behov for informasjon og veiledning.

Når det gjelder prioritering av temaer og sektorer, har vi som planlagt hatt et særlig fokus på skolesektoren. Vi har behandlet store enkeltsaker (blant annet knyttet til avvik), gjennomført en rundebordskonferanse og deltatt på et stort antall digitale arrangementer. Vi har et bestemt inntrykk av at arbeidet vårt har gitt resultater. Vi opplever at både enkeltkommuner og kommunenes organisasjoner og myndighetsorganer på området, vier personvern større oppmerksomhet og har det høyere på dagsorden enn tidligere. Det har vært en liten forskyvning i fremdriftsplanen, men prioritering og fremdrift er stort sett opprettholdt.

Også helsesektoren har vært prioritert, og her har det viktigste vært å behandle avvik og enkeltsaker, samt påvirke, eller være sparringspartner, i de store utviklingsløpene som nå pågår (for eksempel Akson, helseanalyseplattformen og helsedataplattformen). Enkelte saker har tatt noe lenger tid enn ønsket, men vi har i all hovedsak fulgt vår planlagte prioritering.

En annen høyt prioritert oppgave har vært å etablere regulatorisk sandkasse for kunstig intelligens. Fremdriftsplanen vår har vært fulgt til punkt og prikke: Vi har bemannet sandkassa med kompetente medarbeidere, fastsatt kriterier for å delta i sandkasse og utviklet tilsynsmetodikk, for å nevne noe. Ettersom det er bevilget egne midler til sandkassa, har arbeidet i liten grad gått på bekostning av andre oppgaver, bortsett fra å få på plass administrative funksjoner slik som kontorplasser og lignende.

Et siste punkt å nevne er at Datatilsynet er på flyttefot og skal inn i nye lokaler på nyåret 2021. Det har vært en svært ressurskrevende oppgave å gjennomføre tilbudsprosess, befaringer, forhandling og inngå kontrakt. For ikke å snakke om gjennomføringen av selve den fysiske flyttingen, inkludert å få på plass nye IT-systemer i de nye lokalene og en rekke annet. Som en følge av dette er enkelte prosesser, blant annet ny budsjettprosess, skjøvet ut i 2021.

Når det gjelder den overordnede vurderingen av de samlede resultatene, måloppnåelsen og ressursbruken for året i lys av hovedmålet om et godt personvern for alle, kan dette sies:

Vi har lykkes godt med å få ut informasjon til borger og næringsdrivende om plikter og rettigheter knyttet til koronaen. Vi har brukt mer ressurser enn normal på kommunikasjonsarbeid. Dette har bidratt til stort press på de som til daglig jobber med kommunikasjon, men også i stor grad på andre i organisasjonen, ettersom de er involvert i kommunikasjonsaktiviteter knyttet til sine fagområder. Dette har i sin tur gått noe ut over saksbehandlingstiden som til tider har vært lenger enn ønsket. For å bøte på dette har vi jobbet for å effektivisere saksbehandlingen og gjennomført digitaliseringstiltak. Vi har også tatt ressurser fra de prioriterte prosjektene for å styrke kapasiteten i saksbehandlingen. Vi har heller ikke gjennomført noen store utredningsoppgaver, slik vi gjør i et normalår.

Det meste av arbeidet vårt overfor den enkelte sektor, er gjennomført i henhold til planen. Vi har behandlet kontrollsaker av meget stor betydning for norske borgere og forbrukere, og vi har opprettholdt høy prioritering av personvern for barn og unge.

Vi mener vi har oppnådd gode resultatet i 2020, og at vi har benyttet ressursene på en god måte. Jeg vil særlig trekke frem at vi har klart å omprioritere ressurser for å jobbe med spørsmål og saker som har oppstått som følge av koronasituasjonen. Vi mener omprioriteringene har vært riktige og forsvarlige, og at dette ikke har gått på bekostning av den samlede måloppnåelsen.

Oslo, 1.3.2021

Bjørn Erik Thon

Direktør

1.2 Introduksjon til virksomheten og hovedtall

1.2.1 Kort om Datatilsynet og samfunnsoppdraget

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og moderniseringsdepartementet (KMD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

1.2.1.1 Hovedaktiviteter

Datatilsynets hovedmål er definert som «Et godt personvern for alle». For å nå hovedmålet vårt, lanserte vi høsten 2017 en strategi som skulle være førende for arbeidet vårt til og med 2020. Der var definert seks delmål som skulle ligge til grunn for arbeidet vårt.

Datatilsynet skal:

• arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.

• arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling.

• arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket.

• bidra til at individet i større grad kan ivareta sitt eget personvern.

• påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern.

• være et kompetent og fremtidsrettet tilsyn.

1.2.1.2 Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her er en generell oversikt over virkemidlene. Vi vil så videre i rapporten gå dypere inn i aktivitetene våre og se nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Gjennom saksbehandling tilegner vi oss erfaring og kunnskap om hvordan personvernhensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer.

Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Som en offentlig etat, er vi naturlig nok bundet av forvaltningsrettslige regler og normer. Det gjøres derfor mye saksbehandling også innenfor områder som ikke er hovedprioritet.

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regelverket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et faktabasert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å undersøke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saksbehandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veiledningsmøter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogginnlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

Datatilsynet opprettet i 2020 en regulatorisk sandkasse for kunstig intelligens. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Andre virkemidler

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Når det gjelder overtredelsesgebyr og tvangsmulkt, er dette økonomiske virkemidler som er blitt tatt stadig mer i bruk. Med innføringen av nytt personvernregelverk, er det åpnet for høyere overtredelsesgebyr enn tidligere, og virkemidlet er slik forsterket.

1.2.2 Organisasjon og budsjett

Datatilsynet er administrativt underlagt Kommunal- og moderniseringsdepartementet (KMD). Bjørn Erik Thon er direktør. I tillegg består ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Videre hadde Datatilsynet ved årsskiftet fem seksjonsledere – to menn og tre kvinner.

1.2.2.1 Organisering

Datatilsynet hadde 58 ansatte per 31. desember 2020. Av disse var 50 stillinger faste og 8 midlertidige – 58,6 prosent kvinner og 41,4 prosent menn. Turnover i løpet av året og lengre perioder med vakanse er årsaken til at samlet antall utførte årsverk er beregnet til 51,63 (DFØ modellen) og 60 etter SSB-stastistikk. I tillegg hadde vi syv studenter tilknyttet ressursenheten for veiledning og enkel saksbehandling. Samlet har studentene utgjort 2,07 årsverk.

Fordelingen på de ulike avdelingene/seksjonene er:

• Avdeling for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) – 32 medarbeidere

• Avdeling for teknologi, analyse og sikkerhet (TAS) – 14 medarbeidere

• Kommunikasjonsavdelingen – 5 medarbeidere, pluss 7 studenter

• Administrasjonsavdelingen – 6 medarbeidere

• I tillegg kommer Datatilsynets direktør

Forstørr bilete

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

• seksjon for offentlige tjenester

• seksjon for private tjenester

• internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av en stab, samt to seksjoner som hver ledes av en seksjonssjef:

• seksjon for analyse, utredning og politikk (UAP)

• seksjon for intern IKT, sikkerhet og etterlevelse (ISE). Denne seksjonen ble opprettet høsten 2020.

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ virksomhetsstyring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personalansvaret (HR).

1.2.2.2 Budsjett

Datatilsynet ble i 2020 tildelt 66 703 000 kroner. Budsjettet dekker drift av tilsynets løpende oppgaver og lønnsutgifter. Budsjettet videreførte en økning fra 2018 og 2019 (som ble gitt for å dekke økte kostnader ved gjennomføring av nytt personvernregelverk) og det ble gitt en ytterligere økning i 2020 slik at samlet økning fra 2019 utgjorde 8 806 000 kroner. Lønnsutgiftene utgjorde 41 967 000 kroner (68,6 prosent) og driftsutgiftene utgjorde 19 214 000 kroner (31,4 prosent).

Midlene dekker kostnader knyttet til et økt bemanningsbehov, videreutvikling og drift av IKT-systemer, nye digitale kommunikasjonsløsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid og lovpålagt samhandling med andre personvernmyndigheter, samt kostnader knyttet til flytteprosess og etablering i nye lokaler fra og med 15. februar 2021.

1.2.3 Hovedtall

Forstørr bilete

Forstørr bilete

Forstørr bilete

Forstørr bilete

Forstørr bilete

1.3 Årets aktiviteter og resultater

1.3.1 Overordnet om våre prioriterte områder

I leders beretning har vi blant annet redegjort for hvordan koronasituasjonen har gjort det nødvendig å foreta en del omprioriteringer. De overordnede utviklingstrekkene omtales under vurdering av framtidsutsikter. I denne delen vil vi gå grundig gjennom våre viktigste prioriteringer:

• Saksbehandling og kontroll

• Internasjonalt samarbeid

• Korona og personvern

• Regulatorisk sandkasse

• Barn og unge

I dette avsnittet vil vi si noe helt kort om disse prioriteringene, hvorfor de er valg foran andre viktige områder, og hvilke områder som har blitt bevisst prioritert ned.

Personvern er en viktig del av omtrent alle samfunnsområder. Gitt våre ressurser, er det viktig å prioritere noen områder og jobbe grundig med disse, fremfor å spre arbeidet bredt utover. Dette gir større mulighet for å påvirke, og det gir grunnlag for å jobbe med de samme prioriterte områdene over flere år. Et eksempel på dette er barn og unge, særlig innenfor kommunal sektor, og spørsmål knyttet til digital kompetanse.

Saksbehandling og kontroll av regelverket er vår kjerneoppgave, og prioriteringen trenger ingen nærmere forklaring. Samtidig er det viktig å påpeke at tilsynsvirksomheten kan og må prioriteres. Vi beslutter selv hvor mange stedlige kontroller vi skal gjennomføre. Vi kan ikke velge ikke å behandle klagesaker fra forbrukere, men vi kan velge å behandle enkelte saker etter forenklet prosess, der vi for eksempel anser muligheten for klager til å nå fram med sin klage, som liten. Slike prioritering gjør vi løpende gjennom året. For bedre oversikt og kontroll over tilsynsvirksomheten, har vi også under arbeid et nytt regime for rapportering på framdrift.

Når det gjelder det internasjonale, er vår oppfatning at det å delta aktivt i den fasen vi er i nå, når personvernforordningen på langt nær er «ferdig tolket», er av vesentlig betydning. Vi kunne for så vidt deltatt i færre undergrupper eller ikke påtatt oss ekstra arbeid. Dette ville imidlertid neppe være klokt, gitt at innflytelse går gjennom aktivitet, og kunnskap for forordningen er viktig for praktisering av reglene.

Korona og personvern kom inn som en dramatisk hendelse fra sidelinjen og traff oss med voldsom kraft. Det var ikke noe spørsmål om vi skulle legge mye arbeid i koronarelaterte problemstillinger og saker, men også her kunne vi valgte en mindre aktiv tilnærming. Vi så imidlertid at det på mange samfunnsområder var avgjørende at vi tok en aktiv rolle, enten som rådgiver eller som kontrollinstans.

Vi gjorde et aktivt valg om å søke om midler til å etablere regulatorisk sandkasse. Denne prioriteringen har gått på bekostning av andre aktiviteter, særlig i oppstartfasen, da vi trakk på tilsynets «ordinære» budsjett. Vi følte likevel at tiden var moden for å tenke nytt rundt virkemidler, særlig når regjeringens strategi for kunstig intelligens hadde opprettelsen av regulatorisk sandkasse som ett av virkemidlene.

Disse prioriteringene har fått konsekvenser. Vi har for eksempel ikke hatt særlig mange aktiviteter på samferdselssektoren eller finanssektoren, som er to sentrale områder. Vi har gjennomført færre stedlige tilsyn enn opprinnelig tenkt, og vi har ikke gjennomført større utredningsarbeider bortsett fra personvernundersøkelsen, men den var allerede godt i gang da landet stengte ned.

Saksbehandlingstiden har også i perioder vært noe lang. Vi anser ikke dette for å ha hatt veldig store konsekvenser, og de satsingene vi har hatt i meldingsåret, har ført til mindre behov for nedprioriteringer enn i et normalår. Grunnen er blant annet at vi har gjennomført langt færre foredrag og eksterne møter enn normalt. Dette har gjort det mulig å jobbe mer fokusert. Det har imidlertid ført til slitasje på organisasjonen, som nok i stor grad skyldes koronasituasjonen og bruken av hjemmekontor.

1.3.2 Kontroll og saksbehandling

Våre oppgaver og myndighet følger først og fremst av personopplysningsloven med personvernforordningen, men også av politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter.

Personvernforordningen slår fast at Datatilsynet «skal føre tilsyn med og håndheve anvendelsen av denne forordningen». Vi forstår dette tilsynsbegrepet i lys av den engelske språkversjonen av forordningen. Der brukes begrepet «monitor», som kan oversettes med «følge med på», «føre overoppsyn med», eller lignende.

Mange av oppgavene våre innebærer skriftlig saksbehandling. En vesentlig del av de innkommende saksdokumentene som Datatilsynet mottar, er klager fra enkeltindivider (i forordningen og loven betegnet som «de registrerte»). Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og tilsynsmyndighetens plikt til å følge opp klagene fra enkeltpersoner følger direkte av forordningens bestemmelser.

Vi har i tillegg flere saker til behandling som ikke er initiert av slike individklager. Dette kan være søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer, og så videre. BCR-sakene er blant de mest krevende å behandle, ettersom prosessen involverer både andre europeiske tilsynsmyndigheter og det felleseuropeiske Personvernrådet (EDPB), samt at den totale saksbehandlingstiden, inkludert godkjenning i EDPB, kan være på omkring to år.

Datatilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysningssikkerheten (avviksmeldinger). Mange av disse meldingene krever mindre oppfølging, men flere av dem nødvendiggjør metikuløs oppfølging av saksbehandlerne i tilsynet.

Ansvarsprinsippet i forordningen skal sikre at de som er behandlingsansvarlige eller databehandlere etterlever regelverket. Konsekvensene ved lovbrudd kan bli alvorlige, loven og forordningen har ulike bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro, for de bruddene som i artikkel 83 nr. 5 i personvernforordningen er angitt som de mest alvorlige.

1.3.2.1 Gjennomførte aktiviteter

Antall saker, saksdokumenter og klager

I 2020 har vi registrert et høyere antall nyopprettede saker enn i 2019. I løpet av året registrerte Datatilsynets arkiv 3 271 nye saker. Til sammen ble det registrert 5 733 innkommende dokumenter. Sammenlignet med årene før, innebærer dette en markant økning. Samtidig ble det sendt ut 4 337 dokumenter fra Datatilsynet i løpet av året. Dette er også et høyere tall enn noen gang før.

Forstørr bilete

Forstørr bilete

¹ Tall for 2020 inkluderer ikke personaldokumenter

Som mange andre land i EØS-området, ser vi en økning i antallet klagesaker som handler om behandling av personopplysninger. Økningen har vært vedvarende siden personvernforordningen ble innført i norsk rett sommeren 2018. Vi antar at den økende oppmerksomheten om personvern, og folks forventninger om at personopplysninger skal behandles på en måte som tilfredsstiller lovens krav, er en konsekvens av det nye regelverket. En mulig årsak kan også være mer effektiv håndheving av regelverket de siste årene, for eksempel gjennom økt sanksjonering av regelverksbrudd som krenker enkeltindividets grunnleggende rettigheter, og at dette har vist at «det nytter» å klage.

Samtidig ser vi at det i flere saker har vært nødvendig å kontakte klagerne for å få opplyst sakenes faktiske sider, og dette har også bidratt til at antallet utgående dokumenter har økt.

Klager på Datatilsynets enkeltvedtak

I løpet av året fattet vi 252 vedtak registrert i arkivsystemet, men dette tallet er noe usikkert. Tallet er i realiteten høyere, og omfatter for eksempel ikke saker der vi påpeker hvilke plikter en virksomhet har uten å fatte et formelt vedtak. Vi mottok 38 klager på våre vedtak. I 20 av klagesakene er klagerne privatpersoner, i resten av sakene er det offentlige eller private virksomheter som har klaget. I to tilfeller resulterte klagene i at vi omgjorde våre egne vedtak (jf. forvaltningsloven § 33 andre ledd). I 22 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling. Kun tre av klagene gjaldt ileggelse av overtredelsesgebyr. Seks av klagene var fremdeles til behandling ved overgangen til 2021.

Forstørr bilete

Av de 38 klagesakene er åtte klager på våre avslag på innsynsbegjæringer etter offentlighetsloven. Datatilsynet omgjorde fem av disse avslagene etter å ha mottatt klager, og delvis innsyn ble gitt. To av klagesakene gjaldt delvise avslag på innsynsbegjæringer etter offentlighetsloven, og disse sakene ble klagebehandlet av Kommunal- og moderniseringsdepartementet som avslo begge klagene. Den siste klagen ble trukket.

Forstørr bilete

Se fullstendig oversikt over sakene som ble oversendt til nemnda i 2020 under Vedlegg.

Sanksjoner

I løpet av meldingsåret, har Datatilsynet fattet 13 avgjørelser om overtredelsesgebyr eller tvangsmulkt. Sakene gjelder brudd på regelverkets krav i forbindelse med kameraovervåking, informasjonssikkerhet, overvåking på arbeidsplassen og innhenting av kredittopplysninger.

Forstørr bilete

Det høyeste gebyret var på 3 millioner kroner, og det laveste på 75 000 kroner. Til sammen utstedte Datatilsynet gebyrer på til sammen 5 875 000 kroner i løpet av året. Tre av overtredelsesgebyrene har blitt påklaget, og skal behandles av Personvernnemnda i 2021.

I tillegg har Datatilsynet utstedt irettesettelser (i medhold av personvernforordningen art. 58 nr. 2 bokstav b) i fem saker i løpet av meldingsåret. I enkeltvedtakene som er fattet i 2020, er det dessuten gitt ulike pålegg (i mehold av art. 58 nr. 2), enten i stedet for eller i kombinasjon med overtredelsesgebyr og irettesettelser.

Se fullstendig oversikt over alle sanksjonene som ble vedtatt i 2020 under Vedlegg.

Høringer

I løpet av 2020 mottok Datatilsynet 198 høringssaker. Datatilsynet ga innspill til 50 av disse. Dette er et høyt tall sammenlignet med foregående år, og antallet innkommende høringssaker er vesentlig høyere enn i fjor. De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir gjennomgått og vurdert av en saksbehandler, og om Datatilsynet finner at det ikke er grunn til å gi noen uttalelse, eller høringssaken ikke kan prioriteres, blir den tatt til etterretning og avsluttet.

Forstørr bilete

Sju av uttalelsene vi ga uttalelser til, handlet om regler foreslått på bakgrunn av pandemien. Noen av disse hadde svært knappe høringsfrister.

Noen av de mest sentrale høringssakene Datatilsynet ga uttalelse til i 2020, var:

• NOU 2019: 9 Fra kalveskinn til datasjø (utsatt svarfrist)

• Forslag til kredittopplysningsforskrift

• NOU 2019: 26 Rusreformutvalget – fra straff til hjelp

• NOU 2019: 20 En styrket familietjeneste

• NOU 2019: 23 – Ny opplæringslov

• Forslag til lov om informasjonstilgang mv. for Koronakommisjonen

• Forslag til endringer i politiregisterloven og politiregisterforskriften

• Forslag til endringer i statsansatteloven – lovhjemmel for etablering av en registreringsordning for statsansattes økonomiske interesser mv.

• Forslag til endringer i forvaltningsloven m.m. – utvidet adgang til informasjonsdeling

• Nye hjemler for deling av pasientopplysninger

• endringer i helsepersonelloven. Bruk av kunstig intelligens i helse- og omsorgstjenesten

• Etablering av behandlingsrettet helseregister med tolkede genetiske varianter

• Forslag til lov om Stortingets ombud for forvaltningen (Sivilombudsloven)

Dere finner nærmere omtale av noen av våre mest sentrale høringsuttalelser under de prioriterte områdene. Se forøvrig fullstendig oversikt over høringsuttalelsene våre med merknader under Vedlegg.

Offentlighetsloven og innsynskrav – eInnsyn

Via eInnsyn mottok vi 3 671 innsynskrav i løpet av meldingsåret. Dette er en økning sammenlignet med 2019, og vi har registrert en jevn økning de seneste årene. Dette er nok en naturlig konsekvens av at vi også har registrert flere inn- og utgående dokumenter.

Forstørr bilete

Vi ga innsyn i de langt fleste tilfellene, men ga avslag på 348 innsynsbegjæringer, som følge av at dokumentene inneholdt taushetsbelagt informasjon. I 628 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.

Vi legger ned betydelige ressurser i utøvelsen av offentlighet, og dette arbeidet utføres særlig av arkivet og Datatilsynets juridiske avdeling.

Tilsyn og tilsynsmetodikk

Datatilsynet har hatt behov for en oppdatert og mer effektiv tilsynsmetodikk som kan bidra til en koordinert og enhetlig gjennomføring av tilsyn. Personvernforordningen har gitt nye rammer for tilsynsvirksomheten:

• konsesjonsarbeidet ble avviklet og ansvaret for etterlevelse i sin helhet overført til de behandlingsansvarlige

• manglende samsvar med personvernforordningen gir vesentlig høyere gebyrer

• de tekniske løsningene blir stadig mer komplekse.

I tillegg til tradisjonelle dokumenttilsyn, ønsker vi større grad å gjennomføre stedlige tilsyn, ved verifisering av dokumentasjon gjennom intervju, befaring og tekniske undersøkelser.

Forprosjektets tilsynsrapport ga anbefalinger til oppfølgingspunkter knyttet til valg av metodikk, støttesystemer og rutiner for prosjekthåndtering og opplæring. Dette har dannet grunnlaget for «Tilsynsmetodikkprosjektet» i 2020. Prosjektet leverte rapport, metodikk og sine anbefalinger til ledergruppen høsten 2020, der det ble besluttet at vi skal benytte dette som vårt verktøy for gjennomføring av framtidige tilsyn.

Tilsynsmetodikken skal oppleves som solid og tillitsvekkende både for de som skal gjennomføre tilsyn, for våre tilsynsobjekter og samfunnet for øvrig. Den er basert på ISO 19011 (retningslinjer for revisjon av ledelsessystemer), men betydelig tilpasset vårt regelverk der personvernforordningen gir tilsynskriterier.

Alle ledere og saksbehandlere har gjennomført kurs i ISO 19011 og ISO 9O001. Nøkkelmedarbeidere som er tiltenkt rollen som tilsynsledere, har tatt eksamen i ISO 19011.

2020 ble et annerledes år også når det gjaldt gjennomføring av tilsyn, men vi har likevel gjennomført en kontroll hvor vi testet ut og brukte den nye metodikken. Erfaringene derfra er at metodikken er et godt og effektivt hjelpemiddel for gjennomføring av tilsyn etter personopplysningsloven.

Vi har også endret på organisering av tilsynsvirksomheten vår gjennom å opprette en rolle som tilsynskoordinator. Denne skal ha det overordnede oppsynet med tilsynsvirksomheten, koordinere gjennomføringen av hele tilsynsforløpene, og også sikre at både gjennomføring av tilsyn og bruk og nytte av metodikken kontinuerlig evalueres.

I 2021 vil metodikken utvides med en egenutviklet opplæringspakke, oppdatert malverk og metodikk for tilsyn med algoritmer og kunstig intelligens.

Tilsyn med algoritmer og KI

En ny EU-lovgivning for etisk, kunstig intelligens ble i oktober 2020 foreslått for Kommisjonen av det europeiske Personvernrådet. Forslaget understreker betydningen av personvernregelverket, også innenfor kunstig intelligens, i tillegg til sentrale, etiske prinsipper slik som menneskets selvbestemmelse og kontroll, sikkerhet og andre grunnleggende rettigheter. For teknologier med høy risiko for å skade enkeltpersoner og samfunnet, er det foreslått særlige regler, inkludert et nasjonalt tilsynsorgan.

Gjennom vår tilsynsmetodikk for algoritmer og KI, samt erfaringene fra regulatorisk sandkasse for ansvarlig, kunstig intelligens, videreutvikler og spisser vi vår kompetanse på tilsyn av algoritmer, teknologi, personvernvennlig kunstig intelligens.

Datatilsynet ønsker å ta rollen som tilsynsmyndighet for etisk kunstig intelligens, dersom forslaget blir vedtatt.

1.3.2.2 Spesielt om avviksmeldinger

Innføringen av personvernforordningen i 2018 førte til at Datatilsynet mottar langt flere avviksmeldinger (meldinger om brudd på personopplysningssikkerheten) enn tidligere.

Forordningen stiller strenge og endrede krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene, og dette gjenspeiles i en betydelig økt saksbehandlingsmengde knyttet til avviksmeldinger. I 2020 mottok Datatilsynet 2 009 meldinger. Det vil si et gjennomsnitt på omlag 150 avviksmeldinger per måned siden forordningen trådte i kraft.

Forstørr bilete

Antallet meldte brudd i 2020 er en økning sammenlignet med de foregående årene, og det blir spennende å se om tallet er i ferd med å stabilisere seg på rundt 2 000 avvik i året.

Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde avvik, og at de har rutiner både for å avdekke og melde slike avvik. Det er imidlertid grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I vår kommunikasjon har vi lagt vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten, og at det ligger mye læring i dette for den enkelte virksomhet.

Forstørr bilete

Det omfattende antallet har naturlig nok ført til økt ressursbruk knyttet til saksbehandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, veilednings- og kommunikasjonsarbeid.

(Merk: Det er noen ulikheter mellom tallene vi henter ut fra saksbehandlingssystemet vårt (figuren over), og de tallene vi har behandlet manuelt og som ligger til grunn for den videre analysen. Avviket er mindre enn 2 prosent og vil dermed ikke ha innvirkning på helhetsbildet.)

Hvilke typer overtredelser er meldt inn?

Meldingene Datatilsynet behandler varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede. Den vanligste årsaken til at et avvik oppstår er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.

Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende. Denne kategorien skal deles opp og defineres tydeligere i kommende år.

Forstørr bilete

Hvem melder avvik til Datatilsynet?

Antall innmeldte avvik representerer ikke nødvendigvis et korrekt bilde av antall faktiske avvik. Når enkelte sektorer melder flere avvik enn andre kan det like gjerne antyde at kompetansen, systemene og rutinene er bedre utviklet her. På samme måte kan det at enkelte sektorer og aktører nesten ikke melder inn avvik til Datatilsynet, like gjerne antyde mangelfulle rutiner som at avvik ikke forekommer.

28 prosent av alle avvikene som meldes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange sensitive opplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er dermed spesielt viktig.

Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 23 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier personopplysninger, og er følgelig ikke de som er mest alvorlige. Sammenlignet med 2019 har andelen avviksmeldinger økt i kommunesektoren og falt i finanssektoren.

Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.

1.3.2.3 Ressursbruk

Det juridiske arbeidet i Datatilsynet legger beslag på om lag 32 årsverk, noe som er i overkant av 50 prosent av tilsynets arbeidsstokk. I en periode har det vært stor utskiftning av Datatilsynets jurister som er ettertraktede andre steder i arbeidsmarkedet. Vi har derfor hatt noe redusert bemanning i perioder. Rekruttering av nye medarbeidere har imidlertid vært en prioritering i 2020, og seksjonene er bedre bemannet enn i 2019.

Vi har arbeidet med å få på plass saksbehandlingsrutiner og nye verktøy for å effektivisere saksbehandlingen vår, og vil innføre ytterligere tiltak i 2021.

1.3.2.4 Måloppnåelse

Datatilsynet skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom våre enkeltvedtak, gjør vi at enkeltindividets rettigheter blir realisert i praksis. I året som gikk, hadde vi flere saker som gjaldt personvern og sårbare grupper. Overtredelsesgebyrene får en del omtale i media, og har dermed en allmennpreventiv effekt. Det økte antallet gebyrer gir klare signaler om at Datatilsynet vil slå ned på lovbrudd i tiden som kommer, også i privat sektor.

Forstørr bilete

Ved å rette søkelyset mot brudd på personopplysningssikkerheten og innebygd personvern i flere av de store sakene våre, bidrar vi også til å realisere den strategiske målsetningen vår om å fremme personvernvennlig digitalisering, innovasjon og utvikling.

1.3.2.5 Fremtidige utfordringer

I tiden som kommer vil Datatilsynet gjennomføre flere tilsyn og andre kontrolltiltak, og det vil trolig knytte seg enda flere utfordringer til kontroll og etterlevelse av regelverket i privat sektor. Den internasjonale dimensjonen ved mange av sakene og problemstillingene som oppstår, som for eksempel Schrems II og Brexit, gjør at kompleksiteten i saken øker. Dette er utfordrende både for de registrerte, pliktsubjektene og for tilsynsmyndigheten.

En harmonisert praktisering av regelverket på tvers av Europa, vil fremdeles være en utfordring i 2021 og fremover. Arbeidet i regi av det europeiske Personvernrådet vil være essensielt i den forbindelse. Fortsatt deltakelse i Personvernrådet og alle dets undergrupper vil være en prioritet, og gjøre oss godt rustet i møte med prosessuelle og materielle utfordringer. Kunnskap om rettsutviklingen i EU og EØS er nødvendig for en korrekt regelverkshåndhevelse på personvernrettens område.

1.3.3 Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet til Datatilsynet.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2020 har vi fullført en slik lederrolle, og vi har dessuten tatt på oss ansvar i nye prosesser.

1.3.3.1 Gjennomførte aktiviteter

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvernforordningen. De viktigste oppgavene til rådet er å gi retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.

I 2020 har Datatilsynet deltatt på Personvernrådets plenumsmøter som vanligvis avholdes omtrent én gang i måneden, men som under korona har blitt gjennomført i form av langt hyppigere videomøter. I tillegg har Datatilsynet deltatt aktivt i samtlige av rådets ekspertgrupper som også har møttes digitalt:

• Border, Travel and Law Enforcement Expert Subgroup

• Compliance, e-Government and Health Expert Subgroup

• Cooperation Expert Subgroup

• Enforcement Expert Subgroup

• Financial Matters Expert Subgroup

• International Transfers Expert Subgroup

• IT Users Expert Subgroup

• Key Provisions Expert Subgroup

• Social Media Expert Subgroup

• Strategic Advisory Expert Subgroup

• Taskforce on Fining

• Technology Expert Subgroup

Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen åtte jurister og én teknolog fra Datatilsynet deltok fast i EDPBs plenums- og ekspertgruppemøter i 2020.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. Komiteen hadde to møter i 2020, der én jurist fra Datatilsynet deltok.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjonsstrategi og der man deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i kommunikasjonsnettverket i 2020.

Utarbeidelse av felles europeiske retningslinjer om innebygd personvern

I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill. I 2020 har vi avsluttet dette arbeidet. Én jurist og én teknolog har jobbet med dette.

Retningslinjene analyserer ordlyden i personvernforordningen artikkel 25 og forklarer hvordan den skal forstås. Deretter gir retningslinjene eksempler på elementer som må bygges inn i systemer og rutiner for hvert av personvernprinsippene.

Retningslinjene ble vedtatt 13. november 2019. Deretter ble de sendt på offentlig høring og revidert. Retningslinjene ble endelig vedtatt den 20 oktober 2020.

Organisering av plenumsmøter

Personvernrådet holder for tiden på å forbedre egen organisering for å gjøre plenumsmøtene mer fokuserte og effektive og for å oppnå klarere oppgavefordeling. Datatilsynet ble i 2020 utpekt som hovedrapportør for dette arbeidet. Én jurist jobber med dette.

Internasjonal saksbehandling / IMI

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Ledende datatilsynsmyndighet undersøker saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot. Til denne prosessen brukes et saksbehandlingssystem som heter Internal Market Information System (IMI).

Forstørr bilete

I 2020 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 320 nye saker. I samme periode var vi ledende datatilsynsmyndighet i 20 saker. De fleste av disse sakene er fremdeles åpne ved årsskiftet.

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. Det kan være krevende å nå enighet med andre datatilsynsmyndigheter om hva avgjørelsene skal gå ut på. Internasjonal saksbehandling krever derfor en del ressurser, og saksbehandlingstiden er adskillig lenger enn i ikke-grenseoverskridende saker.

Overføring til tredjeland og BCR

Den 16. juli 2020 falt dommen i den såkalte Schrems II-saken i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Dommen skapte utfordringer for en rekke norske virksomheter. Vi prioriterte derfor å utarbeide veiledningsmateriell til datatilsynet.no om hva dommen betyr og hvordan norske virksomheter skal forholde seg til den. Vi har også gjennomført dialogmøter med flere aktører og holdt flere foredrag om denne problematikken.

Ved utgangen av 2020 hadde Datatilsynet, som ledende tilsynsmyndighet, 12 åpne søknader om godkjenning av bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger til tredjeland. Kun fire andre land i EØS har flere søknader til behandling.

En BCR må først legges frem for Personvernrådet for uttalelse før den kan godkjennes av de nasjonale datatilsynsmyndighetene. Det tok lang tid for rådet å få på plass prosedyrer for dette, og prosedyrene som har blitt vedtatt, krever tett samhandling mellom alle datatilsynsmyndighetene i EØS og er svært ressurs- og tidkrevende. Personvernrådet ga sin første uttalelse om en BCR mot slutten av 2019, og så langt har kun et fåtall BCR-er vært til behandling i rådet.

I 2020 ble den første norske BCR-søknaden lagt frem for Personvernrådet. Den 31. juli 2020 vedtok rådet en formell uttalelse om søknaden, der rådet uttalte at BCR-en kunne godkjennes uten endringer. Kun fire andre land hadde lagt frem BCR-søknader for Personvernrådet og fått en uttalelse før dette.

I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor andre EØS land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Norske konsern som har fått en godkjent BCR, skal årlig sende en oppdatering til Datatilsynet som må gjennomgås. Ved utgangen av 2020 gjaldt det syv konsern.

Eurodac og Visumsamarbeidet i Europa (Eurodac og VIS Supervision Coordination Group (SCG))

Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Schengen Information System (SIS) Supervision Coordination Group (SCG)

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Neste evaluering vil finne sted i 2022. Evalueringen innebar en inspeksjon av vår etterlevelse av tilsynsoppgavene etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.

I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant annet ut på å bedre informasjonen om de registrertes rettigheter på hjemmesiden vår, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig måtte vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Vi gjennomførte et tilsyn av UDI og deres behandling av opplysninger i den nasjonale delen av VIS i 2019. Rapporten er fremdeles under arbeid.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Det europeiske Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan datatilsyns- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt særlig fremhevet. Vi har en sentral rolle i dette arbeidet. Én jurist deltok i dette arbeidet.

Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg, samt Eurpoean Policy Centre. Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2020 har én samfunnsviter og én jurist deltatt på disse møtene.

Global Privacy Assembly (GPA) er et internasjonalt forum for hele verdens datatilsynsmyndigheter. Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett. Datatilsynet er medlem av denne arbeidsgruppen. Én jurist deltok på arbeidsgruppens møter i 2020, og vi deltok på GPAs digitale årsmøte.

Andre samarbeid

Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Telecommunications – IWGDPT), og vi samarbeider med de øvrige nordiske datatilsynsmyndighetene. Disse foraene har ikke hatt møter i 2020 på grunn av koronasituasjonen.

1.3.3.2 Ressursbruk

Arbeidet i Personvernrådet og dets ekspertgrupper krever betydelige ressurser. For å delta i møtene i ekspertgruppene er det ofte nødvendig med grundige forberedelser, siden prinsipielle spørsmål om forståelsen av personvernreglene står på agendaen.

Vanligvis møtes ekspertundergruppene i Personvernrådet mellom fire og tolv ganger i året hver, avhengig av hvilken ekspertgruppe det er snakk om. Under pandemien har imidlertid mange av ekspertgruppene møttes langt hyppigere. Dette har flere årsaker. For det første er det lettere å møtes oftere og kalle inn til møter på kortere varsel når møtene finner sted digitalt. For det andre har EDPB måttet prioritere presserende temaer, slik som behandling av personopplysninger i kontekst av pandemihåndtering og tvisteløsning mellom datatilsynsmyndighetene.

Saksbehandling av grenseoverskridende saker og BCR-søknader er særlig tidkrevende og møysommelig arbeid som også legger bånd på store ressurser.

Som en del av omorganiseringen av Datatilsynet i 2019 ble det opprettet en egen internasjonal seksjon, og seksjonen har fått tilført ytterligere ressurser i 2020. Seksjonen har ansvar for arbeidet i Personvernrådet, samt saksbehandling av grenseoverskridende saker og BCR-søknader. Å samle disse oppgavene i én enhet har gjort det enklere å tilnærme seg det internasjonale arbeidet på en systematisk og helhetlig måte, noe som igjen fører til bedre ressursutnyttelse.

Datatilsynets prioritering om å bruke større ressurser på internasjonalt arbeid i 2020 har gitt gode påvirkningsmuligheter og synlighet internasjonalt.

1.3.3.3 Måloppnåelse

Vår deltakelse på den internasjonale arenaen gjør at vi stadig øker vår faglige kompetanse, noe som bidrar til å nå målsetningen om å være et kompetent og fremtidsrettet tilsyn.

Arbeidet i Europa vil dessuten føre til harmonisert regelanvendelse, noe som i sin tur bidrar til en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre.

Dessuten har Datatilsynet hatt som et uttalt mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Dette målet er realisert gjennom arbeidet med de europeiske retningslinjene vi har vært hovedrapportør for.

1.3.3.4 Fremtidige utfordringer

Det vil også i tiden som kommer være krevende å følge med på rettsutviklingen som i hovedsak foregår på den felleseuropeiske arenaen. At vi er oppdatert på gjeldende rett er ikke bare en nødvendighet for at vi skal kunne treffe riktige rettslige beslutninger, men det vil også forventes at vi kan veilede om de siste rettsutviklingstrekkene, både overfor enkeltpersoner og offentlige og private virksomheter. Schrems II-dommen, og det behovet for avklaringer som oppsto i kjølvannet av den, er et eksempel på dette, og vi ser for oss at lignende situasjoner kan oppstå også i tiden fremover.

Vi regner også med at det høye antallet BCR-saker vil vedvare. Det er dessuten mulig at vi må overta noen av BCR-sakene som den britiske tilsynsmyndigheten har hatt til behandling, som en direkte konsekvens av Brexit. BCR-sakene er saker som vi er forpliktet til å behandle, dermed kan behandlingen av dem måtte gå foran andre viktige oppgaver.

Også hva gjelder øvrige grenseoverskridende saker, må antallet forventes å forbli høyt. En utfordring er at disse sakene som regel vil måtte koordineres med andre tilsynsmyndigheter i Europa.

1.3.4 Spesielt om koronasituasjonen

Koronasituasjonen har hatt stor betydning for Datatilsynet i meldingsåret. Under leders beretning har vi gjort en overordnet analyse av hva koronaen har betydd for våre prioriteringer, vår ressursbruk og til dels vår måloppnåelse. Vi har også gitt en fragmentert omtale av våre aktiviteter som følge av pandemien andre steder i meldingen. Ettersom denne pandemien langt på vei har endret det norske samfunn og folks syn på personvern, i hvert fall på kort sikt, vil vi her gi en samlet oversikt over vårt arbeid med koronarelaterte problemstillinger og utfordringer i 2020.

1.3.4.1 Gjennomførte aktiviteter

Saksbehandling

Forvaltningspraksisen vår

Når krisen traff oss, gikk samfunnet inn i en unntakstilstand. For Datatilsynet ble det viktig å understreke at personvernregelverket også gjelder i krisetid, samtidig som vi måtte utvise nødvendig fleksibilitet og skjønn, gitt situasjonens alvor.

Vi besluttet blant annet å ikke håndheve brudd på 72-timers-fristen for å melde avvik, og ikke håndheve annet enn alvorlige brudd på personvernsikkerheten i skolesektoren. Dersom det var nødvendig å ta i bruk tjenester som ikke var risikovurdert, oppfordret vi likevel å gjennomføre forenklede vurderinger og dokumentere dem. Staten ga betydelig kompensasjonsmidler til mange bedrifter, blant annet for å forhindre konkurser. Vi besluttet i starten av koronaen å utvise stor forsiktighet med å utstede overtredelsesgebyrer, særlig til mindre bedrifter.

Smittestopp-saken

Appen Smittestopp ble lansert medio april 2020. Gjennom appen skulle Folkehelseinstituttet (FHI) foreta digital smittesporing. Appen skulle også bidra med data til analyse og modellering av smitteverntiltak, samt til forskning.

Smittestopp samlet blant annet inn brukerens GPS-lokasjon og informasjon om brukerens kontakt med andres telefoner til enhver tid. Prinsipielt innebar dette et stort potensiale for overvåking av brukerne av appen. Dataene skulle lagres i en sentral database. Brukerne kunne ikke velge å bidra med data til ett av flere formål: smitte-/kontaktsporing, analyse eller forskning.

Vi satte i verk en dokumentkontroll av appen. I første omgang varslet vi pålegg om endring av risiko- og sårbarhetsanalysen, samt protokollen for Smittestopp. Vi avdekket vesentlige mangler ved dokumentasjonen som vi mente burde rettes umiddelbart.

I juni 2020 varslet vi FHI om et midlertidig forbud mot behandling av personopplysninger i tilknytning til Smittestopp, da vi mente at FHI ikke hadde dokumentert appens nytteverdi. Vi så særlig på appens manglende funksjonalitet og den lave oppslutningen om Smittestopp. Vi mente også at FHI ikke hadde godtgjort at det var nødvendig å bruke lokasjonsdata fra GPS i kontaktsporingsarbeidet. Dette var etter vårt syn i strid med prinsippet om dataminimering.

Videre var vi kritiske til at brukerne ikke hadde mulighet til å velge å gi fra seg personopplysninger for kun ett eller enkelte av flere formål. Stortinget vedtok senere at formålene måtte splittes.

Etter at de mottok varselet om midlertidig forbud, valgte FHI å stanse innsamlingen og slette alle personopplysninger. Vi fattet formelt vedtak om midlertidig forbud i juli 2020.

FHI lanserte i desember 2020 en ny versjon av Smittestopp. Den nye appen har kun smitte- og kontaktsporing som formål, og er samtykkebasert. Appen bruker kun Bluetooth i kontaktsporingen, og dataene lagres lokalt på den enkelte brukers mobiltelefon. Etter det vi kan se, er personvernet mye bedre ivaretatt i den nye løsningen.

Tilsyn

Tilsyn med befolkningsvarsling

Det har i hele kriseperioden vært viktig å nå ut med mest mulig konkret og treffsikker informasjon. Ulike typer befolkningsvarsling har vært brukt til dette formålet, blant annet ble det sendt ut en melding om reisekarantene til alle som var på reise i Danmark. For å få klarhet i hvordan disse varslingstjenestene fungerte, hvem som var involvert og ansvarsforholdet mellom partene, startet vi en tilsynssak om lokasjonsbaserte SMS-varsler. Sakene er ikke avsluttet.

Sentrale høringsuttalelser

I løpet av året har vi avgitt flere høringsuttalelser om ulike lovforslag om bank- og finanssektoren, herunder forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.

Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.

I tillegg har vi gitt høringsuttalelser blant annet om disse forslagene:

• Gjennomføring av digitale rettsmøter (tilpasninger til prosesslovgivning)

• Innreiserestriksjoner

• Reiseregistrering

• Isolering og begrensninger i bevegelsesfrihet mv. i smittevernloven

• Endringer i forskrift om meldingssystem for smittsomme sykdommer

Øvrige aktiviteter

Informasjon om smittede og folk i karantene

Få dager etter nedstengningen mottok vi de første spørsmålene fra arbeidsgivere og media om hva man kunne opplyse om ansatte som var i karantene eller som var smittet av Covid 19. Vi besvarte mange henvendelser på telefon, og la ut veiledning fortløpende på hjemmesiden vår. Her ga vi blant annet råd om at arbeidsgiver bør gi informasjon internt om at en ansatt er i karantene eller smittet, og be om samtykke fra den ansatte før vedkommende sitt navn ble nevnt. Slik informasjon bør ikke gis til utenforstående. Vi oppfordret også ledelsen i virksomhetene til å utarbeide en plan for å informere om følgene av at noen var smittet, ved for eksempel å si at saksbehandlingstiden var lenger enn normalt, eller kundeservice lavere bemannet.

Stengte skoler og digital undervisning

Da skolene stengt, ble lærerne digitale eksperter, stuebordet klasserom og foreldrene lærere. Det var en krevende situasjon for alle, og vi understreket i vår kommunikasjon at «tiden ikke er inne for streng håndheving», og oppfordret alle til å utvise smidighet. Vi utarbeidet en seks-punkts-liste der vi orienterte om hvor den enkelte lærer kunne søke råd, hva skolen burde ta spesielt hensyn til og pekte på at man også kunne fjernundervise på en personvernvennlig måte. Det var betydelig interesse fra både media og publikum om disse spørsmålene.

Bruk av mobildata til befolkningstelling- og varsling

Hytteforbudet ble innført 16. mars, og dette ga støtet til bruk av ulike former for telling av hyttefolket, slik som hvor mange som kjørte på hytta (punktteling av SIM-kort) og hvor mange som faktisk var på hyttene sine (sammenligning mellom antall innbyggere i en kommune, og antall SIM-kort registrert i samme kommune). Lovreguleringen på området er ikke krystallklar, og det var viktig å skille mellom telling av mennesker og telling av «anonyme» SIM-kort. Vi understreket at den enkelte kommune var ansvarlig, og at de måtte veie ulike interesser mot hverandre: På den ene siden hensyn til innbyggernes helse, på den andre siden det som kan oppleves som en krenkelse av personvernet.

Digitale konsultasjoner

Behovet for konsultasjoner med det offentlig generelt, og helsevesenet spesielt, avtok ikke med pandemien. Datatilsynet mottok mange henvendelser fra virksomheter om muligheten for å ta i bruk nye løsninger og ny teknologi, slik som Facetime og Skype. En særlig utfordring var at mange av disse løsningene ikke var risikovurdert, og at de skulle brukes til kommunikasjon av sensitive opplysninger. Vi utarbeidet en liste over hva de behandlingsansvarlige burde gjøre. Blant annet at man burde søke råd hos ansvarlige myndigheter, dokumentere vurderingene de gjorde best mulig og evaluere iverksatte tiltak.

Veiledningshenvendelser

Under «Kommunikasjon og veiledning» gir vi en grundig oversikt over generelle henvendelser til veiledningstjenesten vår. Her vil vi kort gå gjennom henvendelsene vi fikk knyttet spesifikt til koronasituasjonen. Så mye som syv prosent av alle henvendelser i 2020 gjaldt dette. Fra den vanlige og stabile 50/50-delingen av henvendelser fra virksomheter og privatpersoner, så vi at i perioden etter nedstengningen stod virksomheter for hele 70 prosent av henvendelsene og av disse var det flest spørsmål om informasjonssikkerhet. Henvendelsene handlet typisk om nye IT-løsninger som virksomhetene så seg nødt til å anskaffe for å kunne takle overgangen til hjemmekontor.

I april og mai var om lag 50 prosent av alle spørsmål som gjaldt korona knyttet til arbeidslivet. På telefon fikk vi høre eksempler om til dels svært inngripende tiltak som løpende innsyn i e-post eller krav om å ha på kamera hele arbeidsdagen for å kunne kontrollere arbeidstakernes arbeidsinnsats.

Enda det var urovekkende mange henvendelser av denne typen, har vi ikke sett at sakene senere har kommet inn til oss som formelle klagesaker. Vi har inntrykk av at de fleste vi har snakket med har en høy terskel for å varsle av frykt for negative konsekvenser. Det gjelder selv om innringere som varsler om kritikkverdige forhold på arbeidsplassen blir gjort oppmerksom på at vi har en streng taushetsplikt å forholde oss til.

Veiledning på nett

For å hjelpe på det massive behovet for veiledning opprettet vi en egen temaside om dette på datatilsynet.no. Der vi publiserte vi fortløpende alt innhold som var relatert til korona-situasjonen. Det ble blant annet lagt ut artikler, veiledninger og råd om skole og digitalisering, digitale konsultasjoner, bruk av mobildata til befolkningsvarsling, besøksregistrering og smittesporing, retningslinjer om helsedata og lokasjonsdata, samt kontroll og håndheving av regelverket.

Vi la også vekt på å fortløpende oversette og publisere sentrale retningslinjer og veiledere fra Europakommisjonen og Personvernrådet, blant annet om apper til støtte for bekjempelse av pandemien.

1.3.4.2 Ressursbruk

Koronasituasjonen har medført et betydelig merarbeid for Datatilsynet. Alle ansatte har vært berørt, enten i form av konkret saksbehandling, veiledning, kommunikasjonsarbeid eller støttefunksjoner. Det har vært betydelig medieinteresse for mange av sakene våre, og dette har også tatt ressurser. Smittestoppsakene alene har trolig tatt opp imot ett årsverk å behandle, når vi ser på alle aktiviteter knyttet til saken under ett.

En del av det vi har gjort har vært nybrottsarbeid, og krevd vanskelig avveininger. Som eksempel kan nevnes beslutningen om å utvise forsiktighet med å utstede overtredelsesgebyr. En anslag er vanskelig, men vi antar mellom fire og fem årsverk totalt har vært knyttet til koronarelatert arbeid.

1.3.4.3 Måloppnåelse

Et viktig mål for Datatilsynet er at de registrert skal være i stand til å ivareta sitt eget personvern. Vi skal også jobbe for at virksomhetene skal forstå betydningen av godt personvern. Utarbeidelse av veiledningsmateriale, og konkret veiledning til virksomheter og enkeltpersoner, har etter vår mening helt klart bidratt til å oppfylle disse to målet.

Vi skal også jobbe for en mer rettferdig maktbalanse mellom borger og stat. Smittestopp utgjorde et stor inngrep i den enkeltes personvern, både fordi det ble brukt en for inngripende teknologi og fordi formålene var for bredt definert. Det er nettopp i slike situasjoner det er viktig for oss å balansere interessene i favør av den enkelt, noe vi menter vi lyktes godt med.

1.3.4.4 Fremtidige utfordringer

Det siste året har det vært iverksatt tiltak som ikke ville vært akseptable i en normal situasjon. Dette gjelder en lang rekke områder, fra lovgivning, til inngripende apper og kontrolltiltak i arbeidslivet.

Det er derfor av vesentlig betydning at vi kommer tilbake til en «før-korona-tilstand». Tiltak som ikke er risikovurdert må enten risikovurderes, eller avsluttes. Kontrolltiltak i arbeidslivet må reduseres. Samfunnet har vært gjennom en svært rask digitalisering, noe som isolert sett er bra. I skolen har for eksempel mange lærere opplevd et kompetanseløft som har vært positivt, men det er viktig at de nå også får økt personvernkompetanse i bruk av digitale læremidler (forankret i skoleledelsen og kommunen). Vi står overfor en ganske stor utfordringer dersom alle læremidlene som har vært brukt dette året, forblir i bruk uten nye vurderinger.

En del saker vi har behandlet (eller har under behandling) dreier seg om plassering av behandlingsansvar. Dette spørsmålet oppsto blant annet i sakene om befolkningsvarsling via SMS, der enten avsender (direktorat), leverandør (som selger tjenesten) eller operatør (som opererer telenettet), potensielt har ansvar. Det er derfor viktig å få klarhet i ansvarsforholdet på mange områder.

Til slutt vil vi peke på tid. Vi har forståelse for at mange lover og forskrifter måtte vedtas svært raskt, og vi strakk oss langt for å gi grundige høringssvar innen fristen. Enkelte forskrifter, som blant annet forskriften om smittesporing, ble ikke engang sendt på høring. Sett i ettertid, og basert på den brede kritikken som ble fremsatt, burde det vært gjennomført en kort høringsrunde. Resultatet kunne da ha blitt et annet, og en lovlig sporingsapp kunne sett dagens lys mye tidligere.

1.3.5 Spesielt om regulatorisk sandkasse for ansvarlig kunstig intelligens

I regjeringens nasjonale strategi for kunstig intelligens (KI) som ble lansert i januar 2020, var et av tiltakene å etablere en regulatorisk sandkasse for ansvarlig kunstig intelligens. Som en oppfølging av denne strategien, innvilget Kommunal- og moderniseringsdepartementet støtte til etablering av en regulatorisk sandkasse i regi av Datatilsynet. Tilsynet har brukt siste halvdel av 2020 til å etablere denne sandkassen.

Målet med sandkassen er å stimulere til innovasjon av etisk og ansvarlig KI fra et personvernperspektiv. Kunstig intelligens representerer store muligheter, men byr også på utfordringer når det kommer til bruk av personopplysninger og personvern. Sandkassen skal hjelpe enkeltaktører med å følge regelverket og utvikle personvernvennlige KI-løsninger. Vi vil bruke eksempler og læring fra de ulike prosjektene til å lage veiledning som kan hjelpe andre å ta i bruk kunstig intelligens på en personvernvennlig måte.

1.3.5.1 Gjennomførte aktiviteter

I etableringsfasen av den regulatoriske sandkassen har vi arbeidet målrettet med å få på plass interne ressurser, informere eksternt om sandkassen, innhente eksterne innspill og utarbeide prosedyrer og rammer for søknadsprosess og drift av sandkassen.

Innspillsrunder

Datatilsynet har jobbet aktivt for å forankre arbeidet eksternt for å sikre at sandkassen oppleves relevant. Vi ba om innspill via egne nettsider, gjennomførte bilaterale møter og arrangerte seks digitale workshops med eksterne. Vi fikk innspill fra rundt 60 aktører som en del av dette arbeidet. Vi har fått mange gode innspill til hvilken tematikk sandkassen bør adressere, hvordan sandkassen bør organiseres og hvilke type «output» som er nyttig for eksterne aktører. En oppsummering av innspillene ble publisert på nettsidene våre. Vi har hatt god nytte av dialog med datatilsynsmyndigheten i Storbritannia (ICO) og Finanstilsynet her i Norge. Begge aktørene har raust delt interne dokumenter og erfaringer fra sine sandkasser.

Kommunikasjon

I tillegg har arbeidet i etableringsfasen av sandkassen dreiet seg om å informere om at sandkassen åpnet for søknader 1. desember. Vi har annonsert i relevante medier, twitret, sendt ut nyhetsbrev, laget podcast, produsert videosnutter og annet innhold om sandkassen og søknadsprosessen på nettsidene – både på norsk og engelsk. Vi har også vært aktive med å holde foredrag om sandkassen i ulike forum.

Digitale seminar og møter

Vi åpnet første søknadsrunde med et digitalt seminar 1. desember der det var innlegg fra Distrikts- og digitaliseringsminister Linda Hofstad Helleland og tre andre eksterne innledere. Arrangementet ble fulgt av rundt 400 deltakere. Vi arrangerte også et åpent informasjonsmøte for potensielle søkere 16. desember med rundt 60 deltakere.

1.3.5.2 Ressursbruk

Ressursbruken i etableringsfasen av sandkassen dreier seg i hovedsak om bruk av interne personalressurser i tilsynet. Datatilsynet fikk innvilget tre millioner kroner fra Kommunal- og moderniseringsdepartementet til etablering av sandkassen i 2020. En tverrfaglig prosjektgruppe bestående av medarbeidere internt i tilsynet har hatt ansvaret for fremdrift i etableringsfasen. Tilsynet ansatte også en prosjektleder som tiltrådte i slutten av september. Avdelingsdirektør for Avdeling for teknologi, analyse og sikkerhet har hovedansvaret for prosjektet, og har tatt aktiv del i arbeidet. I løpet av forprosjektet har tilsynet utlyst tre juriststillinger, en kommunikasjonsstilling og to teknologstillinger som skal avlaste det daglige arbeidet for de medarbeiderne som skal jobbe med sandkassen.

Vi har etablert en intern styringsgruppe for prosjektet som består av ledergruppen i Datatilsynet. Styringsgruppen godkjente et mandat for prosjektet, og prosjektleder rapporterer månedlig til styringsgruppen på fremdriften.

1.3.5.3 Måloppnåelse

Etableringsfasen for den regulatoriske sandkassen har effektivt oppnådd målet om å etablere en intern prosjektorganisasjon inkludert mandat, rammeverk for sandkassen, søknadsprosedyre, ekstern kommunikasjon og forankring av sandkassen hos relevante eksterne aktører. I tillegg åpnet sandkassen for søknader i desember 2020, og var klar til å velge ut og igangsette prosjekter i første kvartal av 2021.

Etablering av sandkassen bidrar også til å møte Datatilsynets strategiske mål. Spesielt kan sandkassen ses på som et tiltak for å arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling. Sandkassen er også et konkret tiltak for å hjelpe virksomheter å bli kompetente, forstå viktigheten av godt personvern og etterleve regelverket.

1.3.5.4 Fremtidige utfordringer

Fra oppstart har sandkassen fått stor og positiv respons fra virksomheter, akademia, politisk ledelse og andre offentlige etater.

Responsen viser at det er stor aktivitet og interesse for å implementere KI-løsninger på den ene siden, og at mange aktører på tvers av sektorer opplever at personvernregelverket kan være vanskelig å implementere i praksis på den andre.

Datatilsynet vil bruke KI-sandkassen som en pilot for å vurdere om sandkassemetoden kan være et nyttig virkemiddel på mer permanent basis for å hjelpe virksomheter å operasjonalisere personvernet på en god måte.

1.3.6 Spesielt om barn, unge og utdanning

Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen, og det er et stort ønske å bruke og dele opplysningene til mange, ulike formål. Økt digitalisering og registrering øker også faren for at det behandles overskuddsinformasjon om barn.

Barn er gitt rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandlingene av deres opplysninger oftest besluttes av andre enn dem selv. I tillegg anses de ikke å fullt ut kunne vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

I tillegg er det spesielle utfordringer som oppstår når all aktivitet, vurderinger og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Vi ser dessverre et økende antall avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

Et eksempel som har aktualisert seg er store dataaktører som tilbyr gratisapper til bruk i skolen. Ofte forutsetter slike løsninger at brukeren gir noe tilbake. For barn og unge har dette materialisert seg ved at selskapene vil registrere personopplysninger om brukeren, for så å bruke denne informasjonen senere. Hovedspørsmålet her er om kommunen/skolen skal kunne ta i bruk denne typen apper uten at den enkelte elev eller foresatte selv kan bestemme om den kommersielle aktøren skal få registrere personopplysninger om eleven.

Kommunen har plikt til å ha en plan for å forebygge mobbing, og det tas i den sammenheng i bruk løsninger som ikke alltid tilfredsstiller kravene i personvernregelverket. Dette gjelder blant annet spørreundersøkelser. Enkelte undersøkelser gir for eksempel inntrykk av at elevene kan svare anonymt, mens barna i realiteten kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjonssikkerheten ved gjennomføringen av disse undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.

Datatilsynet har i 2020 videreført arbeidet med å styrke personvernet til barn og unge i offentlig sektor. Vi har sett nærmere på flere saker som berører de utfordringene vi ser innen blant annet skolesektoren og barnevernsektoren. Utfordringsbildet i sakene vi har behandlet er at det fortsatt er liten kompetansen blant ansatte i stat, kommune og fylkeskommune om barns særskilte beskyttelsesvern etter personvernregelverket.

Samtidig mangler fortsatt de sentrale aktørene oversikt over, og kontroll med, prosessering av personopplysninger og særlige kategorier personopplysninger om barn og unge slik personvernforordningen krever.

Koronasituasjonen skapte dessuten nye problemstillinger for skolesektoren når det gjelder personvern. Nedstengningen av landet innebar etablering av en rekke nye løsninger for å kunne gjennomføre hjemmeundervisning. Anskaffelsene og iverksettelsen av nye metoder for å kommunisere og drive undervisning ble gjort på ekstremt kort tid. Dette ga negative utslag som viste seg gjennom mange innmeldte avvik knyttet til selve teknologien, men også manglende kunnskap og opplæring hos de som skulle ta løsningene i bruk.

1.3.6.1 Gjennomførte aktiviteter

Sentrale høringsuttalelser

I 2020 har vi prioritert arbeidet med å gi høringsinnspill til lovforslag som påvirker barn og unges personvern. Kunnskapsdepartementet har sendt ut en rekke høringsforslag som gjelder barnehage- og skolesektoren. I Datatilsynets høringsinnspill til ny opplæringslov etterlyste vil blant annet forholdsmessighetsvurderinger av hvilken innvirkning digitale læringsverktøy i undervisningen har for barn og unges personvern.

Kunnskapsdepartementet la også frem forslag til samarbeidshjemler som gir offentlig sektor adgang til å dele personopplysninger, inkludert særlige kategorier personopplysninger, om barn og unge på tvers av sektorene. Datatilsynet ser dette behovet for deling av opplysninger. Samtidig erfarer vi at det er nærmest er umulig å tilbakekalle eller få slettet personopplysninger som er samlet inn ulovlig eller som er feil om barn og unge.

Derfor presiserte vi overfor Kunnskapsdepartementet at det må gjennomføres en personvernkonsekvensvurdering av forslaget om samarbeidshjemler. Barn og unges særskilte beskyttelsesvern i personvernforordningen krever at også lovgiver utviser aktsomhet når det utformes lover og forskrifter som vil påvirke barn og unges rettigheter og friheter.

Saksbehandling og sentrale nemndavgjørelser

Avvik og mangelfulle risikovurderinger

Datatilsynet har hatt et særlig blikk på skolesektoren i 2020. Flere kommuner har hatt betydelige brudd på personopplysningssikkerheten (avvik) ved bruk av digitale verktøy i skolen. En fellesnevner for disse sakene er at det er gjort mangelfulle risikovurderinger i forkant.

Flere av bruddene har vært knyttet til dårlige rutiner ved behandling av beskyttet adresse (kode 6 og 7). Hvis uvedkommende får tilgang til disse adressene kan det i de alvorligste tilfeller stå om liv og helse.

Det ble blant annet gitt et overtredelsesgebyr til Bergen kommune på 3 millioner kroner. I denne saken understreket Datatilsynet at kommunen ikke hadde etablert og kommunisert nødvendige retningslinjer for opplysninger om barn ved etablering av kommunikasjonsmodulen Vigilo.

I en annen sak ble en kommune ilagt et overtredelsesgebyr på 500 000 kroner for ikke å ha risikovurdert applikasjonen Showbie før den ble brukt til å kommunisere helserelaterte personopplysninger mellom skole og hjem. Overtredelsen omfattet elever ved en tilrettelagt avdeling ved skolen. Mangelfull sikkerhet ved innlogging i applikasjonen har blant annet gjort det mulig å få tilgang til andre elever i gruppen.

Google Chromebook

Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. På bakgrunn av bekymring hos flere foresatte, valgte Datatilsynet å se nærmere på tre kommuner som hadde tatt i bruk Google Chromebook og G Suite for Education. Undersøkelsen avdekket betydelige mangler og resulterte i at det ble reist sterk kritikk overfor disse kommunene.

For å hjelpe kommuner som ønsker å benytte disse eller andre skytjenester, valgte vi å lage utfyllende veiledning på bakgrunn av funnene. I veiledningen som er tilgjengelig på nettsidene våre, går vi kort gjennom hva «Google-pakken» inneholder og Datatilsynets forståelse av hvordan kommunene kan benytter den. Deretter tar veiledningen for seg de ulike kravene i regelverket hvor det ble funnet avvik hos kommunene. Veiledningen er slik tenkt å være et godt støtteverktøy for kommunene.

Spekter-saken

Personvernnemnda omgjorde vedtaket vårt om forbud mot bruk av kartleggingsverktøyet Spekter. Nemnda konkluderte med at den aktuelle kommunen hadde rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c. Den understreket samtidig at kommunen må, for lovlig å kunne benytte Spekter i framtiden, etablere internkontrolldokumentasjon og rutiner som sikrer etterlevelse av personvernforordningen.

Øvrige aktiviteter

Rundebordskonferanse om personvern i skolen

Datatilsynet arrangerte i februar 2020 den andre rundebordskonferansen med tema informasjonssikkerhet og personvern i skolen. Konferansen fulgte opp konferansen som ble arrangert i 2019, og hovedtema var behovet for samarbeid mellom kommuner, interesseorganisasjoner og myndigheter. Videre ble behovet for sentrale føringer og styring med personvern i skolesektoren diskutert, og dette har i etterkant av konferansen blitt gjentatt i flere relevante sammenhenger.

Det kom frem, i likhet med konferansen i 2019, at personvern og informasjonssikkerhet er kompliserte tema som kommunene bruker mye ressurser på, og at de har behov for bistand fra hverandre og de sentrale myndighetene.

Konferansene blir fulgt opp med en tredje rundebordskonferanse i februar 2021.

Du Bestemmer

Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.

I 2018 og 2019 ble det gjort et større grunnlagsarbeid for videre utvikling av tjenesten. I 2020 gjennomførte vi et større arbeid sammen med Sopra Steria der vi jobbet med tydeligere målgrupper og ny interaksjonsdesign til de nye nettsidene. Vi gjennomførte også et mindre prosjekt med designbyrået Nano som utviklet en ny fargeprofil, nye logoer og en illustrasjonspakke basert på dette. Høsten 2020 begynte så arbeidet med å bygge de nye nettsidene sammen med CapGemini. Alt det gamle innholdet skal revideres og mye nytt innhold produseres. Ved årsskiftet er Dubestemmer-prosjektet midt i dette arbeidet. Det har vært en del forsinkelser knyttet til utfordringene fra koronasituasjonen, men en lansering er forventet i løpet av våren 2021.

I februar arrangerte vi et frokostseminar på Safer Internet Day 2020 i Tromsø sammen med Utdanningsdirektoratet og NorSIS. Temaet for arrangementet var hvordan vi kan heve hånderingskompetansen blant ungdom og voksne, særlig knyttet til uheldige hendelser på nett slik som ulike former for svindel. Vi lanserte også prosjektets nyeste film Porn scam.

1.3.6.2 Ressursbruk

Datatilsynets arbeid med barn og unge, og spesielt skolesektoren, tar mye tid. Avviksmeldinger som gjelder skolesektoren har også vist seg å være tidkrevende å behandle da handlingsforløpene er uoversiktlige og forskjellige. Teknologien er også ofte kompleks med tanke på relasjoner mellom ulike fagsystem og tilganger gitt i de ulike systemene. De største sakene har krevd omfattende saksbehandlingsressurser i Datatilsynet.

I tillegg har vi en del tid på deltakelse i samarbeidsprosjektet DuBestemmer. En person i kommunikasjonsavdelingen deltar aktivt i arbeidet med nye nettsider i prosjektet.

1.3.6.3 Måloppnåelse

Vi har i likhet med forrige år brukt mye tid på veiledning til behandlingsansvarlige og databehandlere på dette området. Dette er en riktig prioritering og er forankret i vårt strategiske mål om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Både skoleeiere og virksomhetene trenger veiledning i informasjonssikkerhet og etterlevelse av personvernregelverket, og vi har inntrykk av at vårt arbeid med å dele informasjon har blitt positivt mottatt. Særlig vil vi trekke fram at vi har gjennomført rundebordskonferansen, debatter og møter med sentrale aktører i skolesektoren, både politikere, enkeltkommuner, kommunens organisasjoner, edtech og andre offentlige organer.

Vi har et klart inntrykk av at sektoren er på riktig vei. Mange initiativer har blitt satt i gang, og nye etater har satt personvern i skolen på dagsorden. Det er vanskelig å måle effekten av denne typen arbeid, men vi mener selv at våre aktiviteter har bidratt til at sektoren jobber bedre med personvern i skolen enn tidligere. Vi mener vi også i 2020 har hatt god måloppnåelse på dette punktet i strategien.

At det blir brukt forholdsvis mye tid på behandling av avviksmeldinger, mener vi er både riktig og viktig. Dette arbeidet er forankret i vårt strategiske mål om å være et kompetent og fremtidsrettet tilsyn. Det er viktig at de avgjørelsene som blir tatt er grundig vurdert og at omverdenen opplever at Datatilsynet bruker sanksjonsapparatet i personvernforordningen på en rettferdig måte. Flere saker med store overtredelsesgebyrer har bidratt sterkt til å rette oppmerksomheten mot personvern i skolen. Måten kommunene har håndtert disse sakene på har også bidratt positivt, blant annet har de vist stor åpenhet om feil de har gjort, forsøkt å lære selv og ønsket å forhindre at andre gjør samme feil.

1.3.6.4 Fremtidige utfordringer

Selv om utviklingen er positiv, gjenstår mye arbeid før sektoren kan friskmeldes. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil. Det er derfor stort behov for veiledere, selvhjelpsverktøy og bistand for å gjøre arbeidet riktig. Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet.

Sektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene er økende, men fortsatt sitter for mange alene, på sin egen tue, og har liten oversikt over hvem som kan hva, og hvem som kan bidra. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe».

Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog, pådriver, og ved å behandle enkeltsaker og avviksmeldinger og gjennomføre tilsyn. Vi opplever dialogen med sektoren som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.

1.3.7 Annen vesentlig aktivitet

1.3.7.1 Akkreditering og sertifiseringsordninger

Datatilsynet opprettet i 2020 en prosjektgruppe med mandat til å legge til rette for etableringen av atferdsnormer og sertifiseringsordninger (jf. personvernforordningen artikkel 57 nr. 1 bokstav m, n, p og q og art. 40-43).

Arbeidet bestod av å lage en prosjektplan, delta på eksterne opplæringskurs om sertifisering og å gjennomføre intern opplæring for alle ansatte i temaene akkreditering og sertifisering. Høsten 2020 ble et utkast til kriterier for akkreditering av kontrollorganer for atferdsnormer (i henhold til artikkel 41) ferdigstilt og oversendt til Personvernrådet. Kriteriene forventes godkjent i løpet av våren 2021.

Vi har startet arbeidet med planlegging og utarbeidelse av kriterier for akkreditering av sertifiseringsorganer (i henhold til artikkel 42) som forventes ferdigstilt i 2021.

1.3.7.2 Arbeidsliv

Personvern i arbeidslivet utgjør en stor del av henvendelsene til Datatilsynet. Les mer om henvendelsene til veiledningstjenesten under «Kommunikasjon og veiledning».

I meldingsåret har vi mottatt om lag 75 klager som gjelder personvern i arbeidslivet. I tillegg har vi mange løpende saker til behandling.

Det som ofte kjennetegner klagesaker innen arbeidslivet er:

• Påstanden om brudd på personvernreglene er del av et større sakskompleks, ofte med høyt konfliktnivå

• Dokumentasjonen er omfattende

• En eller flere av partene er bistått av advokat

• Klagerne står i en særlig sårbar posisjon, hvor mange får helseplager

De to største kategoriene av klager er kontrolltiltak fra arbeidsgiverne og arbeidsgivernes håndtering av arbeidstakerens personalopplysninger. Disse hovedgrupperingene ser vi også hos veiledningstjenesten.

Kontrolltiltak

For å gjennomføre kontrolltiltak må arbeidsgiverne følge både reglene i arbeidsmiljøloven, forskriftene om e-post og kameraovervåking, samt de alminnelige reglene i personopplysningsloven fullt ut. Kontrolltiltak vi mottar mange spørsmål og klager om er blant annet:

• Innsyn i arbeidstakerens e-post og annet elektroniske utstyr, videresending eller manglende sletting

• Kameraovervåking på arbeidsplassen

• Andre type kontrolltiltak slik som GPS-sporing, tidsmåling og logging

Brudd på reglene om kontrolltiltak blir ofte håndhevet med overtredelsesgebyr. For meldingsåret har Datatilsynet gitt to gebyr for innsyn i arbeidstakers e-post og ett for kameraovervåking på arbeidsplassen. I tillegg er det gitt varsel om overtredelsesgebyr i fem saker som gjelder innsyn eller manglende sletting av arbeidstakeres e-post, og i to saker som gjelder kameraovervåking på arbeidsplassen.

Ett gebyr som ble gitt i 2019 gjaldt ulovlig innhenting av kameraopptak om egne ansatte. Dette ble omgjort av Datatilsynet etter en klage. Personvernnemnda har dessuten behandlet en klage på et vedtak vi har gitt om innsyn i e-post. I denne saken var Personvernnemnda enig i vår vurdering om at innsynet var lovlig, fordi innsynet var begrunnet i hensynet til daglig drift og arbeidsgiveren hadde fulgt den forskriftsmessige framgangsmåten.

Personalopplysninger

Arbeidsgiveres behandling av personalopplysninger utgjør en stor og økende del av klagesakene. Vi har inntrykk av at arbeidstakere i større grad bruker personvernregelverket aktivt for å ivareta sine rettigheter i arbeidsmiljøloven.

Typiske saker er:

• Innsyn og sletting av personopplysninger i personalmappen

• Innsyn i forbindelse med varslingssaker

• Arbeidsgivers deling av personalopplysninger

I saker om personalopplysninger har vi ikke gitt overtredelsesgebyr i løpet av 2020. For arbeidsgivers utlevering av personalopplysninger har vi i én sak gitt varsel om gebyr.

Arbeidstakere som krever innsyn i personalmappen får som regel innsyn i de personopplysningene de har krav på gjennom saksbehandlingen, slik at formelle vedtak ikke blir nødvendig. Det er imidlertid også reell uenighet om hvilke opplysninger arbeidstakere har krav på å få. Dette gjelder særlig hvem som er kilden til personopplysningene.

Vi er i dialog med Arbeidstilsynet om forholdet mellom personvernreglene og reglene om varsling i arbeidsmiljøloven.

I meldingsåret har Personvernnemnda endret Datatilsynets vedtak i to saker som gjelder sletting av personopplysninger i personalmappe. I begge sakene kom Personvernnemnda til at arbeidstakeren hadde krav på å få slettet personopplysningene.

Korona og mulige hindringer mot å sende klage til Datatilsynet i arbeidslivssaker

Datatilsynets veiledningstjeneste har i meldingsåret fått flere henvendelser om til dels omfattende kontrolltiltak fra arbeidsgiverne, begrunnet med tiltak mot koronapandemien. Vi har til tross for dette ikke mottatt noen skriftlige klager på det samme. Vårt inntrykk er at selv om en klager er beskyttet mot gjengjeldelse i lovgivningen, er det fortsatt en høy terskel å varsle en tilsynsmyndighet om lovbrudd.

1.3.7.3 Bank, finans og kredittvurdering

Personopplysninger om økonomi innhentes, behandles og sammenstilles på stadig nye måter, og stadig flere aktører kommer til. Dette ser vi blant annet i fremveksten av nye betalingstjenester, automatiserte lånesøknader og robotrådgivere.

Bank- og finansbransjen behandler store mengder personopplysninger av privat karakter om mange. En sammenstilling av disse opplysningene kan gi et detaljert bilde av en persons liv. Personvernbrudd i denne bransjen medfører derfor høy risiko, og kan få store konsekvenser for de registrerte.

I 2020 har vi gjennomført flere veiledningsmøter og holdt foredrag, og vi har hatt en observatørrolle i et av prosjektene i Finanstilsynets regulatoriske sandkasse for fintech. Vi har også hatt kontaktmøter med Finanstilsynet og Forbrukerrådet om utfordringer i bransjen, med særlig fokus på følgene av implementeringen av EUs reviderte betalingstjenestedirektiv (PSD2-direktivet) i norsk rett.

Hele 23 prosent av alle meldingene om brudd på personopplysningssikkerheten vi mottok i 2020, kom fra finanssektoren. I 2020 har finanssektoren dermed vært den sektoren som har stått for det nest høyeste antallet slike meldinger. Omtrent 43 prosent av meldingene gjaldt personopplysninger som ble sendt til feil mottaker. I andre tilfeller er det ofte manglende eller feil tilgangsstyring og utilsiktet publisering som er temaet.

Vi har også behandlet flere klagesaker fra privatpersoner i løpet av meldingsåret. Disse sakene har blant annet handlet om innsyn i personopplysninger, og om retting eller sletting av slike opplysninger.

I løpet av året har vi gitt flere høringsuttalelser om ulike lovforslag innen bank- og finanssektoren. Det gjelder blant annet forslag til endringer i hvitvaskingsregelverket, midlertidig forskrift til koronaloven om billettering på ferger og ny pengespillov.

Innføringen av PSD2-direktivet har åpnet for nye aktører som leverer betalingsinitierings- og kontoinformasjonstjenester. Vi forventet at dette ville bli et marked i stor vekst i meldingsåret. En kartlegging som vi utførte i 2020 viser imidlertid at markedet fortsatt er umodent og lite tilrettelagt for nye aktører som er interessert i å etablere en lønnsom kommersiell virksomhet. Vi vil følge nøye med på hvordan markedet utvikler seg videre.

Koronapandemien har ført til en kraftig økning i bestillings- og betalingsløsninger for serveringssteder. For å minimere nærkontakt har de fleste serveringssteder tatt i bruk nye løsninger for kontaktløs bestilling og betaling, samt smittesporing. I løsninger som utvikles under sterkt tidspress, kan personvernet og informasjonssikkerheten ofte bli nedprioritert. Vi har derfor åpnet tilsyn mot Ordr, en av de prominente norske aktørene i dette markedet, for å undersøke hvordan personvernet er ivaretatt, øke bevisstheten i bransjen og ivareta de registrertes rettigheter.

Kredittopplysning

Datatilsynet mottar mange klager og veiledningshenvendelser fra enkeltpersoner som opplever å ha blitt kredittvurdert uten rettslig grunnlag. I 2020 mottok vi rundt 40 klager fra enkeltpersoner eller enkeltpersonforetak på kredittvurderinger.

En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og angir sannsynligheten for at en person vil kunne betale for seg. En kredittvurdering vil også vise detaljer om enkeltpersoners privatøkonomi slik som eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Personvernundersøkelsen 2019/2020 viste at finansielle opplysninger lå høyt på listen over hvilke opplysninger folk opplever som beskyttelsesverdige.

For at en kredittvurdering skal være lovlig, må virksomheten som innhenter vurderingen oppfylle kravene i personvernforordningen, herunder kravet til rettslig grunnlag. I mange av klagesakene vi behandler er ikke dette kravet oppfylt. I 2020 har vi varslet flere overtredelsesgebyr for kredittvurdering uten rettslig grunnlag, og vi fattet fire vedtak om pålegg og overtredelsesgebyr. De vedtatte gebyrene er på 150 000 kroner til én virksomhet, to virksomheter har fått gebyrer på 100 000 kroner hver, mens en siste virksomhet har fått et gebyr på 75 000 kroner. Enkelte av disse sakene er påklaget og vil bli behandlet av Personvernnemda.

Ny kredittopplysningslov med forskrift

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven) ble vedtatt i desember 2019. Loven skal suppleres med en forskrift om kredittopplysning. Forskriften spesifiserer blant annet lovens regler om hvilke type opplysninger som kan behandles i kredittopplysningsvirksomheter.

I vår høringsuttalelse påpekte vi at det var en svakhet at forskriftsforslaget ikke presiserte hva som regnes som offentlig tilgjengelige kilder, ettersom denne manglende presiseringen kan gå ut over opplysningenes kvalitet og føre til flere klagesaker. Vi mente også at forskriften burde presisere at media ikke er en lovlig kilde for opplysninger om enkeltpersoner.

I januar 2021 er forskriften under behandling, og loven har ikke trådt i kraft.

1.3.7.4 Forskning og utvikling

Personvernfeltet favner fagdisipliner fra svært ulike felt. Det er også et felt hvor teknologiske, sosiale og politiske endringsprosesser skjer svært raskt. Det er derfor avgjørende at vi har jevnlig og nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, slik at vi settes i stand til å fange opp trender og utviklingstrekk på et tidlig stadium. I tillegg kan vi spille en proaktiv rolle ved å stimulere til forskning på personvern og at personvern bakes inn i eksisterende forskningsarbeid.

Datatilsynet har bidratt aktivt for å få med personvern i de forskningsprosjektene som ligger inne i EUs niende rammeprogram for forskning og innovasjon, Horisont Europa, som Norge nå er et fullverdig medlem av.

Vi har blant annet vært gjesteforelesere ved ulike universitet og høgskoler slik som UiO, UiB, UiA, NTNU, BI, HII og OsloMET for å bidra til at personvern kommer med i undervisningen.

1.3.7.5 Helse- og velferd

Vi har i 2020 arbeidet med flere problemstillinger knyttet til helse- og velferdssektoren. Gjennom arbeidet og prioriteringene våre, bidrar vi til en mer rettferdig maktbalanse mellom pasienter og brukere på den ene siden, og aktørene i sektoren på den andre siden. Arbeidet vårt bidrar også til økt forståelse for personvern hos enkeltindivider, noe som setter dem i bedre stand til å kunne ivareta sitt eget personvern i møte med sektoren.

Aktuelle spørsmål i meldingsåret har blant annet handlet om behandlingsansvar og informasjon til de registrerte. Pandemien har også medført raske endringer i måtene helsehjelp ytes på, for eksempel med digitale konsultasjoner.

Gjennom saksbehandlingen har vi sett utfordringer med ivaretakelse av personvernet til NAVs egne ansatte. I tillegg har NAV endret sin praksis med å gi innsyn i logger over oppslag, noe som også har medført innkommende saker for Datatilsynet.

Endringer i hjemler for tilgang til og utlevering av pasientopplysninger

Helse- og omsorgsdepartementet foreslo i 2020 lovendringer om utvidet tilgang til pasientinformasjon for å administrere helsehjelp, yte forsvarlig helsehjelp til annen pasient og hente ut helseopplysninger til undervisningsformål. Forslaget gikk også ut på å hjemle dispensasjon fra taushetsplikten for utlevering av pasientopplysninger til bruk i utvikling av beslutningsstøtteverktøy. Videre foreslo departementet å opprette et felles register for tolkede genetiske varianter på tvers av genetiske avdelinger.

Vi kommenterte at lovforslaget har betydelige konsekvenser for pasientenes personvern. Endringsforslaget kom i kjølvannet av flere foreslåtte endringer i lovverket som utvider kretsen av helsepersonell med tilgang til pasientopplysninger for andre formål enn å yte helsehjelp til pasienten selv. Vi mente at opprettelsen av et register over tolkede genetiske varianter i for liten grad var regulert med hensyn til krav til samarbeid og organisering.

Øvrige aktiviteter

I meldingsåret har vi arbeidet med ulike løsninger for smittesporing og varsling som følge av pandemien. Arbeidet med Smittestopp-saken var betydelig våren 2020. Dette er omtalt nærmere under «Spesielt om koronasituasjonen».

Vi har også behandlet en stor mengde avvikssaker knyttet til konfidensialitetsbrudd for pasientopplysninger. En særlig utfordring vi ser er beskyttelse av hemmelige adresser. Et annet område hvor det oppstår mange avvik er i forbindelse med digitalisering av offentlige postjournaler, hvor det i en rekke saker har blitt offentliggjort taushetsbelagte opplysninger.

1.3.7.6 Idrett, forening og trossamfunn

Idrett

De aller fleste barn er innom barneidretten i løpet av sin oppvekst, og i norsk idrett blir det behandlet personopplysninger om store deler av befolkningen.

Datatilsynet varslet i desember 2020 et overtredelsesgebyr til Norges Idrettsforbund på 2,5 millioner kroner. Årsaken var at personopplysninger om 3,2 millioner nordmenn hadde blitt liggende tilgjengelig på nett i 87 dager etter en feil i forbindelse med test av en skyløsning. Nesten en halv million av disse var barn. Datatilsynet vurderte at Norges idrettsforbund ikke hadde iverksatt gode nok sikkerhetsrutiner for testingen, og at det ikke var nødvendig å teste med et slikt omfang av personopplysninger.

Videre har vi hatt to veiledningsmøter med Norges Fotballforbund i løpet av året. Et av møtene gjaldt publisering av personopplysninger i deres kanaler, og det andre var om tilkobling til FIFA Connect-programmet og eventuell utlevering av personopplysninger til tredjeland.

Borettslag, sameier og foreninger

Datatilsynet mottar jevnlig henvendelser og klager som gjelder borettslag og sameier, og pandemien har ført til nye utfordringer for denne typen sammenslutninger. Styrene har ikke nødvendigvis kjennskap til regelverkets anvendelsesområde, og vi ser ofte gjennom saksbehandlingen at de ikke ser hen til regelverket så lenge de ikke behandler opplysninger som oppfattes som sensitive.

Mange av sakene vi behandler gjelder kameraovervåking, men vi har også behandlet en sak hvor beboerne i et borettslag ble bedt om å svare på spørsmål om sin helse og mulige symptomer før deltakelse på årsmøtet. I tillegg har vi fattet et vedtak om irettesettelse mot et sameie for ulovlig publisering av opplysninger om deres beboere på internett.

Datatilsynet har gitt to høringsuttalelser om endringer i boliglovene i 2020. På bakgrunn av koronapandemien var det behov for å gjøre midlertidige endringer i boliglovene for blant annet å kunne avholde årsmøter for borettslag og sameier digitalt. Det ble derfor først sendt ut en hastehøring med hjemmel i koronaloven. I etterkant av denne runden ble det sendt ut forslag om permanente endringer.

Boligbyggelagene har i lengre tid etterspurt lovendringer som tillater flere elektroniske hjelpemidler i kommunikasjon med beboere og avvikling av årsmøter, og det er positivt at det er et ønske om å modernisere regelverket. I høringssvarene våre påpekte vi likevel at forholdet til personvernregelverket ikke var tilstrekkelig kommentert. Forslaget manglet klare henvisninger til personvernregelverket, og vi vurderte at for mye var overlatt til styrene selv å finne ut av.

Fagforeningstilhørighet og politisk oppfatning er særlige kategorier av personopplysninger etter personvernforordningen, og slike sammenslutningers behandling av opplysninger om deres medlemmer er derfor underlagt strengere regler enn mange andre typer sammenslutninger.

I 2020 har vi holdt foredrag for LO Favør om deres medlemsføring, hatt veiledningsmøte med en annen fagforening, og ellers veiledet i eller behandlet flere saker knyttet til fagforeninger og politiske organisasjoner.

Tros- og livssynssamfunn

Den nye trossamfunnsloven trådte i kraft 1. januar 2021, og i tilknytning til dette sendte Datatilsynet flere høringsuttalelser til Barne- og familiedepartementet i 2020.

Vi ga innspill til departementets forslag til forskrifter til loven. De regulerer blant annet medlemsregisterføring og rapportering av medlemmers fødselsnumre til staten for beregning av tilskudd, samt etablering av særskilt digital løsning for sistnevnte. Vårt syn var at flere av forslagene medførte betydelige konsekvenser for personvernet, og ikke var grundig nok vurdert opp mot personvernforordningen.

Videre ga vi innspill til en foreløpig administrativ utredning fra departementet om menneskerettslige og personvernrettslige spørsmål angående Den norske kirke og andre tros- og livssynssamfunn. Spørsmålet var om de skulle få hjemmel til å få utlevert taushetsbelagte opplysninger fra Folkeregisteret om medlemmers barn. I innspillet var vi negative til en slik tilgang, idet vi viste til at behovene som skulle begrunne tilgang for tros- og livssynssamfunn til taushetsbelagte opplysninger om medlemmers barn, ikke sto i forhold til personvernhensynene som talte imot.

I 2020 mottok Datatilsynet en klage fra Human-Etisk Forbund på Den norske kirke. Klagen gjaldt behandlingen av personopplysninger om mindreårige tilhørige som ble registrert basert på fødselsmeldinger som Den norske kirke mottok fra Folkeregisteret frem til oktober 2018. Datatilsynet har mottatt to redegjørelser fra Den norske kirke, og saken er fortsatt under behandling. Den norske kirke har bekreftet at personopplysningene til alle mindreårige tilhørige hvor foreldrene ikke har samtykket til behandlingen av personopplysninger, vil slettes innen 1. januar 2021 når kirkelovens tilhørighetsordning oppheves.

Strømming av arrangementer har fått en større aktualitet i løpet av året 2020, og dette gjelder også religiøse samlinger. I starten av året gjennomførte Datatilsynet et veiledningsmøte med en kirkelig aktør om strømming av gudstjenester. Religiøs tilhørighet er en særlig kategori personopplysning, og den behandlingsansvarlige må derfor grundig vurdere lovligheten og potensielle personvernfremmende tiltak før strømming av gudstjenester.

Datatilsynet fattet også et vedtak om irettesettelse overfor en misjonsforsamling for behandling av kameraopptak av et styremedlemmene deres. Opptakene ble oversendt fra en tredjepart som hevdet seg trakassert av vedkommende styremedlem, og opptakene ble gjennomgått av misjonsforsamlingen. Datatilsynet vurderte at det ikke var rettslig grunnlag for misjonsforsamlingens bruk av opptakene. Saken ble klaget inn til Personvernnemnda, hvor et flertall konkluderte med at det likevel var rettslig grunnlag for bruken av kameraopptakene. Datatilsynets vedtak om irettesettelse ble dermed opphevet.

1.3.7.7 Informasjonssamfunnstjenester og annonseindustrien («ad tech»)

I 2020 behandlet vi flere klager på «informasjonssamfunnstjenester», slik som on-line spill og diverse applikasjoner («apper») på mobiltelefoner og nettbrett. Slike tjenester samler ofte inn og behandler personopplysninger om brukeren.

Det er ikke alltid enkelt å komme i kontakt med tilbydere av informasjonssamfunnstjenester da de kan ha hovedkontorer i USA eller andre steder i verden. Noen av klagene handlet om at enkeltpersoner ikke får svar på forespørsel om for eksempel innsyn i eller sletting av personopplysningene sine, eller at tilbyderen har avslått forespørselen. Det kan være utfordrende for oss å oppnå kontakt med disse tjenestetilbyderne, og saksbehandlingen blir derfor ekstra ressurskrevende.

Vi har også behandlet saker som har rettet seg mot annonseindustrien («ad tech»), og har hatt et ekstra blikk på disse i meldingsåret. Annonseindustrien handler blant annet om at tilbyderne utleverer personopplysninger om brukerne sine til tredjepartsaktører (annonsører) for å tilby persontilpasset reklame.

Vi ser at brukerne ofte ikke er godt nok informert om at personopplysningene deres er gjenstand for bud og salg på et digitalt marked. Tredjepartsaktørene kan potensielt selge personopplysningene videre. Når dette mer eller mindre skjer i det skjulte, reduserer det brukernes mulighet til å utøve reell kontroll over personopplysningene sine. Industrien opererer også i stor skala. Det dreier seg gjerne om et stort antall tredjepartsaktører som mottar dataene, samt mange berørte.

I 2020 klagde Forbrukerrådet det amerikanske selskapet Grindr LLC inn til Datatilsynet, fordi appen Grindr utleverer GPS-lokasjon, enkelte opplysninger fra brukerprofilene og det faktum at vedkommende er Grindr-bruker til flere tredjepartsaktører. Saken har vært omfattende, og både jurister og teknologer har bidratt i saksbehandlingen. Vår foreløpige konklusjon er at Grindr trenger samtykke for å utlevere personopplysningene og at Grindr ikke har innhentet gyldige samtykker fra brukerne. I tillegg mener vi at det å være Grindr-bruker er en særlig kategori personopplysning som må beskyttes, fordi denne informasjonen sier noe om vedkommendes legning. På nyåret varslet vi Grindr om at vi ville ilegge selskapet et gebyr på 100 millioner norske kroner, og behandlingen av saken vil fortsette i 2021.

Forbrukerrådet klagde også inn fem tredjepartsselskaper for å ha mottatt og behandlet personopplysninger samlet inn fra Grindr-appen. Det har vært utfordrende å oppnå kontakt med selskapene som er hjemmehørende i USA. En av sakene hørte hjemme hos en annen tilsynsmyndighet, og de fire resterende sakene er under utredning.

Vi åpnet også sak mot Disqus Inc., et amerikansk selskap som tilbyr kommentarfeltløsninger, etter at NRK Beta avslørte at selskapet utleverte personopplysninger til en rekke tredjeparter uten at brukerne ble informert. Flere norske nettsider har benyttet løsningen, og vi jobber med å utrede saken.

Disse sakene har et internasjonalt tilsnitt ved at de retter seg mot utenlandske selskaper og det finnes berørte i flere EU/EØS-land. Vi må derfor alltid avklare om den enkelte saken kan behandles lokalt eller om den hører hjemme hos en annen datatilsynsmyndighet. Selv om vi har kunnet behandle flere av sakene lokalt, har vi likevel sørget for dialog med andre tilsynsmyndigheter i EU/EØS.

1.3.7.8 Justis

I justissektoren møter vi hensyn som taler for at staten skal kunne gjøre inngrep i enkeltpersoners rettssfære. Den enkeltes valgfrihet er gjerne begrenset, og behandlinger av personopplysninger skjer ofte uten den enkeltes medvirkning eller kunnskap. Det er derfor særlig viktig at tilsynsmyndighetene sikrer at folks rettigheter ivaretas innenfor denne sektoren.

Politiregisterloven og -forskriften regulerer politiets og påtalemyndighetens behandling av personopplysninger. SIS-loven og utlendingsloven har regler om informasjonssystemene som brukes i Schengen-samarbeidet. Datatilsynet har en sentral rolle som kontrollør av at regelverket om behandling av personopplysninger på disse områdene etterleves.

Lov om ny etterretningstjeneste

En sentral høringsuttalelse som Datatilsynet ga i 2020 gjaldt Forsvarsdepartementets forslag til ny lov om Etterretningstjenesten. Vi pekte på at lovforslaget la opp til overvåking av nordmenns kommunikasjon i så omfattende utstrekning at lovforslaget ikke burde gjennomføres. Etter vår vurdering, utgjorde de foreslåtte lovendringene et stort inngrep i enkeltindividets rett til privatliv, og vi pekte også på at det ville rokke ved vårt demokratiske fundament om lovendringene ble vedtatt. Særlig gjaldt dette den metoden som i høringsnotatet var omtalt som «tilrettelagt innhenting».

Tilrettelagt innhenting innebærer innhenting av elektronisk kommunikasjon som transporteres over den norske landegrensen. Selv om Etterretningstjenestens arbeid er rettet mot utenlandske trusler, vil tiltaket ramme de fleste brukere av telefoni og internett i Norge fordi norsk datatrafikk går inn og ut av landet. Dette skjer uavhengig av om kommunikasjonen er mellom personer som begge oppholder seg i Norge. Tiltaket innebærer derfor i praksis overvåking av oss alle.

Hovedformålet med denne innhentingen er at Etterretningstjenesten skal kunne gjøre søk i de lagrede dataene som er hentet inn. Lagring av metadata vil være den mest sentrale komponenten i den foreslåtte løsningen. Metadata inneholder blant annet informasjon slik som navn, dato, klokkeslett, geografisk plassering og IP-adresse. Metadata kan avsløre intime detaljer om en persons liv, særlig når de analyseres på en systematisk måte. Dermed vil det i realiteten dreie seg om en form for overvåking av store deler av landets befolkning, som etter Datatilsynets vurdering vil kunne være i strid med både Grunnloven og menneskerettighetene.

Ny forvaltningslov

Datatilsynet ga også en høringsuttalelse til Justis- og beredskapsdepartementets forslag om ny forvaltningslov. I høringen er det foreslått utvidet adgang til deling av informasjon mellom forvaltningsorganer. Informasjon skal kunne deles dersom mottakerorganet har saklig behov for informasjonen.

Vi mener at forslaget har en svakhet ved at avgiverorganet skal vurdere om mottakerorganet har behov for opplysningene. Videre mener vi at et saklig behov ikke er tilstrekkelig. Opplysningene må være nødvendige. Vi la vekt på vekt på at individets rettigheter må ivaretas, samt at den nye loven må fastsette grunnleggende prinsipper for deling av opplysninger og hvordan automatiserte systemer skal utformes.

1.3.7.9 Personvernombudsordningen

Vi har i Norge hatt personvernombud i 20 år (siden 2001). Med den nye personopplysningsloven er innholdet i personvernombudsrollen blitt betydelig styrket. Ombudsordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisasjoner.

Forstørr bilete

Personvernombudene er der det skjer, og det er ute i virksomhetene ivaretakelsen av personvernet i første rekke finner sted. Ombudene har sitt fokus rettet mot personvern, de skal bidra med kunnskap og råd, og de skal også si tydelig ifra overfor de behandlingsansvarlige når det er nødvendig. De er slik å betrakte som hjørnesteiner i virksomhetenes etterlevelse av personvernlovgivningen.

Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virksomheter. Differansen skyldes at enkelte er personvernombud for flere behandlingsansvarlige.

Gjennomførte aktiviteter

Datatilsynet tilbyr ikke lenger kurs eller opplæring av personvernombud i egen regi. Vi samarbeider imidlertid med ulike utdanningsaktører for å sikre at personvernombudene fortsatt har et godt utdanningstilbud om personvernlovgivningen. Blant andre har BI, Høgskolen i Innlandet og Oslo Met bygget opp egne deltidsstudier som gir studiekompetanse. Datatilsynet deltar med foredrag om enkeltemner på disse studiene. Også enkelte andre aktører tilbyr ulike kurs og seminarer rettet mot personvernombudene, hvor vi så langt mulig stiller opp.

Det er videre blitt etablert flere ulike nettverksforum for ombudene, gjerne sektorbaserte eller som regionale nettverk. Vi har prioritert å delta på samlinger i regi av slike nettverksgrupper. Aktiviteten i disse nettverkene synes å ha vært noe redusert i 2020.

På slutten av året gjennomførte vi i samarbeid med Opinion AS en kvantitativ spørreundersøkelse blant personvernombudene. Tema for undersøkelsen var hvordan disse ombudene, to og et halvt år etter at personvernforordningen trådte i kraft, opplever sin arbeidshverdag og sine rammebetingelser. Dette sett både i relasjon til de behandlingsansvarlige, men også når det gjelder kontakten med Datatilsynet.

Tilbakemeldingene vi får fra denne undersøkelsen skal i første rekke benyttes som et kunnskapsgrunnlag for oss når det gjelder hvordan vi skal forholde oss til personvernombudene framover. Dernest skal også tilbakemeldingene fra personvernombudene, benyttes i dialog med ombudene og representanter for de behandlingsansvarlige. Det vil vi gjøre gjennom publisering av funnene, deltakelse i ulike nettverkssamlinger for ombudene, og foredrag på konferanser og seminarer. Undersøkelsen vil bli fulgt opp i 2021.

Ressursbruk og måloppnåelse

Datatilsynet har en egen kontaktperson for personvernombudene og virksomheter som har spørsmål om selve ombudsordningen. Vedkommende har i meldingsåret brukt i underkant av 20 prosent av sin stilling på å jobbe spesifikt opp mot denne ombudsordningen. I tillegg bruker Datatilsynet også ytterligere noe ressurser på personvernombudene, hovedsakelig da gjennom veiledningstjenesten og i forbindelse med foredragsvirksomheten.

Vi mener å ha oppnådd målsettingen vår om så langt mulig å begrense bruken av tid og ressurser på personvernombudsordningen til et minimum etter at personvernforordningen trådte i kraft. Vi tilbyr for eksempel ikke lenger egne kurs eller annen kompetansebygging i egen regi. Dette som følge av at det nye regelverket uttrykkelig legger ansvaret for etterlevelse på virksomhetene selv.

1.3.7.10 Personvernundersøkelsen 2019/2020

For drøyt to år siden trådte den nye personvernforordningen i kraft i Norge. Regelverket ga norske borgere styrkede personvernrettigheter i en tid hvor stadig større deler av hverdagen, handlingene og kommunikasjonen vår blir digitalisert. Vinteren 2019/2020 gjennomførte vi derfor en undersøkelse blant befolkningen der vi ville se nærmere på om folk faktisk kjenner personvernrettighetene sine, hvordan de opplever flyten av personopplysninger på nett og tilliten deres til hvordan offentlige og private virksomheter bruker persondata.

Funnene ble lansert i august 2020 og avdekket flere bekymringsverdige utviklingstrekk:

• Utbredt følelse av mangel på kontroll og maktesløshet. Hele to av tre føler at de har liten kontroll og er maktesløse når det gjelder flyten av personopplysninger på internett. Over halvparten har unnlatt å bruke en tjeneste på grunn av usikkerhet knyttet til hvordan personopplysninger samles inn og blir brukt. De siste årene har flere fått øynene opp for hvor mye data som samles inn om oss når vi ferdes på internett, og at det er svært vanskelig å ha full kontroll. Svært mange opplever åpenbart dette kontrolltapet som ubehagelig.

• Nedkjølingseffekten er reell og må tas på alvor. Svært mange svarte at de endrer atferd eller unnlater å gjøre en rekke aktiviteter på grunn av usikkerhet knyttet til selskapenes bruk av deres personopplysninger. Halvparten av de spurte har avstått fra å delta i en debatt på nett som følge av denne usikkerheten. Én av tre har avstått fra å søke informasjon på internett og én av to har unnlatt å gjennomføre netthandel.

• Kjennskap til personvernforordningen har nær sammenheng med sosioøkonomisk status. To av tre kjenner til personvernforordningen og rettighetene som følger av den. Langt flere med høy utdannelse og inntekt innehar denne kunnskapen.

• Lav tillit til virksomheter bak sosiale medier og søkemotorer. Det er gjennomgående høy tillit til offentlige virksomheter, men svært lav tillit til selskapene bak sosiale medier, søkemotorer og meldingstjenester.

• Det er ikke ønske om å dele finansiell informasjon med andre aktører enn egen bank. Åtte av ti er skeptiske til å la andre aktører enn banken få tilgang til denne informasjonen.

1.3.7.11 Publisering på internett

Det siste året har Datatilsynet behandlet flere saker som i ulik grad har handlet om publisering av personopplysninger på internett. Flere av disse sakene er også omtalt andre steder i denne rapporten og har handlet om personopplysninger i offentlige postjournaler, videostrømming på nett, utenlandske nettsider som publiserer kontaktinformasjon hentet fra andre steder, samt sikkerhet knyttet til lagring av personopplysninger i nettskyen, informasjonsjonssamfunnstjenester, apper og andre digitale verktøy som benyttes i ulike sammenhenger slik som i skolen. Datatilsynet har også mottatt klager på pressens publisering av kredittvurderinger, noe som krever inngående vurderinger knyttet til ytrings- og informasjonsfriheten.

I løpet av 2020 har vi registrert elleve nye saker som gjelder sletting av søketreff hos søkemotorer. I tillegg har vi flere saker til behandling. I meldingsåret ble klagerne gitt medhold i fire slike saker. I to saker ble det gitt avslag, men disse er ikke endelig avgjort. I tillegg til de avsluttede sakene, fattet Personvernnemda vedtak i to tidligere saker. I den ene saken fikk klager delvis medhold, da nemnda kom til at det ene søketreffet skulle fjernes. I den andre saken fikk klager medhold i at søketreffet skulle fjernes. I denne typen saker må Datatilsynets saksbehandlere ofte gjøre grundige og komplekse vurderinger, hvor hensynet til ytringsfriheten veies opp mot individets rett til personvern og privatliv.

Datatilsynet varslet i 2020 et overtredelsesgebyr på 150 000 kroner til et kraftselskap. Selskapet hadde et panorerende webkamera på taket av bygget sitt som direktesendte video fra Rognan sentrum på YouTube. Kvaliteten på bildene var slik at bilnummer og detaljer i ansikt normalt ikke kunne tydes. Datatilsynet vurderte imidlertid at personer som ble fanget opp av overvåkingen var identifiserbare ut i fra andre forhold og direktesendingen manglet rettslig grunnlag i personvernforordningen.

1.3.7.12 Telekom

Lokasjonsbasert SMS-varsling har eksistert i mange år, og kan brukes til å telle hvor mange som befinner seg i et gitt geografisk område på et aggregert nivå, og til for eksempel å sende ut SMS-varslinger til de som befinner seg der. Under pandemien har bruken av disse tjenestene økt, og de er benyttet i nye sammenhenger. Helsemyndighetene har brukt varslingen til å informere reisende om økende smitte i regioner som kan medføre reisekarantene, og kommuner har benyttet den til å informere om hytteforbud eller minne om smittevernstiltak. I meldingsåret har vi derfor bedt om redegjørelser fra flere aktører som benytter eller er involvert i leveringen av lokasjonsbasert SMS-varsling. Hensikten har vært å undersøke hvordan disse tjenestene behandler personopplysninger og hvordan ansvaret etter personvernregelverket er fordelt mellom partene. Dette gjør vi for å sikre at personvernregelverket blir fulgt og at de registrertes rettigheter blir ivaretatt. Sakene er fortsatt under behandling, og Datatilsynet har dialog med Nasjonal Kommunikasjonsmyndighet (Nkom) i forbindelse med behandlingen.

Datatilsynet fattet i 2020 et vedtak om irettesettelse mot Telenor Norge for manglende personopplysningssikkerhet i talepostkassefunksjonen, og for manglende avviksmelding. En sikkerhetsfeil hadde gjort det mulig for uvedkommende å få tilgang til mobilsvarene til om lag 1,3 millioner kunder ved å bruke såkalte «spoofing-tjenester». Nkom hadde tidligere fattet vedtak om overtredelsesgebyr på 1.5 millioner for brudd på ekomloven for det samme forholdet som Datatilsynet vurderte. For at Telenor Norge AS ikke skulle bli straffet to ganger for samme handling, ga vi en irettesettelse.

Videre har vi samarbeidet med Nkom om nummeropplysningsbransjen, og vil fortsette dette arbeidet i 2021. Vi har mottatt flere klager på nummeropplysningsaktører, og varslet blant annet selskapet Gul Index et pålegg om utbedring av informasjonen til de registrerte. Selskapet valgte imidlertid å avslutte sin nummeropplysningsvirksomhet etter varselet vårt.

Datatilsynet mottar også jevnlig henvendelser om informasjonskapsler (cookies). Plassering av informasjonskapsler reguleres av ekomregelverket, som Nkom fører tilsyn med. Henvendelsene har bakgrunn i at flere antar at dette er Datatilsynets myndighetsområde. Det er ulik forståelse av innholdet i samtykkekravet etter norsk praksis og europeisk rett. De som henvender seg til Datatilsynet uttrykker at de mener aktører bryter loven og at de ikke føler at personvernet blir ivaretatt.

1.3.8 Kommunikasjon og veiledning

Personvernregelverket legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.

Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten. God veiledning og informative nettsider om personvernreglene til borgere og virksomheter er avgjørende for å oppnå våre mål. Her har kommunikasjon som virkemiddel selvsagt vært svært viktig.

Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.

I 2020 har vi dessuten utvidet våre kommunikasjonskanaler til også å inkludere en egen podcast, Personvernpodden, samt åpnet for formidling via video. Veiledningstjenesten har vært gjennom sitt første år som del av kommunikasjonsavdelingen. På denne måten er vi godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.

1.3.8.1 Formidling gjennom egne kanaler

Nettstedet www.datatilsynet.no

Hjemmesiden er vårt viktigste verktøy for kommunikasjon med våre målgrupper, og vi legger stor vekt på at innholdet skal være relevant og enkelt tilgjengelig for våre brukere. Nettsidene har fått bedre strukturert innhold og nye løsninger etter at vi lanserte dem i 2019, og det overordnede målet er å gjøre brukerne mer selvhjulpne. Et selvstendig mål er å redusere antall henvendelser til veiledningstjenesten vår, noe vi mener vi har lykkes med. Effekten vil vi imidlertid først kunne si noe konkret om over tid. I løpet av 2020 har vi jobbet med å forbedre tilgjengeligheten på og opplevelsen av nettsidene våre, såkalt universell utforming, for at så mange som mulig kan få informasjon fra nettsidene uavhengig av funksjonsevne.

Etter mars 2020, der vi i hovedsak har hatt hjemmekontor, er enkelte satsninger utsatt til vi igjen kan jobbe sammen på felles kontor. Dette gjelder blant annet en ny chat-funksjon som er tenkt brukt av veiledningstjenesten vår. Denne gir mest effekt når veilederne har vakter i samme fysiske rom og fortløpende kan fordele innkommende samtaler per telefon med en web-basert chat. Planen er å sette opp en pilot så raskt vi får mulighet i løpet av 2021.

Våren 2020 publiserte vi et tips-skjema på nettsidene. Der får vi jevnlig inn anonyme tips fra publikum. Tipsene registreres ikke som saker og statistikkføres heller ikke, men de gir et overblikk over hva publikum melder inn som mulige brudd. Arbeidet med et mer omfattende elektronisk klageskjema har fortsatt gjennom 2020 og har høy prioritet. Dette nye skjemaet skal kobles til saksbehandlingssystemet vi nylig har tatt i bruk, Public 360. Arbeidet fortsetter i 2021.

I 2020 fikk vi en ny løsning for å vise film på nettsiden. Løsningen tillater oss å vise opptak fra egne arrangementer eller tilby informasjonsfilmer som supplement til annet innhold. Vi kan snart også strømme arrangementer direkte i løsningen. Videoplattformen er det mest personvernvennlige alternativet på markedet. Den inkluderer ikke informasjonskapsler, og all behandling av informasjon i forbindelse med denne plattformen foregår i Norden/EU i tråd med kravene i personvernregelverket.

Veiledning på nett

Vi produserer og publiserer fortløpende veiledning til ulike deler av personvernregelverket for å kunne hjelpe virksomhetene med å tolke og bruke regelverket. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.

I løpet av meldingsåret har vi jobbet særlig med å gi fortløpende veiledning om koronasituasjonen og personvern, og opprettet en egen temaside for alt innhold knyttet til dette. Vi lagde også en egen temaside i tilknytning til det nye prosjektet for regulatorisk sandkasse der vi samlet søknadsinformasjon og aktuelt stoff.

Videre lagde vi en norsk, uoffisiell versjon av en standard databehandleravtale. Avtalen skal sikre at personopplysninger blir behandlet i samsvar med regelverket og den setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

Sammen med Forbrukertilsynet lagde vi også veiledning om digitale tjenester og forbrukeres personopplysninger. Der går vi gjennom det viktigste man som utvikler, markedsfører eller tilbyder av digitale tjenester må vite om reglene for forbruker- og personvern.

Statistikk og informasjonskapsler (cookies)

For å ha god innsikt og kunne jobbe målrettet, er vi avhengige av gode statistikkverktøy på nettsiden. Etter en nøye vurdering valgte vi å prioritere en nettside som var oppdatert i forhold til endringene i cookies-retningslinjene fra Personvernrådet etter EU-dommen i den såkalte Planet49-saken. I juli 2020 fikk vi derfor en ny, cookie-fri måte å hente ut statistikk på, og innførte et cookie-banner med ulike tillatelser.

Løsningen gir oss grunnleggende data om antall besøk til nettsiden, men unngår å «huske» detaljer om de besøkendes navigering. Ifølge vår tekniske samarbeidspartner er løsningen unik i norsk og europeisk sammenheng. Vi får som resultat tall om besøk til nettsiden, men innsikten er selvsagt mangelfull sammenlignet med hva statistikk basert på informasjonskapsler kan tilby.

Forstørr bilete

Tallene fra før og etter at vi fikk ny statistikkløsning er ikke direkte sammenlignbare, men når vi ser på statistikken fra og med 1. juli (figur neste side), ser vi at interessen for informasjonen på våre nettsider vokste kraftig utover høsten.

Personvernblogg, sosiale medier, podcast og debattinnlegg

Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problem-stillinger enn vi gjør på den ordinære nettsiden, et sted for faglig profilering og et sted der vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.

Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.

Vi vurderer også tilstedeværelse i andre SOME-kanaler. Våren 2020 gjennomførte vi en risikovurdering av tilstedeværelse på Facebook etter personvernforordningen som den første datatilsynsmyndigheten i Europa. Det ble da besluttet å ikke opprette konto og kommunisere på den plattformen. Dette vurderingsarbeidet har hatt flere positive ringvirkninger, inkludert intern kompetanseheving, overførbarhet til andre risikovurderinger i Datatilsynet og erfaringsutveksling med andre aktører som jobber med personvern. Vi tror også dette arbeidet vil være interessant for offentligheten.

Våren 2020 lanserte vi podkasten «Personvernpodden». Målet er at podkast-satsingen skal engasjere både nye og eksisterende målgrupper, og at Personvernpodden kan bidra til å øke bevisstheten og refleksjoner rundt personvern i befolkningen. I 2020 publiserte vi fire episoder som ble publisert på egne nettsider, podkast-plattformen Acast og andre tredjepartstjenester.

Nyhetsbrev

Ved utgangen av 2020 var det 4 326 som abonnerte på nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter.

I løpet av 2020 sendte vi ut 30 nyhetsbrev. Vi sender dermed i snitt ut over to nyhetsbrev i måneden, avhengig av hvor mange saker vi har å formidle. Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men kan generelt si at vi har en høy åpningsrate i nyhetsbrevene våre, og at de skaper økt trafikk til nettsidene våre.

Forstørr bilete

1.3.8.2 Mediekontakt

Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2020.

Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 707 besvarte mediehenvendelser til kommunikasjonsavdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. I 2020 gikk vi over til ny leverandør for medieovervåkingstjenesten, Retriever. Retriever har registrert til sammen 4 391 medieoppslag der «Datatilsynet» er omtalt i løpet av året, inkludert i internasjonale medier.

Forstørr bilete

Når vi ser på de 15 mest delte mediesakene (på Facebook og Twitter) der Datatilsynet var omtalt i 2020, ser vi at særlig to saker har stått for mye av interessen – appen Smittesporing og forslaget til nye etterretningslov:

Forstørr bilete

Forstørr bilete

Forstørr bilete

1.3.8.3 Foredragsvirksomheten

Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner og publikum. Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder og selvfølgelig kapasitet. I 2020 har imidlertid mange av foredragene vært digitale grunnet smittevern.

Egne arrangement

Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Vi har både gjennomført arrangementer selv eller vi har deltatt som medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, NOKIOS, SKATE og Normkonferansen.

Personverndagen

I 2020 markerte Datatilsynet for åttende gang den internasjonale personverndagen i januar med et seminar i samarbeid med Teknologirådet på Litteraturhuset i Oslo. Temaene på programmet var ansiktsgjenkjenning og personvern i skolen:

Kunstig intelligens har gjort ansiktsgjenkjenning billigere og mer presist. Ansiktet kan brukes som ID-kort, til å låse opp telefonen og til å betale – praktisk og greit. Samtidig er teknologien som skapt for overvåking, så hvordan bør vi gripe an ansiktsgjenkjenning i Norge?

I 2019 ga Datatilsynet store gebyrer til kommuner som ikke har beskyttet barns personvern godt nok. Og internasjonale teknologiselskaper leverer digitale verktøy som baserer seg på storstilt innsamling, lagring og analyse av elevenes digitale atferd. I en tid med digitalisering og kommunesammenslåinger er det grunn til å tro at norske elevers personvern vil komme under ytterligere press. Kompetanse og bevissthet om personvern må derfor økes både hos leverandører, brukere og ansvarlige i skolesektoren.

Personverndagen ble strømmet på Teknologirådet sin YouTube-kanal og er sett 1 646 ganger.

Safer Internet Day

I anledning den internasjonale Safer Internet Day 2020, inviterte Utdanningsdirektoratet, Norsk senter for informasjonssikring (NorSIS) og Datatilsynet til seminar om digital håndteringskompetanse 11. februar: «Hvordan håndtere uønskede hendelser på nett?»

Seminaret ble arrangert i Tromsø, men ble strømmet og opptak ble lagt ut i etterkant. Det rettet seg mot fagpersoner som gjennom sitt arbeid møter barn, slik som ansatte i skole, SFO og helsetjenester. Målet var å gi noen konkrete tips til håndtering av uønskede hendelser på nett og se på ulike tiltak.

Den nyeste filmen vi hadde produsert i Dubestemmer-prosjektet, Porn Scam, ble også lansert samme dag.

Konkurranse om innebygd personvern i praksis

Innebygd personvern er en plikt for alle virksomheter som behandler personopplysninger. Det er et politisk ønske at dette prinsippet brukes både i statlig og offentlig forvaltning. Det vil styrke den enkeltes personvern og rettigheter, samt sikre personopplysningene bedre.

Målet med konkurransen er å løfte frem gode eksempler på praktisk implementering av innebygd personvern og personvern som standardinnstilling. Siden samfunnet vårt blir bare mer og mer digitalt, er det viktig å tenke personvern fra start i ulike prosjekter. Alle med en løsning, et system, en applikasjon eller programvare som er utviklet i tråd med prinsippene om innebygd personvern, har vært oppfordret til å sende inn sine bidrag.

Av bidragene vi fikk inn, ble noen finalister plukket ut av en jury. Siden vi ikke kunne arrangere en prisutdeling som planlagt, gikk distrikts- og digitaliseringsminister Linda Hofstad Helleland gjennom og introduserte de ulike bidragene, samt kåret vinnerne i en liten filmhilsen. Det ble også delt ut en studentpris.

Vinneren av innebygd personvernprisen 2019 var NAV med bidraget "Gjør test til en fest! Løsning for syntetiske testdata". NAV har utviklet en metode og løsning for å lage syntetiske testdata ved hjelp av maskinlæring og gjenbruk av eksisterende forretningslogikk. Syntetiske opplysninger trer inn i stedet for reelle opplysninger, og dette gir anonymisering etter at transformering har skjedd. Bidraget viser at det er fullt mulig å bruke syntetiske data, til tross for argumentasjoner om at det er for vanskelig, for kostbart og for tidkrevende. Det står på vilje og gammel vane.

Vinnerne av studentprisen var OsloMET og studentene bak bacheloroppgaven «Anonymization as a Service». Prosjektgruppen hadde utviklet en løsning for å pseudonymisere data for å beskytte individer i datasett mot risiko for re-identifisering. Løsningen bygget på moderne pseudonymiserings-verktøy som er gjort tilgjengelig som en brukertilpasset tjeneste.

Det er utlyst en tilsvarende konkurranse for 2020, og vinneren vil kåres i løpet av våren 2021.

Akerselvauka

Etter at Arendalsuka ble avlyst, mistet vi årets største møteplass for politikk, organisasjons- og næringsliv. DN laget imidlertid en alternativ arena for debatt og viktige samtaler i august. Datatilsynet deltok i en egen sesjon om elevers personvern, der digitalisering i skolen var tema.

Medvirkende var statssekretær Paul Chaffey i Kommunal- og moderniseringsdepartementet, politisk rådgiver Lars Øye Brandsås fra Kunnskapsdepartementet, direktør Bjørn Erik Thon, områdedirektør Kristin Weidemann Wieland i KS og rektor Magne Johansen ved Hagebyen skole i Harstad. Moderator var Torgeir Waterhouse.

Forstørr bilete

Eksterne foredrag

I 2020 holdt vi 80 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Dette utgjør en halvering i forhold til året før. Nedgangen skyldes naturlig nok dels pandemien, men også at personvernforordningen ikke lenger har den nyhetens interesse som den har hatt i tidligere år.

Vi har sagt ja til de aller fleste av henvendelsene, men mottok naturlig nok mange avlysninger særlig i vårhalvåret.

1.3.8.4 Veiledningstjenesten

Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saksbehandling om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i personvernlovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.

I løpet av 2020 har veiledningstjenesten registrert totalt 5 364 henvendelser som til sammen har utgjort 967 timer med veiledning. Veiledningstjenesten hadde åpningstid fire dager i uken i første halvdel av meldingsåret og økte til fem dager i uken fra august.

Effektivitet og servicenivå i veiledningstjenesten

I andre halvdel av 2019 stengte vi for veiledningshenvendelser på epost. Målet var å gi et bedre og raskere tilbud til våre brukere. Ressursenhet har gjennom meldingsåret bestått av 7-10 deltidsansatte studenter fra juss- og teknologistudier. I tillegg til studentene bidrar jurister, teknologer og samfunnsvitere fra fagseksjonene i den daglige veiledningen på telefon.

I meldingsåret reduserte vi gjennomsnittlig ventetid på telefon fra 4.13 minutter i 2019 til 2.41 minutter. Det er en reduksjon i ventetid på 36 prosent. Videre har gjennomsnittlig samtaletid økt fra 9.14 minutter i 2019 til 10.49 minutter i 2020. Vi har altså levert mer veiledning med kortere ventetid, og dermed lyktes med fjorårets mål om å redusere ventetiden. Dette har trolig sammenheng med en styrkning i antall ansatte i Ressursenhet for veiledning i 2020. I tillegg er den nye organisasjonsmodellen fra 2019 med veiledningstjenesten og kommunikasjon i en samlet egen avdeling godt implementert. Det er nå også en egen koordinator som gir tettere oppfølging til tjenesten.

Forstørr bilete

Vi opplever at veiledningstjenesten vår har blitt mer effektiv ved å satse på telefonveiledning. Publikum får raskere svar, og dialogen i veiledningssituasjonen gjør at komplekse problemstillinger blir løst underveis i samtalen. Det hoper seg ikke opp med e-poster i saksbehandlingssystemet, og studenter og saksbehandlere frigjør med tid til ordinær saksbehandling og arbeid med nettsider.

Veiledningstjenesten er til enhver tid er bemannet med tre til fem personer, og etterspørselen fra publikum er stor. Det er stor variasjon i kompleksiteten i henvendelsene vi får. Noen besvares på få minutter mens flere av henvendelsene er omfattende og kompliserte.

Totalt antall henvendelser til veiledningstjenesten er noe lavere enn ventet i meldingsåret. Årsaken til dette er nok at det var nødvendig å redusere åpningstidene til tre dager i uken fra mars til mai, fordi man hadde behov for å frigjøre ressurser i organisasjonen til omstillingen som krevdes under pandemiens første fase. Telefon ble i den perioden kun bemannet av studentene i ressursenheten. Erfaringen er i stor grad at dersom man stenger telefon en dag, så vil ikke henvendelsene komme dagen etter eller senere.

Hvem kontakter oss?

Statistikken viser at 47 prosent av de som tar kontakt med denne tjenesten er representanter for virksomheter, mens 47 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis som følge av overgangen til det nye regelverket.

Personvernombudene står for 6 prosent av henvendelsene. Vi erfarer at denne gruppen ofte er ute etter veiledning om avviksbehandling.

Forstørr bilete

Hva handler henvendelsene om?

Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem henvendelsene kommer fra. I tillegg registrerer vi om henvendelsene dreier seg om arbeidsliv. Dette gjør vi for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.

Imidlertid ser vi av 5 364 besvarte samtaler, så er bare 4 849 statistikkført. De kan være ulike grunner til avviket som dobbeltoppringning, feil tastevalg eller at man glemmer å registrere henvendelsen i en travel hverdag. Uansett vil det være et mål for kommende år å vesentlig minke avviket i antall mottatte og antall registrerte henvendelser.

Nedenfor følger en kort oppsummering av de mest sentrale kategoriene for hva veiledningstjenesten får spørsmål om. Merk at tallene ikke vil være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.

Forstørr bilete

Register

Én av tre henvendelser til veiledningstjenesten handlet om registre. Det dreier seg blant annet om hva som kan registreres, når og hvordan man kan kreve å få slettet informasjon, samt rettigheter knyttet til innsyn i egne personopplysninger. Blant privatpersoner som ringer til veiledningstjenesten gjelder klart de fleste henvendelsene bruk av personopplysninger i ulike registre, for eksempel medlemsregistre, kundelister og journalopplysninger.

Internkontroll og informasjonssikkerhet

Internkontroll og informasjonssikkerhet var tema for 21 prosent av det totale antall henvendelser til veiledningstjenesten. 29 prosent av disse henvendelsene gjaldt informasjonssikkerhet, slik som risikovurderinger, kryptering og autentisering. Utover det gjaldt 20 prosent av henvendelsene avviksbehandling, 20 prosent gjaldt databehandleravtaler og 16 prosent internkontroll. Vi ser at antall henvendelser om dette har økt. Dette har trolig sammenheng med at temaene omfatter sentrale plikter for virksomhetene i personvernforordningen og forklarer også hvorfor dette er det temaet virksomheter spør mest om.

Hvis vi ser bare på henvendelsene fra virksomheter, er internkontroll og informasjonssikkerhet det vi får flest spørsmål om. Vi har også mottatt mange spørsmål om avviksbehandling og databehandleravtaler. Dette henger nok sammen med at mange virksomheter fortsatt jobber med å sikre at deres systemer er forenelige med det nye personvernregelverket.

Overvåking og sporing

Spørsmål om overvåking og sporing står for 25 prosent av alle henvendelser og av disse utgjør 54 prosent spørsmål om kameraovervåking.

Kameraovervåking av hjem og bolig (inkludert hytte) står for en tredjedel av disse henvendelsene. Dette er en økning fra 2019 og kan ha sammenheng med at kameraovervåkingsutstyr til forbrukermarkedet gradvis har blitt mer tilgjengelig, fått lavere priser og bedre brukervennlighet. Særlig tilgang til kameraovervåking gjennom app på telefonen, har gjort det svært enkelt å kunne følge med på huset, hytta, båten, hunden eller gamle slektninger. Dette er en utvikling som ikke nødvendigvis er utelukkende positiv og noe som etter vår erfaring er kilde til for eksempel mange nabokrangler.

Utenom kameraovervåking får vi en rekke spørsmål om lydopptak av samtaler. For å bedre kunne svare ut disse henvendelsene oppdaterte og utvidet vi veilederen om lydopptak av samtaler til å inkludere eksempler med bakgrunn i ofte stilte spørsmål på telefon og nye temaer som lydopptak i arbeidslivet.

Internett

Ulike henvendelser om personopplysninger på internett sto for 8 prosent av henvendelsene. Dette er på lik linje med de siste årene. Over halvparten av disse henvendelsene gjelder uønsket publisering av bilder, film, tekst og lignende på nett.

Annet

Et betydelig antall av henvendelsene vi får lar seg ikke lett kategorisere og er derfor lagt til i samlekategorien «annet». Blant annet faller fire prosent av alle henvendelsene utenfor Datatilsynets forvaltningsmandat, og som vi derfor i liten grad har muligheten til å veilede om. Dette kan for eksempel være saker om ID-tyveri og som hører hjemme hos Politiet.

Spesielt om henvendelser knyttet til arbeidsliv

Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori, da spørsmål innen arbeidslivet kan falle inn under flere av kategoriene over.

Statistikken viser at 27 prosent av den totale andelen henvendelser dreide seg om arbeidsliv i meldingsåret. Av disse står virksomheter for 63 prosent og privatpersoner for 37 prosent av henvendelsene. Både arbeidsgivere og arbeidstakere stiller flest spørsmål innen temaene register og overvåking og sporing.

Av alle henvendelsene fra virksomheter utgjør spørsmål om personalregister 20 prosent, innsyn i arbeidstakeres e-post og private filer 9 prosent og kameraovervåking på arbeidsplassen 9 prosent.

Av alle henvendelser fra arbeidstakere utgjør spørsmål om personalregister 25 prosent, innsyn i e-post og private filer 14 prosent og kameraovervåking på arbeidsplassen 14 prosent.

Hva man kan gjøre med opplysningene man har om de ansatte, samt kontroll og overvåking, er gjentakende spørsmål både på arbeidstaker og arbeidsgiversiden. I henvendelser om arbeidslivet ser vi stor variasjon i mengde forhåndskunnskaper hos de som tar kontakt med oss.

Spesielt om henvendelser knyttet til korona

Når samfunnet ble stengt ned og svært mange virksomheter måtte digitaliseres raskt og på nye måter, oppstod det et stort informasjonsbehov om personvernregelverket. Vi svarte med å lage en egen temaside om korona og personvern på datatilsynet.no, og denne ble mye brukt. Der ble det raskt produsert og publisert en rekke veiledninger om de henvendelsene som gikk igjen, slik som:

• Stengte skoler og digitale hjelpemidler

• Opplysninger om smittede elever og lærere

• Digitale konsultasjoner og personvern

• Bruk av mobildata til befolkningstelling og – varsling

• Besøksregistrering og smittesporing

I tillegg fikk vi fortløpende oversatt og publisert retningslinjer, veiledere og verktøykasser om korona og personvern fra Personvernrådet og EU-kommisjonen.

Syv prosent av alle henvendelser i 2020 var relatert til koronasituasjonen. I perioden etter nedstengningen fikk vi svært mange henvendelser om informasjonssikkerhet. Det gjaldt alt fra hjemmeskole til videokonferanseløsninger, da en rekke virksomheter ble tvunget til å raskt ordne nye IT-løsninger.

Restaurant-, serverings- og kulturbransjen fikk også en rekke plikter knyttet til besøksregistrering og måtte behandle store mengder personopplysninger på nye måter enn tidligere.

I april og mai var omlag 50 prosent av alle henvendelsene som gjaldt koronasituasjonen knyttet til arbeidslivet. På telefon fikk vi høre eksempler om til dels svært inngripende tiltak slik som løpende innsyn i e-post eller krav om å ha på kamera hele arbeidsdagen for å kunne kontrollere arbeidstakernes arbeidsinnsats.

1.3.8.5 Ressursbruk

Oppfølgingen av personvernforordningen har vært den viktigste satsingen i 2020, i tillegg til en stor og ekstraordinær satsing på å informere virksomheter og enkeltpersoner om personvernspørsmål tilknyttet koronasituasjonen. Dette gjenspeiler også hva som har vært prioritert i kommunikasjonsvirksomheten. Vi lanserte en egen temaside om korona og personvern, og la vekt på løpende oppdateringer av dagsaktuelle spørsmål. Det har også vært et stort medietrykk fra hele landet, med både riksmedier, lokalpresse og nisjepublikasjoner rettet mot både privat og offentlig sektor. Dette er kanaler vi aktivt har brukt for å kommunisere våre budskap, og er en aktivitet vi har prioritert høyt.

Nettsider, podcast og forarbeid til chat og strømming har også vært prioritert.

Det har vært riktig å prioritere aktuelle koronarelaterte personvernspørsmål så høyt som vi har gjort. Interessen og behovet for informasjon både blant enkeltpersoner, virksomheter og medier har vært stort. Vi anslår at omlag 70 prosent av kommunikasjonsavdelingens ressurser har vært brukt i arbeid relatert til nettsider og kommunikasjon i nye kanaler. Mediehenvendelser tar også mye tid, og vi hatt store og tunge saker som til tider har krevd betydelige ressurser.

Veiledningsenheten ble i 2019 integrert i kommunikasjonsavdelingen. Vi ser at dette gir gevinst på sikt gjennom muligheten til å målrette og effektuere kommunikasjonsarbeidet vårt i enda større grad. Det har vært prioritert å knytte betydelige ressurser til denne tjenesten i løpet av året. Vi har gjennom året hatt til sammen åtte studenter tilknyttet veiledningstjenesten. Alle Datatilsynets ansatte med juridisk, teknologisk eller samfunns-vitenskapelig utdannelse deltar dessuten gjennom faste vaktordninger.

Veiledningen har vært mer utfordrende i 2020 sammenlignet med tidligere år, særlig på grunn av koronasituasjonen. Omfanget av personvernforordningen er i seg selv omfattende, og problemstillingene kan være krevende.

Vi jobber med stadig effektivisering av veiledningsarbeidet, og har lykkes med å stenge ned e-posttjenesten. Dette har vært vellykket, og telefonveiledningen er mer effektiv både for bruker og i organisasjonen. Vi ser at det er svært viktig å utarbeide gode veiledere på nettsidene våre. I økende grad har virksomheter og enkeltpersoner blitt henvist til eksisterende veiledningsmateriell, og det har blitt mindre en-til-en-veiledning.

1.3.8.6 Vurdering av måloppnåelse

Kommunikasjonsarbeidet bygger opp under Datatilsynets hovedstrategi for 2018-2020. I vårt arbeid med kommunikasjon og måloppnåelse har vi lagt vekt på målet om å arbeide for at virksomheter blir kompetente, forstår viktigheten av godt personvern og etterlever regelverket. Vi har også jobbet med målet om å bidra til at individet i større grad kan ivareta sitt eget personvern, og har hatt ekstra fokus på personvernrelaterte spørsmål i tilknytning til koronasituasjonen. Nettsidene har vært et viktig virkemiddel i arbeidet med denne måloppnåelsen. Nettet er vår primære kommunikasjonskanal, og vi jobber kontinuerlig med at våre viktigste målgrupper enkelt finner den informasjonen de til enhver tid trenger.

Vi mener vi har lykkes godt ut i fra de ressursene vi har hatt til rådighet. Ventetiden på telefon har gått ned, og nettsidene er hyppig benyttet.

Veiledningstjenesten har vært viktig for å nå flere av Datatilsynets mål for 2020. Tjenesten er et lavterskeltilbud som brukes av et stor antall virksomheter og privatpersoner, og bidrar slik til at virksomheter blir mer kompetente, forstår viktigheten av godt personvern og i større grad evner å etterleve regelverket. I tillegg bidrar tjenesten til at individet i større grad kan ivareta sitt eget personvern.

I kommende periode satses det sterkere på veiledning ut til publikum. Vi skal satse enda mer på nettbasert veiledning, og vil teste chat som verktøy. I første omgang vil vi åpne for en-til-en chat på noen utvalgte områder.

I strategien er det også satt som mål at vi skal arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre. Gjennom vårt arbeid med veiledning i kunnskap om og bevisstgjøring av regelverket, har vi arbeidet målrettet for å nå dette målet.

Vi har også jobbet med å realisere en annen uttalt målsetning, nemlig at Datatilsynet skal være et kompetent og fremtidsrettet tilsyn. Vi er opptatt av å utvikle og videreformidle all vår samlede kunnskap i digitale kanaler, slik som på nettstedet vårt, i vår nye Podcast og i nyhetsbrevet. Slik bidrar vi til bedre etterlevelse av regelverket.

Vi mener derfor vi har nådd målene våre.

1.3.8.7 Fremtidige utfordringer

Kommunikasjonsavdelingen står overfor en rekke utfordringer som vi må prioritere nøye oppfølgingen av, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant publikum, skyter stadig fart. Vi må gjøre grundige risikovurderinger før nye verktøy og plattformer tas i bruk.

I tillegg er det en stor forventning til rask service på veiledningstjenesten fra publikum som består av både «den vanlige borger», små og store virksomheter og avanserte jurister. En utfordring er derfor å plukke ut prioriterte målgrupper etter publikums eget behov. Vi ser også at skolesektoren og spørsmål blant barn og unge fortsetter å øke. Dette er en målgruppe som det er viktig å følge ekstra opp, noe vi blant annet gjør i arbeidet med tjenesten dubestemmer.no.

1.3.9 Nasjonale samarbeidsrelasjoner

Datatilsynet har utstrakt kontakt med andre aktører. Nedenfor følger en oversikt over vår mest sentrale deltakelse i nasjonale fora.

I tillegg til disse kommer det et stort antall kontaktmøter med ulike aktører og samarbeid av mer kortvarig art. Vi har også avtaler om faglig samarbeid med flere sentrale statlige virksomheter.

Aktørforum e-signatur

Nasjonal kommunikasjonsmyndighet (Nkom) samler aktørene innen e-signaturområdet til aktørforum. Hovedtema er EU-kommisjonens forslag til forordning om blant annet e-ID og e-signatur. Aktørforumet skal systematisere kontakten mellom aktørene, og Datatilsynet har fulgt opp arbeidet i forumet.

Brønnøysundregistrene

Samarbeidet går ut på utveksling av erfaringer og regelmessige møter både på direktørnivå og på saksbehandlernivå.

Dataforeningen

Den norske dataforening er Norges største nettverk for IT- og digitaliseringsprofesjonelle. Datatilsynet har lenge sittet i styret for gruppen «informasjonssikkerhet», ledet og arrangert fagseminarer om Software, Cybersikkerhet på styrerommet med mer, og bidratt til å sette personvern på agendaen.

Digitaliseringsdirektoratet

Datatilsynet samarbeider med Digitaliseringsdirektoratet (tidligere Difi) sitt kompetansemiljø innenfor informasjonssikkerhet. Vi har en del overlappende ansvarsområder, og samarbeider om ulike tema slik som blant annet veiledere for internkontroll og informasjonssikkerhet. I tillegg har vi bidratt med veiledning i personvernspørsmål når det gjelder bruk av sosiale medier i offentlig forvaltning.

Direktoratet for e-helse

Det har vært jevnlige møter mellom Datatilsynet og direktoratet, både på direktørnivå og på saksbehandlernivå. Nye løsninger presenteres og drøftes løpende med Datatilsynet.

Helsedataprogrammet ligger også under ansvarsområdet til Direktoratet for e-helse. Vi har deltatt i referansegruppen og i en av arbeidsgruppene i programmet.

Direktoratet har sekretariatet for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), og det er også i den forbindelse mye kontakt. Vi har også hatt jevnlige møter med sekretariatet gjennom året og har diskutert nødvendig endringer i Normen opp mot de nye personvernreglene.

Finanstilsynet og Arkivverket

I forbindelse med etableringen av regulatoriske sandkasse for kunstig intelligens, har vi koordineringsrollen for møter mellom oss og sandkassene i henholdsvis Finanstilsynet og Arkivverket. Vi har også regelmessige møter på saksbehandlernivå.

Folkeregisterprosjektet

Det er viktig for Datatilsynet å følge med på utviklingen av hvordan Folkeregisteret kommer til å se ut i fremtiden. Vi har hatt en representant i referansegruppen, samt at vi har deltatt i enkelte møter i prosjektet. Problemstillinger knyttet til hvilke opplysninger som skal inn i registeret, er noe vi jevnlig må forholde oss til.

Det har vært særlig oppmerksomhet omkring utveksling av opplysninger om «fortrolig» og «strengt fortrolig» adresse, private aktører som distributører av Folkeregisteret, Folkeregisterets rolle som ID-forvalter, tilgangskontroll og borgertjenester i registeret.

Forbrukertilsynet og Konkurransetilsynet

Vi har etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet, og planen er å formalisere dette samarbeidet ytterligere. Det blir særlig viktig i årene fremover, da mange av de samme aktørene skaper utfordringer for våre respektive tilsyn, og behandling av personopplysninger har så vel konkurranse- og forbrukerutfordringer.

Foreningen kommunal informasjonssikkerhet (KINS)

Datatilsynet har deltatt som samarbeidspartner i KiNS. Dette innebærer å delta på styremøter som observatør og bidragsyter, og å delta i planleggingen av KiNS sine arrangementer. Vi bidrar også med foredrag eller som paneldeltakere på disse arrangementene.

Helsedirektoratet

Det er jevnlig kontakt mellom Datatilsynet og Helsedirektoratet, både på direktørnivå og saksbehandlernivå.

ID-nettverket for en helhetlig ID-forvaltning

Datatilsynet deltar sammen med flere andre sentrale organisasjoner. Hovedmålet til nettverket er å arbeide for en helhetlig ID-forvaltning i Norge, og for å forebygge kriminalitet for dermed redusere trusselen mot velferdsstaten. Datatilsynets deltakelse er viktig både for å ivareta personvernet i ID-forvaltningen, og for å bidra til at sikre løsninger etableres.

IKT-Norge

Vi har et godt samarbeid med IKT Norge. På bakgrunn av satsingen vår på barn og unge, har vi fokusert på å formidle innebygd personvern for gruppen EdTech som ledes av IKT-Norge. EdTech er medlemmer som utvikler og tilbyr løsninger til skole og utdanningsmiljø i Norge.

Konkurransetilsynet og Riksrevisjonen

I forbindelse med Datatilsynets etablering av ny tilsynsmetodikk har vi hatt nyttige møter og god erfaringsutveksling.

KS

I forbindelse med Datatilsynets satsing for barn og unge har vi intensivert vårt arbeid sammen med KS for å sette fokus på arbeidet med informasjonssikkerhet og personvern i kommuner og skoler. Vi deltar som observatører i SkoleSec-prosjektet.

Nasjonal Kommunikasjonsmyndighet (Nkom)

Nkom fører tilsyn med ekomregelverket. Dette regelverket har spesialregler om behandling av personopplysninger for telekomleverandører. Dette kan skape utfordrende grensedragninger opp mot personvernregelverket, og krever godt samarbeid mellom tilsynsmyndighetene. Datatilsynet har derfor jevnlige dialogmøter med Nkom om problemstillinger i telekombransjen, og har gjennomført flere slike møter i 2020.

Det siste året har kontakten særlig omfattet kommunikasjonsverndirektivet og den kommende kommunikasjonsvernforordningen. Det har også vært et omfattende samarbeid innen områder som befolkningsvarsling og nummeropplysning.

Nasjonal sikkerhetsmyndighet (NSM)

Datatilsynet har et godt samarbeid med NSM. Vi har en del overlappende ansvarsområder, og samarbeider med dem om blant annet veiledere og anbefalinger innenfor informasjonssikkerhet.

Nasjonalt råd for Facilitation – NAFAL

Datatilsynet har én representant i Nasjonalt råd for Facilitation (NAFAL), sivil luftfart. Rådets mandat er å fremme forslag til fastsettelse av standarder for effektiv gjennomstrømming av personer, bagasje og varer på lufthavner. Luftfartstilsynet koordinerer gruppen som har medlemmer fra tolv ulike myndigheter og virksomheter innen sivil luftfart.

Norges Nasjonale Institusjon for Menneskerettigheter (NIM)

Datatilsynet samarbeider med NIM, blant annet knyttet til høringsuttalelser. Det er mange fellesnevnere i debatten om personvern og menneskerettigheter, blant annet i debatten om digitalt grenseforsvar. Begge institusjonene deltok i Sametingets høring om bruk av samisk etnisitet i blant annet helseforskning, og diskuterte synspunkter i forkant.

Norsk Biometri Forum

Datatilsynet deltar i Norsk Biometri Forum som er et uformelt forum for presentasjon og diskusjon innenfor biometri. Det er lagt stor vekt på å få inn nye ideer, samtidig som møtene benyttes til orientering om pågående prosjekter innenfor offentlig og privat sektor.

Forumet møtes to ganger i året, og har deltakere fra departementer, direktorater og en del private bedrifter, samt NTNU i Gjøvik. Forumet arrangeres i tett samarbeid med Forum for Research and Innovation in Security and Communications (FRISC) og European Association for Biometrics (EAB).

Norsk Informasjonssikkerhetsforum (ISF)

ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Vi deltar aktivt i dette miljøet som medlemmer, for nettverksbygging og som foredragsholdere.

Norsk konferanse for IKT i offentlig sektor (NOKIOS)

Datatilsynet har deltatt som samarbeidspartner og i programkomiteen for NOKIOS. Dette innebærer både planleggingen av konferansen, og å være bidragsyter både når det gjelder innhold og gjennomføring. NOKIOS har etter hvert blitt en viktig arena der vi kan sette fokus på personvern i digitaliseringen av offentlig sektor.

Norsk senter for informasjonssikring (NorSIS)

Datatilsynet er representert i styret til NorSIS ved direktør Bjørn Erik Thon. Vi har mange overlappende ansvarsområder med NorSIS, og samarbeider derfor med dem om ulike tema, blant annet Nasjonal sikkerhetsmåned.

Samarbeidsprosjektet Du Bestemmer

Du Bestemmer er et formalisert samarbeid mellom Utdanningsdirektoratet og Datatilsynet. Sammen driver vi blant annet nettressursen dubestemmer.no som skal bidra til at barn og unge skal lære seg å ta kontroll over egne personopplysninger, og samtidig respektere andres opplysninger. I 2020 ble det holdt to styringsgruppemøter, vi markerte Safer Internet Day med et frokostseminar i Tromsø, og det har vært et intensivt arbeid med å lage nye nettsider.

Standardisering – komitédeltagelse

Vi deltar i komiteer for standardisering der arbeidet har direkte relevans for vårt arbeidsområde. Standarder er førende for virksomhetenes praksis, også når det gjelder behandling av personopplysninger. Formålet med deltakelsen i komiteene er å sikre kunnskap om pågående prosesser internasjonalt, påvirke fremtidige rammebetingelser, samt bidra til å påvirke relevante standarder med hensyn til personvern og informasjonssikkerhet.

Datatilsynet deltar i fire komiteer:

• SN/K 171 arbeider i hovedsak relatert til ISO/IEC JTC 1/SC 27 IT Security techniques

• SN/K 175 Intelligente Transportsystemer (ITS)

• SN/K 188 Person-ID, kortsystemer, biometri, sikre signaturer, borgerkort

• SN/K 186 Læringsteknologi

Styring og koordinering av tjenester i e-forvaltning (Skate)

Skate er et strategisk samarbeidsråd og rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggere, næringsliv og forvaltningen. Datatilsynet har anledning til å møte i dette rådet, og benytter denne muligheten når det er saker på agendaen som vi mener det er nyttig for oss som personvernmyndighet å delta på. Vi har i meldingsåret blant annet holdt innlegg om avviksmeldinger.

Vegvesenet

Datatilsynet har et godt samarbeid med Statens vegvesen. Spesielt har samarbeidet vært omfattende innen ITS (Intelligente transportsystemer).

1.3.10 Samlet vurdering av prioriteringer, ressursbruk, resultater og måloppnåelse

Vi har ovenfor redegjort for prioriteringer, ressursbruk og resultatet knyttet til de ulike prioriterte områdene våre. Her vil vi gi en samlet vurdering av om dette har bidratt til å oppnådd hovedmålet: Et godt personvern for alle.

Datatilsynet har i meldingsåret gjennomført en lang rekke aktiviteter; klagebehandling, kontrollsaker, veiledning, forhåndsdrøftelser, analyser og kommunikasjonsaktiviteter. Vi har jobbet med mange ulike sektorer og områder, som for eksempel helse, kommuner, sosiale nettsamfunn og arbeidsliv. Som beskrevet under leders beretning, har særlig koronasituasjonen gjort det nødvendig å gjøre omprioriteringer underveis i året.

I arbeidet med koronarelaterte problemstillinger har vi brukt mye ressurs og vi har brukt hele aktivitetsspekteret vårt (for eksempel kontroll, informasjon og veiledning). Vi mener selv å ha oppnådd mye med vårt arbeid, og vil nevne:

• En ny, mer personvernvennlig smittesporingsapp

• Mer fokus på personvern i digital undervisning

• Kontrollaktiviteter knyttet til befolkningsvarsling og befolkningstellinger

• Omfattende kommunikasjonsvirksomhet, med hovedvekt på spørsmål knytte til personvern i arbeidslivet

Koronasituasjonen har vist at det er personvernsaspekter på mange samfunnsområder, og det har utfordret viktige personvernprinsipper. Vi mener det har vært viktig å prioritere dette høyt, og mener måloppnåelsen har vært god og at det har bidratt til å nå hovedmålet.

Også behandling av enkeltsaker har hatt høy prioritet. Det gjelder særlig avviksmeldinger og klager fra borgere. Arbeidet har gitt nyttig innsikt, som i sin tur er benyttet til utvikling av veiledningsmateriell. Som nevnte flere ganger, har vi opplevd økt saksmengde. Det har vært nødvendig å bruke mer ressurser enn planlagt til konkret saksbehandling, men vi mener dette har vært en riktig prioritering. Tross dette, har saksbehandlingstiden til tider vært lengre enn ønsket. Dette har vært en bevisst prioritering fra vår side, og koronarelaterte aktiviteter har vært prioritert høyere. Grunnen er kort og godt at situasjonen har vært svært dramatisk for hele samfunnet, og vår innsats har vært viktig både for enkeltpersoner, og for samfunnet for øvrig.

Vi har i flere år prioritert personvern i kommunesektoren, særlig i skolen, høyt, og iverksatt mange aktiviteter, som kontrollvirksomhet, bransjekontakt, foredrag og annen kommunikasjon. Det blir nok en overdrivelse å kalle 2020 for en gjennombruddsår for personvern i denne sektoren, men det er allikevel tatt viktige skritt i riktig retning. Vi opplever at personvern og sikkerhet har større oppmerksomhet i sektoren, og dens organisasjoner har økt fokus på «våre» problemstillinger. Dette viser at det langsiktige arbeidet vårt, med et bredt spekter av aktiviteter, har båret gode frukter. Barn og unge er blant de viktige målgruppene for vårt arbeid, og omfattes så definitivt av hovedmålet om godt personvern for alle.

Regulatorisk sandkasse ble etablert i meldingsåret. Vi er tilgodesett med øremerkede ressurser til denne satsingen, men særlig i oppstartsfasen har vi måttet trukket ressurser fra den øvrige virksomheten vår. Budsjettmessig vil sandkassen utgjøre om lag 13 prosent av de samlede ressursene, altså er dette en betydelig satsing. Vi har enda ikke sett noen konkrete resultater av satsingen, og de første prosjektene vil starte opp i starten av 2021. Vi har derfor avsluttet et år der innsatsen har vært større enn de konkrete resultatene. Dette har, slik vi ser det, vært en viktig prioritering og en god investering for det kommende årene. Vi har stor tro på vi vil oppnå gode resultater i sandkassa. Ved at virksomhetene utvikler løsninger med gode personvern, vil dette i stor grad også komme borgerne til gode. Vi mener derfor også dette har bidratt til å oppnå hovedmålet.

Vi har i dette avsnittet pekt på fire viktige prioriteringer med tilhørende aktiviteter, som gir et godt bilde av våre hovedaktiviteter. Men mange små aktiviteter bidrar også i sum til bedre måloppnåelse.

Vi vil særlig peke på de mange nasjonale og internasjonale samarbeidsrelasjoner vi har. Dette gir seg sjelden utslag i ett konkret resultat, men bidrar, skritt for skritt, til et bedre personvern for alle. Vårt arbeid for å få på plass et system for akkreditering og sertifisering har vært ressurskrevende, men vil, blant annet føre til at mange bransjer kan få godkjent sine bransjenormer. Dette vil gi bedre etterlevelse av personvernregelverket.

Vi får inn svært mange saker knyttet til arbeidsliv. Den omfattende veiledningen vi gir i flere tusen saker hver år, bidrar til at personvern i arbeidslivet blir bedre. Ikke bare for den enkelte, men også for andre ansatt i samme virksomhet, og i samme sektor eller bransje.

Vi har også lagt ned et betydelig arbeid i en rekke høringsuttalelser, til dels med svært kort frist. Dette har til tider vært svært ressurskrevende. Vi har ikke gjort en grundig analyse av hvor stort gjennomslag vi får i høringsrundene, men ser allikevel at vi får gjennomslag i en del saker. Vi er på ingen måte fornøyd med den nye etterretningsloven, men ser allikevel at det omfattende arbeidet vi la ned i høringsarbeidet i flere runder, har gitt et bedre resultat enn om vi ikke hadde engasjert oss.

Samlet sett mener vi å ha valgt de riktig prioriteringene og aktivitetene. Ressursinnsatsen har, slik vi ser det, vært riktig, selv om det har medført at andre aktiviteter er blitt nedprioritert.

Vi mener å ha oppnådd hovedmålet om et godt personvern for alle.

1.4 Styring og kontroll i virksomheten

1.4.1 Virksomhetens overordnede vurdering av opplegget for styring og kontroll

Datatilsynets mål- og styringssystemer vurderes å være i henhold til virksomhetens behov for forsvarlig drift og kontroll og ivaretakelse av denne.

Arbeidet med organisering og effektivisering inngår imidlertid i kontinuerlige prosesser. Som en følge av at Datatilsynet de siste årene har vokst fra å være en liten organisasjon til å bli en mellomstor, er det behov for å etablere nye, samt utvikle og forbedrede, etablerte styrings- og oppfølgingssystemer.

1.4.2 Vesentlige forhold knyttet til Datatilsynets planlegging, gjennomføring og oppfølging

1.4.2.1 Mål- og styringssystemer

Sammen med tildelingsbrevet, legger revidert økonomi- og økonomiinstruks fastsatt 18. desember 2019 rammene for Datatilsynets virksomhet i 2020.

For å nå hovedmålet vårt, et godt personvern for alle, er det etablert ulike mål- og styringssystemer. Plan-, strategi- og budsjettarbeid forankres i ulike prosesser der ledere, medarbeidere og tillitsvalgte deltar på ulike nivåer. I et «annerledes år» har deltagelse i hovedsak vært gjennomført på digitale møteplasser.

I tillegg til plandokumenter, er det etablert støtte- og oppfølgingssystemer for å ivareta god økonomi- og virksomhetsstyring. Et årshjul ivaretar ledelsens ansvar for å kontrollere viktige aktiviteter og oppfølgingspunkter.

Utgangspunktet for virksomhetsplanleggingen vår er tildelingsbrev og virksomhetsinstruks fra departementet, tilsynets overordnede strategi og områdestrategier for delsektorer, erfaringer fra saksbehandlingen, tilsyn og utredningsarbeid med mer.

Høsten 2020 ble arbeidet med å revidere Datatilsynets nye strategi satt i gang. Arbeidet med strategien og klart definerte mål for perioden 2021-2023 ble avsluttet i januar 2021.

Virksomhetsplanen for 2020 strekker seg ut over året, og er gjort gjeldende også for første kvartal 2021.

1.4.2.2 Datatilsynets risikostyring

Gjennom risikostyring og risikoanalyse skal vi kunne identifisere, vurdere, håndtere og følge opp risiko slik at den kommer innenfor akseptert nivå. Det er utarbeidet et eget dokument med Datatilsynets risikovurderinger. Dokumentet inneholder måloppnåelse, risikovurdering og rapport om sikkerhetstilstanden, og sendes departementet som et eget vedlegg.

1.4.2.3 Status internkontroll

Datatilsynets internkontroll følges opp for å sikre at kravene til virksomheten etterleves.

Vi har i meldingsåret utarbeidet en ny rutine for håndtering av mulige brudd på informasjonssikkerheten. Denne skal bidra til at vi fanger opp, håndterer og lærer av uønskede hendelser. Nytt med rutinen er at også kvalifiserte interne avvik skal meldes til Datatilsynet gjennom Altinn. Formålet er å underlegge Datatilsynet samme plikt til å synliggjøre brudd på personopplysningssikkerheten som andre virksomheter.

Datatilsynets årsplan gir en oversikt over oppgaver og frister knyttet til ulike plan- og kontrolloppgaver. Ledere og andre som er gitt ansvar for oppgavene oppdaterer planen, og rapporterer om gjennomførte tiltak og eventuelle avvik som må følges opp. Årsplanen og behov for oppfølging av avvik drøftes regelmessig i tilsynets ledermøter.

Det er også fra ledelsens side satt av mer ressurser til arbeidet med internkontroll og andre styringssystemer.

I meldingsåret har enkelte faste og langsiktige aktiviteter knyttet til internkontroll og informasjonssikkerhet, blitt nedprioritert til fordel for mer umiddelbare behov i forbindelse med hjemmekontor og smittesituasjon.

1.4.2.4 Bemannings-, kapasitets- og kompetansesituasjonen

Personvernkompetanse er svært etterspurt, og det har vært en prioritert oppgave å motvirke at dyktige medarbeidere slutter. Vi har lagt stor vekt på at alle medarbeidere har varierte og interessante arbeidsoppgaver, samt jobbet med å opprettholde et godt arbeidsmiljø. Det har vært et krevende år, men det ser likevel ut til at vi har lykkes med dette arbeidet. Kun én medarbeider sluttet i meldingsåret. Ledere og etablerte medarbeidere har tatt stort ansvar. De har lagt til rette for at alle skal ha gode rammevilkår, klare roller og støttende ledere og kollegaer.

I 2020 har vakanser fra 2019 blitt fylt opp og det er også opprettet nye stillinger som følge av budsjettøkning og større arbeidsbelastning, samt som følge av etableringen av en midlertidig regulatorisk sandkasse. Til sammen har 13 medarbeidere begynt i meldingsåret, og de fleste har startet på et tidspunkt der de ikke hadde en ordinær arbeidsplass å kunne gå til regelmessig. De har måttet forholde seg til hjemmekontor og det å hovedsakelig ha digital kontakt med ledere og kollegaer. Det står respekt av hvordan hver og en har håndtert dette. De nyansatte er selvstendige, tar stort ansvar, viser initiativ og er meget dyktige. De har tilført oss mye verdifull kompetanse i en svært krevende periode.

Evaluering av omorganiseringen

Etter omorganiseringen i november 2018 ble Datatilsynet organisert med en avdeling for kommunikasjon og samfunnskontakt, en administrasjonsavdeling og to fagavdelinger.

Det ble samtidig besluttet å evaluere den nye organiseringen i 2020 for å avdekke om det var behov for å foreta justeringer. Denne evalueringen ble utsatt til våren 2021 fordi koronasituasjonen og unntakstilstand på mange områder i lengre perioder medførte at vi ikke fikk høstet tilstrekkelig kunnskap og erfaring om hvordan «ny organisasjon» fungerte i en normalsituasjon. Det ble likevel foretatt en endring av organisasjonskartet høsten 2020, da en ny seksjon med ansvar for intern IKT- drift, sikkerhet og etterleving (ISE) ble etablert i avdeling for teknologi, analyse og sikkerhet (TAS). Dette skjedde også som en følge av styrket intern innsats på risiko- og sårbarhetsvurderinger, informasjonssikkerhet, internkontroll og intern IKT-drift og -utvikling.

1.4.2.5 Prosjekter og igangsatte tiltak knyttet til virksomhetens systemer

Det er i 2020 satt i gang ulike prosesser knyttet til plan, styring og internkontroll. Dette gjelder blant annet kartlegging av behov for ytterligere styringsinformasjon, forbedringspotensial i våre planprosesser, ny metode og bedre verktøy for virksomhetsplanlegging, resultatrapportering og ressursplanlegging. Det ble også gjennomført en kartlegging av behov for å ta i bruk nye arbeidsverktøy mm.

Vi har også arbeidet målrettet for å få på plass et mer robust styringssystem for budsjett og regnskapsoppfølging, blant annet overføring av budsjett til DFØ sine moduler og i større grad gjøre bruk av deres tjenester. Dette sees også i sammenheng med utvikling av øvrig planverk og behov for styringsinformasjon. Koronasituasjonen har lagt begrensninger på arbeidet knyttet til økonomi, da en rekke kompetansetiltak (kurs) ble satt på vent sentralt. Budsjett og regnskapsoppfølging ses også i sammenheng med virksomhetsplan og øvrig rapporteringsarbeid.

1.4.2.6 Digitalt førstevalg

Vi har fremdeles en noe lav digitaliseringsgrad, vi utnytter kun i noen grad de offentlige felleskomponentene og vi er fremdeles avhengige av enkelte manuelle og analoge rutiner både i saksbehandling og i veiledning/kommunikasjon. Vi har fremdeles utfordringer med gamle løsninger og tungvinte, men helt nødvendige, sikkerhetsrutiner.

Det er viktig at Datatilsynet fremstår som en pådriver og ikke en bremsekloss i digitaliseringsarbeidet i offentlig sektor. Dette bør vi gjøre gjennom både ord og handling. Vi bruker enhver mulighet til å framsnakke gode digitaliseringstiltak, men det er et minst like viktig signal at vi også tar i bruk fellesløsninger og andre digitale løsninger selv.

Vi startet i 2019 et for oss stort prosjekt som i 2020 løftet oss betydelig når det gjelder digitalisering og modernisering av egen saksbehandling ved at vår saksbehandlings-/arkivløsning ble modernisert. Denne nye løsningen vil for framtiden være basert på en skyløsning, noe som vil gi oss nye muligheter til å ta i bruk moderne digitale hjelpemidler i saksbehandlingen. Den vil selvsagt ikke fjerne behovet for sikkerhet, men den vil gi nye muligheter til å bygge sikkerhet med nye og moderne hjelpemidler.

Vi bruker per i dag Altinn som kanal for to av våre tjenester: melding om avvik (brudd på personopplysningssikkerheten) og innmelding av personvernombud. Gjennom bruken av Altinn benytter vi også ID-porten, Enhetsregisteret og Folkeregisteret. Dette er viktige og gode initiativ fra oppfyllelsen vår av digitalt førstevalg. Som en videreføring av moderniseringen av vår saksbehandlings- og arkivløsning, ligger det også i planene å ta i bruk fellestjenester som eFormidling. Det gir, i tillegg til fysisk brevpost og epost som kommunikasjonskanal, en strukturert og effektiv meldingsutveksling med virksomheter og innbyggere. Det er likevel ingen tvil om at vi har en vei å gå før vi kan sies å være «heldigitalisert» og tilbyr gode, digitale løsninger til de av våre brukere som ønsker dette.

Vi har som målsetting å løfte oss opp på et digitalt nivå der vi ikke nødvendigvis framstår som spydspiss i digitaliseringen, men at vi er på samme nivå som offentlig sektor for øvrig i det å tilby elektronisk kommunikasjon. Det er imidlertid helt avgjørende at det vi i Datatilsynet tilbyr, både er og oppleves som trygt og sikkert.

Det er også viktig for oss å være en del av digitaliseringsprosessene i offentlig sektor for å sikre at viktige personvernhensyn blir tatt og at løsningene blir personvernvennlige. Dette følger også av kravene i det nye personvernregelverket, slik som krav til grundige utredninger av personvernkonsekvenser for samtlige løsninger, krav om at løsningene har innebygd personvern og at de har de mest personvernvennlige innstillingene som standard.

1.4.2.7 Forvaltning av egne eiendeler

Datatilsynet fører oversikt over IKT-utstyr og annet sentralutstyr som ikke skal balanseføres, og har oversikt over utskifting og avhending av slike eiendeler.

Flytteprosess og nye lokaler

Datatilsynets husleiekontrakter gjaldt til 31.12.2020. Prosessen med å vurdere ny leieavtale og gjøre søk i markedet, startet fjerde kvartal i 2019. Beslutningen om å ikke fornye avtalen, men flytte til ny lokasjon ble tatt oktober 2020.

Datatilsynet har fulgt KMD sin anmodning om å søke bistand fra Statsbygg ved anskaffelse av ny leiekontrakt, og benyttet også arkitekttjenesten som ble tilbudt i henhold til avtale med Statsbygg. Sammen med Statsbygg ble mulighetene i markedet til å redusere arealbruk og utgifter til kontorleie, samt nye arbeidsplasskonsepter vurdert. Før vi inngikk ny kontrakt, ble en eventuell økonomisk gevinstrealisering vurdert, men vi vektla også andre gevinster som potensielt ville kunne utløses ved å flytte til arealeffektive, moderniserte lokaler. Om den nye leieavtalen totalt sett vil gi en økonomisk gevinstrealisering, vil først kunne fastslås 4. kvartal 2021.

Fra vi inngikk avtale med Statsbygg og til vi tegnet ny leieavtale, utredet vi målbildet og kartla hvilke krav og behov som skulle stilles til nye lokaler. Vi dokumenterte dagens situasjon og vurderte fremtidige behov, vi foretok kartlegginger og situasjonsanalyser som også innebar å vurdere tilstedeværelse, utnyttelse av areal, brukerbehov og lignende. Det ble også benyttet store ressurser for å sikre bred intern forankring om analyser, vurderinger og konklusjoner. Før vi besluttet ny leieavtale, utviklet og ferdigstilte vi konkurransegrunnlaget, foretok søk i markedet og gjennomførte befaringer og konkurranse med forhandlinger.

Etter planen flytter Datatilsynet 5. februar 2021 til moderne kontorlokaler som er arealeffektive i forhold til de vi flytter fra. Nye lokaler er på ett plan og de kan enkelt tilpasses og endres i forhold til fremtidige behov. Vi vil gjøre bruk av fellestjenester i bygget fremfor å binde opp areal til dette i eget lokale. Dette gjelder for eksempel tjenester som felles resepsjon, møtesenter, personalkantine og garderobe. Nye lokaler er også vesentlig bedre egnet med tanke på universell utforming. Nytt konsept er en hybridløsning med landskap og cellekontor der behov for konsentrasjon, samhandling og møteplasser ivaretas. Det vil bli stillesoner, stillerom, multirom, aktivitetsbaserte soner, sosial sone og ulike funksjonsområder.

1.4.2.8 Oppfølging av vesentlige avdekkede avvik/feil/mangler

Det er ikke avdekket vesentlige avvik/feil/mangler med henhold til styring og kontroll i virksomheten. Det foreligger heller ikke merknader fra Riksrevisjonen.

1.4.3 Vesentlige forhold knyttet til personalsituasjonen

1.4.3.1 Likestilling og mangfold

Datatilsynet arbeider aktivt, målrettet og planmessig for å fremme likestilling og hindre diskriminering. Vi rekrutterer slik at vår arbeidsstyrke gjenspeiler mangfoldet i befolkningen og vi har en god balanse når det gjelder kjønn, alder, etnisitet, nedsatt funksjonsevne, hull i cv, ulik religiøs tilhørighet og livssyn. Vi opplever til dels meget god søkning til vakante stillinger, både fra erfarne og nyutdannede og Datatilsynet er fremdeles ansett å være en populær arbeidsplass å søke seg til.

Vi ser ikke at vi har ulikheter som gjør det nødvendig å iverksette særskilte tiltak overfor grupper eller personer. Vår vurdering er at alle gis like muligheter i organisasjonen, og at det ikke har vært behov for å iverksette særskilte tiltak for å fremme likestilling eller hindre diskriminering utover det å forsøke å ha stort mangfold, god aldersspredning og en god kjønnsbalanse.

Vår lønns- og personalpolitikk har også i seg elementer som skal ivareta likestilling og mangfold. Vi erkjenner at ansatte er i ulike faser i livet (junior, karriere, senior) og at hver fase innebærer ulike behov. Den enkelte medarbeiders forutsetninger vil variere over tid, og vi som arbeidsgiver må derfor tilby den enkelte ulike tiltak i de ulike fasene.

1.4.3.2 Inkluderende arbeidsliv og HMS/arbeidsmiljø

Vi har i 2020 utlyst 17 ledige stillinger, inkludert 6 midlertidige engasjement knyttet til etableringen av prosjektet «regulatorisk sandkasse». Stillingene har i hovedsak vært utlyst på JobbNorge, finn.no, nav.no, i tillegg til å være delt gjennom egne kanaler slik som datatilsynet.no, nyhetsbrev og Twitter.

Spesielt om koronasituasjonen

2020 har vært et annerledes år. Covid 19-pandemien har endret arbeidshverdagen for de fleste og har utfordret oss på mange områder også når det gjelder inkluderende arbeidsliv, HMS og ivaretagelse av et godt arbeidsmiljø.

Vi har i denne utfordrende perioden fulgt tett opp arbeidsbelastning og psykososiale forhold, og det er iverksatt en rekke tiltak for å gjøre arbeidssituasjonen for den enkelte så bra som mulig. Vi har oppfordret alle til å ta nødvendige avbrekk og pauser og vi har vektlagt betydningen av å ivareta egne og også pårørendes behov gjennom perioden. Det har vært krevende for mange å klare å finne en god balanse mellom arbeidstid og fritid. Arbeidsbelastningen har i perioder vært stor for mange.

Det er tilrettelagt for tilstedeværelse i våre lokaler i henhold til de til enhver tid gjeldende råd fra myndighetene. Medarbeidere som ikke har hatt mulighet til å utføre sine oppgaver fra hjemmekontor, og de som av andre vektige grunner ikke har kunnet arbeide fra hjemmekontor, er gitt prioritet.

Medarbeiderundersøkelse

I november gjennomførte vi en kartlegging av arbeidssituasjonen. På det tidspunktet hadde koronasituasjonen i stor grad preget arbeidsdagen vår i ni måneder, og sammen hadde vi gjennomført en stor omstilling av arbeidsrutinene våre. Vi hadde også tilpasset oss en ny arbeidshverdag. Siden dette har vært en uvanlig situasjon for alle, var det viktig å få kartlagt hvordan vår evne til å holde fokus på daglige oppgaver og kollegialt samhold ble ivaretatt og håndtert.

Det ble derfor gjennomført en undersøkelse slik at vi kunne iverksette ytterligere innsats der det var behov. Målet var at alle skulle ha en best mulig arbeidshverdag uavhengig av hvor vi jobbet fra. Undersøkelsen ble gjennomført og presentert for oss av Rambøll.

Basert på svarene ble det iverksatt tiltak rettet mot de områdene der vi så at vi kunne tilrettelegge bedre.

1.4.3.3 Sykefravær

Sykefraværet for 2020 var 3,35 prosent mot 3,81 prosent i 2019. Av dette er 0,6 prosent egenmeldt fravær mot 2 prosent i 2019. Noe av dette kan nok ha sin årsak i utstrakt bruk av hjemmekontor og den fleksibiliteten det har gitt.

Forstørr bilete

Samarbeid med bedriftshelsetjenesten er videreført i 2020, og vi har opprettholdt ordningen med å gi tilskudd til trening for alle ansatte.

Også i 2020 det vært spesiell oppmerksomhet på forebygging og oppfølging av sykefravær. Vi har tilrettelagt for at ansatte skulle kunne etablere gode alternative arbeidsplasser hjemme, og ergonomi på hjemmekontor har vært prioritert. Vi har gjennomført et webinar regi av bedriftshelsetjenesten om ergonomi på hjemmekontoret, og ansatte som har hatt behov for det er tilbudt individuell oppfølging og utstyr.

Resultatene fra medarbeiderundersøkelsen om arbeidsforholdene under pandemien, ble også fulgt opp med ulike tiltak.

Arbeidsbelastning, forventninger, mestringsfølelse og andre utfordringer som kan knyttes til utstrakt bruk av hjemmekontor og begrenset sosial omgang har vært lagt vekt på, og dette har også vært fulgt opp i de regelmessige arbeidssamtalene lederne har med medarbeiderne.

Det har vært regelmessige møter med tillitsvalgte og arbeidsmiljøutvalget, og i 2020 har temaene i stor grad vært knyttet til koronasituasjonen, samt kartlegging av krav og behov ved ny leieavtale.

Datatilsynet har videreført intensjonsavtalen om IA, og denne ivaretas i tillegg gjennom vår lønns- og personalpolitikk.

1.4.3.4 Lærlinger

Datatilsynet har i 2020 hatt én lærling tilknyttet IKT-faget.

1.4.4 Fellesføringer

1.4.4.1 Oppfølging av regjeringens inkluderingsdugnad

Datatilsynet arbeider for å utvikle rutiner og arbeidsformer for å nå målene for regjeringens inkluderingsdugnad. For å nå målet om fem prosent, har alle stillingsutlysninger inneholdt en mangfoldserklæring som oppfordrer kvalifiserte kandidater til å søke uavhengig av kjønn, funksjonsevne, hull i cv, innvandrerbakgrunn eller seksuell legning.

Ved utvelgelse av kandidater til intervjuer er det i 2020 kalt inn kvalifiserte søkere til intervju som har oppgitt nedsatt funksjonsevne eller hull i CV-en. Med hull i CV-en forstås person som ikke har vært i arbeid, utdanning eller annen opplæring i minst to sammenhengende år. Vi begynte i meldingsåret også å bruke rekrutteringsverktøyet JobbNorge for å effektivisere jobbsøkerprosessen. Dette verktøyet har funksjonalitet som gjør det enkelt å identifisere søkere som har rett til å bli kalt inn til intervju i henhold til bestemmelsen i forskriften til den nye statsansatteloven.

Ved å ha tilsatte i målgruppen får man mer kunnskap om målgruppen og de barrierer som ofte møter disse søkerne i rekrutteringsprosessen og det i seg selv er en faktor som medvirker til måloppnåelse.

Andel nyansatte med nedsatt funksjonsevne eller hull i CV-en var 5,88 prosent i 2020.

Konkrete tiltak for å nærme oss fem prosents-målet:

• Det er gjort mulig for søkere til stillinger hos oss å krysse av for innvandrerbakgrunn, hull i cv og nedsatt funksjonsevne.

• Ledere er regelmessig oppfordret til å se etter hull i CV-en når de vurderer søkere til stillinger i Datatilsynet, og de er gjort godt kjent med regjeringens inkluderingsdugnad.

• Det er tatt inn i en intern mal som benyttes til å skrive innstilling til ansettelse og forslag til tilsetting tekst, at det skal redegjøres for hvor mange søkere i denne kategorien som er vurdert som kvalifisert og innkalt til intervju.

• Det arbeides med å videreutvikle rekrutteringssystemet, og det vurderes fortløpende om vi i tekst må tydeliggjøre ønsket vårt om mangfold, og oppfordre de med hull i CV-en til å søke i enda større grad.

• Vi prioriterer deltagelse på tillyst webinar for ledere med personalansvar om mangfoldsrekruttering.

• Arbeidsgiverportalens sider benyttes hyppig og den gir god informasjon om verktøy som kan benyttes, om seminarer og opplæringstilbud

Datatilsynet ønsker å bidra positivt til inkluderingsdugnaden og vi har god erfaring med å legge til rette for medarbeidere som har eller får behov for tilrettelegging på arbeidsplassen eller i arbeidsforholdet.

I vårt søk etter nye lokaler var universell utforming gitt høy prioritet, og dette hensynet veide tungt ved utvelgelse av objekter som ble vurdert og også når endelig beslutning om nye lokaler skulle tas.

1.4.4.2 Informasjonssikkerhet

Datatilsynets mål for informasjonssikkerhet

Datatilsynets behandling av informasjon skal være i samsvar med regulatoriske, interne og avtalerettslige krav til informasjonssikkerhet. Beskyttelsesverdig informasjon skal sikres tilfredsstillende gjennom fysiske, tekniske og organisatoriske og personellmessige tiltak som ivaretar konfidensialitet, integritet, tilgjengelighet og robusthet i våre informasjonssystemer.

Strategi for informasjonssikkerhet og internkontroll

Planen var å utarbeide en overordnet IKT- og sikkerhetsstrategi i 2020, men dette ble utsatt. Det skyldes primært av vi styrket oss bemanningsmessig, samt opprettet en ny seksjon med informasjonssikkerhet som et av ansvarsområdene, og vi fant det hensiktsmessig å avvente arbeidet med ny strategi til ny leder var på plass. Målene for strategien er imidlertid klare. Den skal:

• være forankret i ledelsen og utføres systematisk

• være kjent i linjen gjennom systematisk opplæring og kommunikasjon

• gjennomføres for å nå målene for informasjonssikkerhet

• være risikobasert og følge anerkjente standarder

• følge prinsippene for læring og kontinuerlig forbedring

Som redegjort for i årsmeldingen for 2019, vedtok vi en ny interkontroll i fjor. Her legger vi opp til kvartalsvis egenkontroll, rapportering til ledelsen, avviks- og hendelseshåndtering og kontinuerlig forbedring.

Informasjonssikkerhet i digitaliseringsprosesser, innkjøp mv

Datatilsynet har stor fokus på informasjonssikkerhet og personopplysningssikkerhet ved digitaliseringen av våre tjenester, ved innkjøp, anskaffelse og bruk av digitale verktøy. Vi er bevisst på hvilke verktøy og plattformer som benyttes og som kan benyttes til behandling av personopplysninger. Risiko og sårbarhetsanalyser i henhold til sikkerhetsstandarder og personvernforordningen er viktig i forkant av anskaffelse og bruk, men også regelmessig for å sikre at tiltakene har ønsket effekt ut i fra risiko.

Arbeidet med informasjonssikkerhet i meldingsåret har vært preget av nedstenging av arbeidslokaler og overgangen til hjemmekontor for Datatilsynets ansatte. Vi nedsatte krisestab og utarbeidet beredskapsplan for IKT-drift, support og sikkerhet ved nedstengingen. I fortsettelsen av hjemmekontorsituasjonen har Datatilsynet fulgt og videreformidlet råd fra Nasjonal sikkerhetstjeneste for å håndtere sårbarheter som denne arbeidsformen kan medføre.

Når dataangrep på infrastrukturer i norske virksomheter blir kjent, følger vi anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM) for å sikre at infrastrukturen vår og IKT-parken er robust til å stå imot lignende hendelser. Det er en rutine at ledelsen setter stab umiddelbart etter at dataangrep blir kjent. Vi har iverksatt rutiner for hendelseshåndtering av sikkerhetshendelser hvor formålet er å oppnå en mer herdet infrastruktur.

Datatilsynet har opprettet en egen seksjon for intern IKT, sikkerhet og etterlevelse for å styrke vårt arbeid med digitalisering og informasjonssikkerhet. Vi har et godt samarbeid med NSM, og vurderer tettere samarbeidsformer og kontaktmøter.

Kartlegging av avhengigheter

Forutsetningen for å jobbe helhetlig med informasjonssikkerheten er å kartlegging våre digitale avhengigheter. Infrastrukturen til Datatilsynet har de siste årene gjennomgått en fornying og vi jobber kontinuerlig med oppdatering av oversikten med våre avhengigheter.

Deltagelse i øvelser

I meldingsåret har vi ikke deltatt i noen eksterne øvelser, noe som primært skyldes at de ansatte har hatt hjemmekontor.

1.5 Vurdering av framtidsutsikter

Vi har i denne rapporten gitt en vurdering av de framtidige utfordringene innen de ulike prioriterte områdene. I denne delen vil vi se på:

• de overordnede utfordringene i et brede samfunnsperspektiv

• hvordan disse utfordringene kan påvirke vår evne til å løse samfunnsoppdraget på sikt

• mulige konsekvenser for vår evne til å nå fastsatte mål og resultatet på lengre sikt

1.5.1 Kort omtale de overordnede utfordringene i et brede samfunnsperspektiv

Spesielt om koronasituasjonen

2020 vil for alltid gå inn i historien som koronaåret. Som beskrevet i del III, 4. Spesielt om koronasituasjonen, har vi tatt stilling til en rekke spørsmål knyttet til dette. Vi mener denne situasjonen har vist at det er personvernrelaterte problemstillinger på nær sagt alle samfunnsområdet. Selv om virkningene av pandemien trolig vil avta i 2021, er det viktig å ta videre den personvernmessige læringen, både positivt og negativt, som vi har hatt.

På den negative siden har vi, litt tabloid sagt, erfart at hastverk er lastverk, og at flere prosesser kunne fått et annet utfall dersom man hadde brukt mer tid på utredning og ekstern kunnskapsinnhenting. Vi har sett mange eksempler på mangelfulle utredninger, for dårlig lederforankring og uklare ansvarsforhold. Det er viktig å ta lærdom av dette, og bruke erfaringene fra dette året til å gå gjennom egne rutiner og prosesser for å komme ut bedre rustet til å behandle persondata.

På den positive siden har samfunnet gått gjennom en hurtigdigitalisering. Dette skaper også utfordringer, men mange virksomheter, ansatte (for eksempel lærere) og privatpersoner har måttet ta rev i seilene og bli mer digitale. Dersom dette følges opp på en riktig måte, kan det digitale løftet blir varig, og positivt.

Digitale plattformer

De siste årene har de digitale plattformene styrket sin stilling. Alle norske borgere og virksomheter vil i løpet av én dag ha brukt tjenester fra de amerikanske teknologigigantene. Grunnen er flerdelt, men skyldes i hovedsak at de tilbyr gode og nyttig tjenester, og at de enorme datamengdene de har, langt på vei skaper en faktisk monopolsituasjon. At de fleste selskapene i stor grad kjøper opp konkurrenter bidrar til å forsterke dette bildet.

Plattformene skaper store personvernmessige utfordringer. Sannsynligvis kan ingen gi et sikkert svar på hva for eksempel Facebook samler inn av data, og hva de bruker dataene til. Enda mer usikkert er det hva disse datamengdene vil bli brukt til i fremtiden, særlig nå som kunstig intelligens virkelig er i ferd med å ta av.

Dette utfordrer oss som tilsynsmyndighet. Selskapene har nærmest ubegrensete ressurser. De er hjemhørende i USA, mens det europeiske kontoret ligger utenfor Norge, i mange tilfeller i Irland. Ytterligere utfordrende er at den enkelte sak, for eksempel om utforming av et samtykke eller plassering av en informasjonskapsel, ikke endrer det store bildet: at selve forretningsmodellen ikke er bærekraftig fra et personvernperspektiv. Det er prinsipielt bekymringsfullt at ett selskap kan påvirke utfallet av et valg, eller at en privat ansatt enkeltperson kan stengte USAs tidligere president ute fra et sosialt nettsamfunn.

Plattformer bygges også i offentlig sektor, for eksempel helseanalyseplattformen. Her samles det enorme datamengder, om alle norske borgere, som kan brukes av mange til et stort antall formål.

Sommeren 2020 falt den såkalte «Schems II-avgjørelsen» i EU-domstolen. Den dreide seg om hvorvidt Facebook lovlig kunne overføre data fra Facebook Europa til Facebook USA. Bakgrunnen for søksmålet var påstanden fra personvernaktivisten Max Schrems om at personopplysningene ikke var godt nok beskyttet i USA. Domstolen kom til at de vide hjemlene til amerikansk etterretning, samt det faktum at europeiske borgere ikke har god nok mulighet til å overprøve beslutninger om overvåking, i sum er så inngripende at den de facto innførte et forbud mot overføring av data til USA. Dette er en svært inngripende avgjørelse som også gjør vår håndheving av regelverket med den nødvendige fleksibilitet, krevende.

Kunstig intelligens

Kunstig intelligens er ikke lenger science fiction, men en realitet. Mange avgjørelser som i dag treffes både av private og offentlige etater, inneholder større eller mindre bruk av kunstig intelligens. Oppsiden er åpenbar: Det kan gi raskere, mer treffsikre avgjørelser, og vi kan ved hjelp av kunstig intelligens få fram kunnskap som mennesket med sin begrensede kapasitet, ikke kan. Nedsiden er like åpenbart. Kunstig intelligens gjør det vanskelig å etterprøve avgjørelse, ettersom vi ikke vet hva slags data som er benyttet i avgjørelsen. Viktige personvernprinsipper slik som retten til en forklaring og retten til å bli glemt, utfordres.

Interne forhold

Når det gjelder interne forhold, har Datatilsynet møtt de samme utfordringene som andre i korona-året, nemlig liten sosial kontakt med kollegaer, medarbeidere som har slitt med motivasjon og ensomhet, og utfordringer med oppfølging av den enkelt.

Samtidig har vi som beskrevet i denne rapporten hatt mange, og svært krevende saker, til behandling. Dette er ikke unormalt. Det unormale var at sakene dukket opp omtrent samtidig, og på samme tid som vi har opplevd en betydelig vekst i antall klagesaker fra privatpersoner, økning i antall henvendelser til veiledningstjenesten, flere avviksmeldinger og flere mediehenvendelser. Vi har også etablert regulatorisk sandkasse som i seg selv er et betydelig og ressurskrevende prosjekt, i tillegg til flytteprosessen til nye lokaler.

1.5.2 Hvordan disse utfordringene kan påvirke vår evne til å løse samfunnsoppdraget på sikt

Koronasituasjonen

Koronasituasjonen vil neppe ha noen stor betydning for oss på sikt. Det blir viktig å påse at personverninngripende tiltak «spoles tilbake» til pre-korona. Vi mener vi selv har håndtert situasjonen på en god måte, både eksternt og internt. En særlig utfordring gjelder personvern i arbeidslivet, der vi har sett en urovekkende økning i overvåking av de ansatte. Vi vil i tiden fremover gi god veiledning, behandle klager og gjennomføre tilsyn, og vi tror dette vil motvirke at overvåkingen etableres som en varig situasjon. Det blir også viktig for oss å gå i dialog med partene i arbeidslivet.

Digitale plattformer

De store, internasjonale plattformene er utfordrende. De ikke er underlagt vår jurisdiksjon, samtidig utfordrer de norske borgere kraftig. Det er en fare for at vi blir ansett som «tannlause», og kan oppleve kritikk for ikke å gjøre noe. Det blir viktig for oss å jobbe aktivt i det europeiske Personvernrådet, samarbeide med de landene som har jurisdiksjon og ikke minst gi god informasjon via våre kanaler.

Vi har også etablert et godt samarbeid med Forbrukertilsynet og Konkurransetilsynet i erkjennelsen av at vi møter de samme utfordringene, om enn fra ulik innfallsvinkel. Vi har også tatt opp store saker mot internasjonale selskaper som ikke er lokalisert i EU.

Når det gjelder de statlige plattformene, er bildet mer nyansert. Å samle store datamengder som beskrevet over, er utfordrende både i et personvern- og sikkerhetsperspektiv. Her har imidlertid Datatilsynet full jurisdiksjon. Vi har hatt god dialog med de som utvikler plattformene, og vil gjennom tilsyn og kontroll med regelverket kunne ivareta borgernes rettigheter etter personvernforordningen.

Det som er omtalt som Schrems-dommen over, har mange aspekter i seg: Handel mellom USA og EU (og Norge), tolkning av rettsavgjørelser, internasjonale avtaler og, mener noen, politikk. Dommen, og tolkningen til Personvernrådet, peker på noe vesentlig, nemlig at norsk alenegang i praksis ikke er mulig. Vår posisjon har hele tiden vært å følge de tolkningene rådet kommer fram til.

Det er viktig at personvernmyndighetene opptrer samlet og står skulder ved skulder, men samtidig begrenser det vårt nasjonale handlingsrom. Uten å gå inn på om vi er enige eller uenige i dommen og tolkningen av den, begrenser den vår mulighet til å praktisere regelverket, i den grad vi er uenig i fortolkningen. I dette ligger kjernen, og dilemmaet, i et forpliktende internasjonalt samarbeid. Etter vår oppfatning har det ikke vært eksemplifisert så godt som i denne saken tidligere. Vi har opplevd stor usikkerhet hos mange næringsdrivende og deres organisasjoner, og det har vært vanskelig å gi klare svar, og i enda større grad vanskelig å finne løsninger på de utfordringene som dommen skaper.

Kunstig intelligens

Kunstig intelligens utfordrer som nevnt over flere viktige personvernprinsipper. Dersom KI får utvikle seg fritt og uregulert, ville det åpenbart gjort det krevende, for ikke å si umulig, å løse samfunnsansvaret vårt.

Situasjonen er imidlertid ikke så utfordrende som her beskrevet. Vårt samfunnsoppdrag kan og må løses ved hjelp av ulike virkemidler. I meldingsåret etablerte vi regulatorisk sandkasse for kunstig intelligens. Vi har også behandlet de første sakene der beslutninger er truffet ved hjelp av elementer av kunstig intelligens. I løpet av 2021 vil vi utvikle en tilsynsmetodikk for kontroll med slike systemer. EU-parlamentet vedtok i oktober 2020 et rammeverk for etiske aspekter ved kunstig intelligens, roboter og lignende teknologier, der det blant annet foreslås å opprette egne algoritmetilsyn (som vi etter vår oppfatning et stykke på vei allerede er).

Vi er relativt tidlig ute, og mange viktig prosesser er på gang. Vi har dessuten høy kompetanse på KI, en sandkasse, samt et sterkt analysemiljø. Dette vil i sum gjøre oss i stand til å møte utviklingen.

Interne forhold

Uten tilstrekkelig med ressurser, kompetente medarbeidere og en god strategi, har vi ingen sjanse til å løse samfunnsoppdraget vårt. Heldigvis er ikke situasjonen slik, snarere tvert imot. Vår holdning har alltid vært at den til enhver tid sittende regjeringen skal få god uttelling for hver krone vi får bevilget, i form av bedre personvern. De siste årene har vi opplevd økonomisk styrking. Det er vi glade for, og det har vært nødvendig.

Tross dette, er den økende saksmengden utfordrende. Sakene vi behandler blir stadig mer komplekse, både juridisk og teknologisk. Rekken, for ikke å si køen, av virksomheter som vil ha Datatilsynet som samarbeidspartner og foredragsholder, og som vil ha råd og veiledning, blir stadig lenger. Tilsvarende pågang opplever vi hos vår veiledningstjeneste. Det ligger en fare i at saksbehandlingstiden blir for lang, og at det blir enda mer krevende å finne balansen mellom tempo og kvalitet i saksbehandlingen. Begge deler er like viktig, men vi har i perioder opplevd for lang saksbehandlingstid.

Vi jobber kontinuerlig med å forbedre og effektivisere saksbehandlingen vår, og å utvikle plan- og malverk. Vi har i 2020 tatt grep som vi tror vil føre til en bedring i 2021. Som vi skal komme tilbake til i neste avsnitt, er det imidlertid grunn til å følge denne utviklingen nøye.

1.5.3 Mulige konsekvenser for vår evne til å nå fastsatte mål og resultatet på lengre sikt

Å spå om framtiden er krevende. Vi opplever Datatilsynet som et organ som er dyktig til å analysere hva som blir de største utfordringene framover, slik vi har gjort med big data, kommersiell bruk av personopplysninger og kunstig intelligens. Vi evner også å snu oss raskt når det inntrer uforutsette endringer. Som eksempel kan vi nevne at vi var fullt operative kun få timer etter at pandemien rammet. Vi har lagt strategier for å møte de utfordringene vi ser i komme, og vi mener derfor at vi, i det store og hele, er klare for å møte utfordringene også på lengre sikt.

Kontroll og saksbehandling er vår kjernevirksomhet, og den viktigste delen av vårt samfunnsoppdrag. Noe av grunnen til at vi har lyktes med mye de siste årene, er at vi i tillegg til saksbehandling har drevet utstrakt veiledning og kommunikasjonsvirksomhet, vi har skrevet utredninger og rapporter som har vakt internasjonal oppmerksomhet og vi har vært meget aktive i internasjonale fora, særlig Personvernrådet. Disse ressursene kunne selvsagt vært brukt til saksbehandling, og saksbehandlingstiden ville gått ned. Vi har heller ikke veket unna for å ta opp svært store saker til behandling, for eksempel Grindr og Smittestopp, eller tilsynet mot Helse Sør-Øst. Dette er saker som har vært meget ressurskrevende.

Vi mener imidlertid det er viktig å se sammenhengen i en virksomhet. Gjennom kontrollvirksomheten vår, får vi innsikt som vi kan bruke til å skrive rapporter og kommunisere til borgere og virksomheter. Dette gir i sin tur innflytelse på internasjonale prosesser. Tilbake innomhus får vi ny kunnskap som gjør oss i stand til å behandle saker med enda bedre kvalitet og større effektivitet. Det er derfor grunn til å sende et lite varsko om at Datatilsynet, på sikt, med dagens sakspågang og ressurssituasjon, kan reduseres til en ren «saksbehandlingsfabrikk» der vi må vike unna de større, prinsipielt viktige sakene. Det vil personvernet i Norge tape på.

I denne rapporten har vi skrevet om de amerikanske teknologigigantene, men hva med de kinesiske? De er minst like dyktig og ekspansive, og deres plattformer er altomfattende. De amerikanske selskapene er utfordrende, men kan bli for ingenting å regne sammenlignet med utfordringene som kommer fra øst. Dette vil kreve samarbeid, kompetanse og mot i en annen skala enn i dag.

Ut over dette, mener vi oss godt i stand til å møte de utfordringene som kommer. Men det krever at vi hele tiden er frempå og forstår verdens rundt oss. Vi må heller ikke vike tilbake fra å prøve ut nye arbeidsmetoder, og prøve ut nye verktøy som man kanskje ikke tradisjonelt forbinder med et tilsynsorgan. Et eksempel er sandkassen, der vi er det andre tilsynet i Europa som tar et slikt initiativ.

Kineserne har et ordtak som lyder som dette: «Når forandringens vind blåser, søker noen ly, mens andre bygger vindmøller.»

Datatilsynet vil bygge vindmøller!

(Eller for å si det slik:

Forstørr bilete

Oversettelse: våre tre medarbeidere som snakker kinesisk.)

1.6 Årsregnskap

1.6.1 Ledelseskommentarer med direktørens signatur

Datatilsynet er på nettoføringsordningen. Ordningen er slik at virksomheten skal bokføre merverdiavgiften på en egen artskonto og Datatilsynet gis fullmakt til å belaste merverdiavgiften på Finansdepartementets kapittel 1633.

Bevilgning

Datatilsynet fikk 66 478 000 kroner til disposisjon i budsjettproposisjonen 2020, beløpet inkluderer midler til pensjonspremie til Statens pensjonskasse. Datatilsynet fikk også 225 000 kroner som kompensasjon som følge av budsjettmessige virkninger av lønnsoppgjøret i 2020. I tillegg ble det overført 2 220 000 kroner fra 2019. Når disse to var lagt til, hadde vi totalt 68 923 000 kroner til disposisjon i 2020. Mellomværende med statskassen utgjorde 1 968 467 kroner pr 31.12.2020. Dette er skyldig skattetrekk. Samlet har Datatilsynet på kapittel 054501 hatt et mindreforbruk på 2 293 000 kroner.

Datatilsynet fikk i 2020 også en belastningsfullmakt på KMDs kapittel 054122 på 3 000 000 kroner til et forprosjekt til regulatorisk sandkasse. Her ble det et mindreforbruk på 1 525 000 kroner.

Statens konsernkontoordning

Datatilsynet omfattes av statens konsernkontoordning. Bankinnskudd og utbetalinger gjøres opp daglig mot oppgjørskontoer i Norges Bank. Datatilsynet tilfører slik ikke likvider gjennom året, men har trekkrettighet på vår konsernkonto.

Fullserviceavtale med DFØ

Datatilsynet har en fullserviceavtale for regnskapstjenester med Direktoratet for forvaltning og økonomistyring (DFØ). Dette innebærer at DFØ utfører det meste av aktivitetene som er knyttet til økonomisystemet på vegne av Datatilsynet.

Avtale med Statens innkrevingssentral

Datatilsynet har en samarbeidsavtale med Statens innkrevingssentral om at de krever inn tvangsmulkt og overtredelsesgebyr på vegne av Datatilsynet. Gebyrer inngår ikke som driftsinntekt, men føres på kapittel 3545 i statsregnskapet. I 2020 beløper dette seg til 1 213 000 kroner.

Vurdering

Årsregnskapet er avlagt i henhold til bestemmelser om økonomistyring i staten, rundskriv R-115 fra Finansdepartementet og krav fra overordnet departement. Årsregnskapet gir etter min vurdering et dekkende bilde av Datatilsynets økonomiske situasjon, disponible bevilgninger og regnskapsførte utgifter og eiendeler.

Riksrevisjonen er utnevnt til ekstern revisor for Datatilsynet. Årsregnskapet er p.d.d. ikke revidert. Revisjonsberetningen for årsregnskapet offentliggjøres på Datatilsynets hjemmeside når Stortinget har mottatt Dokument 1 fra Riksrevisjonen, og revisjonsberetningen ikke lenger har status utsatt offentlighet.

Oslo, 1.3.2021

Bjørn Erik Thon

Direktør

1.6.2 Prinsippnote for årsregnskapet

Årsregnskap for Datatilsynet er utarbeidet etter retningslinjer fastsatt i bestemmelser om økonomistyring i staten («bestemmelsene»). Årsregnskapet er i henhold til krav i bestemmelsene pkt. 3.4.1, nærmere bestemmelser i Finansdepartementets rundskriv R-115 av desember 2019 og eventuelle tilleggskrav fastsatt av overordnet departement.

Oppstillingen av bevilgningsrapporteringen og artskontorapporteringen er utarbeidet med utgangspunkt i bestemmelsene punkt 3.4.2 – de grunnleggende prinsippene for årsregnskapet:

• a. Regnskapet følger kalenderåret

• b. Regnskapet inneholder alle rapporterte utgifter og inntekter for regnskapsåret

• c. Utgifter og inntekter er ført i regnskapet med brutto beløp

• d. Regnskapet er utarbeidet i tråd med kontantprinsippet

Oppstillingene av bevilgnings- og artskontorapportering er utarbeidet etter de samme prinsippene, men gruppert etter ulike kontoplaner. Prinsippene samsvarer med krav i bestemmelsene punkt 3.5 til hvordan virksomhetene skal rapportere til statsregnskapet. Sumlinjen «Netto rapportert til bevilgningsregnskapet» er lik i begge oppstillingene.

Virksomheten er tilknyttet statens konsernkontoordning i Norges Bank i henhold til krav i bestemmelsene pkt. 3.7.1. Bruttobudsjetterte virksomheter tilføres ikke likviditet gjennom året, men har en trekkrettighet på sin konsernkonto. Ved årets slutt nullstilles saldoen på den enkelte oppgjørskonto ved overgang til nytt år.

Bevilgningsrapporteringen

Oppstillingen av bevilgningsrapporteringen omfatter en øvre del med bevilgningsrapporteringen og en nedre del som viser beholdninger virksomheten står oppført med i kapitalregnskapet. Bevilgningsrapporten viser regnskapstall som Datatilsynet har rapportert til statsregnskapet. Det stilles opp etter de kapitler og poster i bevilgningsregnskapet som Datatilsynet har fullmakt til å disponere. Kolonnen «samlet tildeling» viser hva virksomheten har fått stilt til disposisjon i tildelingsbrev for hver statskonto (kapittel/post). Oppstillingen viser i tillegg alle finansielle eiendeler og forpliktelser virksomheten står oppført med i statens kapitalregnskap.

Mottatte fullmakter til å belaste en annen virksomhets kapittel/post (belastningsfullmakter) vises ikke i kolonnen for samlet tildeling, men er omtalt i note B til bevilgningsoppstillingen. Utgifter knyttet til mottatte belastningsfullmakter er bokført og rapportert til statsregnskapet, og vises i kolonnen for regnskap.

Avgitte belastningsfullmakter er inkludert i kolonnen for samlet tildeling, men bokføres og rapporteres ikke til statsregnskapet fra virksomheten selv. Avgitte belastningsfullmakter bokføres og rapporteres av virksomheten som har mottatt belastningsfullmakten og vises derfor ikke i kolonnen for regnskap. De avgitte fullmakten framkommer i note B til bevilgningsoppstillingen.

Artskontorapporteringen

Oppstillingen av artskontorapporteringen har en øvre del som viser hva som er rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter og en nedre del som viser eiendeler og gjeld som inngår i mellomværende med statskassen. Artskontorapporteringen viser regnskapstall virksomheten har rapportert til statsregnskapet etter standard kontoplan for statlige virksomheter. Virksomheten har en trekkrettighet på konsernkonto i Norges Bank. Tildelingene er ikke inntektsført og derfor ikke vist som inntekt i oppstillingen.

1.6.3 Årsregnskap

Oppstilling av bevilgningsrapportering

Beholdninger rapportert til kapitalregnskapet (31.12)

Note A – Forklaring av samlet tildeling utgifter

Note B – Forklaring til brukte fullmakter og beregning av mulig overførbart beløp til neste år

Forklaring til bruk av budsjettfullmakter

Mottatte belastningsfullmakter (gjelder for både utgiftskapitler og inntektskapitler)

Datatilsynet omfattes av nettoføringsordningen i staten og har fullmakt til å rapportere betalt merverdiavgift på Finansdepartementets kapittel/post 163301.

Datatilsynet har hatt en belastningsfullmakt på KMDs kapittel/post 054122. Mindreforbruk bes ikke overført til 2021 etter avtale med KMD.

Stikkordet «kan overføres»

Datatilsynet ber om at resultatene for kapittel 0545 post 01 overføres i sin helhet til regnskapsåret 2021.

Avgitte belastningsfullmakter (utgiftsført av andre på utgiftskapitler og inntektsført av andre på inntektskapitler)

Datatilsynet har ingen avgitte belastningsfullmakter i 2020.

Mulig overførbart beløp

Mindreutgifter på post 01 er beregnet til kr 2 292 000. Beløpet er under grensen for overføring av 5% av årets tildeling på post 01, hvor hele beløpet regnes som mulig å overføre til 2021.

Mindreforbruk skyldes i hovedsak forskyvning av kostnader i forbindelse med flytting til nye kontorlokaler i 2021.

Oppstilling av artskontorapportering

Note 1 – Utbetalinger til lønn

Økte utgifter til lønn skyldes vakante stillinger fra 2019 som er tilsatt i 2020, inkl. ansatte i Regulatorisk sandkasse.

Note 2 – Andre utbetalinger til drift

Note 3 – Finansinntekter og -utgifter

Note 4 – Utbetaling til investeringer og kjøp av aksjer

Note 5 – Sammenheng mellom avregning med statskassen og mellomværende med statskassen

Del A Forskjellen mellom avregning med statskassen og mellomværende med statskassen

1.7 Vedlegg

A. Høringsuttalelser

Tabellen viser en oversikt over høringer Datatilsynet har hatt merknader til i 2020.

B. Saker sendt til Personvernnemnda

Tabellen viser alle sakene Datatilsynet har sendt til Personvernnemnda (PVN) for klagebehandling og som er registrert hos nemnda i 2020.

C. Ilagte sanksjoner

Tabellen viser en oversikt over alle vedtakene Datatilsynet har fattet om overtredelsesgebyr (OTG) eller tvangsmulkt i 2020 etter personvernforordningen:

Tabellen viser en oversikt over vedtakene Datatilsynet har fattet om overtredelsesgebyr (OTG) eller tvangsmulkt i 2020 etter personopplysningsloven 2000: