1 Merknader frå Digitaliserings- og forvaltningsdepartementet til Datatilsynets årsrapport
Datatilsynet er eit uavhengig forvaltningsorgan oppretta i medhald av personopplysningslova og personvernforordninga. Tilsynet kan ikkje instruerast om behandlinga av einskildsaker eller den faglege verksemda elles.1 Digitaliserings- og forvaltningsdepartementet har det administrative ansvaret for Datatilsynet. Tilsynet skal kvart år sende årsrapporten sin til departementet, som legg rapporten fram for Stortinget.2 I denne meldinga legg regjeringa fram Datatilsynet og Personvernnemndas årsrapportar for 2023.
Datatilsynets hovudmål er å arbeide for eit godt personvern for alle. For å nå dette målet, og for å prioritere oppgåvene sine, har tilsynet laga ein strategi3 med seks delmål som er styrande for arbeidet. Dei prioriteringane Datatilsynet har gjort i 2023, er basert på følgjande tre delmål frå tilsynets strategi:
Personvern for barn og unge
Internasjonalt arbeid
Den regulatoriske sandkassen
Som prioritert verkemiddel har Datatilsynet i rapporteringsåret særleg arbeidd med saksbehandling og kontroll. Tilsynsverksemda har vært høgare prioritert i 2023 enn i dei førre åra. I tillegg har tilsynet prioritert omfattande dialog med verksemder i offentleg og privat sektor, mellom anna gjennom innspelsmøte med om lag 160 verksemder.
1.1 Organisasjon og budsjett
Datatilsynet blei i rapporteringsåret leidd av direktør Line Coll. Ho tiltredde stillinga 1. august 2022. Stillinga som direktør i Datatilsynet er eit åremål på seks år, med moglegheit for ei oppattnemning.
I rapporteringsåret bestod leiargruppa av fire avdelingsdirektørar i tillegg til direktøren. Vidare hadde tilsynet ved årsskiftet seks seksjonsleiarar. Dette utgjer til saman Datatilsynets utvida leiargruppe. Datatilsynet bestod ved utgangen av rapporteringsåret av fire avdelingar: administrasjonsavdelinga, avdeling for kommunikasjon og samfunnskontakt, avdeling for teknologi, analyse og tryggleik, og avdeling for regelverksetterleving, internasjonal samhandling og sanksjonar.
Datatilsynet hadde i 2023 ei budsjettramme på kap. 545 post 01 på 78,12 mill. kroner, og fekk i tillegg 0,86 mill. kroner i lønskompensasjon. Det blei i tillegg overført 3,54 mill. kroner i ubrukte midlar frå 2022, slik at samla disponible middel på kap. 545 post 01 i 2023 var 82,47 mill. kroner. Om lag 75% av dei tildelte midla er bundne i løn, medan dei resterande 25% av budsjettet går til drift.
I løyvinga ligg 7 mill. kroner til arbeidet med den regulatoriske sandkassa for personvernvennleg digitalisering og innovasjon (tidlegare omtalt som sandkassa for personvern og kunstig intelligens). Midla til sandkassa er rammeoverført frå Digitaliserings- og forvaltningsdepartementet (3 mill. kroner), Arbeids- og inkluderingsdepartementet (1 mill. kroner), Helse- og omsorgsdepartementet (1 mill. kroner), Kunnskapsdepartementet (1 mill. kroner) og Nærings- og fiskeridepartementet (1 mill. kroner).
Datatilsynet hadde i rapporteringsåret 68 tilsette fordelt på 56,79 årsverk (DFØ-modellen). Fleire av dei mellombels tilsette er studentar i deltidsstillingar knytte til Datatilsynets ressurseining for rettleiing, med ein stillingsbrøk kvar på 25 prosent. Talet på årsverk har gått noko ned frå 2022, då talet var 60,6. Berekninga er grunna turnover i løpet av året og periodar med ledige stillingar. Ved utgangen av 2023 fordelte dei fast tilsette i tilsynet seg på 61 prosent kvinner og 39 prosent menn.
1.2 Saksbehandling
Datatilsynets oppgåver følgjer av personvernforordninga artikkel 57. Regelen inneheld ein omfattande opplisting av dei oppgåvene som ligg til datatilsynsmyndigheita. Det følgjer mellom anna av forordninga at tilsynsmyndigheita skal behandle «klager [over behandling av personopplysningar] som er inngitt av en registrert eller et organ», føre tilsyn med etterleving av regelverket, gje råd til både dei som behandlar personopplysningar og til dei registrerte, samarbeide med tilsynsmyndigheiter i andre land for å sikre etterleving av regelverket og gje råd ved utarbeiding av regelverk med personvernkonsekvensar.
I tillegg til oppgåvene etter personopplysningslova og personvernforordninga fører Datatilsynet tilsyn med etterleving av ei rekke andre regelverk, som til dømes politiregisterloven, arbeidsmiljøloven, helseregisterloven, pasientjournalloven, kredittopplysningsloven og lov om Schengen informasjonssystem. Datatilsynet er òg tiltenkt tilsynsoppgåver etter ny lov om elektronisk kommunikasjon, jf. Prop. 93 LS (2023–2024) som regjeringa har fremma for Stortinget.
Saksmengda i Datatilsynet har vore jamt stigande sidan personvernforordninga blei gjennomført i norsk rett i 2018. 2023 var ikkje noko unnatak i så måte, og det blei registrert eit rekordhøgt tal nye saker, totalt 4204. Til samanlikning blei det registrert 3118 nye saker i 2019, som var det første heile året personvernforordninga gjaldt i Noreg. I løpet av dei siste fire åra har det samla talet på nye saker i Datatilsynet såleis auka med om lag 1000 saker. I tillegg til at talet på saker aukar, blir sakene stadig meir komplekse og tidkrevjande.
Avviksmeldingar
Innføringa av personvernforordninga i 2018, og merksemda om dei høge gebyra som kan påleggast ved brot på regelverket, har ført til at Datatilsynet mottek svært mange avviksmeldingar. Avviksmeldingar er meldingar om brot på personopplysningstryggleiken. Personvernforordninga stiller krav om at slike brot skal meldast til datatilsynsmyndigheita. I 2017, året før forordninga tok til å gjelde, fekk Datatilsynet 349 avviksmeldingar. Sidan har det vore ein jamn og stor auke. I 2023 fekk Datatilsynet 2822 avviksmeldingar. Talet på avviksmeldingar har auka monaleg sidan 2021 og 2022, då tilsynet fekk inn høvesvis 2255 og 2250 avviksmeldingar.
Avviksmeldingane gjeld mellom anna sending av personopplysningar til feil mottakar, feil i tilgangsstyring, utilsikta publisering av personopplysningar og tilsikta dataangrep. Godt over halvparten av avviksmeldingane kjem frå verksemder innan offentleg administrasjon, skule og barnehage og helse, omsorg og sosialteneste. At ein bransje utmerker seg med mange avviksmeldingar er ikkje eintydig negativt. Det kan òg vere teikn på god kjennskap til regelverket og plikta til å melde avvik, gjerne i kombinasjon med at sektoren behandlar store mengder personopplysningar. I årsrapporten skriv Datatilsynet at melde avvik i kategorien «tilsikta angrep» har auka med heile 143 prosent i 2023, noko som speglar den krevjande trusselsituasjonen både privat og offentleg sektor må handtere.
Avviksmeldingane er ei viktig kjelde til informasjon om risiko, sårbarheiter og truslar ved behandlinga av personopplysningar, mellom anna når Datatilsynet planlegg risikobaserte tilsyn. Meldingane er òg ei kjelde til informasjon om kjennskapen til personopplysingsreglane i ulike bransjar og sektorar. På den måten kan dei gje grunnlag for å målrette rettleiing mot desse sektorane. Det høge talet på melde avvik er samstundes utfordrande for tilsynet fordi det har ført til auka ressursbruk knytt til saksbehandling av avviksmeldingane.
Vedtak
I rapporteringsåret fatta Datatilsynet 303 vedtak. Dette talet er på om lag same nivå som året før, då talet på registrerte vedtak var 301. I 2020 blei det til samanlikning fatta 252 vedtak. 63 av dei 303 vedtaka Datatilsynet fatta i 2023 blei påklaga. Dette er langt fleire klager enn året før, då 38 av 301 vedtak blei påklaga. Sju av dei påklaga vedtaka i 2023 blei heilt eller delvis endra av Datatilsynet etter klage, medan 31 av klagene blei sende til Personvernnemnda for klagebehandling. Dei resterande klagesakene var ved årsskiftet framleis til behandling hos Datatilsynet.
Den markante auka i talet på klager frå 2022 til 2023 skuldast mellom anna at Datatilsynet, i eit forsøk på å spare ressursar, har avslutta ei rekke mindre alvorlege saker utan å fatte realitetsvedtak. Dette gjeld mellom anna saker om kameraovervaking i naboforhald og ulike klager på behandling av personopplysningar i arbeidstilhøve. Mange av desse sakene har Personvernnemnda sendt tilbake til Datatilsynet for ny behandling, då nemnda er av den oppfatning at Datatilsynet ikkje har høve etter personvernforordninga til å avslutte sakene utan å fatte vedtak. Dette gir ein illustrasjon på kor lite handlingsrom Datatilsynet har når det kjem til å vurdere kva for saker dei skal bruke dei avgrensa ressursane sine på, og er også ei forklaring på kvifor saksbehandlingstida aukar i takt med saksmengda.
Ved utgangen av rapporteringsåret låg ein sak om personvernmyndigheitenes undersøkingsplikt etter personvernforordninga til behandling i EU-domstolen (sak C-26/22). Avgjerd i saka, som kom i januar 2024, kan få konsekvensar for ressurssituasjonen i datatilsyna både i Noreg og i dei andre EU-/EØS-landa.
Sanksjonar
Datatilsynet tok seks avgjerder om gebyr for brot på personvernregelverket i 2023. Dette er det lågaste talet gebyr for lovbrot sidan personvernforordninga tok til å gjelde i 2018, og ein, relativt sett, stor nedgang frå 17 gebyr i 2022. Datatilsynet skriv i årsrapporten at det særleg er talet på gebyr for brot på reglane om kredittopplysningsverksemd og overvaking i arbeidslivet som har gått ned. Dette igjen heng truleg saman med at dette er ein type saker Datatilsynet, av ressursomsyn, har vald å prioritere ned i rapporteringsåret. Samla utgjorde lovbrotsgebyra i 2023 13,4 mill. kroner. Til samanlikning ga Datatilsynet gebyr på til saman om lag 80 mill. kroner i 2022. Av denne summen var gebyret i Grindr-saka 65 mill. kroner. Lovbrotsgebyra i 2023 gjaldt mellom anna brot på personopplysningstryggleiken, automatisk vidaresending av e-post og brot på reglane om innsyn i eigne personopplysningar. Det høgste gebyret var på 10 mill. kroner til SATS ASA for brot på personopplysningslova sine reglar om innsyn i personopplysningar. Det er statens innkrevingssentral som krev inn mulkt og gebyr etter Datatilsynets vedtak. Pengane går i statskassa.
I tillegg til dei seks vedtaka om lovbrotsgebyr, fatta Datatilsynet eit vedtak om tvangsmulkt mot Meta (som mellom anna eig Facebook og Instagram) og Facebook Norge. Mulkta var 1 mill. kroner per dag for brot på reglane om rettsleg grunnlag i personvernforordninga artikkel 6. Tvangsmulkta løp i 82 dagar, og samla beløp blei 82,89 mill. kroner. Saka mot Meta Inc. og Facebook Norge var ei stor og viktig sak for Datatilsynet i 2023. Frå vedtaket i saka blei fatta 14. juli, registrerte dei til saman 1708 timar arbeid i saka. Den reelle arbeidsmengda knytt til saka er likevel mykje høgare som følgje av at dei ikkje registrerte arbeidstimar før vedtak i saka blei fatta.
Saka har teke mykje ressursar også etter at vedtaket var fatta, både i form av oppfølging nasjonalt, mellom anna sak i Oslo tingrett i august 2023, og i Det europeiske personvernrådet, som stadfesta Datatilsynet sitt vedtak på europeisk nivå i oktober 2023. Saka førte til svært stor merksemd frå både nasjonal og internasjonal presse. Slike saker, med kompliserte juridiske og økonomiske vurderingar og stor offentleg merksemd, er krevjande for tilsynet og legg beslag på store ressursar både i saksbehandling og mediehandtering. Datatilsynet vurderer likevel at arbeidet gir stor effekt for personvernet nasjonalt og internasjonalt, og at det derfor er riktig å prioritere nokre slike store saker sjølv om det fører til lengre saksbehandlingstid i ein del av dei mindre sakene.
I tillegg til vedtaka om gebyr og tvangsmulkt, fatta Datatilsynet tolv vedtak om irettesettingar og 23 pålegg om å etterkome krav i personvernregelverket.
Tilsyn
Talet på tilsyn blei auka monaleg frå 2022, då Datatilsynet gjennomførte 28 tilsyn på eiga initiativ. I rapporteringsåret gjennomførte Datatilsynet til saman 119 planlagde og hendingsbaserte tilsyn. 98 av tilsyna var brevtilsyn i kommunar og fylkeskommunar. Elleve av desse tilsyna blei følgde opp med stadlege tilsyn. I tillegg er det mellom anna gjennomført tilsyn hos Arbeids- og velferdsetaten (Nav), Kripos (politiet sin tilgang til opplysningar i Visa Information System), kredittopplysningsforetak og tilsyn som gjeld kameraovervaking i arbeidslivet.
Datatilsynet skriv i årsrapporten at eit fellestrekk i mange av tilsyna er at dei finn manglar ved internkontrollen. Mange verksemder har heller ikkje sett i verk tilstrekkelege informasjonstryggleikstiltak. Slike manglar kan få store negative konsekvensar for verksemdene. I tilsyna mot kommunar og fylkeskommunar har Datatilsynet derfor hatt fokus på dialog og rettleiing i høve til tilsynsobjekta. Det blei òg publisert ein samlerapport frå tilsyna som mellom anna er meint som rettleiing og eit grunnlag for kommunane sjølve til å vurdere om dei etterlev personvernreglane. Denne arbeidsforma er ny for tilsynet, og har blitt godt motteke hos tilsynsobjekta.
Krav om dokumentinnsyn
I 2023 fekk Datatilsynet 7443 krav om dokumentinnsyn etter offentleglova. Talet på krav om dokumentinnsyn har auka jamt dei siste åra. I 2022 fekk Datatilsynet 6916 innsynskrav, i 2021 var talet 5715 innsynskrav, medan dei i 2020 fekk 3671 krav om dokumentinnsyn. Sidan 2020, har talet på krav om dokumentinnsyn altså meir enn dobla seg. Datatilsynet vurderer at noko av årsaka til auken kan vere auka i saksmengda og ei stadig aukande interesse for Datatilsynets verksemd. Store saker som saken mot Meta i 2023 gir opphav til svært mange krav om dokumentinnsyn. Datatilsynet gir innsyn i dei fleste tilfella, medan delvis innsyn blei gitt i 2131 av sakene. I 445 tilfelle ble innsynskravet avslått. Sjølv om talet på innsynskrav auka markant frå 2022, er talet på avslag lågare enn i 2022.
Auken i krav om dokumentinnsyn har medført auka innsats for å handtera alle krava, og ikkje minst har arbeidet med å vurdere meiroffentlegheit vore meir ressurskrevjande enn nokosinne, særleg for den juridiske avdelinga. Midt i rapporteringsåret byrja Datatilsynet å registrere tid dei bruker på å behandle innsynskrava. Frå 14. juli til 31. desember 2023 brukte dei totalt 706 timar på desse sakene, noko som svarar til om lag eit halvt årsverk. Datatilsynet har sett i verk ulike tiltak for å handtere den veksande etterspurnaden etter saksdokument. Samstundes peiker dei på eit behov å fornye dei digitale sakshandsamingssystema for å redusere omfanget av manuell behandling av innsynskrava.
Kommunikasjonsverksemd
Ulike typar kommunikasjon om rettar og plikter etter personvernreglane er ein viktig del av Datatilsynets arbeid. Gjennom kommunikasjonsarbeidet skal dei bidra til auka kunnskap om og interesse for personvern. Tilsynet publiserer aktivt på eiga nettstad, dei har eigen blogg og podkast i tillegg til at dei er aktive i sosiale medium. Dei tilsette i tilsynet held ei lang rekkje foredrag på både eigne og andre sine arrangement. Den telefonbaserte rettleiingstenesta er òg ein del av tilsynets kommunikasjonsverksemd. Dette er ein viktig kanal for alle som har spørsmål om behandling av personopplysningar.
Regulatorisk sandkasse for personvernvenleg innovasjon og digitalisering
2023 var det første året med permanent drift av den regulatoriske sandkassa for personvernvenleg innovasjon og digitalisering. Personvernvenleg bruk av kunstig intelligens står sentralt i sandkassa. Prosjekt blir tatt inn i sandkassa etter søknad basert på eit sett kriterium. I 2023 fekk tilsynet inn 26 søknader i to søknadsrundar. To prosjekt blei valde ut våren 2023, medan fire prosjekt blei valde ut på hausten med oppstart i 2024.
Målet med sandkassa er å gi einskildaktørar dialogbasert rettleiing slik at de kan utvikle innovative digitale tenester som tek vare på personvernet. Personvernregelverket gir mange moglegheiter som det er viktig å bruke på best mogleg måte. Gjennom arbeid i sandkassa får både Datatilsynet og verksemdene som deltek ny og viktig kunnskap. Kommunikasjon om dei funna og lærdomen som blir trekt ut av prosjekta er viktig for at kunnskapen skal kome flest mogleg til gode. Viktigheita av å jobbe godt med kommunikasjon om sandkassa er òg eit av hovudfunna i den eksterne evalueringa som blei gjort av sandkassa i 2023.
Datatilsynet er eitt av dei datatilsyna i Europa med mest erfaring frå sandkassebasert arbeid, og dei har fått mykje internasjonal merksemd for arbeidet dei har gjort sidan sandkassa blei starta som eit prøveprosjekt i 2021. Det norske Datatilsynet leiar no eit nettverk av fire europeiske datatilsyn som utvekslar erfaringar og deler kunnskap om sandkassemetodikk.
Internasjonal verksemd
Datatilsynet deltek aktivt i internasjonalt personvernarbeid. Det europeiske personvernrådet (personvernrådet), som er samarbeidsorganet for datatilsyna i alle EØS-landa, er ein svært viktig arena i så måte. Her møtest alle dei europeiske tilsyna for faglege diskusjonar, mellom anna om tolking av personvernforordninga. Dette er viktig for å sikre at regelverket blir tolka og praktisert likt i alle landa. Personvernrådet har etablert ei rekkje undergrupper som arbeider med ulike tema. Datatilsynet deltek aktivt også i desse. Tilsynsmyndigheitene behandlar dessutan ei rekkje saker som gjeld innbyggarar og/eller verksemder etablerte i fleire land. I desse sakene krev personvernforordninga at tilsyna samarbeider. EU arbeider no med ei ny forordning om saksbehandlingsføresegner i grenseoverskridande saker etter GDPR. Forordninga inneber at tilsynsmyndigheita får fleire forpliktingar i grenseoverskridande saker.
Datatilsynet deltek på lik linje som EU-landas datatilsyn i personvernrådet, men utan røysterett. Tilsynet er svært aktiv i dette personvernsamarbeidet og har teke ei leiarrolle i fleire av rådets arbeid. Gjennom dette arbeidet har det norske Datatilsynet opparbeidd seg ein solid posisjon som gir store moglegheiter for å påverke og sette agendaen for personvernutviklinga internasjonalt. Tilsynets behandling av saka om rettsleg grunnlag for Meta sin behandling av personopplysningar, er ein slik sak med store internasjonale konsekvensar. Når Datatilsynet valde å prioritere denne saka, fekk ho betyding ikkje berre for norske brukarar av Facebook og Instagram, men også for brukarar i heile EØS-området.
Departementets vurderingar
Datatilsynet har eit breitt mandat og skal gjere ein stor jobb for dei tildelte midla. Oppgåvene stiller krav til god planlegging og prioritering. Digitaliserings- og forvaltningsdepartementet er godt tilfreds med arbeidet Datatilsynet har utført i rapporteringsåret. Aktivitetsnivået har vore høgt, og tilsynet har arbeidd godt for å tilpasse verksemda til sakstilfanget. I tillegg har Datatilsynet medverka til å sette personvern på dagsordenen i ei rekkje samanhengar, både nasjonalt og internasjonalt. Tilsynet kjem godt ut i ei omdømemåling gjennomførd av kommunikasjonsbyrået Apeland i 2023, der tilsynet hamna på ein femte plass av dei 30 omfatta offentlege verksemdene.
Samtidig ser departementet at saksmengda i Datatilsynet har auka kraftig, og vil framover ha særskild merksemd retta mot ressurssituasjonen i tilsynet. Ei rekkje nye regelverk frå EU påverkar utviklinga på det digitale området, inkludert behandling av personopplysningar. Når desse regelverka blir gjennomførte i norsk rett, vil Datatilsynet ofte få nye rettleiings- og tilsynsoppgåver. Kvar for seg kan oppgåvene vere relativt lite krevjande, men samla utgjer dei ein stor auke i arbeidsmengda. Det er derfor viktig for departementet å følgje nøye med på utviklinga i omfang og kompleksitet i tilsynets oppgåver i tida framover.
1.3 Styring og kontroll i verksemda
Datatilsynet gjer i årsrapporten greie for at dei arbeider målretta med intern styring og kontroll som eit verktøy for å utnytte ressursane best mogleg. Prosjekt Kvist, som har vore eit viktig prosjekt i 2023, har nettopp handla om å få innspel til kva tilsynet skal prioritere for å hjelpe dei som behandlar personopplysningar til å jobbe best mogleg med personvern. Dette handlar om å kartleggje kvar tilsynet bør bruke ressursane sine for å gjere best mogleg nytte. Innspela tilsynet har fått i Prosjekt Kvist har òg blitt nytta inn i arbeidet med ein ny strategi for tilsynets verksemd for perioden 2024–2026. Departementet meiner det er positivt at tilsynet dreg innspel, behov og forventningar frå omverda inn i strategiarbeidet sitt. Dette gir grunnlag for best mogleg prioritering og styring.
1.4 Framtidsutsikter
Datatilsynet peiker i årsrapporten på ei rekkje tilhøve som dei trur vil påverke personvernet i tida framover. Kunstig intelligens er utan tvil noko som vil påverke både verda og personvernet. For Datatilsynet vil det vere viktig å kunne bidra til etisk og forsvarleg bruk av kunstig intelligens i samsvar med regjeringas mål. I tillegg trekk tilsynet fram den aukande moglegheita for kontroll basert på alle dei digitale spora vi legg att etter oss. Dette er informasjon som kan brukast og misbrukast av både private og offentlege aktørar. På sikt kan dette, i kombinasjon med kunstig intelligens, få konsekvensar for ytrings- og informasjonsfridomen og gjennom det påverke demokratiet. Datatilsynet vil framover få ein viktig oppgåve med å handheve ikkje berre personopplysningslova på alle samfunnsområde, men også andre regelverk med betyding for denne utviklinga.