Årsmelding for 2014

Vurdering av fremtidsutsikter

I forrige kapittel pekte vi på noen spesifikke utfordringer knyttet til enkelte samfunnsområder og sektorer som er blitt spesielt prioritert hos oss i 2014. Her vil vi skissere andre og mer overordnede forhold vi mener vil få særlig betydning for evnen vår til å oppfylle oppdraget vårt og målene våre.

Internasjonal utvikling

For det første er den internasjonale utviklingen viktig. Nordmenn bruker i stor utstrekning tjenester fra selskaper som ligger utenfor Europa, og da særlig i USA. I tillegg vedtas helt sentrale lover på personvern­området i EU, der Norges rolle er begrenset. Vi må derfor utvikle strategier som gir oss mulighet for påvirkning, selv om beslutningene treffes utenfor landets grenser.

For oss i Datatilsynet er det viktig å holde oss orientert om utviklingen i USA, og å ha jevn dialog med de store teknologiselskapene som har sine hovedkontorer der. Dette gjør vi først og fremst gjennom deres representanter i Norge, men også ved at vi med noen års mellomrom har møter med selskapsledelse på høyt nivå i USA. Vi ser også at Artikkel 29-gruppen (les mer under Internasjonalt arbeid) tar opp konkrete saker mot disse selskapene. Det er viktig at vi fra norsk side, så langt ressursene tillater, også påtar oss arbeid for internasjonale organer. Dette gjorde vi blant annet da vi for noen år siden ga viktige innspill til det irske datatilsynet når de førte tilsyn med Facebook.

Vi har også valgt å ta en sentral rolle i utviklingen av den internasjonale personvern­politikken når det gjelder Big Data (stordata). På vegne av Berlin-gruppen (les mer under Internasjonalt arbeid) påtok vi oss å utarbeide en rapport (en såkalt «opinion») om person­vernutfordringer ved bruk av stordata, og hvordan disse utfordringene kan møtes. Rapporten ble senere godkjent også av Artikkel 29-gruppen, og dannet videre grunnlag for en erklæring fra den inter­nasjonale personvernkonferansen høsten 2014. Dette var første gang at vi fra det norske Datatilsynets side har tatt denne typen initiativ.

Dette er en arbeidsmetodikk vi ønsker å utvikle videre. Norge er ikke medlem i EU, og har dermed liten formell innflytelse på de beslutningsprosessene som foregår i de sentrale organene der. Av den grunn er det desto viktigere at vi, gjennom å stille oss til disposisjon for å delta i utviklingen av policy­dokumenter, likevel kan påvirke inter­nasjonale prosesser som er av betydning for personvernet til norske borgere. Vi har som følge av dette som mål at vi skal påta oss rollen som såkalt «rapportør» for en ny utredning for Artikkel 29-gruppen. Temaet for en slik utredning er foreløpig ikke avklart.

Vi har også som mål å være pådriver i samarbeidet mellom de nordiske personvern­myndig­hetene. En av grunnene til at vi ser dette samarbeidet som viktig, er at en viktig vei til påvirkning i EU, nettopp går gjennom de nordiske landene som sitter godt posisjonert i EUs organer.

EUs personvernforordning

EUs personvernforordning vil gi oss nye muligheter. Det nye lovverket vektlegger i større grad enn tidligere de såkalte system­pliktene, slik som strengere krav til avviks­håndtering. På flere områder vil også den enkelte borgers personvern bli styrket. Dette gjelder for eksempel gjennom «retten til å bli glemt» og ved «dataportabilitet», som er retten til å hente ut egne personopplysninger fra en tjeneste, og så eventuelt flytte disse over til en annen tjenesteleverandør. I personvernforordningen vektlegges også prinsippet om innebygd personvern. Dette vil gjøre det enklere for oss å nå målet om at dette i større grad skal bli implementert i praksis hos norske virksomheter.

Forordningen gir imidlertid også Datatilsynet utfordringer. Det vil bli opprettet et nytt organ kalt European Data Protection Board (EDPB), som vil få en sentral rolle blant annet i tolkning av personvernregel­verket. Norge vil trolig kun få observatørstatus i dette organet. Det blir derfor vesentlig for oss å finne strategier for å kunne få mer innflytelse. Vi har allerede lagt en strategi for å øke aktivitets­nivået vårt i Artikkel 29-gruppen. Dette er viktig, ettersom EDPB vil ha mange av de samme medlemmene som Artikkel 29-gruppen. Ved å være aktive i denne gruppen, og påta oss arbeid, vil vår stemme også bli bedre hørt i det nye organet.

Det nye felles personvernregelverket i Europa gjør at vi må gå gjennom hele vår juridiske praksis og alle våre arbeidsmetoder. Dette innebærer nye og spennende utfordringer for Datatilsynet, noe vi stiller oss udelt positive til å ta fatt på. Arbeidet fordrer imidlertid at vi tilføres økte ressurser. Dette trengs blant annet til å utvikle elektroniske løsninger for å håndtere avviksrapporteringer fra virksomhetene, og til informasjonstiltak overfor virksomheter og befolkningen forøvrig.

Den teknologiske utviklingen

Det er avgjørende for Datatilsynet å være godt oppdatert på den teknologiske utviklingen. Teknologi er i dag helt sentralt i alle sektorer, og for alle profesjoner. Alle ansatte i Datatilsynet må derfor være godt oppdatert på nye teknologitrender. For å klare dette må vi bygge kompetanse internt, delta i internasjonalt arbeid, dra på studiereiser til utlandet og ha tett kontakt med norske teknologibedrifter. Tett og god kontakt med forsknings- og utviklingsmiljøer er også sentralt.

Økende etterspørsel etter tilsynets kompetanse

Vi opplever en økende etterspørsel etter Datatilsynets kompetanse og ressurser. Vi mottar stadig flere henvendelser fra privatpersoner, vi får flere foredrags­henvendelser, svært mange virksomheter vil ha våre uttalelser og råd, og vi opplever jevnt stor pågang fra media. Samtidig gjennomfører vi årlig om lag 70 tilsyn, og behandler en lang rekke konsesjonssaker og enkeltsaker. Vi inviteres med i ulike fora for å gi våre innspill, og mange offentlige etater vil høre vår mening.

Nødvendig med handlingsrom

Det er selvfølgelig svært positivt at det er interesse om personvernspørsmål, og at vår kompetanse blir verdsatt. Samtidig må vi ha klare prioriteringer for arbeidet vårt. Det er derfor viktig at Datatilsynet har handlingsrom til å nedprioritere enkeltsaker og områder som vi etter grundige vurderinger mener det ikke er riktig å prioritere. Dersom alle saker skal behandles like grundig, og alle områder vies like stor oppmerksomhet, står vi overfor en umulig oppgave. Vi ser samtidig at vi må jobbe for å fjerne tidstyver i egen virksomhet, effektivisere egne arbeidsmetoder og sørge for å rekruttere medarbeidere med høy kompetanse.

Datatilsynet er en liten organisasjon som står overfor de samme kravene og forventningene som de store statsetatene når det gjelder for eksempel de statlige fellesføringene og krav til rapportering, modernisering og utvikling. Vi har et begrenset økonomisk handlingsrom. Dette gjør det vanskelig for oss, i hvert fall på kort sikt, å omdisponere innen gitte økonomiske rammer, uten at dette går ut over vårt utadrettede personvernarbeid.