Årsrapport for 2020

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet til Datatilsynet.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2020 har vi fullført en slik lederrolle, og vi har dessuten tatt på oss ansvar i nye prosesser.

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvern­forordningen. De viktigste oppgavene til rådet er å gi retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.

I 2020 har Datatilsynet deltatt på Personvernrådets plenumsmøter som vanligvis avholdes omtrent én gang i måneden, men som under korona har blitt gjennomført i form av langt hyppigere videomøter. I tillegg har Datatilsynet deltatt aktivt i samtlige av rådets ekspertgrupper som også har møttes digitalt:

  • Border, Travel and Law Enforcement Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Cooperation Expert Subgroup
  • Enforcement Expert Subgroup
  • Financial Matters Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Strategic Advisory Expert Subgroup
  • Taskforce on Fining
  • Technology Expert Subgroup

Alle disse gruppene forbereder saker for plenumsmøtene i Personvernrådet hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Ekspertgruppene møtes som regel i forkant av hvert plenumsmøte. Til sammen åtte jurister og én teknolog fra Datatilsynet deltok fast i EDPBs plenums- og ekspertgruppemøter i 2020.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. Komiteen hadde to møter i 2020, der én jurist fra Datatilsynet deltok.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjons­strategi og der man deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i kommunikasjonsnettverket i 2020.

Utarbeidelse av felles europeiske retningslinjer om innebygd personvern

I 2018 ble vi utpekt som hovedrapportør for Personvernrådets felles europeiske retningslinjer om innebygd personvern og personvern som standardinnstillinger. Hovedrapportøren har hovedansvaret for å utarbeide retningslinjene i tråd med de andre EØS-statenes innspill. I 2020 har vi avsluttet dette arbeidet. Én jurist og én teknolog har jobbet med dette.

Retningslinjene analyserer ordlyden i personvernforordningen artikkel 25 og forklarer hvordan den skal forstås. Deretter gir retningslinjene eksempler på elementer som må bygges inn i systemer og rutiner for hvert av personvernprinsippene.

Retningslinjene ble vedtatt 13. november 2019. Deretter ble de sendt på offentlig høring og revidert. Retningslinjene ble endelig vedtatt den 20 oktober 2020.

Organisering av plenumsmøter

Personvernrådet holder for tiden på å forbedre egen organisering for å gjøre plenumsmøtene mer fokuserte og effektive og for å oppnå klarere oppgavefordeling. Datatilsynet ble i 2020 utpekt som hovedrapportør for dette arbeidet. Én jurist jobber med dette.

Internajonal saksbehandling/IMI

internasjonal saksbehandling.jpg

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Ledende datatilsynsmyndighet undersøker saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot. Til denne prosessen brukes et saksbehandlingssystem som heter Internal Market Information System (IMI).

I 2020 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 320 nye saker. I samme periode var vi ledende datatilsynsmyndighet i 20 saker. De fleste av disse sakene er fremdeles åpne ved årsskiftet.

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. Det kan være krevende å nå enighet med andre datatilsynsmyndigheter om hva avgjørelsene skal gå ut på. Internasjonal saksbehandling krever derfor en del ressurser, og saksbehandlingstiden er adskillig lenger enn i ikke-grenseoverskridende saker.

Overføring til tredjeland og BCR

Den 16. juli 2020 falt dommen i den såkalte Schrems II-saken i EU-domstolen. Denne dommen ugyldiggjorde EU-kommisjonens adekvansbeslutning som tillot overføring av personopplysninger til en rekke amerikanske virksomheter i henhold til Privacy Shield-rammeverket. Dessuten stilte EU-domstolen opp strenge vilkår for lovlig overføring av personopplysninger ut av EØS. Disse vilkårene innebærer at hver enkelt virksomhet må foreta kompliserte vurderinger, og mange overføringer vil være ulovlige fordi de ikke kan oppfylle vilkårene.

Dommen skapte utfordringer for en rekke norske virksomheter. Vi prioriterte derfor å utarbeide veiledningsmateriell til datatilsynet.no om hva dommen betyr og hvordan norske virksomheter skal forholde seg til den. Vi har også gjennomført dialogmøter med flere aktører og holdt flere foredrag om denne problematikken.

Ved utgangen av 2020 hadde Datatilsynet, som ledende tilsynsmyndighet, 12 åpne søknader om godkjenning av bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger til tredjeland. Kun fire andre land i EØS har flere søknader til behandling.

En BCR må først legges frem for Personvernrådet for uttalelse før den kan godkjennes av de nasjonale datatilsynsmyndighetene. Det tok lang tid for rådet å få på plass prosedyrer for dette, og prosedyrene som har blitt vedtatt, krever tett samhandling mellom alle datatilsynsmyndighetene i EØS og er svært ressurs- og tidkrevende. Personvernrådet ga sin første uttalelse om en BCR mot slutten av 2019, og så langt har kun et fåtall BCR-er vært til behandling i rådet.

I 2020 ble den første norske BCR-søknaden lagt frem for Personvernrådet. Den 31. juli 2020 vedtok rådet en formell uttalelse om søknaden, der rådet uttalte at BCR-en kunne godkjennes uten endringer. Kun fire andre land hadde lagt frem BCR-søknader for Personvernrådet og fått en uttalelse før dette.

I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor andre EØS land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Norske konsern som har fått en godkjent BCR, skal årlig sende en oppdatering til Datatilsynet som må gjennomgås. Ved utgangen av 2020 gjaldt det syv konsern.

Eurodac og Visumsamarbeidet i Europa (Eurodac og VIS Supervision Coordination Group (SCG))

Vi er fullverdig medlem av de to koordineringsgruppene Eurodac og Visumsamarbeidet i Europa. Møtene finner som regel sted samtidig, ettersom de to temaene er beslektet. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Schengen Information System (SIS) Supervision Coordination Group (SCG)

Vi er fullverdig medlem av Schengen-koordinasjonsgruppen som møtes i EU-parlamentet i Brussel. I 2020 deltok vi på begge møtene som ble avholdt digitalt. Én jurist har deltatt.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985 som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visa informasjonssystem).

Norges etterlevelse av Schengen-regelverket ble evaluert av en felleseuropeisk komité i november 2017. Neste evaluering vil finne sted i 2022. Evalueringen innebar en inspeksjon av vår etterlevelse av tilsynsoppgavene etter VIS og SIS. I tillegg ble KRIPOS og UDI, som behandlingsansvarlige for henholdsvis SIS og VIS, kontrollert.

I rapporten fra evalueringen ble det konkluderte med i alt 33 anbefalinger fra komitéen. Åtte av anbefalingene gjaldt særskilt for Datatilsynet. De gikk blant annet ut på å bedre informasjonen om de registrertes rettigheter på hjemmesiden vår, samt at vi jevnlig må kontrollere lovligheten av behandlingen av opplysninger i VIS og SIS. Særlig måtte vi sørge for å oppfylle vår plikt til å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Vi gjennomførte et tilsyn av UDI og deres behandling av opplysninger i den nasjonale delen av VIS i 2019. Rapporten er fremdeles under arbeid.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Det europeiske Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan datatilsyns- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt særlig fremhevet. Vi har en sentral rolle i dette arbeidet. Én jurist deltok i dette arbeidet.

Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg, samt Eurpoean Policy Centre. Møtene samler representanter fra europeiske datatilsynsmyndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan vi sammen kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2020 har én samfunnsviter og én jurist deltatt på disse møtene.

Global Privacy Assembly (GPA) er et internasjonalt forum for hele verdens datatilsynsmyndigheter. Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett. Datatilsynet er medlem av denne arbeidsgruppen. Én jurist deltok på arbeidsgruppens møter i 2020, og vi deltok på GPAs digitale årsmøte.

Andre samarbeid

Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Telecommunications – IWGDPT), og vi samarbeider med de øvrige nordiske datatilsynsmyndighetene. Disse foraene har ikke hatt møter i 2020 på grunn av koronasituasjonen.