Årsrapport for 2021

Internasjonalt arbeid og samarbeid

Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og det europeiske Personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.

Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. I 2021 har vi engasjert oss særskilt i enkelte temaer og saker som kan ha stor påvirkning på personvernet i Norge. Vi har dessuten påtatt oss ansvar i nye prosesser.

Gjennomførte aktiviteter

Deltakelse i Personvernrådet med ekspertgrupper

Det europeiske Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvern­forordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern. Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder.

Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:

  • Border, Travel and Law Enforcement Expert Subgroup
  • Compliance, e-Government and Health Expert Subgroup
  • Cooperation Expert Subgroup
  • Enforcement Expert Subgroup
  • Financial Matters Expert Subgroup
  • International Transfers Expert Subgroup
  • IT Users Expert Subgroup
  • Key Provisions Expert Subgroup
  • Social Media Expert Subgroup
  • Strategic Advisory Expert Subgroup
  • Taskforce on Fining
  • Technology Expert Subgroup

De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2021.

Hver ekspertgruppe ledes av én eller flere koordinatorer. Fra 2021 er Datatilsynet én av to koordinatorer for Social Media Expert Subgroup. I tillegg til ekspertgruppene finnes det flere ad-hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.

Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2021 deltok én jurist fra Datatilsynet i komiteens møter.

Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjons­strategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsrådgiver deltok fast i nettverket i 2021.

Rapportøroppdrag

I 2020 ledet vi arbeidet med intern organisering av møtene i Personvernrådet. Dette arbeidet fortsatte i 2021, og det er nå sekretariatet i rådet som fører dette videre. Fra 2021 er vi dessuten hovedrapportør for Personvernrådets retningslinjer om verktøy for avdekking av barneovergrepsmateriale. Dette arbeidet vil starte for fullt i 2022.

Internasjonal saksbehandling / IMI

Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsyns­myndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsyns­myndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).

Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsyns­myndigheten.

IMI-antall saker berørt og ledende myndighet.jpgI 2021 har vi som berørt tilsynsmyndighet kommet med innsigelser i tre saker som gjelder store, internasjonale teknologiselskaper. Det kan føre til at de ledende tilsynsmyndighetene blir avskåret fra å fatte vedtak i tråd med sitt utkast til avgjørelse. I så fall må de enten følge innsigelsen eller saken må tas opp til behandling i Personvernrådet.

I 2021 ble Datatilsynet identifisert som berørt datatilsynsmyndighet i 281 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 12 saker. En stor andel av de grenseover­skridende sakene fra tidligere år, er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er adskillig lengre enn for andre saker.

Godkjenning av overføringsgrunnlag

Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.

Ved utgangen av 2021 hadde vi, som ledende tilsynsmyndighet, ni åpne søknader om godkjenning av BCR som overføringsgrunnlag.

I tillegg har Datatilsynet gjennomgått fem BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Vi har dessuten deltatt som nøytral datatilsynsmyndighet ved behandling av to BCR-søknader i rådet, hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten.

Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2021 gjaldt dette ti konsern.

Vi kan også godkjenne administrative ordninger mellom offentlige myndigheter eller organer som overføringsgrunnlag. Også dette krever at søknaden legges frem for Personvernrådet for en uttalelse. I 2021har vi godkjent én slik ordning.

Koordineringsgrupper for tilsyn med Schengen informasjonssystem (SIS), Visuminformasjonssystem (VIS) og Eurodac

Disse tre koordineringsgruppene har som formål å koordinere og utveksle informasjon om datatilsynsmyndighetenes tilsyn med Schengen-systemene SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2021 deltok én jurist i disse møtene.

Oppfølging av Schengen-evaluering av Norge

Schengen-samarbeidet bygger på Schengen-konvensjonen av 1985, og som Norge sluttet seg til i 1996. Konvensjonen skal styrke det europeiske samarbeidet om kontroll av de ytre Schengen-grensene. Den innebærer felles visumregler, samt et styrket politimessig og rettslig samarbeid. Norge deltar også i det europeiske fingeravtrykksamarbeidet Eurodac. Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i SIS (Schengen informasjonssystem) og VIS (Visuminformasjonssystem).

Etter Schengen-evalueringen i 2017, fikk vi åtte anbefalinger, blant annet å gjennomføre et tilsyn med behandlingen av personopplysninger i VIS. Tilsyn med UDI ble gjennomført i 2019, og den endelige rapporten fra dette tilsynet er nylig sendt ut. Vi gjennomførte så brevkontroll med Kripos som behandlingsansvarlig for SIS i 2021. Foreløpig tilsynsrapport er under arbeid.

Norges etterlevelse av Schengen-regelverket skal igjen evalueres i 2022. Evalueringen vil innebære en inspeksjon av etterlevelsen vår av tilsynsoppgavene etter SIS og VIS. Kripos og UDI, som er behandlingsansvarlige for henholdsvis SIS og VIS, vil evalueres samtidig. Arbeidet med forberedelser til evalueringen er påbegynt, blant annet gjennom en besvarelse av Schengen Questionnaire i 2021.

Global Privacy Assembly (GPA)

GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2021 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.

Fra 2021 er vi dessuten én av fire såkalte co-chairs for International Enforcement Working Group.

Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter

Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsyns­myndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2021, og én jurist har deltatt.

Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysnings­punktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.

Vi deltar dessuten på møter i Digital Clearinghouse, en møtearena opprettet av European Data Protection Supervisor (EDPS), men som nå organiseres av universitetene i Namur og Tilburg sammen med European Policy Centre. Møtene samler blant annet representanter fra europeiske datatilsyns­myndigheter, forbrukerombud og konkurransetilsynsmyndigheter fra hele verden. Formålet med møtene er å undersøke hvordan man kan håndtere utfordringer i det digitale økosystemet på en mest mulig effektiv måte. I 2021 har én samfunnsviter og én jurist deltatt på disse møtene.

Andre samarbeid

Vi deltar også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT), og vi har egne møter med de øvrige nordiske datatilsynsmyndighetene. Sistnevnte forum har ikke hatt faste møter i 2021 på grunn av koronasituasjonen.