Årsrapport for 2021

Kort om Datatilsynet

Datatilsynet ble opprettet i 1980, og er et uavhengig forvaltningsorgan under Kommunal- og distriktsdepartementet (KDD). Vår hovedoppgave er å bidra til at personvernlovgivningen etterleves, og at alle skal ha beskyttelse i tråd med personopplysningsregelverket.

Vi skal fremme personvern som en sentral verdi i samfunnet og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse og svært viktig for å sikre felles goder i et demokratisk samfunn. Datatilsynet må derfor jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er definert som «Et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21 og generell personvernforordning 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.

For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor utformet en strategi med seks overordnede, strategiske mål som skal være styrende for Datatilsynets arbeid i tre år, fra og med april 2021.  

Datatilsynet skal:

  • arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
  • arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
  • arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
  • bidra til at individet i større grad kan ivareta sitt eget personvern
  • påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
  • være et kompetent, fleksibelt og fremtidsrettet tilsyn

Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis.

Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Sanksjoner som virkemiddel

Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk det siste året. Personvernforordningen åpner for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogg­innlegg.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra vårt forskning-, utviklings- og utredningsarbeid legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

Datatilsynet driver en regulatorisk sandkasse for kunstig intelligens. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Andre virkemidler

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser, og er viktige ambassadører for personvern både i offentlige og private virksomheter.

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Organisasjon og budsjett

Bjørn Erik Thon var direktør i 2021. I tillegg har ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Videre hadde Datatilsynet ved årsskiftet seks seksjonsledere – tre menn og tre kvinner.

Datatilsynet hadde 72 ansatte per 31. desember 2021. Av disse var 56 stillinger faste. De midlertidige stillingene er prosjektstillinger knyttet til etablering av sandkassen (6 stykker) og studenter (10 stykker) som betjener Datatilsynets veiledningstjeneste. Studentene har en stillingsbrøk på 25 prosent.   

Økningen i antall avtalte og utførte årsverk fra 2020 til 2021 er en følge av at bevilgningen er økt for å dekke kostnader knyttet til innføringen av nytt personvernregelverk og derav flere oppgaver. Det er også opprettet to nye stillinger som følge av omorganisering og analyse av kompetansebehov.    

Det er 58,3 prosent kvinner og 41,7 prosent menn tilsatt i de faste stillingene.

Samlet antall utførte årsverk er beregnet til 60,6 (DFØ modellen) og 64 etter SSB-statistikk. Av disse hadde vi 10 studenter tilknyttet ressursenheten for veiledning og enkel saksbehandling. Samlet utgjør studentene 2,5 årsverk.

Organisasjonskart per 31. desember 2021:

organisasjonskart sept2021.jpg

Fordelingen på de ulike avdelingene/seksjonene er:

  • Avdeling for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) – 33 medarbeidere
  • Avdeling for teknologi, analyse og sikkerhet (TAS) – 16 medarbeidere
  • Kommunikasjonsavdelingen – 5 medarbeidere, pluss 10 studenter
  • Administrasjonsavdelingen – 7 medarbeidere
  • I tillegg kommer Datatilsynets direktør

Vi har ingen CISO per i dag, men stillingen er plassert i organisasjonskartet og er utlyst.

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

  • seksjon for offentlige tjenester
  • seksjon for private tjenester
  • internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef:

  • seksjon for analyse, utredning og politikk (UAP)
  • seksjon for intern IKT, sikkerhet og etterlevelse (ISE)
  • seksjon for teknologi, sikkerhet og tilsyn (TST). Denne seksjonen ble opprettet høsten 2021.

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ virksomhetsstyring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personalansvaret (HR).  

Budsjett

Datatilsynet ble i 2021 tildelt 67 845 000 kroner. Dette er en videreføring av budsjettet for 2020, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og driftskostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjonsløsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid, samt kostnader knyttet til å flytte og etablere tilsynet i nye lokaler.

I 2021 benyttet tilsynet 52 728 000 kroner (77,7 prosent) til lønn og 15 117 000 kroner (22,3 prosent) til drift.