Vurdering av fremtidsutsikter

Vi har vært inne på ulike utfordringer flere steder i denne rapporten. Blant annet ser vi at økningen i antallet klagesaker kan gå på bekostning av annet viktig arbeid, slik som stedlige tilsyn, oppfølging av tips og meldinger om brudd på personopplysningssikkerheten og sentrale høringssaker, eller prosjekter, slik som den regulatoriske sandkassen. Det er ønskelig å gjennomføre flere stedlige tilsyn, inspeksjoner og andre kontrolltiltak av eget tiltak fremover, ikke minst i privat sektor. I lys av undersøkelsesplikten vi har i forbindelse med klager fra individer, ser vi imidlertid at det kan bli utfordrende å øke innsatsen.

Vi ser også for oss at avgjørelsene våre vil bli utfordret rettslig i større grad enn tidligere. Ved siden av å bidra til viktige rettslige avklaringer, vil samtidig konsekvensene for Datatilsynets kapasitet bli merkbare, for eksempel i forbindelse med forberedelser av flere klagesaker for Personvernnemnda.

På grunn av regelverkets teknologinøytrale karakter og teknologiens potensiale, er det sannsynlig at sakene over tid også vil øke i faktisk kompleksitet. Et eksempel er Cambridge Analytica-saken i Storbritannia. Et førtitalls medarbeidere i ICO (den britiske datatilsynsmyndigheten), pluss en håndfull innleide konsulenter, arbeidet i lang tid med å kartlegge hva som faktisk hadde skjedd, og analyserte i den forbindelse mange terabyte med beslaglagte data. 

Håndhevelse av regelverket overfor internasjonale teknologigiganter er også en utfordring. Kun et fåtall av disse selskapene har blitt ilagt korrigerende tiltak for manglende lovlighet siden regelverket trådte i kraft i 2018. Mange av selskapene går dessuten ofte til søksmål mot tilsynsmyndighetene, noe som forlenger prosessene. Dette er utfordrende både for den enkelte, som er avhengig av teknologi­selskapenes tjenester, og for norske virksomheter, som er i konkurranse med disse aktørene.

Den internasjonale dimensjonen medfører at mange av sakene fremstår som komplekse og utfordrende, både for de registrerte, pliktsubjektene, for tilsynsmyndigheten og for Personvernnemnda – og eventuelt også domstolene som behandler dem i neste instans.

En praktisering av personvernforordningen i harmoni med resten av Europa, vil forbli en utfordring. Vi ser det som et særlig ansvar å sørge for at Norges EØS-forpliktelser blir etterlevd. Harmonisert praktisering av regelverket er en del av dette, og en forutsetning for at norske innbyggere kan nyte godt av et rettsvern som er på samme nivå som resten av landene i EØS-området. Det vil også forventes at vi kan veilede om rettsutviklingstrekkene i Europa, både overfor enkeltpersoner og overfor offentlige og private virksomheter. Schrems II-dommen, og det behovet for avklaringer som oppsto i kjølvannet av den, er et eksempel på dette. Vi ser for oss at lignende situasjoner kan oppstå også i tiden fremover.

Arbeidet i det europeiske Personvernrådet vil være essensielt i den forbindelsen, og er et satsningsområde for oss. Utstrakt deltakelse i Personvernrådet med undergrupper vil derfor fortsatt ha høy prioritet. Dette arbeidet vil være en nødvendig forutsetning for å ruste oss til å møte de rettslige utfordringene som kommer. Kunnskap om rettsutviklingen i EU og EØS er nødvendig for en korrekt regelverkshåndhevelse innenfor personvernretten.

Vi regner også med at det høye antallet BCR-saker og andre ressurskrevende grenseoverskridende saker vil vedvare. Dette er saker som vi har plikt til å behandle, og dermed kan behandlingen av dem måtte gå foran andre viktige oppgaver.

Datatilsynet er godt i gang med andre runde av sandkassen, og opptaksrunde tre utlyses våren 2022. I tillegg til å gjennomføre oppstartede og nye prosjekter, vil vi jobbe med utadrettet veilednings­virksomhet med mål om å hjelpe et bredt spekter av norske virksomheter som skal utvikle eller ta i bruk kunstig intelligens på personopplysninger.

EU-kommisjonen har foreslått en «AI Act» for å regulere kunstig intelligens, og sandkasser er foreslått som ett av tiltakene. Vi har opplevd stor interesse for sandkassen vår nasjonalt og inter­nasjonalt, og vi tror dette er en metode som vil ha stor nytte for både virksomheter og myndigheter fremover. Vi opplever det som en effektiv metode for å utforske grensene for innovasjon og personvern – og ikke minst hvordan disse to kan gå hånd i hånd. Høsten 2021 sendte vi et satsingsforslag til Kommunal- og distriktsdepartementet med forslag om å etablere en permanent sandkasse for ansvarlig innovasjon, med oppstart i 2023.

Når det gjelder barn og unge, er utviklingen positiv, men det gjenstår det mye arbeid. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil. Det er derfor et stort behov for veiledning, selvhjelpsverktøy og bistand. Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet.

Kommunesektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene, er økende. Bedre samordning og koordinering er viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe». Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog og som pådriver. I tillegg vil vi fortsatt behandle enkeltsaker og avviksmeldinger, og gjennomføre tilsyn. Vi opplever dialogen med aktørene på feltet som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.

Vi mottar fortsatt svært mange henvendelser om personvern i arbeidslivet. Dette er bekymringsfullt. Norske arbeidstakere tilbringer mye tid på arbeidsplassen. Det er et sted vi skal utvikle oss, i tillegg til å være en viktig sosial arena. Vår vurdering er at regelverket er godt, men at etterlevelsen er for dårlig. Datatilsynet har en viktig oppgave fremover med å gi råd og veiledning både til virksomheter og arbeidstagere, og kontrollere at regelverket følges. En del av sakene vi mottar, viser at det ofte er en underliggende konflikt som ligger bak et overvåkingstiltak fra arbeidsgiveren. Dette gjør bevisbildet komplisert, og saken vanskelig å løse. Vi må derfor utvikle strategier for mer effektiv behandling av saker om personvern i arbeidslivet.

En annen bekymring er knyttet til cybersikkerhet. Vi behandlet flere store saker knyttet til dette det siste året, og i årets siste uker var det fire store sikkerhetshendelser som rammet svært mange borgere i Norge. Mange virksomheter tar ikke sikkerhet på alvor før en hendelse inntreffer. Det er også påfallende at et angrep ofte starter ved at en ansatt åpner et vedlegg til en epost eller klikker på en lenke. Mange angrep kan forhindres med relativt enkle tekniske tiltak. Det blir derfor viktig for oss å aktivt spre informasjon om hvilke tiltak som bør iverksettes, og jobbe tett sammen med andre offentlige organer, private virksomheter og organisasjoner for å nå ut til flest mulig.

Datatilsynet er en populær arbeidsplass, og vi har en meget kompetent stab. Vi har mange gode søkere til de fleste stillingene våre, men vi ser at det er særlig utfordrende å få tak i folk med sikkerhetsbakgrunn.

I kommunikasjonsarbeidet vårt, ser vi også flere utfordringer som vi må prioritere oppfølgingen av nøye, både ut i fra målvurdering og ressursbruk. Digitaliseringsspørsmål, både internt i organisasjonen og eksternt blant publikum, skyter stadig fart, og vi må gjøre grundige risiko­vurderinger før nye verktøy og plattformer tas i bruk. Dette er tidvis ressurskrevende. I tillegg er det en høy forventning til rask service på veiledningstjenesten fra publikum som består av alt fra «den vanlige borger», til små og store virksomheter, og avanserte jurister. Dette stiller krav til oss om å klare å plukke ut prioriterte målgrupper.

I skrivende stund har den tragiske krigen i Ukraina brutt ut. Vi vet at dette vil gi store ringvirkninger, også for personopplysningssikkerheten. Vi vil derfor følge utviklingen nøye.