Kort om Datatilsynet

Vi skal fremme personvern som en sentral verdi i samfunnet, og være ombud i personvernspørsmål. Vi skal delta i personverndebatten og sette dagsorden, vi skal undersøke og dele fakta om person­vernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor tilsynsområdet vårt.

Personvern handler enkelt sagt om retten til et privatliv og retten til å bestemme over egne personopplysninger. Personvern er en menneskerettighet som skal sikre hensynet til den enkeltes personlige integritet, men det er også en ideell interesse. Personvern står helt sentralt når felles goder i et demokratisk samfunn skal sikres. Datatilsynet må derfor alltid jobbe aktivt for å oppnå en god ivaretagelse av personvernet i avveiingen mot andre samfunnsinteresser.

Hovedaktiviteter

Datatilsynets hovedmål er definert som «et godt personvern for alle». I dette ligger at både innbyggere, virksomheter, organisasjoner og offentlig forvaltning skal kjenne og etterleve personvernregelverket. Borgerne skal settes i stand til å ivareta eget personvern. Regjeringen vil sikre at den enkelte har størst mulig råderett over egne personopplysninger. Gjennom kompetansen, myndigheten og de oppgavene som følger av lov om behandling av personopplysninger 15. juni 2018 nr. 38 (personopplysningsloven) §§ 20 og 21, og personvernforordningen 2016/679 artikkel 55 til 59, har vi som fagmyndighet og tilsynsorgan et særlig ansvar for å bidra til at dette målet nås.

For å oppnå best mulig personvern, er vi nødt til å prioritere oppgavene og jobbe strategisk. Vi har derfor en strategi med seks overordnede, mål som er styrende for arbeidet vårt i tre år, fram til og med 2023.  

Datatilsynet skal:

• arbeide for en mer rettferdig maktbalanse mellom individet på den ene siden, og kommersielle aktører og det offentlige på den andre
• arbeide for å fremme personvernvennlig digitalisering, innovasjon og utvikling
• arbeide for at virksomheter har nødvendig kompetanse, forstår viktigheten av godt personvern og etterlever regelverket
• bidra til at individet i større grad kan ivareta sitt eget personvern
• påvirke, ta lederrollen og fremme kunnskapsutveksling i noen utvalgte internasjonale prosesser for å fremme bedre personvern
• være et kompetent, fleksibelt og fremtidsrettet tilsyn

Virkemidler

For å nå hovedmålet vårt har vi en rekke virkemidler til disposisjon. Vi prøver til enhver tid å kombinere disse virkemidlene der det er mulig for å oppnå en best mulig effekt. Her gir vi en generell oversikt over virkemidlene. Lenger bak i rapporten går vi dypere inn i aktivitetene våre og ser nærmere på tall og måloppnåelse.

Saksbehandling som virkemiddel

Saksbehandling er et sentralt virkemiddel for å sikre regelverksetterlevelse hos offentlige og private virksomheter. Samtidig bidrar saksbehandlingen til at vi tilegner oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis.

Saksbehandling som virkemiddel blir særlig brukt på områder der vi mottar mange henvendelser, avviksmeldinger og klager. Behandling av klager fra enkeltindivider er en prioritert oppgave for Datatilsynet, ettersom forordningen særlig trekker frem slike saker

Tilsynsvirksomheten som virkemiddel

Gjennomføringen av tilsyn (kontroller) gir signal om at regel­verket skal etterleves og at etterlevelsen blir kontrollert. Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn skal dessuten benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Tilsynsvirksomheten inkluderer også bruk av kontrollhjemler i saks­behandlingen, slik som for eksempel når vi følger opp enkeltklager gjennom krav om redegjørelse.

Ved å gjennomføre tilsyn når nye løsninger tas i bruk, men før en praksis har satt seg, kan tilsyn også medvirke til å forme et område videre.

Noen ganger benyttes kontrollene dessuten for å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene. Andre ganger benyttes de for å holde oppe et trykk på en bestemt sektor – gjerne innenfor et bestemt tema.

Sanksjoner som virkemiddel

Irettesettelser og overtredelsesgebyr er administrative sanksjoner som er blitt tatt mer i bruk de siste årene. Personvernforordningen åpnet for langt høyere overtredelsesgebyr enn før. Tidligere var maksimumsgebyret på 10G, nå er det 20 millioner euro, eller 4 prosent av global omsetning hvis lovovertredelsen er begått av et foretak. Overtredelsesgebyrene vil derfor virke både individualpreventivt og allmennpreventivt i større grad enn tidligere.

Kommunikasjon som virkemiddel

Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.

Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i innlegg på blogg og i podkast­.

Forsknings-, utviklings- og utredningsarbeid

Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Kontakten med forskningsmiljøer, kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.

Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål. Resultater fra dette arbeidet legges også til grunn ved bruk av de øvrige virkemidlene.

Regulatorisk sandkasse

I den regulatoriske sandkassen for kunstig intelligens, tilbyr vi kvalifisert veiledning til utvalgte virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.

Personvernombudsordningen

Personvernombudsordningen er et utpreget organisatorisk virkemiddel. Antall personvernombud i landet vokser stadig, og ombudene er viktige ambassadører for personvern både i offentlige og private virksomheter. Vi har utarbeidet en egen strategi for arbeidet vårt med personvernombud over hele landet.

Råd, utvalg og dialog

Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.

Organisasjon

Datatilsynet er administrativt underlagt Kommunal- og distriktsdepartementet (KDD). Bjørn Erik Thon gikk av som direktør i Datatilsynet etter to åremål på til sammen 12 år, og trådte inn i ny stilling som likestillings- og diskrimineringsombud i februar 2022. Avdelingsdirektør Janne Stang ble konstituert som direktør fra og med 4. februar og frem til vår nye direktør Line Coll tiltrådte 1. august 2022. Datatilsynet har dermed hatt tre direktører i rapporteringsperioden.

I tillegg består ledergruppen av fire avdelingsdirektører – en mann og tre kvinner. Ved årsskiftet hadde vi dessuten seks seksjonsledere – tre menn og tre kvinner. Til sammen utgjør dette Datatilsynets utvidede ledergruppe.

Organisering/ansatte

Datatilsynet hadde 68 ansatte per 31. desember 2022. Av disse var 55 stillinger faste og 13 midlertidige. De midlertidige stillingene er prosjektstillinger knyttet til sandkassen (6 stykker) og studenter som betjener veiledningstjenesten. Studentene har en stillingsbrøk på 25 prosent og er samlet beregnet til 2,1 årsverk.

Seks fast tilsatte og tre studenter sluttet i løpet av 2022. Syv av disse er erstattet ved årsskiftet, og rekrutteringsprosesser pågår. I hovedsak er turnover i løpet av året, reduserte stillingsbrøker og lengre perioder med vakanse årsaken til at samlet antall utførte årsverk er beregnet til 60,68 (DFØ modellen) og 64 etter SSB-statistikk.

Kjønnsfordeling

De faste stillingene har en kjønnsfordeling på 58,8 prosent kvinner og 41,2 prosent menn. Kjønns­fordelingen i ledergruppen er 80 prosent kvinner og 20 prosent menn. Kjønnsfordelingen blant seksjonssjefene er 50 prosent menn og 50 prosent kvinner.

Avdelingene

Avdelingen for regelverksetterlevelse, internasjonal samhandling og sanksjoner (RIS) består av tre seksjoner som hver ledes av en seksjonssjef:

• seksjon for offentlige tjenester
• seksjon for private tjenester
• internasjonal seksjon

Avdelingen for teknologi, analyse og sikkerhet (TAS) består av tre seksjoner som hver ledes av en seksjonssjef. I tillegg er intern sikkerhetsleder (CISO) organisert direkte inn under avdelingsdirektøren TAS. Sikkerhetslederen rapporterer likevel direkte til direktør:

• seksjon for analyse, utredning og politikk (UAP)
• seksjon for intern IKT, sikkerhet og etterlevelse (ISE)
• seksjon for teknologi, sikkerhet og tilsyn (TST).

Avdelingen for kommunikasjon og samfunnskontakt gir kommunikasjonsfaglige råd internt til seksjoner og ledelse, og har hovedansvar informasjonsspredning eksternt gjennom mediekontakt og egne kanaler. Avdelingen har også ansvar for ressursenheten for veiledning og enkel saksbehandling som består av studenter i deltidsstillinger.

Administrasjonsavdelingen har ansvar for arkivtjenesten, budsjett/regnskap, administrativ styring, sentralbordtjeneste og øvrige fellesfunksjoner. Avdelingen har også det overordnede personal­ansvaret (HR).

Organisasjonskart per 31. desember 2022:

Fordelingen på de ulike avdelingene/seksjonene (i tillegg til direktøren) er:

• Avdeling for håndheving av regelverk, internasjonal samhandling og sanksjoner (RIS) – 31 medarbeidere
• Avdeling for teknologi, analyse og sikkerhet (TAS) – 19 medarbeidere. Personvernombudet er organiser i TST, mens CISO er organisert under avdelingsdirektøren i TAS. Begge rapporterer til direktøren.
• Avdeling for kommunikasjon og samfunnskontakt (KOM) – 5 medarbeidere, pluss 6 studenter
• Administrasjonsavdelingen – 6 medarbeidere

Budsjett

Datatilsynet ble i 2022 tildelt 70 986 000 kroner. Dette er en videreføring av budsjettet for 2021, samt kompensasjon for lønns- og prisjusteringer. Budsjettet dekker Datatilsynets lønns- og drifts­kostnader, kostnader til utvikling og drift av IKT-systemer, etablering av nye digitale kommunikasjons­løsninger, informasjons- og kommunikasjonstiltak, kompetanseutvikling og kostnader knyttet til økt deltagelse i internasjonalt personvernarbeid.