Datatilsynet – roller og virkemidler

Regelverket legger opp til at den enkelte sektor selv tar ansvar for å følge regelverket. Pliktene til å vurdere personvernkonsekvenser følger prinsippene for innebygd personvern og underbygger ansvarlighetsprinsippet. Dette prinsippet understreker at det er virksomheten selv som gjennom sine rutiner, handlinger og sitt daglige arbeid er ansvarlig for å følge loven. Datatilsynets rolle som rådgiver og pådriver overfor den enkelte sektor og virksomhet, er styrket med personvernforordningen.

Datatilsynets viktigste oppgave er å føre tilsyn med blant annet personopplysnings­loven og personvernforordningen, helseregisterloven og pasientjournalloven. Vi er et særskilt uavhengig forvaltningsorgan under Kommunal- og moderniserings­­departementet, og kan ikke instrueres av departementet i enkelt­saker. Vi beslutter selv hvilke sektorer vi prioriterer og hvilke arbeidsmetoder vi velger å bruke.  En annen viktig oppgave for oss, er å være ombud i personvernspørsmål. Vi skal delta i personverndebatten, undersøke og dele fakta om personvernets kår både nasjonalt og internasjonalt, og vi skal jobbe for at personvernet ivaretas også på områder som faller utenfor vårt tilsynsområde. 

Datatilsynet har flere virkemidler til disposisjon for å løse oppgavene:

1. Tilsyn og saksbehandling. Gjennom saksbehandlingen tilegner vi oss erfaring og kunnskap om hvordan personvern­hensyn ivaretas i praksis, og vi skal særlig ha oppmerksomheten rettet mot å identifisere systemfeil i virksomheter og bransjer. Saksbehandling som virkemiddel har særlig vært brukt på områder der vi mottar mange henvendelser og klager. Etter at personvernforordningen kom, har vi blant annet mottatt flere tusen avviksmeldinger fra virksomheter landet rundt. I tillegg til å korrigere enkeltvirksomheters behandling av personopplysninger, bidrar dette ofte til endret praksis i hele sektoren.
   
   Tilsynsvirksomheten gir oss et fakta­basert grunnlag for kommunikasjon til ulike bransjer og relevante aktører. Tilsyn kan benyttes aktivt for å under­søke og avklare praksis, og til å følge opp konkrete problemstillinger i enkeltsaker. Andre ganger kan kontrollene benyttes til å få bedre oversikt over et område eller en sektor, og for å skaffe et bedre grunnlag for å ta i bruk de andre virkemidlene.
2. Kommunikasjon og veiledning. Datatilsynet skal veilede og informere om personvernlovgivning og forvaltningspraksis. Kommunikasjon som virkemiddel benyttes ofte sammen med de øvrige virkemidlene. En del av kommunikasjonen og dialogen vår skjer derfor gjennom veiledningstjenesten, veilednings­møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner.
   
   Gjennom kommunikasjon ønsker vi dessuten å spre informasjon om personvernets tilstand, samt skape debatt og gi uttrykk for synspunkter vi måtte ha som forvaltnings- og tilsynsorgan og i rollen som ombud. Ombudsrollen brukes blant annet ved utspill og kommentarer overfor mediene, i foredragsvirksomheten og i blogg­innlegg.
3. Forsknings-, utviklings- og utredningsarbeid. Gjennom nær kontakt med miljøer i inn- og utland som driver med forsknings- og utviklingsarbeid, setter vi oss selv bedre i stand til å sette personvernhensyn inn i en samfunnsmessig kontekst, og til å fange opp trender og utviklingstrekk på et tidlig stadium. Vår kontakt med forskningsmiljøer kan stimulere til forskning på personvern, samtidig som personvernhensyn også blir ivaretatt i annen forskning.
   
   Vårt eget utrednings- og kartleggingsarbeid utgjør også en viktig kilde til kunnskap. Det gir dybde til ulike temaer vi jobber med og er med på å skape oppmerksomhet om personvernspørsmål.
4. Regulatorisk sandkasse. Vi opprettet en regulatorisk sandkasse for kunstig intelligens i 2020. Her tilbyr vi kvalifisert veiledning til et utvalgt antall virksomheter. Målet med sandkassen er å stimulere til utvikling av innovative og samfunnsnyttige tjenester med godt, innebygd personvern. Sandkassen vil hjelpe virksomhetene til å følge regelverket, og samtidig bidra til kompetansebygging både hos den enkelte virksomhet og innad i Datatilsynet.
5. Andre virkemidler. Deltagelse i ulike råd og utvalg er et godt virkemiddel for å best mulig kunne påvirke aktører til å etablere god praksis. Det samme gjelder deltagelse i arbeid knyttet til innebygd personvern og regelverksutvikling. En slik måte å arbeide på egner seg særlig på områder der det pågår større reformer og utviklingsarbeid, særlig dersom de er teknologidrevne.