Kontroll og saksbehandling
Datatilsynets myndighet og oppgaver er gitt gjennom personopplysningsloven og personvernforordningen. Vi har i tillegg tilsynsoppgaver etter blant annet kredittopplysningsloven, politiregisterloven, helseregisterloven, pasientjournalloven og Schengen-regelverket, i tillegg til en rekke forskrifter.
Vår myndighet omfatter adgang til å iverksette undersøkelser, gi pålegg og til å ilegge administrative sanksjoner.
Kontrollsaker kan utløses av at vi mottar klager fra enkeltpersoner om mulige brudd på personvern-regelverket. Klagesakene utgjør en høy andel av henvendelsene vi mottar. Loven fastslår at slike saker skal behandles, og vi har begrensede muligheter til å avslutte saker uten å fatte vedtak. Vi håndterer et variert utvalg av klagesaker. Noen er av mindre alvorlig karakter, mens andre involverer kompliserte problemstillinger som krever omfattende undersøkelser og høy faglig ekspertise for å kunne behandles.
Kvalifiserte brudd på personopplysningssikkerheten (avvik) er meldepliktig, og antallet innkommende avviksmeldinger har økt over mange år. En del av disse sakene fører til omfattende undersøkelser, og flere av sakene som tas opp til behandling, ender med vedtak om pålegg eller sanksjoner.
Vi gjennomfører også kontroller av eget tiltak i ulike former. Disse sakene starter basert på blant annet vurdering av personvernrisiko, satsingsområder eller etter mottatte tips.
Saker, klager og vedtak
I tråd med tendensene de siste årene, økte antall nye saker også i 2024 sammenlignet med foregående år. I løpet av året registrerte vi 4 736 nye saker.
I 2024 fikk vi inn 902 klager fra enkeltpersoner på mulige regelverksbrudd, mot 591 klager året før. Antall klager har altså økt med hele 53 prosent fra 2023. Den store økningen kan skyldes flere forhold, ikke minst at vi publiserte et digitalt klageskjema i april 2024, og antall klager økte umiddelbart. Den digitale løsningen har sannsynligvis gitt en lavere terskel for å sende inn klager. Vi ser forøvrig at det er et stort trykk med økning av innsendte klager i hele Europa. I Sverige har antall klager økt med 33 prosent over to år.
Klagesakene handlet i hovedsak om spørsmål rundt kundedata, publiseringer på nettet og sporing og kameraovervåking. 16 prosent av alle klagene dreide seg om personvern på arbeidsplassen.
I løpet av året fattet vi 384 vedtak. Dette inkluderer flere typer beslutninger, også de som tas underveis i saksbehandlingsprosessen.
Datatilsynet har hjemmel til å fatte vedtak om sanksjoner eller andre korrigerende tiltak. I 2024 fattet vi 44 slike vedtak (les mer lenger ned). I tillegg har vi fattet flere vedtak der vi har konkludert med brudd på personvernregelverket uten å ilegge sanksjoner eller korrigerende tiltak. Vi kan også fatte vedtak der vi konkluderer med at det ikke foreligger brudd på regelverket. I enkelte saker er det aktuelt å fatte avvisningsvedtak, slik som når klageren ikke oppfyller vilkårene i personvernforordningen eller når klagens tema faller utenfor Datatilsynets myndighet.
Pålegg om å utlevere informasjon til oss som del av et tilsyn, skjer også i vedtaksform. Samlet utgjør dette 145 vedtak. Antallet avvisningsvedtak og vedtak om at saken ikke var brudd på regelverket, utgjorde om lag 150 saker.
I løpet av året mottok vi 73 klager på vedtakene våre. Det har altså vært en økning i antall saker som ble påklaget, noe som innebærer at behandlingstiden for klager på vedtak har økt det siste året. I fem saker omgjorde vi vedtakene, mens vi sendte 48 saker over til Personvernnemnda for klagebehandling.
Personvernnemnda fattet vedtak i 28 saker i 2024, og i 23 av dem ble Datatilsynets vedtak opprettholdt. Det er altså en relativt lav andel av vedtakene våre som blir omgjort.
Påpeking av plikt
Mange klagesaker løses ved å sende et brev med «påpeking av plikt», hvor vi informerer om relevante krav i personvernregelverket, til den innklagede parten. Klageren blir samtidig opplyst om muligheten til å kontakte oss igjen hvis saken ikke løser seg, eller dersom de ønsker en vurdering av om behandlingen bryter regelverket. Vi erfarer at dette er en effektiv og god måte å løse noen av klagesakene våre på.
Saker hvor vi benytter denne reaksjonen, er typisk klager på uoppfylte rettigheter (slik som innsyn, retting eller sletting av personopplysninger) og klager om kameraovervåking mellom naboer der den innklagede er en privatperson. Mange saker løser seg etter en slik tilbakemelding. Dersom saken ikke løser seg, vurderer vi videre saksbehandlingsskritt.
Påpeking av plikt brukes også ved mindre alvorlige regelbrudd for å veilede virksomhetene og forebygge gjentakelser. I fjor sendte vi ut 238 slike brev med påpeking av plikt.
Korrigerende tiltak og sanksjoner
I 2024 fattet vi 44 vedtak om korrigerende tiltak og sanksjoner. Av disse var 43 vedtak etter artikkel 58 nr. 2 i personvernforordningen (noe som omfatter irettesettelser, ulike pålegg og overtredelsesgebyr). I tillegg fattet vi ett vedtak om tvangsmulkt. Det ble gitt som følge av manglende dokumentasjon om at pålegg som ble gitt etter et tilsyn er gjennomført.
I fem av vedtakene ila vi overtredelsesgebyr. Alle gebyrene ble gitt til offentlige virksomheter. Vedtaket om overtredelsesgebyr etter tilsynet mot NAV, ble imidlertid opphevet av Personvernnemnda i desember 2024.
Vedtak om irettesettelse kan ilegges for mindre alvorlige brudd på personvernregelverket, og ble i 2024 gitt i 14 saker. Det ble gitt til både private og offentlige virksomheter.
Vår myndighet til å reagere med korrigerende tiltak, omfatter også konkrete vedtak om pålegg knyttet til plikter etter personvernregelverket. Slike pålegg ble gitt i 24 saker i rapporteringsåret. Det ble gitt 11 vedtak som følge av at det ble avdekket avvik gjennom tilsyn, og påleggene gjaldt lukking av disse. Ti av sakene gjaldt offentlige aktører, blant annet kommuner som ble kontrollert under det store kommunetilsynet i 2023.
Oversikt over sanksjonene som ble gitt:
Saksnr. |
Mottaker |
Stikkord |
Sum |
|
1. |
23/00708 |
Arbeids- og velferdsetaten (NAV) |
Overtredelsesgebyr |
20 000 000 |
2. |
21/01507 |
Eidskog kommune |
Overtredelsesgebyr |
85 000 |
3. |
20/04805 |
Eidskog kommune |
Overtredelsesgebyr |
250 000 |
4. |
24/00793 |
Universitetet i Agder |
Overtredelsesgebyr |
150 000 |
5. |
24/00754 |
Grue kommune |
Overtredelsesgebyr |
250 000 |
6. |
23/03951 |
Ringo Askim AS |
Tvangsmulkt |
Ikke endelig avsluttet/pågår |
Offentlighetsloven og innsynsbegjæringer – eInnsyn
Vi mottar et høyt antall innsynsbegjæringer, og i rapporteringsåret har vi behandlet 7 547 slike begjæringer. Håndteringen av disse er utfordrende og tidkrevende, ikke minst alle vurderingene av meroffentlighet som må gjøres.
Andelen begjæringer som blir avslått, har gått noe ned i forhold til antallet innkomne begjæringer. Samtidig sendte vi ut 2 398 sladdede dokumenter i løpet av året, noe som innebærer en økning sammenlignet med tidligere år.
Høringer
Vi mottok 220 høringssaker i rapporteringsåret. Vi skrev 60 høringssvar, åtte flere enn i 2023. 54 av høringene gjaldt forslag som berører behandling av personopplysninger i offentlig sektor. Vi har prioritert å svare på høringer som er av stor betydning for personvernet.
Datatilsynet har i tillegg hatt dialog med Justisdepartementet i forbindelse med deres pågående etterkontroll av personopplysningsloven. Vi ga innspillene våre med forslag til endringer som vi har identifisert etter å ha praktisert loven gjennom seks år. I tillegg har vi bistått Justisdepartementet i forbindelse med en delutredning av mulighetene for alternative løsninger for behandling av klagesaker.
Meldinger om brudd på personopplysningssikkerheten – avviksmeldinger
Personvernforordningen stiller krav om at brudd på personopplysningssikkerheten, også kalt avvik, skal meldes til Datatilsynet. Disse meldingene gir verdifull innsikt i risikoer, sårbarheter og trusler for behandling av personopplysninger, samtidig som de danner et viktig grunnlag for risikobaserte tilsyn og prioritering innen veiledning og kommunikasjon.
I 2024 mottok vi totalt 3 191 slike meldinger, noe som utgjør et snitt på 266 meldinger per måned. Dette representerer en økning på 13 prosent fra året før.
Av de innmeldte bruddene, ble 80 prosent avsluttet uten videre oppfølgning etter en vurdering av personvernrisikoen, mens 20 prosent gikk til videre saksbehandling.
For meldingene som ikke gikk til videre oppfølgning, sendte vi et standardbrev som minnet den behandlingsansvarlige om plikten til å håndtere bruddet i tråd med artikkel 33 nr. 5.
Hvilke typer brudd er meldt inn?
De rapporterte bruddene varierer i omfang og alvorlighetsgrad.
Den vanligste typen brudd i 2024 var «personopplysninger sendt til feil mottaker». Dette utgjorde omlag 37 prosent av meldingene. Denne stabilt høye andelen indikerer et vedvarende behov for bedre rutiner og styrket opplæring hos de behandlingsansvarlige for å redusere menneskelige feil.
«Tilsiktede angrep» inkluderer hacking og phishing, og har hatt en betydelig økning på omtrent 39 prosent. Denne utviklingen reflekterer et stadig mer komplekst trusselbilde og understreker viktigheten av forebyggende tiltak.
«Manglende/feil i tilgangsstyring» har en økning på 14 prosent, noe som kan tyde på utfordringer rundt implementering og etterlevelse av rutiner for tilgangsstyring.
I tillegg har det vært en markant økning på 164 prosent i «system- eller programmeringsfeil». Denne økningen kan skyldes en kombinasjon av implementeringsfeil og en økt bevissthet om å rapportere systemrelaterte brudd. Det understreker behovet for styrkede rutiner for testing og kvalitetskontroll i tekniske løsninger.
Hvilke sektorer rapporterer avvikene?
Avvikene fordeler seg over flere sektorer, med offentlig administrasjon som den hyppigst rapporterende sektoren med 42 prosent av meldingene. Det høye antallet kan forklares med at sektoren håndterer store mengder persondata, og at de har etablert gode rutiner for å identifisere og rapportere alle typer avvik.
Avviksmeldinger fra helse, omsorg og sosialsektoren utgjør 13 prosent av meldingene. Avvikene her gjelder ofte feil i behandling av helseopplysninger.
Finans- og forsikringssektoren utgjør 13 prosent av meldingene som ble sendt inn. Erfaringsmessig kan dette tilskrives høy kompetanse og gode rutiner for etterlevelse av regelverket.
Tilsynsvirksomheten
Vi gjennomførte 18 planlagte og hendelsesbaserte tilsyn, fordelt på både privat og offentlig sektor. Av disse var seks skriftlige tilsyn (brevkontroller) og seks ble gjennomført som stedlige kontroller. I tillegg ble seks av kontrollene gjennomført som digitale tilsyn som vil si teknisk undersøkelse av nettsteder.
I 2024 så vi nærmere på følgende tema i tilsynene:
- oppfyllelse av personvernprinsippene og behandlingsansvar
- kontroll av virksomhetenes styringssystem for personvern og informasjonssikkerhet
- personopplysningssikkerhet
- rettslig grunnlag for behandling av personopplysninger
- utlevering av kredittopplysninger
- historiske arkiv over kredittopplysninger
- sporing på nettsider
Noen av tilsynene ble initiert på bakgrunn av risikovurderinger som ble gjort ut fra analyse av avviksmeldinger og klagesaker vi har mottatt. Andre tilsyn ble gjennomført etter at vi hadde fått kjennskap til risikoområder gjennom tips eller media. Tilsynet som ble gjennomført hos UDI ved ambassaden i London, skjedde i tråd med forpliktelsene Norge har etter Schengen-regelverket.
De digitale tilsynene handlet om sporing på nettsider, og ble initiert som følge av at det mot slutten av 2023 kom en rekke medieoppslag om nettsider som delte personopplysninger med tredjeparter ved bruk av sporingsverktøy. I flere av tilfellene som ble omtalt, kunne opplysningene være av sensitiv art eller særlige kategorier av personopplysninger. Vi valgte derfor å gjennomføre tilsyn med seks ulike nettsteders bruk av sporingsverktøy. Tilsynsobjektene var offentlige organer, selskaper innen helsesektoren, foreninger med sensitivt tilsnitt og tjenester som retter seg mot barn. Tilsynene var pågående ved årsslutt og fortsetter inn i 2025.
Flere av tilsynsrapportene er på rapporteringstidspunktet fortsatt under arbeid.
Tilsynsobjekt |
Metode |
Kirkens bymisjon – ifengsel.no (sporingstilsyn) |
Digitalt |
Norsk helseinformatikk – nhi.no (sporingstilsyn) |
Digitalt |
Det norske bibelselskap – bibel.no (sporingstilsyn) |
Digitalt |
Apotek for deg - apotekfordeg.no (sporingstilsyn) |
Digitalt |
Kristiansand kommune - alarmtelefonen for barn og unge 116111.no (sporingstilsyn) |
Digitalt |
Dr.Dropin - drdopin.no (sporingstilsyn) |
Digitalt |
Kriminalomsorgen: Infoflyt |
Stedlig |
UDI/ Ambassaden i London - Etterlevelse av VIS-regelverket |
Stedlig |
Politiet - Kartlegging av personer i romermiljøet |
Stedlig |
Helseplattformen AS |
Stedlig |
Helseplattformen Melhus kommune |
Stedlig |
Helseplattformen St. Olavs hospital HF |
Stedlig |
Nettapotek (bruk av Foodora) |
Brevlig |
Dun & Bradstreet Norway AS |
Brevlig |
Experian |
Brevlig |
Creditsafe Norway |
Brevlig |
TietoEvry Norway |
Brevlig |
Dun & Bradstreet Norway AS |
Brevlig |