2.1 Personvernmyndighetene

Datatilsynet er et faglig uavhengig forvaltningsorgan som veileder og fører tilsyn med etterlevelse av personopplysningsloven med forskrifter i tillegg til en rekke andre regelverk. Datatilsynet er administrativt underlagt Digitaliserings- og forvaltningsdepartementet (DFD), mens Justis- og beredskapsdepartementet (JD) er ansvarlig departement for personopplysningsloven. Forskriftsansvaret er lagt til DFD. Personvernforordningen krever at tilsynsmyndigheten skal være uavhengig. Departementet har derfor ikke adgang til å instruere eller omgjøre Datatilsynets utøvelse av myndighet etter loven.

Klager på Datatilsynets vedtak behandles i en uavhengig klagenemnd – Personvernnemnda. Personvernnemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse. Personvernnemnda er et kollegialt organ, som består av syv medlemmer, med personlige varamedlemmer. Nemndas leder og nestleder skal begge ha juridisk embetseksamen eller mastergrad i rettsvitenskap, mens nemnda øvrige medlemmer har fagbakgrunn også fra andre områder enn fra jus, blant annet teknologi og medisin.

Personvernnemnda har et eget sekretariat som utreder og forbereder sakene til behandling i nemnda og som utfører den daglige driften. Sekretariatet består av en medarbeider som er administrativt tilsatt i DFD, men er faglig underlagt Personvernnemnda i den enkelte sak.

2.2 Personvenregelverket

2.2.1 Et regelverk for å møte den teknologiske utviklingen

Formålet med personopplysningsloven er:

«å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger… Bakgrunnen for loven og forordningen er rask utvikling av teknologi som har gjort det lettere å samle inn, bruke og utveksle personopplysninger, og dermed også å misbruke slike opplysninger, og et ønske om å gjøre det lettere å utveksle personopplysninger over landegrenser, på en måte som ivaretar personvernet»¹

Loven gjennomfører EUs personvernforordning i norsk rett (GDPR) som ble innført i 2018. Forordningen er dermed en del av personopplysningsloven og gjelder som norsk lov.

Som uttrykt i formålet med loven gir rask teknologisk utvikling mange utfordringer knyttet til personvern. Noen av de største er at teknologien har gjort det enklere å samle inn store mengder data og at teknologien i form av blant annet kunstig intelligens gir mulighet for automatisering av beslutninger.

Implementeringen av personvernforordningen har medført store endringer i hvilken rolle personvern og personopplysningsvern har i samfunnet, og hvordan private og offentlige virksomheter jobber med gjennomføring av regelverket. 

Personvernforordningen gir Datatilsynet flere typer myndighet. Blant annet har Datatilsynet myndighet til å gi forbud mot behandling av personopplysninger, pålegge retting eller sletting av personopplysninger eller ilegge overtredelsesgebyr. 

I tillegg til personopplysningsloven forvalter også Datatilsynet særlovgivning på justis- og helsesektoren, og fører tilsyn med behandling av personopplysninger som skjer i medhold av politiregisterloven, helseregisterloven, pasientjournalloven, helseforskningsloven, kredittopplysningsloven og lov om Schengen informasjonssystem (SIS-loven). Forskrifter tilknyttet disse lovene og forskrifter om kameraovervåkning og arbeidsgivers innsyn i elektronisk lagret materiale, er også omfattet av Datatilsynets kompetanse.

2.2.2 Personvernforordningen gjelder likt i alle EU/EØS-land

Personvernforordningen er i utgangspunktet et sett regler som skal implementeres ord for ord i alle EU/EØS-land. På personvernområdet er det derfor høy grad av overnasjonalitet, og det følger av loven at personvernforordningen skal gå foran norsk lov ved konflikt.

European Data Protection Board (EDPB) – Personvernrådet – skal sikre at personvernforordningen tolkes og anvendes likt i hele EU/EØS området. I rådet sitter de nasjonale datatilsynsmyndighetene samt European Data Protection Supervisor (EDPS) som er datatilsynsmyndigheten for EU-organene. Sentrale oppgaver for EDPB er å gi retningslinjer og uttalelser om hvordan personvernforordningen skal tolkes. Her deltar Norge, ved Datatilsynet, på lik linje med EU- landene, og denne deltakelsen er Norges viktigste inntak til å påvirke fortolkningen av forordningen.

2.2.3 Et omfattende regelverk som stiller store krav til både Datatilsynet og behandlingsansvarlige

I 2022 la Personvernkommisjonen fram sin rapport Ditt personvern – vårt felles ansvar (NOU 2022:11). I kommisjonens rapport slås det fast at personvernregelverket er meget omfattende i tillegg til at det er preget av en mange vage og skjønnsmessige formuleringer. Regelverket stiller store krav både til de behandlingsansvarlige og til Datatilsynet.

Etter GDPR gjelder prinsippet om ansvarlighet. Dette innebærer at de som behandler personopplysninger selv må kunne påvise at de etterlever reglene i personvernforordningen. Prinsippet medfører et stort ansvar. Det krever at den enkelte virksomhet både har god kunnskap om reglene og hva som skal til for å implementere dem, for eksempel hvordan personvernprinsipper kan bygges inn i tekniske løsninger (NOU 2022:11).

Ekstra krevende blir dette fordi de behandlingsansvarlige ikke er en homogen gruppe, men spenner fra globale, mektige aktører til lokale enkeltpersonsforetak. Behandlingsansvarlige er alle norske bedrifter, ideelle organisasjoner og statlige og kommunale virksomheter.  Gruppen omfatter både seriøse virksomheter som legger mye arbeid i god etterlevelse av gjeldende regler, og virksomheter som ikke prioriterer personvernarbeid høyt og gjør lite for å etterleve regelverket. Alle er imidlertid omfattet av det samme ansvarsprinsippet, og alle risikerer sanksjoner, som for eksempel å måtte betale betydelige gebyrer dersom de bryter reglene.

Kompleksiteten i regelverket, vage skjønnsmessige formuleringer og at et stort ansvar er lagt på de behandlingsansvarlige, skaper et stort behov for veiledning. På denne bakgrunn anbefalte Personvernkommisjonen at Datatilsynet burde styrkes med økte ressurser.

2.3 Datatilsynets virkemidler

Bestemmelser om Datatilsynets oppgaver  finnes i personvernforordningen artikkel 57 som inneholder en lang og detaljert liste med oppgaver. Datatilsynet tar i bruk en rekke ulike virkemidler i løsningen av disse oppgavene, inndelt på denne måten i årsrapporten for 2023:

Saksbehandling

Datatilsynet behandler tips, klager og avviksmeldinger. Her har Datatilsynet myndighet til å fatte vedtak om korrigerende tiltak og sanksjoner. Enkeltpersoner (eller virksomheter) som har opplevd noe de mener er et brudd på regelverket kan tipse Datatilsynet om saken eller de kan sende en formell klage.

Tilsyn

Datatilsynet skal kontrollere at lover og forskrifter for behandling av personopplysninger blir fulgt. Tilsyn benyttes dessuten for å undersøke og avklare praksis, og til å følge opp konkrete

problemstillinger i enkeltsaker eller innenfor bestemte områder eller sektorer.

Veiledning og kommunikasjon

Datatilsynet skal gi veiledning om personvernlovgivningen og hva som er god forvaltningspraksis gjennom veiledningstjenesten, møter og annen dialog med rammesettere, beslutningstakere, virksomheter og enkeltpersoner. I tillegg har Datatilsynet også tradisjonelt hatt sentral rolle i å sette personvern på dagsorden og å synliggjøre hvorfor personvern er viktig.

Utredninger

Datatilsynet gjør egne utredninger om aktuelle problemstillinger, deltar i råd og utvalg for å bidra inn i regelverksutviklingen på et tidlig tidspunkt og avgir høringsuttalelser.

Regulatorisk sandkasse

Datatilsynet har ansvaret for en regulatorisk sandkasse for kunstig intelligens (KI) som skal stimulere til utvikling av innovative og personvernvennlige digitale løsninger. Sandkassa hjelper enkeltaktører med å følge regelverket og utvikle løsninger med godt personvern.

Personvernombudsordningen

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen, og skal ha en uavhengig rolle. Ombudets rolle er å gi råd til ledelsen og andre i virksomheten, men også å kontrollere etterlevelsen av regelverket i virksomheten. Alle offentlige virksomheter (med unntak av domstolene) plikter å ha et personvernombud. Det samme gjelder private virksomheter som behandler særlige kategorier (sensitive) personopplysninger eller opplysninger om straffbare forhold.  Alle personvernombud skal være registrert hos Datatilsynet og Datatilsynet har møter med Foreningen Personvernombudene to ganger i året. Datatilsynet deler også råd og tips til nye personvernombud, men for øvrig har ikke Datatilsynet noen formell rolle i å følge opp ombudene.

2.4 Datatilsynets organisering

Datatilsynet har per 1.1.2024 68 ansatte (inkludert studenter) fordelt på to fagavdelinger, en kommunikasjonsavdeling og en administrasjonsavdeling. Datatilsynet fikk ny direktør i august 2022. Toppledergruppen består av direktør og de fire avdelingsdirektørene.

Avdeling for regelverkshåndheving, internasjonal samhandling og sanksjoner (RIS) er den største avdelingen med 30 ansatte, inkludert avdelingsdirektør og 3 seksjonsledere. I denne avdelingen jobber det kun jurister.

Kommunikasjonsavdelingen (KOM) består av 5 ansatte, inkludert avdelingsdirektør. Ressursenhet for veiledning og enkel saksbehandling (Veiledningstjenesten) er lagt til kommunikasjonsavdelingen. Her jobber blant annet jusstudenter som gir enklere veiledning på telefonen til innbyggere og behandlingsansvarlige.

Teknologene er samlet i avdeling for teknologi, analyse og sikkerhet (TAS). Avdelingen består av i alt 13 ansatte, inkludert avdelingsdirektør og to seksjonsledere. I denne avdelingen jobber både teknologer og samfunnsvitere.

Administrasjonsavdelingen (ADM) består av 10 ansatte, inkludert avdelingsdirektør og en seksjonsleder.

Datatilsynet har i løpet av evalueringen startet en organisasjonsutviklingsprosess som kan medføre endringer i organiseringen.

Fotnoter

¹Lovdata Lov om behandling av personopplysninger, Kort om loven, sist endret 06.09.2023