I dette kapittelet presenterer vi funn knyttet til Datatilsynets resultater, roller og oppgaver (jf. analysemodellens del 1 og 2). Beskrivelsen er basert på dokumentstudier og intervjuer.
3.1 Et synlig tilsyn som setter personvern på dagsordnen
Datatilsynet legger stor vekt på å formidle kunnskap om personvern til både virksomheter og befolkningen. De arrangerer seminarer og webinarer om aktuelle temaer, holder innlegg på konferanser og benytter nettsidene til å informere både om regelverk og om aktuelle personvernrelaterte problemstillinger. Alt dette bidrar til å sette personvern på dagsorden.
Datatilsynet skårer høyt på omdømmeundersøkelser i befolkningen. I undersøkelsen Traction Offentlig, som måler omdømmet til 30 offentlige etater i befolkningen, kommer Datatilsynet på en delt fjerdeplass, sammen med Forbrukerrådet. Med en skår på 77 har de et «godt omdømme» ifølge kategoriseringen. Tilsvarende høye skår viser Profilundersøkelsen fra Ipsos.
Datatilsynet bruker media aktivt for å få fram budskapene sine, og har de siste årene ligget på rundt 5000 medieoppslag.
Det var en økning i antall medieoppslag i 2023 som blant annet skyldes at saken om Meta vakte stor nasjonal og internasjonal interesse. (Datatilsynet 2024b)
Dette bildet av et synlig Datatilsyn er også noe som trekkes fram av våre eksterne informanter. Datatilsynet oppleves som en synlig og tydelig aktør som setter personvern på dagsorden.
3.2 Sterk vekst i oppgavemengde - mange små saker tar (for) mye tid
Det har vært store endringer i Datatilsynets produksjon over tid. Mye skyldes endringer i oppgaver som følge av nytt lov og regelverk. Spesielt innføringen av GDPR har hatt stor betydning for oppgaveporteføljen og prioriteringer av oppgaver. Som vi ser av tabellen under, så har det vært en betydelig økning i antall saker (klager og henvendelser) og meldte avvik. Antallet høringssvar varierer over årene, mens det har vært en kraftig økning i antallet innsynsbegjæringer. Samtidig var det en sterk økning i veiledningsaktiviteten.
Tabell 1 Oversikt over utviklingen i ulike oppgaver (kilde: årsrapporter fra Datatilsynet)
2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | |
Høringssvar | 39 | 47 | 53 | 36 | 33 | 50 | 61 | 46 | 52 |
Tilsyn* | 28 | 119 | |||||||
Saker** | 1374 | 1745 | 1807 | 2654 | 3118 | 3271 | 3474 | 3519 | 4204 |
Meldte avvik | 84 | 206 | 349 | 1275 | 1916 | 2008 | 2255 | 2250 | 2822 |
Innsynsbegjæringer | 2109 | 2470 | 2959 | 3014 | 3437 | 3671 | 5715 | 6916 | 7443 |
* Datatilsynet fikk ny tilsynsmetodikk og ny definisjon av tilsynsbegrepet i 2021, så tall fra tidligere år er ikke direkte sammenlignbare
De obligatoriske saksbehandlingsoppgavene som springer ut av personvernforordningen tar mye tid og har økt år for år. Datatilsynet mottar en stor mengde klager, tips og henvendelser om mulige brudd på personvernregelverket fra enkeltindivider. Personvernforordningen fastslår at alle slike saker skal behandles (Artikkel 57, bokstav F).
I tillegg kommer meldinger om brudd på personopplysningssikkerheten fra offentlige og private virksomheter. Brudd på personopplysningsloven er meldepliktig etter GDPR, og antallet avviksmeldinger har økt sterkt etter innføringen av GDPR. Det har også vært en markant økning i innsynsbegjæringer.
I sum bidrar dette til at oppgavemengden har økt kraftig, og at muligheten til å prioritere ut fra et risikobilde har gått ned. Spesielt saksbehandlingen på klager om brudd på personopplysningsloven binder opp mye tid. Alle innkomne klager, uavhengig av hvor stor risiko Datatilsynet mener disse utgjør for personvernet, må behandles.
Saksbehandlingstiden oppgis på Datatilsynets nettside og i årsrapporten å være rundt ett år. Datatilsynet har forsøkt å forenkle saksbehandlingen av saker som de mener utgjør en liten trussel for personvernet, men dette har blitt avvist av Personvernnemnda. Datatilsynet omtaler dette i sin årsrapport for 2023 der de skriver at dette har «bidratt til å avklare at vi ikke kan avslutte saksbehandlingen uten å fatte vedtak» (Datatilsynet 2024b s 15).
Saksbehandlingstiden for klagesaker i Norge er betydelig lengre enn saksbehandlingstiden i Danmark og Sverige2.
Tabell 2: Gjennomsnittlig saksbehandlingstid på klagesaker (kilde: årsrapporter)
Norge | Sverige | Danmark | |
Saksbehandlingstid 2023 - dager | Ca. 365 | 101 | 85 |
Det kan være ulike grunner til at det er slik. I Sverige unnlot IMY tidligere å behandle alle klager og dette kan være noe av forklaringen på en lavere saksbehandlingstid enn i Norge. Da også IMY ble pålagt å behandle alle saker har IMY hatt en negativ utvikling i saksbehandlingstiden. IMY fikk derfor en bevilgningsøkning på nesten 40 prosent fra 2023 for å kunne håndtere den økte saksmengden. IMY har satt i verk tiltak for å redusere saksbehandlingstiden, og opplyser i årsrapporten for 2023 at de ser en positiv tendens.
I Danmark har det satt inn ulike tiltak de siste årene som har hatt betydning for saksbehandlingstiden. Danmark har hatt et effektiviseringsprosjekt med klare mål på forventet tidsbruk på ulike saker. Datatilsynet i Danmark hadde i 2017 en gjennomsnittlig saksbehandlingstid på 314 dager, men innførte Lean (strømlinjeformet produksjon) fra 2018 for å redusere saksbehandlingstiden. Saksbehandlingstiden ble redusert til 101 dager i 2018 og har deretter blitt ytterligere redusert.
Helt konkret ble det satt driftsledere til å vurdere hvor lang tid som bør brukes for å behandle ulike type saker. Det innebar sterk styring, men medarbeiderne opplevde det som positivt. Etter hvert som de fikk kontroll på saksbunkene, ble styringen av saksbehandlerne mindre. Det er likevel fortsatt slik at driftsledere vurderer alle innkomne saker. Nå opplever det danske Datatilsynet at det er de som styrer sakene, og ikke omvendt. Gjennom aktiv bruk av saksbehandlingssystemet har de god oversikt over sakene og god styring.
Den obligatoriske saksbehandlingen av alle klagesaker oppleves som et problem for Datatilsynets europeiske søsterorganisasjoner. Dette var et sentralt tema i intervjuene med Datatilsynene i Sverige og Danmark, og EU-domstolen har nå til behandling et spørsmål fra Tyskland om hvorvidt alle saker må avsluttes med et endelig vedtak.
Når det gjelder avvikssakene har Datatilsynet handlingsrom til selv å vurdere om sakene trenger videre behandling, og opplyser at 85 prosent av avvikssakene blir avsluttet uten videre saksbehandling.
Som tabell 1 viser har omfanget av innsynsbegjæringer drøyt tredoblet seg siden 2015. Innsynsbegjæringer er ressurskrevende å håndtere for Datatilsynet. Ikke bare pga. den store mengden, men også fordi de etterspurte dokumentene ofte inneholder personopplysninger som må sladdes. Datatilsynet har langt flere innsynsbegjæringer enn det danske Datatilsynet, som hadde 426 innsynsbegjæringer i 2023.
3.3 Aktive internasjonalt
Personvernforordningen skal tolkes likt i hele EØS-området, og mange personvernutfordringer er grenseoverskridende. Datatilsynet har derfor prioritert internasjonalt samarbeid, og har hatt som strategisk mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser.
Dette kommer til uttrykk ved at Datatilsynet er en aktiv deltaker i Det europeiske personvernrådet (EDBP). De deltar i rådets plenumsmøter som vanligvis holdes en gang i måneden. I tillegg deltar de i samtlige av rådets 12 ekspertgrupper. Gruppene forbereder saker for plenumsmøtene i Personvernrådet. Datatilsynet deltar aktivt i disse møtene blant annet ved å føre utvalgte retningslinjer og uttalelser i pennen. Til sammen 10 medarbeidere deltok fast i plenums- og ekspertgruppemøter i 2023. Til sammenligning opplyser Sverige at det fra deres side er 11 personer som deltar aktivt i EU-samarbeidet.
I våre intervjuer med det danske og det svenske Datatilsynet blir vi fortalt at det norske Datatilsynets aktive rolle blir lagt merke til. Dette skyldes ikke minst Meta-saken, «som virkelig har satt Norge på kartet», slik direktøren for det danske Datatilsynet uttrykte det.
Internasjonalt engasjement har vært høyt prioritert fra Datatilsynet. For å spille en rolle i EDPB krever det at det legges ned betydelig arbeidsinnsats både i forberedelser og i møtedeltakelse. Datatilsynet erfarer at de med dette har fått stor påvirkningskraft, både i diskusjoner om lovfortolkning og i behandling av store, betydningsfulle saker (Datatilsynet 2024b).
Medarbeiderne i Datatilsynet er stolte av hva som er oppnådd i det internasjonale arbeidet. Det stilles i liten grad spørsmål ved ressursbruken, og inntrykket gjennom våre samtaler er at det er bred forståelse for at Datatilsynet prioriterer disse oppgavene.
Datatilsynets internasjonale engasjement har også blitt lagt merke til av våre eksterne informanter. Det blir stort sett oppfattet positivt og til dels imponerende. «Å bokse over egen vektklasse» er et uttrykk som går igjen, og som særlig knyttes til Datatilsynets håndtering av Meta-saken. Samtidig reiser noen spørsmål ved hva denne innsatsen går på bekostning av. En virksomhet som har mye kontakt med Datatilsynet, ordlegger seg på denne måten: «De har jobbet veldig godt og metodisk med internasjonale saker. Disse sakene er veldig viktig internasjonalt, og har gjort at personvern har kommet på dagsorden. Spørsmålet er jo om de norske selskapenes behov har blitt liggende, og bør prioriteres opp».
Meta-saken dreier seg om en konflikt mellom Meta1 og de europeiske personvernmyndighetene om Metas bruk av personopplysninger til atferdsbasert markedsføring. Her har Datatilsynet spilt en sentral rolle ved at de i juli 2023 framsatte et midlertidig forbud mot Metas behandling av personopplysninger for atferdsbasert markedsføring i Norge. Dette forbudet besluttet EDPB at skulle gjøres permanent for hele EØS-området.
3.4 Lett tilgjengelig veileder, men for lite konkret
I årene etter at personvernforordningen trådte i kraft i 2018 har veiledning og informasjon vært høyt prioritert i Datatilsynet. Målet har vært å nå bredt ut til både offentlige og private virksomheter og innbyggerne med informasjon om det nye regelverket (Datatilsynet 2024b). Det sier seg selv at dette er en krevende oppgave. Målgruppen er bred, mangfoldig og med svært ulike behov og forutsetninger. Datatilsynet tar i bruk en rekke ulike virkemidler og kanaler. De viktigste er nettsiden «datatilsynet.no», veiledningstjenesten, veiledere, veiledningsmøter, forhåndsdrøftelser, den regulatoriske sandkassen, personvernblogg, podkast og foredrag, samt veiledning i forbindelse med tilsyn.
Veiledningstjenesten er et tilbud til virksomheter og publikum som har spørsmål som ikke krever ordinær saksbehandling. Datatilsynet opplevde lenge en stor økning i antall e-poster til denne veiledningstjenesten, og besluttet i 2019 å fase ut behandlingen av e-poster. Begrunnelsen var at det kunne ta lang tid å besvare e-postene fordi det kunne være vanskelig å skille behandlingen av e-postene fra annen skriftlig saksbehandling. Fra juni 2019 har derfor veiledningstjenesten kun behandlet telefonhenvendelser, og, som tabellen nedenfor viser, gikk dermed også antall henvendelser til veiledningstjenesten ned.
Tabell 3 Utvikling i antall henvendelser til veiledningstjenesten (kilde: årsrapporter fra Datatilsynet)
2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | |
Henvendelser til veiledningstjenesten | 9292 | 9535 | 10424 | 11971 | 7186* | 5364 | 5911 | 5313 | 5169 |
*Fra juni 2019 ble ikke lenger e-posthenvendelser registrert, og veiledningstjenesten betjener nå kun telefonhenvendelser
Veiledningstjenesten fungerer først og fremst som et «lavterskeltilbud» om råd for grunnleggende personvern og de fleste forespørslene kommer fra innbyggere, personvernombud, databehandlere og mindre eller mellomstore behandlingsansvarlige. Mange større selskaper og offentlige virksomheter har behov for en annen og mer avansert veiledning enn det veiledningstjenesten tilbyr.
3.4.1 Virksomhetene etterlyser mer løsningsorientert veiledning
Et hovedinntrykk er at Datatilsynet oppleves som en lett tilgjengelig veileder. I våre intervjuer får vi høre at de er lette å få kontakt med, de er på tilbudssiden når det gjelder å holde innlegg på seminarer og konferanser og de stiller opp på møter for å diskutere aktuelle problemstillinger. Når behovene for veiledning ikke bare dreier seg om å få grunnleggende informasjon om regelverket, opplever imidlertid mange at veiledningen blir for lite konkret. De etterlyser klarere råd om hvordan de mer konkret kan ivareta personvernreglene i en gitt situasjon. Det er ønske om at Datatilsynet «ikke bare forteller hva som er forbudt, men også sier noe om hva som kan gjøres». Det er en utbredt oppfatning at Datatilsynet er for lite opptatt av å utforske og synliggjøre handlingsrommet i regelverket.
Dette gjelder også de skriftlige veilederne som Datatilsynet publisere på sine nettsider. Selv om de er nyttige for mange, er det flere som etterlyser mer konkrete veiledninger. I den forbindelse er det flere av våre eksterne informanter som forteller at de heller bruker veiledningene som er tilgjengelige på det danske Datatilsynets nettsider.
Disse synspunktene er ikke ukjente for Datatilsynet. I 2023 satte de i gang Prosjekt Kvist som nettopp hadde som hensikt «å utforske rommet mellom den trygge stammen (regelverket) og kvistene lenger ut på greinen der regelverket praktiseres og operasjonaliseres». Målet med prosjektet var å få bedre innsikt i hvilke behov de ulike virksomhetene har for veiledning og få innspill til hvordan Datatilsynet kan bli mer relevante og målrettet i sitt veiledningsarbeid. Det ble holdt 13 innspills-møter der 160 private og offentlige virksomheter ble invitert til å spille inn til Prosjekt Kvist. Datatilsynet har oppsummert innspillene fra denne runden i følgende funn (Datatilsynet 2024a):
- Det er et stort spenn i virksomhetenes behov, og spesielt små og mellomstore virksomheter har behov for grunnleggende veiledning. Spesielt utfordrende er situasjonen i små kommuner som forvalter mange og ofte sensitive personopplysninger om innbyggere.
- Nettsidene og veiledningstjenesten til Datatilsynet brukes flittig. Det var ønsker om at nettsidene fikk bedre søkefunksjon og flere konkrete eksempler; for eksempel om avgjørelser i klagesaker og eksempler på «Best Practise».
- Virksomhetene er tydelige på at de ønsker mer praktisk veiledning. De ønsker mer eksempler, maler og sjekklister. Dette gjelder spesielt de små og mellomstore virksomhetene. De store virksomhetene ønsker mer dyptpløyende veiledning på utvalgte tema, slik som i den regulatoriske sandkassen.
- Generelt var det et ønske om tettere dialog og samarbeid.
- Veiledning via saksbehandling og tilsyn. Mange oppfordret tilsynet til å bruke saksbehandling og tilsyn på en mer pedagogisk måte enn i dag, både ved gi veiledning i tilknytning til den enkelte saken og ved å kommunisere innholdet i et vedtak ut slik at andre også fikk nytte av det.
- Mange av virksomhetene uttrykte også et ønske og en forventning om at Datatilsynet er fremoverlent og tidlig ute med å veilede og føre tilsyn med nye teknologier.
Når Datatilsynet nå skal følge opp disse innspillene, ser de blant annet til det danske Datatilsynet som har over flere år har arbeidet med å gjøre veiledningen mer konkret og anvendelig. Ved vårt besøk i Danmark fortalte direktøren om hvordan de hadde arbeidet med å endre veiledningen til å bli mer målgruppeorientert og så praksis-nær som mulig. Hun beskrev hvordan de hadde vært gjennom en stor kulturendring som både berørte arbeidsformer, kompetanse og medarbeiderens «mindset».
3.4.2 Sandkassa oppleves nyttig, men kan utnyttes enda bedre
Den regulatoriske sandkassa trekkes av mange fram som en form for løsningsorientert veiledning som bør brukes enda mer.
Regulatorisk sandkasse for kunstig intelligens, ble etablert i 2021. Sandkassa var ett av tiltakene i Solberg-regjerningens strategi for kunstig intelligens, og ble i første omgang etablert for 2 år. Fra 2023 ble ordningen gjort permanent. I tillegg ble mandatet utvidet til å gjelde veiledning i utvikling av innovative og personvernvennlige digitale løsninger, og ikke kun digitalisering som omfatter kunstig intelligens. Sandkassa er samfinansiert av DFD, AID, NFD, KD og HOD.
Sandkassa ble i 2023 evaluert av Agenda Kaupang. Evalueringen konkluderte med at de virksomhetene som hadde deltatt i sandkassa hadde hatt stor effekt av deltakelsen. Det ble begrunnet med at «Datatilsynet har tilbudt høy juridisk kompetanse, kombinert med en nyttig metodikk (sandkassemetodikken). Den kritiske sparringen deltagerne har fått gjennom sandkassa har vært verdifull og gitt prosjektdeltakerne nyttig kompetanse om egen teknologi, personvern og kommunikasjon til egne brukere om dette» (Agenda Kaupang 2023). På den annen siden etterlyser evalueringen flere aktiviteter for å spre kunnskapen til andre virksomheter.
Dette samsvarer med inntrykkene fra våre intervjuer. De eksterne informantene trekker fram sandkassa som et positivt tiltak som gir mye læring både til Datatilsynet selv og til de virksomhetene som deltar. De fleste karakteriserer det som en avansert form for veiledning der Datatilsynet bistår virksomhetene i å finne fram løsninger som er i samsvar med personvernregelverket. I den grad det er kritiske røster til tiltaket fra eksterne informanter går kritikken på rammene for Datatilsynets sandkasse. De ønsker en sandkasse som går lenger i å utfordre regelverket og etterlyser «mer reelle forsøk» i regi av sandkassa. En av dem som i mange år har arbeidet tett med Datatilsynet sier det på denne måten «Det er begrenset lek i sandkassa. Trenger kanskje mer forsøkslovgiving der Datatilsynet kunne delta for å få større grad av innovasjon»
I likhet med evalueringen fra Agenda Kaupang blir det også fra noen av våre informanter trukket fram at Datatilsynet gjerne kunne gjort enda mer for å bringe videre resultatene fra sandkasseprosjektene på en måte som har overføringsverdi for andre. Datatilsynet selv påpeker imidlertid at de forsøker å formidle de konkrete vurderingene fra prosjektene i en så generisk form som mulig slik at andre virksomheter kan hente inspirasjon og læring (Datatilsynet 2024b).
Det er også verdt å nevne at Datatilsynet har vært tidlig ute med å ta i bruk sandkasse som et virkemiddel sammenlignet med sine europeiske søsterorganisasjoner, og dette blir trukket fram av våre informanter i både Danmark og Sverige.
Internt i Datatilsynet er det det ulike syn på sandkassa. Gjennomgående vurderes det som nyttig å delta i sandkassen, men noen er kritiske til ressursbruken fordi det går ut over saksbehandlingstiden på andre saker. Andre mener at de bør i større grad jobbe med sandkassemetodikk også på andre områder. De trekker fram at den måten man jobber på i sandkassa ikke er noe nytt: «Skulle gjerne ha hjulpet flere, og i mange veiledningsmøter gjør vi det samme som vi gjør i sandkassa, men med mindre ressurser».
3.5 Bred enighet om at tilsyn er nyttig og bør prioriteres
Datatilsynet anser tilsyn som et svært nyttig virkemiddel, og da ikke som et rent preventivt virkemiddel, men fordi det gir mye læring både til Datatilsynet og til tilsynsobjektene.
Etter at ny personvernforordning trådte i kraft i 2018 har det vært gjennomført få stedlige tilsyn. Først på grunn av stort behov for informasjon og veiledning om nytt regelverk og et tilsvarende behov for virksomhetene til å sette seg inn i regelverket før Datatilsynet kom på tilsyn. Deretter kom pandemien og gjorde stedlig tilsyn vanskelig. I tillegg økte antall klagesaker og avviksmeldinger betydelig i denne perioden. Fra 2023 har imidlertid tilsyn igjen blitt høyt prioritert, og antall egeninitierte tilsyn økte fra 28 i 2022 til 119 i 2023. Majoriteten av tilsynene ble rettet mot offentlig sektor, med kommunene som hovedmålgruppe.
I tillegg til disse egeninitierte tilsynene har Datatilsynet de siste årene, som en del av Schengenavtalen, blitt pålagt en rekke lovpålagte tilsyn av innreise- og utreisesystemer som må gjøres i 3 eller 4 års intervall.
Tabell 4 Oversikt over tilsyn gjennomført i 2023 (kilde: Datatilsynets årsrapport for 2023)
Tilsynsobjekt | Metode |
Kommuner og fylkeskommuner (98) | Brevlig |
Oppfølging av tilsyn hos kommuner (11) | Stedlig |
Arbeids- og velferdsetaten (NAV) | Stedlig |
Kripos | Brevlig |
Kredittopplysningsforetak (4) | Brevlig |
Kameraovervåkning i arbeidslivet | Stedlig |
Eksponering av barn i sosiale medier | Brevlig |
Convene Collection AS | Brevlig |
De egeninitierte tilsynene er risikobasert. Den store satsingen på kommunetilsyn i 2023 kom på bakgrunn av at kommunene behandler store mengder personopplysninger, og var basert på blant annet informasjon fra veiledning, saksbehandling og tips. Kommunetilsynet var en stor satsing med brevlig tilsyn av 100 kommuner og fylkeskommuner, fulgt opp med stedlig tilsyn hos noen utvalgte kommuner. Funnene fra brevtilsynene ble oppsummert i en samlerapport i en samlerapport som ble sendt til samtlige kommuner.
I denne samlerapporten var veiledning et viktig formål, blant annet ved å henvise til egne og andre etaters veiledningsmateriale og avgjørelser. Dette ble opplevd som svært nyttig både av Datatilsynet og av KS. I intervju med oss karakteriserte KS vekten på veiledningen i tilsynet som forbilledlig, og trakk spesielt fram innretningen på sluttrapporten som både ga innsikt i på hvilke området som var problematisk og hvilke ulike aktører som kunne bistå. Datatilsynet understreket at gjennomføringen av kommunetilsynet hadde vært ressurskrevende, men «at det viser hvor mye god veiledning det ligger i denne måten å gjennomføre og formidle resultatene fra et tilsyn på» (Datatilsynet 2004b).
Mange av tilsynene som Datatilsynet gjennomfører er svært ressurskrevende og enkelte tilsyn med store aktører kan gå over flere år, som for eksempel tilsyn med Telenor og Elkjøp. Noen av våre interne informanter i Datatilsynet etterlyser større variasjon i typen tilsyn. I tillegg til disse store tilsynene mener de at det bør være en lavere terskel for å gjøre enklere tilsyn på avgrensede områder. De viser til at det etter innføringen av GDPR har vært gjennomført få tilsyn, og at dette har ført til at de har «kommet ut av trening». Det er mange som ikke har erfaring med å gjennomføre tilsyn og at barrieren for å sette i gang tilsyn kan ha blitt for stor. De peker videre på at det er behov for å gjøre noe med metodikken som de mener er blitt for komplisert, og som i større grad bør tilpasses ulike tilsyn. En av dem uttrykte seg slik: «Tilsyn kan ta kortere tid enn behandling av en klagesak og det når mange flere. Må ikke være for opptatt av metodikken, den må justeres så den blir håndterlig, fortsette å gjennomføre tilsyn slik at man får erfaring».
3.6 Etterlyser mer dialog også i tilsynsrollen
Gjennomgående får Datatilsynet gode skussmål for sin konkrete myndighetsutøvelse, og mange av våre eksterne informanter gir uttrykk for at Datatilsynet gjør et godt juridisk håndverk. Informantene i Datatilsynet er svært opptatt av å være tydelige på når de har en tilsynsrolle og når de driver veiledning. I tilsynet følges en egen metodikk steg for steg. Dette skal gi forutsigbarhet også for den som er gjenstand for tilsynet. Flere sentrale informanter etterlyser imidlertid en mer åpen og involverende arbeidsform, også i saker som angår myndighetsutøvelsen. Det blir også brukt ord som belærende og bedrevitende.
Kritikken går blant annet på at det har vært for dårlig dialog i forkant av vedtak. I noen tilfeller opplever ikke virksomheten at de har hatt god nok dialog om substansen i vedtaket og hva som har ledet fram til det. I andre tilfeller opplever virksomheten at de ikke er godt nok informert om når vedtaket kommer eller hvordan saken kommuniseres i media. Noen har også reagert på hvordan Datatilsynet bruker egen podkast til å kommunisere om en sak.
Vi oppfatter at dette ikke dreier seg om kritikk av lovanvendelsen eller Datatilsynets rolle som tilsynsvirksomhet, selv om virksomheten ikke alltid er enige i eller fornøyde med tilsynets konklusjoner. Det dreier seg mer om form og et ønske om en mer dialogorientert tilnærming i kontrollvirksomheten, som de opplever at enkelte andre tilsyn har. De etterlyser mer gjensidig dialog og forståelse og at målsetningen med tilsynet i større grad skal handle om å øke virksomhetens kompetanse i stedet for å «ta dem».
3.7 Datatilsynet skal balansere ulike roller
Datatilsynets ulike virkemidler krever ulik tilnærming og gjør at Datatilsynet inntar ulike roller. Saksbehandling og tilsyn er typiske myndighetsoppgaver som må ivaretas i tråd med regler for forsvarlig saksbehandling og god forvaltningsskikk. Her står kontroll og regeletterlevelse i fokus. Samtidig har Datatilsynet også en viktig oppgave i å veilede offentlige og private aktører i hvordan de kan ivareta personvernregelverket. Denne veiledningen tar ulike former. Det kan være ren informasjon om hva regelverket sier. Det kan være informasjon om hvordan ulike virksomheter har løst konkrete utfordringer og eksempler på god praksis. Eller, som i den regulatoriske sandkassen, være en mer dialogbasert og utforskende form for veiledning der Datatilsynet går sammen med virksomhetene for å finne å finne løsninger som regelverket ikke gir klare svar på.
I tillegg har Datatilsynet også et ansvar for å sette personvern på dagsorden og fremme personvern som en sentral verdi i samfunnet.
3.7.1 Omtaler ikke lenger seg selv som ombud
I Datatilsynets instruks står ombudsrollen listet som ett av Datatilsynets tre forvaltningsområder, og blir beskrevet på denne måten: «Datatilsynet skal fremme allmennhetens kjennskap til og forståelse for personvern, samt fremme personvern som en sentral verdi i samfunnet. I dette arbeidet bør Datatilsynet ta i bruk et bredt spekter av formidlingskanaler og delta i offentlig ordskifte om personvern».
Denne måten å beskrive ombudsrollen på er noe som medarbeidere i dagens Datatilsyn kjenner seg igjen i. Det er en utbredt oppfatning i Datatilsynet om at de har en viktig rolle å sette personvern på dagsorden og å si tydelig fra hvis noen truer personvernet.
Mange gir likevel uttrykk for at de er tilbakeholdne med å bruke ombudsbegrepet fordi de opplever at det eksternt kan være uklart hva som ligger i begrepet, og at det kan gi assossiasjoner til tidligere tider og tidligere direktører som hadde en tøffere og mer konfronterende stil. I vår forrige evaluering av Datatilsynet i 2011 viste vi hvordan Datatilsynets direktør gjennom nesten 20 år, Georg Apenes (fra 1989 til 2010), hadde gitt ombudsrollen høy prioritet, og fylte rollen på en måte som var i grenselandet til å bli en politisk aktør. En av våre anbefalinger den gang var at ombudsrollen burde tydeliggjøres og avgrenses fra å være en ren interessepolitisk aktør (Difi 2011). Dagens medarbeidere mener at Datatilsynet har forandret seg mye de senere årene og er blitt mer bevisste på at ulike hensyn skal veies mot hverandre, men at det har festet seg en oppfatning av Datatilsynet som en kompromissløs forkjemper for personvernet.
I intervjuene med oss er mange, både blant ledere og medarbeidere, opptatt av å få fram at Datatilsynet skal være en medspiller, som sammen med andre kommer fram til gode løsninger og ikke støter viktige samarbeidspartnere fra seg.
3.7.2 Å kombinere veiledning og tilsyn oppleves ikke som noe problem, men aktiviteter som utfyller hverandre
Et synspunkt om at veiledningsrollen kan komme i konflikt med tilsynsrollen får liten støtte blant våre informanter. Snarere tvert imot. Medarbeiderne i Datatilsynet legger vekt på at rollene er til gjensidig nytte for hverandre. Tilsyn gir innsikt i tilstanden på ulike områder og dermed viktig input til hvor det bør settes inn veiledningsressurser.
Det er høy bevissthet i Datatilsynet om at det følger en del formaliteter med det å føre tilsyn, og at det skal være tydelig kommunisert når man er på tilsynsbesøk og når man gir veiledning. Våre eksterne informanter opplever heller ikke at dette er noe problem. Det store kommunetilsynet som var innrettet nettopp med sikte på å kombinere tilsyn og veiledning blir blant annet fra KS trukket fram som svært vellykket, og de legger til: «Vi synes balansen er god. Tilsyn blir kun til nytte hvis det følger veiledning og kunnskapsdeling med tilsynet».
På den annen side blir det fra enkelte stilt spørsmål ved om myndighetsrollen i noen sammenhenger kan virke uheldig inn på veiledningsrollen. Datatilsynet har fått tilbakemeldinger om at enkelte i privat sektor kvier seg for å ta kontakt fordi de er usikre på hvordan det de snakker om vil brukes, for eksempel ved at de senere kommer på tilsyn. I tillegg blir det nevnt både fra eksterne og interne informanter at myndighetsrollen kan gjøre Datatilsynet for forsiktige i veiledningsrollen. Som vi allerede har vært inne på etterlyser mange eksterne informanter at Datatilsynet kommer med mer konkrete vurderinger. Datatilsynet blir naturlig nok tilbakeholdne med å mene sterkt og tydelig om saker som de senere skal føre tilsyn med.
3.7.3 Ulike hensyn avveies ikke alltid like godt nok?
Det er en oppfatning blant en del eksterne informanter at Datatilsynet ikke i tilstrekkelig grad vurderer hensyn opp mot hverandre.
Datatilsynet har et spesielt ansvar i å ivareta personvern, men skal samtidig også veie dette hensynet mot andre hensyn. Personvernregelverket er stort og komplekst. Spørsmål om tolkning av regelverket settes ofte på spissen der regelverket treffer andre fagområder og hensyn. Det kan være behov for å gjøre helhetlige og skjønnsmessige vurderinger der andre hensyn enn personvernet veier tungt. Ett eksempel på dette, som også ble trukket fram av Personvernkommisjonen, er covid-19 pandemien og vurderingen av Smittestopp-appen der personvernhensyn ble vurdert opp mot hensyn til smitteutvikling og smittebekjempelse (NOU 2022:11 s 209).
I en artikkel i Juridika uttaler førsteamanuensis Malgorzata Agnieszka Cyndecka ved Universitetet i Bergen følgende som illustrerer dette:
«Vern av fysiske personer i forbindelse med behandling av personopplysninger er en grunnleggende rettighet, men det er på ingen måte en absolutt rettighet. Den må ses i lys av andre rettigheter og den må jo hele tiden balanseres mot andre rettigheter, verdier og interesser.»3
Noen av våre eksterne informanter mener at Datatilsynet gjør for lite for å finne løsninger på viktige samfunnsproblemer der hensynet til personvern hindrer deling av data. Eksempelvis etterlyser informanter fra finanssektoren større mulighet for deling av data mellom banker for å avdekke økonomisk svindel. De er bekymret for en sterk økning i digital økonomisk kriminalitet. Her er det i dag et tett samarbeid mellom politiet og finansnæringen, men de gir uttrykk for at de er avhengige av et samarbeid med Datatilsynet for å komme videre.
Flere av våre eksterne informanter er opptatt av digitalisering og deling av data. Her er det et ønske både om konkret veiledning og nødvendige avklaringer fra Datatilsynet. For å få på plass gode digitale tjenester på ulike samfunnsområder krever det også at Datatilsynet i større grad går inn i diskusjoner om hvordan personvernhensyn kan avveies andre samfunnshensyn.
Datatilsynet selv viser til at de stadig vurderer problemstillinger der ulike hensyn vurderes opp mot hverandre. Sandkassa er et konkret virkemiddel i så måte, og Datatilsynet understreker at de gjerne skulle ha kapasitet til å gå dybden på flere områder for å utforske løsninger på konkrete utfordringer.
Samtidig er de opptatt av å få fram at Datatilsynets samfunnsoppdrag er å ivareta hensynet til personvern, og dersom dette kommer i konflikt med andre viktige hensyn må dette løftes til en politisk debatt om hvilke hensyn som skal tillegges størst vekt. Ett eksempel på dette ble trukket fram i et program på NRK-radio om bruk av DNA-metoder for å oppklare alvorlige kriminalsaker. Helt konkret gikk spørsmålet ut på om politiet kunne bruke data fra en slektsdatabase som borgerne har sendt spyttprøver til. Datatilsynet ga i programmet uttrykk for at dette utfordret hensynet til at enhver skal ha kontroll over sine personopplysninger, og spesielt når dette skal brukes av politimyndighetene. De mente at det ikke var mulig å gå videre med dette uten en åpen og bred debatt som ble behandlet politisk: «Det må komme en debatt om dette er ønskelig, og så må man finne de riktige rammene for det» (Ekko, NRK, 10.04.24). Et viktig spørsmål i forlengelsen av dette er hvem som skal sikre at denne debatten kommer opp. Dette drøfter vi i kapittel 6.6.
Fotnoter
2Årsrapporter for 2023 for Datatilsynet (N), Integritetsskyddsmyndigheten (S) og Datatilsynet (DK).
3https://juridika.no/innsikt/har-personvernet-overlevd-koronakrisen-smittestopp-appen
DFØ-rapport 2024:8 Både vaktbikkje og førerhund?
Forord
Sammendrag
Våre hovedfunn
Datatilsynet oppnår mye med knappe ressurser
Mange små saker som tar for mye tid
Virksomhetene etterlyser mer konkret og løsningsorientert veiledning
Ulike hensyn avveies ikke alltid godt nok?
Lite oppmerksomhet om ledelse og virksomhetsstyring
DFØs vurderinger og anbefalinger
Datatilsynet bør være både en vaktbikkje og en førerhund
En mer dialogbasert arbeidsform
Økt samarbeid med andre for å løse store samfunnsutfordringer
Datatilsynet bør ta en tydeligere faglig rolle
Datatilsynet bør styrkes ressursmessig
…men samtidig må det stilles tydelige krav til effektivisering av arbeidet
Behov for tydeligere styring og ledelse og gode støttesystemer
Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
Personvern er ikke bare et spørsmål om juss, men også om politikk
Departementene bør komme enda mer på banen
DFØ anbefaler
1. Innledning
1.1 Bakgrunn
1.2 Mål og problemstillinger
Utdyping av problemstillinger
Analysemodell
1.3 Avgrensninger
1.4 Metode og datagrunnlag
Dokumentgjennomgang
Intervjuer
Møter og innlegg underveis i evalueringen
Studiebesøk i Sverige og Danmark
Presentasjon av datamaterialet
1.5 Leseveiledning
2. Datatilsynet og personvernregelverket
2.1 Personvernmyndighetene
2.2 Personvenregelverket
2.2.1 Et regelverk for å møte den teknologiske utviklingen
2.2.2 Personvernforordningen gjelder likt i alle EU/EØS-land
2.2.3 Et omfattende regelverk som stiller store krav til både Datatilsynet og behandlingsansvarlige
2.3 Datatilsynets virkemidler
Saksbehandling
Tilsyn
Veiledning og kommunikasjon
Utredninger
Regulatorisk sandkasse
Personvernombudsordningen
2.4 Datatilsynets organisering
Fotnoter
3. Resultater, roller og oppgaver
3.1 Et synlig tilsyn som setter personvern på dagsordnen
3.2 Sterk vekst i oppgavemengde - mange små saker tar (for) mye tid
3.3 Aktive internasjonalt
3.4 Lett tilgjengelig veileder, men for lite konkret
3.4.1 Virksomhetene etterlyser mer løsningsorientert veiledning
3.4.2 Sandkassa oppleves nyttig, men kan utnyttes enda bedre
3.5 Bred enighet om at tilsyn er nyttig og bør prioriteres
3.6 Etterlyser mer dialog også i tilsynsrollen
3.7 Datatilsynet skal balansere ulike roller
3.7.1 Omtaler ikke lenger seg selv som ombud
3.7.2 Å kombinere veiledning og tilsyn oppleves ikke som noe problem, men aktiviteter som utfyller hverandre
3.7.3 Ulike hensyn avveies ikke alltid like godt nok?
Fotnoter
4. Interne faktorer som påvirker resultatene
4.1 Vekst i antall ansatte, men fortsatt en liten virksomhet
4.2 Høy, men sårbar kompetanse
4.3 Alle roser arbeidsmiljøet
4.4 Digitale støttesystemer utnyttes ikke godt nok
4.5 Lite oppmerksomhet om ledelse og virksomhetsstyring
Flere etterlyser bedre rutiner for prioritering av saker
Ledelse har i begrenset grad vært tema
Ønske om mer administrativ støtte
Flere forbedringstiltak på gang
4.6 Organiseringen fungerer ikke optimalt
Fotnoter
5. Eksterne faktorer som påvirker resultatene
5.1 Sterk og detaljert styrt av GDPR
5.2 Godt forhold til departementene, men begrenset kontakt med JD
5.3 Personvernnemnda gir føringer for Datatilsynets arbeid
5.4 Datatilsynet har grenseflater mot mange aktører
5.5 Utviklingstrekk og utfordringer i tiden framover
Et digitalt samfunn
Flere reguleringer fra EU
Kriser, krig og kriminalitet
Sammenhengende og effektive offentlige tjenester
Fortsatt stor saksmengde
Fotnoter
6. Vurderinger og anbefalinger
6.1 Er Datatilsynet rustet til å møte utfordringene?
6.2 Datatilsynets rolle - vaktbikkje eller førerhund?
6.2.1 Lengre ut på kvisten?
Mer konkret og løsningsorientert veiledning
Mer pragmatiske?
6.2.2 En mer dialogbasert arbeidsform
6.2.3 I større grad være konstruktiv (og kritisk) medspiller for å løse store samfunnsutfordringer?
6.3 Behov for å sikre ressurser til viktige oppgaver
6.3.1 Saksbehandlingstiden må ned!
6.3.2 Datatilsynet bør ta en tydelige rolle
6.3.3 Datatilsynet bør styrkes ressursmessig
6.4 Behov for effektivisering
6.4.1 Flere ressurser løser ikke alle utfordringer
6.4.2 Behov for tydeligere styring og ledelse
6.4.3 Ta i bruk styrings- og støttesystemer
6.5 Organisering og kompetanse må tilpasses fremtidige behov
6.5.1 Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver
6.5.2 Organiseringen må legge til rette for at kompetanse og ressurser brukes best mulig
6.5.3 Behov for å opprettholde fagkompetansen og sikre forvaltningskompetansen
6.6 Hvor er den "store" personverndiskusjonen?
6.6.1 Personvern er ikke bare et spørsmål om juss, men også om politikk
6.6.2 Departementene må komme enda mer på banen
6.6.3 Behov for mer faglig dialog mellom departementene og Datatilsynet
6.6.4 Behov for å vurdere Personvernnemnda?
6.7 Hovedkonklusjon og oppsummerte anbefalninger
Referanser
Vedlegg 1
Vedlegg 2
Kontakt med Datatilsynet
Datatilsynets resultater, roller og oppgaver
Datatilsynets organisering, arbeidsformer og kompetanse
Utfordringer og utviklingsbehov framover
Vedlegg 3
Datatilsynets oppgaver, ressurser og mål
Overordnet om Datatilsynets resultater
Datatilsynets roller og virkemidler
Organisering, arbeidsformer, ledelse og kompetanse (interne faktorer som påvirker resultatene)
Eksterne faktorer som påvirker Datatilsynets resultater
Utfordringer og utviklingsbehov framover
Vedlegg 4