I dette kapittelet presenterer vi funn fra dokumentstudier og intervjuer som belyser de mest sentrale eksterne faktorene som påvirker Datatilsynets måloppnåelse og oppgaveutførelse, jf. analysemodellens pkt. 3 b. Disse eksterne faktorene er viktige rammebetingelser for Datatilsynets arbeid.
5.1 Sterk og detaljert styrt av GDPR
Et særtrekk ved Datatilsynet er at virksomheten er sterkt styrt gjennom krav som stilles i GDPR (se også kapittel 2). Personvernforordningen gjelder i alle EØS-land, selv om det også finnes bestemmelser som gjelder nasjonal regulering. For Datatilsynet betyr dette at virksomheten i stor grad styres av, og tilpasses, et europeisk regelverk. Avgjørelser i EDPB og europeiske domstoler, får konsekvenser for Datatilsynets arbeid. Det definerer hvilket rom Datatilsynet har til å utøve skjønn og det gir føringer på hvordan de skal behandle saker.
Et eksempel (høsten 2023/våren 2024) er at det ligger en sak i EU-domstolen som berører Datatilsynenes muligheter til å unnlate å behandle alle små klagesaker. Datatilsynet selv mener at deres ressurser kan utnyttes bedre enn å måtte fatte vedtak i et stort antall klagesaker, men her må Datatilsynet følge avgjørelser både i Personvernnemnda og europeiske domstoler.
Hensikten med GDPR er at det skal være samme krav til behandling av personopplysninger i hele EØS-området. Dette er i utgangspunktet positivt, men som Personvernkommisjonen skriver, så er det en rekke utfordringer knyttet til GDPR. Regelverket er komplekst og det er krevende både for behandlingsansvarlige og de som er eksperter på regelverket. Det skaper et stort behov for veiledning og mange muligheter for å trå feil. Personvernkommisjonen beskriver at utfordringene er knyttet til å finne riktig regelverk, forstå forholdet mellom regelverk og også omfang og språk i forordningen.
Som beskrevet i kapittel 3.3 deltar Datatilsynet aktivt i det europeiske samarbeidet på personvernområdet, og er blant annet representert i samtlige ekspertgrupper. I mange av ekspertgruppene tar Datatilsynet ansvaret for å føre forslag i pennen og får på den måten innflytelse på fortolkningen av regelverket.
Fra intervjuene – også i Sverige og Danmark – får vi inntrykk av at den gjengse oppfatning er at EDPB er strenge i sin tolkning av regelverket. Datatilsynet og de nordiske personvernmyndighetene samarbeider for å påvirke EDPB i en mindre streng og mer løsningsorientert retning.
5.2 Godt forhold til departementene, men begrenset kontakt med JD
Datatilsynet er som nevnt i kapittel 1 administrativt underlagt DFD, mens lovansvaret ligger i JD. På grunn av Datatilsynets uavhengighet, er styringen fra DFD på et overordnet nivå. Departementet styrer Datatilsynet på overordnete mål og budsjett, men også på mer konkrete oppgaver som den regulatoriske sandkassen. Datatilsynet får i tillegg de samme fellesføringene som alle andre statlige virksomheter.
Inntrykket fra intervjuene i Datatilsynet er at det er et veldig godt samarbeid med DFD. Det er ett etatsstyringsmøte i året, og et budsjettmøte på høsten. Utover det er det enkelte fagmøter. Det er jevnlig kontakt mellom DFD og Datatilsynet, men lite av det er formalisert. Det meste av kontakten skjer på ledernivå.
Det er diskusjon om hvordan kontakten kan formaliseres mer, uten at det blir sett på som styring fra departementets side. I noen år ble det holdt strategimøter mellom DFD og Datatilsynet, men de ble ikke videreført. Samtidig gir departementet uttrykk for at de har behov for å ha faglig dialog og styre innenfor regelverkets rammer.
Datatilsynet har mindre kontakt med JD enn med DFD, og JD deltar ikke på etatsstyringsmøtene med Datatilsynet. Inntrykket er at de fleste medarbeiderne i Datatilsynet har svært begrenset kontakt med JD, og mye av kontakten skjer via DFD. De som har kontakt med JD uttaler at samarbeidet er godt, men at JD er fjernere enn DFD og at det kan ta tid før de får nødvendige svar fra JD. I JD er ansvaret for personopplysningsloven lagt til Lovavdelingen, og dette er en av flere lover som ligger til avdelingen.
Det er få av informantene i Datatilsynet som har sterke meninger om det delte ansvaret for Datatilsynet, men de fleste som har en mening, gir uttrykk for at det hadde vært en klar fordel om lovansvaret og styringsansvaret var samlet. Det var få av de eksterne informantene som hadde synspunkter på dette spørsmålet i intervjuene, men da temaet kom opp på siste referansegruppemøte var det det flere som tok til orde for at lovansvar og etatsstyringsansvar burde samles for å bidra til en mer helhetlig styring av Datatilsynet og også for å tydeliggjøre det politiske ansvaret på personvernområdet.
5.3 Personvernnemnda gir føringer for Datatilsynets arbeid
Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak. Nemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse. Nemnda har sju medlemmer og sekretariatet består av en sekretariatsleder som er formelt ansatt i DFD.
I 2023 mottok Datatilsynet 62 klager på sine vedtak. I sju av sakene omgjorde Datatilsynet selv vedtaket, mens de de sendte 31 saker over til Personvernnemnda for klagebehandling. Personvernnemnda fattet vedtak i 20 av sakene, og i 17 av disse ble vedtaket opprettholdt. Det siste året har det altså vært en relativt lav andel av Datatilsynets vedtak som har blitt omgjort, men som tabellen nedenfor viser, har andelen variert noe fra år til år og har de to siste årene vært vesentlig lavere enn de to foregående årene. Hovedinntrykket er imidlertid at det er få av Datatilsynets vedtak som blir omgjort.
Avgjørelsene i klagesaker gir føringer på tilsynets behandling av tilsvarende saker.
| 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | |
| Antall vedtak fattet av Datatilsynet | 595 | 564 | 683 | 2468 | 283 | 252 | 306 | 301 | 303 |
| Antall klager på vedtak | 33 | 29 | 39 | 28 | 23 | 38 | 43 | 38 | 62 |
| Antall saker sendt til nemnda | 15 | 17 | 20 | 17 | 16 | 22 | 21 | 22 | 31 |
| Antall vedtak fattet av nemnda | 4 | 13 | 14 | 8 | 10 | 13 | 16 | 19 | 20 |
| Antall saker omgjort eller opphevet av nemnda | 1 | 5 | 6 | 3 | 1 | 10 | 8 | 2 | 3 |
Tabell 6 Utviklingen i saker til Personvernnemnda (kilde: årsrapporter fra Datatilsynet)
For Datatilsynet betyr nemndas avgjørelser at de får viktige avklaringer på skjønnsutøvelsen som gir føringer på tilsynets behandling av tilsvarende saker. Informanter i Datatilsynet gir uttrykk for at de aktivt har utfordret nemnda på hva handlingsrommet er i behandlingen av saker og har, som vi omtalte i kapittel 3, forsøkt å forenkle saksbehandlingen av saker de mener utgjør en liten trussel for personvernet. Her har nemnda slått fast at saksbehandlingen i alle klager om brudd på personvernregelverket må avsluttes med et vedtak. For Datatilsynet innebærer disse avgjørelsene at de ikke har mulighet til å avvise å behandle henvendelser om brudd på personvernregelverket. Det får konsekvenser for ressursbruken i tilsynet, ikke minst når antallet slike saker øker. Datatilsynet har imidlertid et handlingsrom mht. hvor grundige undersøkelser de må gjøre.
Informantene i Datatilsynet gir uttrykk for at de mener nemnda gjør en god jobb, men enkelte er kritiske til at nemnda ikke tar nok hensyn til europeisk rett. Det blir også uttrykt bekymring for kapasiteten og kompetansen i nemda til å behandle et økende antall store og komplekse saker av type Grindr eller Meta. Dette er saker som Datatilsynet kan ha jobbet med i mange år og som er svært krevende å sette seg inn i.
5.4 Datatilsynet har grenseflater mot mange aktører
Personopplysningsloven dekker alle samfunnsområder og Datatilsynet har derfor berøringsflater og utstrakt kontakt med mange aktører – både offentlige og private. I Datatilsynets årsrapport redegjøres det for samarbeidet med de mest sentrale samarbeidspartnerne og de særskilte samarbeidsforaene som er etablert.
Det er for eksempel en sterk nærhet mellom personvern og forbrukervern. Datatilsynet har utstrakt samarbeid med Forbrukerrådet og deltar i et nasjonalt samarbeidsforum som for øvrig består av Forbrukertilsynet og Konkurransetilsynet. Samarbeidsforumet skal sikre mest mulig koordinert og effektiv ivaretakelse av personvernet, forbrukervernet og fri konkurranse i den digitale økonomien, gjennom samarbeid, diskusjoner og informasjonsutveksling.
Av andre konkrete samarbeidspartnere nevnes blant annet Arkivverket, Konkurransetilsynet, Nkom, NSM, DFØ, KS, Riksrevisjonen og Teknologirådet. Det er videre jevnlig kontakt med blant annet Helsedirektoratet fordi de representerer en sektor med mye deling av persondata.
Datatilsynet samarbeider også med Digitaliseringsdirektoratet (Digdir). Vi får inntrykk av at samarbeidet stort sett er godt, og at det er jevnlig og uformelt samarbeid på saksbehandler- og mellomledernivå der man utveksler informasjon om hva som rører seg i de to virksomhetene. På direktørnivå er det ett kontaktmøte i året.
Datatilsynet og Digdir har samfunnsoppdrag som ikke alltid trekker i samme retning. Mens Datatilsynet er opptatt av å beskytte personopplysninger, er Digdir mer opptatt av å legge til rette for effektiv digitalisering og deling av data. Dette spisset seg til i forbindelse med den såkalte Schrems II-dommen, der Digdir og Datatilsynet ga noe motstridende råd om bruken av skytjenester (se også kapittel 6.2.1).
I intervjuene i Datatilsynet får vi inntrykk av at Datatilsynet ønsker å samarbeide med andre statlige virksomheter, men at tiden ikke alltid strekker til. Kontaktmøter på direktørnivå har ligget litt nede de siste årene, dels på grunn av pandemien og dels på grunn av direktørskifte. Dette er nå i ferd med å ta seg opp igjen.
5.5 Utviklingstrekk og utfordringer i tiden framover
Det skjer også endringer i samfunnet og i omgivelsene som får betydning for Datatilsynet fremover (jf. analysemodellens del 4). Vi vil her kort omtale noen av de mest sentrale utviklingstrekkene.
Et digitalt samfunn
I våre intervjuer er det særlig den teknologiske utviklingen som er trukket frem som et viktig utviklingstrekk. Det samme nevnes i Personvernkommisjonens rapport og i Datatilsynets årsrapport.
Norge er et av verdens mest digitaliserte land. Teknologien gir store muligheter for å skape effektive og brukerrettede offentlige og private tjenester. Personopplysninger kan deles og brukes flere ganger og tjenester kan integreres med hverandre. Det er et stort potensial for betydelige gevinster for samfunnet som helhet og for den enkelte innbygger, men dette må samtidig avveies mot grunnleggende personvernhensyn.
Både i våre intervjuer og i samfunnsdebatten for øvrige, er det kunstig intelligens (KI) som nevnes spesielt som et utviklingstrekk som vil få betydning for Datatilsynets virksomhet. KI gir store muligheter, men innebærer også betydelige utfordringer. I årsrapporten for 2023 skriver Datatilsynet blant annet følgende:
«Den nyeste KI-teknologien er eid og finansiert av store internasjonale aktører som kontrollerer en stadig større del av den grunnleggende digitale infrastrukturen globalt. Mange av selskapene er bygd på forretningsmodeller som aktivt sporer livene våre, og omgjør data til profitt. Når et knippe store aktører dominerer markedet, skaper det et ujevnt maktforhold mellom tilbydere og de som tar i bruk teknologien. Denne dynamikken gjør det utfordrende for norske myndigheter, virksomheter og innbyggere å sette krav som ivaretar personvernet.»
Flere reguleringer fra EU
Innføringen av EUs KI-forordning (AI-Act) vil få betydning for Datatilsynets virksomhet fremover. KI-forordningen innebærer at det vil være flere myndigheter som skal ha et ansvar for håndhevingen, blant annet Datatilsynet.
Som regel vil utvikling, opplæring og bruk av KI innebære behandling av personopplysninger, og det betyr at både KI-forordningen og GDPR vil komme til anvendelse. Dette innebærer at Datatilsynet må ha tilstrekkelige ressurser til å ivareta disse oppgavene.
I løpet av de neste årene vil også flere andre europeiske regelverk, inkludert Digital Services Act, Digital Markets Act, Digital Governance Act og Data Act, bli gjeldende i Norge. Som Datatilsynet skriver i sin årsrapport for 2023:
«Reguleringsbølgen fra EU er utformet for å temme teknologigigantenes innflytelse og legge til rette for ansvarlig digitalisering og innovasjon.»
Datatilsynet viser også til at det de neste årene skal det innføres nye informasjonssystemer for inn- og utreiseregistrering, et system for fremreisetillatelse og et rammeverk for interoperabilitet mellom EUs informasjonssystemer er også vedtatt og skal gjennomføres i EU- og Schengen-landene.
Et viktig trekk ved utviklingen er at «det kan behandles flere personopplysninger, for flere formål, med tilgang for flere myndigheter og med en tettere integrasjon mellom systemene» (Datatilsynet 2024b).
Kriser, krig og kriminalitet
Den sikkerhetspolitiske situasjonen og trusselen om terror medfører økt vekt på samfunnssikkerhet og beredskap. Det samme har pandemien gjort. Kriminalitetsbildet er i endring, med en økning i cyberkriminalitet, organisert kriminalitet og økonomisk kriminalitet. Kriminaliteten truer den alminnelige tryggheten, økonomiske verdier, grunnleggende samfunnsstrukturer og kritisk infrastruktur og samfunnsfunksjoner (Politiet 2024).
Trusselsituasjonen kan innebære at det innføres tiltak som utfordrer personvernet. For Datatilsynet innebærer det både at det blir viktig å synliggjøre og ivareta verdien av personvern, men det innebærer også sterkere forventninger om å samarbeide med andre myndigheter for å løse de store samfunnsutfordringene som kriser, krig og kriminalitet medfører.
Sammenhengende og effektive offentlige tjenester
I Norge er innbyggernes tillit til myndighetene og til hverandre høy. Samtidig har tilliten til institusjoner og politikere gått ned siden 2021 og tilfredsheten med offentlige tjenester viser også en svak nedadgående trend over tid (DFØ 2024a).
Innbyggerne har store forventninger til kvaliteten på offentlige tjenester, og at brukeren settes i sentrum for utvikling av tjenestene. Det er et mål at offentlige tjenester skal oppleves sammenhengende og helhetlige for brukerne, uavhengig av hvilke offentlige virksomheter som tilbyr dem. Det innebærer samarbeid og deling av personopplysninger mellom ulike statlige myndigheter og på tvers av forvaltningsnivåene.
Når innbyggernes personopplysninger skal deles, er det viktig at dette gjøres i tråd med regelverket. Brudd på personopplysningsloven kan føre til svekket tillit til offentlige myndigheter. Det kan igjen føre til manglende vilje i befolkningen til å dele personopplysninger som er viktige nettopp for at myndighetene skal kunne yte effektive og gode tjenester.
Dette stiller forventninger til Datatilsynet om å være en kritisk, men konstruktiv samarbeidspartner med andre offentlige myndigheter slik at offentlige tjenester blir sammenhengende og effektive og samtidig ivaretar kravene til personvern.
Fortsatt stor saksmengde
Veksten i antall saker er en stor utfordring for Datatilsynet i dag. Det er ingen grunn til å tro at saksmengden vil bli mindre i tiden fremover. Økningen i antall klagesaker, avviksmeldinger og innsynsbegjæringer har økt jevnt de siste årene. Flere reguleringer innebærer flere regelverk Datatilsynet skal føre tilsyn med.
I tillegg er det som vist i kapittel 3 både forventet og ønskelig at Datatilsynet i større grad jobber mer løsningsorientert og er mer konkret i sin veiledning. Det vil altså fortsatt være stor etterspørsel etter veiledning fra Datatilsynet, samtidig som innkommende saker fortsatt vil kreve ressurser i virksomheten.
Fotnoter
8Det var en signifikant nedgang i antall saker i 2018 noe som blant annet skyldes en vesentlig nedgang i antall konsesjonssaker pga. at konsesjonsordningen ble avviklet ved innføring av GDPR. I tillegg var det ikke lenger nødvendig å behandle søknader om å opprette personvernombud (Årsmelding 2018 s. 13)