Kapittel

5. Eksterne faktorer som påvirker resultatene

I dette kapittelet presenterer vi funn fra dokumentstudier og intervjuer som belyser de mest sentrale eksterne faktorene som påvirker Datatilsynets måloppnåelse og oppgaveutførelse, jf. analysemodellens pkt. 3 b. Disse eksterne faktorene er viktige rammebetingelser for Datatilsynets arbeid.

5.1 Sterk og detaljert styrt av GDPR

Et særtrekk ved Datatilsynet er at virksomheten er sterkt styrt gjennom krav som stilles i GDPR (se også kapittel 2). Personvernforordningen gjelder i alle EØS-land, selv om det også finnes bestemmelser som gjelder nasjonal regulering. For Datatilsynet betyr dette at virksomheten i stor grad styres av, og tilpasses, et europeisk regelverk. Avgjørelser i EDPB og europeiske domstoler, får konsekvenser for Datatilsynets arbeid. Det definerer hvilket rom Datatilsynet har til å utøve skjønn og det gir føringer på hvordan de skal behandle saker.

Et eksempel (høsten 2023/våren 2024) er at det ligger en sak i EU-domstolen som berører Datatilsynenes muligheter til å unnlate å behandle alle små klagesaker. Datatilsynet selv mener at deres ressurser kan utnyttes bedre enn å måtte fatte vedtak i et stort antall klagesaker, men her må Datatilsynet følge avgjørelser både i Personvernnemnda og europeiske domstoler.

Hensikten med GDPR er at det skal være samme krav til behandling av personopplysninger i hele EØS-området. Dette er i utgangspunktet positivt, men som Personvernkommisjonen skriver, så er det en rekke utfordringer knyttet til GDPR. Regelverket er komplekst og det er krevende både for behandlingsansvarlige og de som er eksperter på regelverket. Det skaper et stort behov for veiledning og mange muligheter for å trå feil. Personvernkommisjonen beskriver at utfordringene er knyttet til å finne riktig regelverk, forstå forholdet mellom regelverk og også omfang og språk i forordningen.

Som beskrevet i kapittel 3.3 deltar Datatilsynet aktivt i det europeiske samarbeidet på personvernområdet, og er blant annet representert i samtlige ekspertgrupper. I mange av ekspertgruppene tar Datatilsynet ansvaret for å føre forslag i pennen og får på den måten innflytelse på fortolkningen av regelverket.

Fra intervjuene – også i Sverige og Danmark – får vi inntrykk av at den gjengse oppfatning er at EDPB er strenge i sin tolkning av regelverket. Datatilsynet og de nordiske personvernmyndighetene samarbeider for å påvirke EDPB i en mindre streng og mer løsningsorientert retning.

5.2 Godt forhold til departementene, men begrenset kontakt med JD

Datatilsynet er som nevnt i kapittel 1 administrativt underlagt DFD, mens lovansvaret ligger i JD. På grunn av Datatilsynets uavhengighet, er styringen fra DFD på et overordnet nivå. Departementet styrer Datatilsynet på overordnete mål og budsjett, men også på mer konkrete oppgaver som den regulatoriske sandkassen. Datatilsynet får i tillegg de samme fellesføringene som alle andre statlige virksomheter.

Inntrykket fra intervjuene i Datatilsynet er at det er et veldig godt samarbeid med DFD. Det er ett etatsstyringsmøte i året, og et budsjettmøte på høsten. Utover det er det enkelte fagmøter. Det er jevnlig kontakt mellom DFD og Datatilsynet, men lite av det er formalisert. Det meste av kontakten skjer på ledernivå.

Det er diskusjon om hvordan kontakten kan formaliseres mer, uten at det blir sett på som styring fra departementets side. I noen år ble det holdt strategimøter mellom DFD og Datatilsynet, men de ble ikke videreført. Samtidig gir departementet uttrykk for at de har behov for å ha faglig dialog og styre innenfor regelverkets rammer.

Datatilsynet har mindre kontakt med JD enn med DFD, og JD deltar ikke på etatsstyringsmøtene med Datatilsynet. Inntrykket er at de fleste medarbeiderne i Datatilsynet har svært begrenset kontakt med JD, og mye av kontakten skjer via DFD. De som har kontakt med JD uttaler at samarbeidet er godt, men at JD er fjernere enn DFD og at det kan ta tid før de får nødvendige svar fra JD. I JD er ansvaret for personopplysningsloven lagt til Lovavdelingen, og dette er en av flere lover som ligger til avdelingen.

Det er få av informantene i Datatilsynet som har sterke meninger om det delte ansvaret for Datatilsynet, men de fleste som har en mening, gir uttrykk for at det hadde vært en klar fordel om lovansvaret og styringsansvaret var samlet. Det var få av de eksterne informantene som hadde synspunkter på dette spørsmålet i intervjuene, men da temaet kom opp på siste referansegruppemøte var det det flere som tok til orde for at lovansvar og etatsstyringsansvar burde samles for å bidra til en mer helhetlig styring av Datatilsynet og også for å tydeliggjøre det politiske ansvaret på personvernområdet.

5.3 Personvernnemnda gir føringer for Datatilsynets arbeid

Personvernnemnda behandler og avgjør klager over Datatilsynets vedtak. Nemnda kan prøve alle sider av de sakene som tas til behandling, også Datatilsynets skjønnsutøvelse. Nemnda har sju medlemmer og sekretariatet består av en sekretariatsleder som er formelt ansatt i DFD.

 I 2023 mottok Datatilsynet 62 klager på sine vedtak. I sju av sakene omgjorde Datatilsynet selv vedtaket, mens de de sendte 31 saker over til Personvernnemnda for klagebehandling. Personvernnemnda fattet vedtak i 20 av sakene, og i 17 av disse ble vedtaket opprettholdt. Det siste året har det altså vært en relativt lav andel av Datatilsynets vedtak som har blitt omgjort, men som tabellen nedenfor viser, har andelen variert noe fra år til år og har de to siste årene vært vesentlig lavere enn de to foregående årene. Hovedinntrykket er imidlertid at det er få av Datatilsynets vedtak som blir omgjort.

Avgjørelsene i klagesaker gir føringer på tilsynets behandling av tilsvarende saker.

 201520162017201820192020202120222023
Antall vedtak fattet av Datatilsynet5955646832468283252306301303
Antall klager på vedtak332939282338433862
          
Antall saker sendt til nemnda151720171622212231
Antall vedtak fattet av nemnda4131481013161920
Antall saker omgjort eller opphevet av nemnda1563110823

Tabell 6 Utviklingen i saker til Personvernnemnda (kilde: årsrapporter fra Datatilsynet)

For Datatilsynet betyr nemndas avgjørelser at de får viktige avklaringer på skjønnsutøvelsen som gir føringer på tilsynets behandling av tilsvarende saker. Informanter i Datatilsynet gir uttrykk for at de aktivt har utfordret nemnda på hva handlingsrommet er i behandlingen av saker og har, som vi omtalte i kapittel 3, forsøkt å forenkle saksbehandlingen av saker de mener utgjør en liten trussel for personvernet. Her har nemnda slått fast at saksbehandlingen i alle klager om brudd på personvernregelverket må avsluttes med et vedtak. For Datatilsynet innebærer disse avgjørelsene at de ikke har mulighet til å avvise å behandle henvendelser om brudd på personvernregelverket. Det får konsekvenser for ressursbruken i tilsynet, ikke minst når antallet slike saker øker. Datatilsynet har imidlertid et handlingsrom mht. hvor grundige undersøkelser de må gjøre.

Informantene i Datatilsynet gir uttrykk for at de mener nemnda gjør en god jobb, men enkelte er kritiske til at nemnda ikke tar nok hensyn til europeisk rett. Det blir også uttrykt bekymring for kapasiteten og kompetansen i nemda til å behandle et økende antall store og komplekse saker av type Grindr eller Meta. Dette er saker som Datatilsynet kan ha jobbet med i mange år og som er svært krevende å sette seg inn i.

5.4 Datatilsynet har grenseflater mot mange aktører

Personopplysningsloven dekker alle samfunnsområder og Datatilsynet har derfor berøringsflater og utstrakt kontakt med mange aktører – både offentlige og private. I Datatilsynets årsrapport redegjøres det for samarbeidet med de mest sentrale samarbeidspartnerne og de særskilte samarbeidsforaene som er etablert.

Det er for eksempel en sterk nærhet mellom personvern og forbrukervern. Datatilsynet har utstrakt samarbeid med Forbrukerrådet og deltar i et nasjonalt samarbeidsforum som for øvrig består av Forbrukertilsynet og Konkurransetilsynet. Samarbeidsforumet skal sikre mest mulig koordinert og effektiv ivaretakelse av personvernet, forbrukervernet og fri konkurranse i den digitale økonomien, gjennom samarbeid, diskusjoner og informasjonsutveksling.

Av andre konkrete samarbeidspartnere nevnes blant annet Arkivverket, Konkurransetilsynet, Nkom, NSM, DFØ, KS, Riksrevisjonen og Teknologirådet. Det er videre jevnlig kontakt med blant annet Helsedirektoratet fordi de representerer en sektor med mye deling av persondata.

Datatilsynet samarbeider også med Digitaliseringsdirektoratet (Digdir). Vi får inntrykk av at samarbeidet stort sett er godt, og at det er jevnlig og uformelt samarbeid på saksbehandler- og mellomledernivå der man utveksler informasjon om hva som rører seg i de to virksomhetene. På direktørnivå er det ett kontaktmøte i året.

Datatilsynet og Digdir har samfunnsoppdrag som ikke alltid trekker i samme retning. Mens Datatilsynet er opptatt av å beskytte personopplysninger, er Digdir mer opptatt av å legge til rette for effektiv digitalisering og deling av data. Dette spisset seg til i forbindelse med den såkalte Schrems II-dommen, der Digdir og Datatilsynet ga noe motstridende råd om bruken av skytjenester (se også kapittel 6.2.1).

I intervjuene i Datatilsynet får vi inntrykk av at Datatilsynet ønsker å samarbeide med andre statlige virksomheter, men at tiden ikke alltid strekker til. Kontaktmøter på direktørnivå har ligget litt nede de siste årene, dels på grunn av pandemien og dels på grunn av direktørskifte. Dette er nå i ferd med å ta seg opp igjen.

5.5 Utviklingstrekk og utfordringer i tiden framover

Det skjer også endringer i samfunnet og i omgivelsene som får betydning for Datatilsynet fremover (jf. analysemodellens del 4). Vi vil her kort omtale noen av de mest sentrale utviklingstrekkene.

Et digitalt samfunn

I våre intervjuer er det særlig den teknologiske utviklingen som er trukket frem som et viktig utviklingstrekk. Det samme nevnes i Personvernkommisjonens rapport og i Datatilsynets årsrapport.

Norge er et av verdens mest digitaliserte land. Teknologien gir store muligheter for å skape effektive og brukerrettede offentlige og private tjenester. Personopplysninger kan deles og brukes flere ganger og tjenester kan integreres med hverandre. Det er et stort potensial for betydelige gevinster for samfunnet som helhet og for den enkelte innbygger, men dette må samtidig avveies mot grunnleggende personvernhensyn.

Både i våre intervjuer og i samfunnsdebatten for øvrige, er det kunstig intelligens (KI) som nevnes spesielt som et utviklingstrekk som vil få betydning for Datatilsynets virksomhet. KI gir store muligheter, men innebærer også betydelige utfordringer. I årsrapporten for 2023 skriver Datatilsynet blant annet følgende:

«Den nyeste KI-teknologien er eid og finansiert av store internasjonale aktører som kontrollerer en stadig større del av den grunnleggende digitale infrastrukturen globalt. Mange av selskapene er bygd på forretningsmodeller som aktivt sporer livene våre, og omgjør data til profitt. Når et knippe store aktører dominerer markedet, skaper det et ujevnt maktforhold mellom tilbydere og de som tar i bruk teknologien. Denne dynamikken gjør det utfordrende for norske myndigheter, virksomheter og innbyggere å sette krav som ivaretar personvernet.»

Flere reguleringer fra EU

Innføringen av EUs KI-forordning (AI-Act) vil få betydning for Datatilsynets virksomhet fremover. KI-forordningen innebærer at det vil være flere myndigheter som skal ha et ansvar for håndhevingen, blant annet Datatilsynet.

Som regel vil utvikling, opplæring og bruk av KI innebære behandling av personopplysninger, og det betyr at både KI-forordningen og GDPR vil komme til anvendelse. Dette innebærer at Datatilsynet må ha tilstrekkelige ressurser til å ivareta disse oppgavene.

I løpet av de neste årene vil også flere andre europeiske regelverk, inkludert Digital Services Act, Digital Markets Act, Digital Governance Act og Data Act, bli gjeldende i Norge. Som Datatilsynet skriver i sin årsrapport for 2023:

«Reguleringsbølgen fra EU er utformet for å temme teknologigigantenes innflytelse og legge til rette for ansvarlig digitalisering og innovasjon.»

Datatilsynet viser også til at det de neste årene skal det innføres nye informasjonssystemer for inn- og utreiseregistrering, et system for fremreisetillatelse og et rammeverk for interoperabilitet mellom EUs informasjonssystemer er også vedtatt og skal gjennomføres i EU- og Schengen-landene.

Et viktig trekk ved utviklingen er at «det kan behandles flere personopplysninger, for flere formål, med tilgang for flere myndigheter og med en tettere integrasjon mellom systemene» (Datatilsynet 2024b). 

Kriser, krig og kriminalitet

Den sikkerhetspolitiske situasjonen og trusselen om terror medfører økt vekt på samfunnssikkerhet og beredskap. Det samme har pandemien gjort. Kriminalitetsbildet er i endring, med en økning i cyberkriminalitet, organisert kriminalitet og økonomisk kriminalitet. Kriminaliteten truer den alminnelige tryggheten, økonomiske verdier, grunnleggende samfunnsstrukturer og kritisk infrastruktur og samfunnsfunksjoner (Politiet 2024).

Trusselsituasjonen kan innebære at det innføres tiltak som utfordrer personvernet. For Datatilsynet innebærer det både at det blir viktig å synliggjøre og ivareta verdien av personvern, men det innebærer også sterkere forventninger om å samarbeide med andre myndigheter for å løse de store samfunnsutfordringene som kriser, krig og kriminalitet medfører.

Sammenhengende og effektive offentlige tjenester

I Norge er innbyggernes tillit til myndighetene og til hverandre høy. Samtidig har tilliten til institusjoner og politikere gått ned siden 2021 og tilfredsheten med offentlige tjenester viser også en svak nedadgående trend over tid (DFØ 2024a).

Innbyggerne har store forventninger til kvaliteten på offentlige tjenester, og at brukeren settes i sentrum for utvikling av tjenestene. Det er et mål at offentlige tjenester skal oppleves sammenhengende og helhetlige for brukerne, uavhengig av hvilke offentlige virksomheter som tilbyr dem. Det innebærer samarbeid og deling av personopplysninger mellom ulike statlige myndigheter og på tvers av forvaltningsnivåene.

Når innbyggernes personopplysninger skal deles, er det viktig at dette gjøres i tråd med regelverket. Brudd på personopplysningsloven kan føre til svekket tillit til offentlige myndigheter. Det kan igjen føre til manglende vilje i befolkningen til å dele personopplysninger som er viktige nettopp for at myndighetene skal kunne yte effektive og gode tjenester.

Dette stiller forventninger til Datatilsynet om å være en kritisk, men konstruktiv samarbeidspartner med andre offentlige myndigheter slik at offentlige tjenester blir sammenhengende og effektive og samtidig ivaretar kravene til personvern.

Fortsatt stor saksmengde

Veksten i antall saker er en stor utfordring for Datatilsynet i dag. Det er ingen grunn til å tro at saksmengden vil bli mindre i tiden fremover. Økningen i antall klagesaker, avviksmeldinger og innsynsbegjæringer har økt jevnt de siste årene. Flere reguleringer innebærer flere regelverk Datatilsynet skal føre tilsyn med.

I tillegg er det som vist i kapittel 3 både forventet og ønskelig at Datatilsynet i større grad jobber mer løsningsorientert og er mer konkret i sin veiledning. Det vil altså fortsatt være stor etterspørsel etter veiledning fra Datatilsynet, samtidig som innkommende saker fortsatt vil kreve ressurser i virksomheten.

Fotnoter

8Det var en signifikant nedgang i antall saker i 2018 noe som blant annet skyldes en vesentlig nedgang i antall konsesjonssaker pga. at konsesjonsordningen ble avviklet ved innføring av GDPR. I tillegg var det ikke lenger nødvendig å behandle søknader om å opprette personvernombud (Årsmelding 2018 s. 13)

Oppdatert: 19. august 2024

DFØ-rapport 2024:8 Både vaktbikkje og førerhund?

Skriv ut / lag PDF

Forord

Sammendrag

Våre hovedfunn

Datatilsynet oppnår mye med knappe ressurser

Mange små saker som tar for mye tid

Virksomhetene etterlyser mer konkret og løsningsorientert veiledning

Ulike hensyn avveies ikke alltid godt nok?

Lite oppmerksomhet om ledelse og virksomhetsstyring

DFØs vurderinger og anbefalinger

Datatilsynet bør være både en vaktbikkje og en førerhund

En mer dialogbasert arbeidsform

Økt samarbeid med andre for å løse store samfunnsutfordringer

Datatilsynet bør ta en tydeligere faglig rolle

Datatilsynet bør styrkes ressursmessig

…men samtidig må det stilles tydelige krav til effektivisering av arbeidet

Behov for tydeligere styring og ledelse og gode støttesystemer

Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver

Personvern er ikke bare et spørsmål om juss, men også om politikk

Departementene bør komme enda mer på banen

DFØ anbefaler

1. Innledning

1.1 Bakgrunn

1.2 Mål og problemstillinger

Utdyping av problemstillinger

Analysemodell

1.3 Avgrensninger

1.4 Metode og datagrunnlag

Dokumentgjennomgang

Intervjuer

Møter og innlegg underveis i evalueringen

Studiebesøk i Sverige og Danmark

Presentasjon av datamaterialet

1.5 Leseveiledning

2. Datatilsynet og personvernregelverket

2.1 Personvernmyndighetene

2.2 Personvenregelverket

2.2.1 Et regelverk for å møte den teknologiske utviklingen

2.2.2 Personvernforordningen gjelder likt i alle EU/EØS-land

2.2.3 Et omfattende regelverk som stiller store krav til både Datatilsynet og behandlingsansvarlige

2.3 Datatilsynets virkemidler

Saksbehandling

Tilsyn

Veiledning og kommunikasjon

Utredninger

Regulatorisk sandkasse

Personvernombudsordningen

2.4 Datatilsynets organisering

Fotnoter

3. Resultater, roller og oppgaver

3.1 Et synlig tilsyn som setter personvern på dagsordnen

3.2 Sterk vekst i oppgavemengde - mange små saker tar (for) mye tid

3.3 Aktive internasjonalt

3.4 Lett tilgjengelig veileder, men for lite konkret

3.4.1 Virksomhetene etterlyser mer løsningsorientert veiledning

3.4.2 Sandkassa oppleves nyttig, men kan utnyttes enda bedre

3.5 Bred enighet om at tilsyn er nyttig og bør prioriteres

3.6 Etterlyser mer dialog også i tilsynsrollen

3.7 Datatilsynet skal balansere ulike roller

3.7.1 Omtaler ikke lenger seg selv som ombud

3.7.2 Å kombinere veiledning og tilsyn oppleves ikke som noe problem, men aktiviteter som utfyller hverandre

3.7.3 Ulike hensyn avveies ikke alltid like godt nok?

Fotnoter

4. Interne faktorer som påvirker resultatene

4.1 Vekst i antall ansatte, men fortsatt en liten virksomhet

4.2 Høy, men sårbar kompetanse

4.3 Alle roser arbeidsmiljøet

4.4 Digitale støttesystemer utnyttes ikke godt nok

4.5 Lite oppmerksomhet om ledelse og virksomhetsstyring

Flere etterlyser bedre rutiner for prioritering av saker

Ledelse har i begrenset grad vært tema

Ønske om mer administrativ støtte

Flere forbedringstiltak på gang

4.6 Organiseringen fungerer ikke optimalt

Fotnoter

5. Eksterne faktorer som påvirker resultatene

5.1 Sterk og detaljert styrt av GDPR

5.2 Godt forhold til departementene, men begrenset kontakt med JD

5.3 Personvernnemnda gir føringer for Datatilsynets arbeid

5.4 Datatilsynet har grenseflater mot mange aktører

5.5 Utviklingstrekk og utfordringer i tiden framover

Et digitalt samfunn

Flere reguleringer fra EU

Kriser, krig og kriminalitet

Sammenhengende og effektive offentlige tjenester

Fortsatt stor saksmengde

Fotnoter

6. Vurderinger og anbefalinger

6.1 Er Datatilsynet rustet til å møte utfordringene?

6.2 Datatilsynets rolle - vaktbikkje eller førerhund?

6.2.1 Lengre ut på kvisten?

Mer konkret og løsningsorientert veiledning

Mer pragmatiske?

6.2.2 En mer dialogbasert arbeidsform

6.2.3 I større grad være konstruktiv (og kritisk) medspiller for å løse store samfunnsutfordringer?

6.3 Behov for å sikre ressurser til viktige oppgaver

6.3.1 Saksbehandlingstiden må ned!

6.3.2 Datatilsynet bør ta en tydelige rolle

6.3.3 Datatilsynet bør styrkes ressursmessig

6.4 Behov for effektivisering

6.4.1 Flere ressurser løser ikke alle utfordringer

6.4.2 Behov for tydeligere styring og ledelse

6.4.3 Ta i bruk styrings- og støttesystemer

6.5 Organisering og kompetanse må tilpasses fremtidige behov

6.5.1 Rollebevissthet er viktigere enn organisatorisk skille mellom ulike oppgaver

6.5.2 Organiseringen må legge til rette for at kompetanse og ressurser brukes best mulig

6.5.3 Behov for å opprettholde fagkompetansen og sikre forvaltningskompetansen

6.6 Hvor er den "store" personverndiskusjonen?

6.6.1 Personvern er ikke bare et spørsmål om juss, men også om politikk

6.6.2 Departementene må komme enda mer på banen

6.6.3 Behov for mer faglig dialog mellom departementene og Datatilsynet

6.6.4 Behov for å vurdere Personvernnemnda?

6.7 Hovedkonklusjon og oppsummerte anbefalninger

Referanser

Vedlegg 1

Vedlegg 2

Kontakt med Datatilsynet

Datatilsynets resultater, roller og oppgaver

Datatilsynets organisering, arbeidsformer og kompetanse

Utfordringer og utviklingsbehov framover 

Vedlegg 3

Datatilsynets oppgaver, ressurser og mål

Overordnet om Datatilsynets resultater 

 Datatilsynets roller og virkemidler

Organisering, arbeidsformer, ledelse og kompetanse (interne faktorer som påvirker resultatene)

 Eksterne faktorer som påvirker Datatilsynets resultater

 Utfordringer og utviklingsbehov framover 

Vedlegg 4

Datatilsynet i Danmark

Nøkkeltall

Særtrekk ved Datatilsynet i Danmark

Organisering

Utvikling i saksbehandling

Utviklingstrekk og erfaringer

Integritetsskyddsmyndigheten (IMY)

Nøkkeltall

Særtrekk ved IMY

Utviklingstrekk og erfaringer

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.