Personvernlovgivningen legger i stor grad ansvaret på den enkelte når det gjelder å ivareta eget personvern. Samtidig har virksomheter som behandler personopplysninger plikt til å etterleve lovgivningen på området. Dette gjelder både offentlige etater, private organisasjoner og næringsdrivende. Fordi disse gruppene har så forskjellige behov, stiller det store krav til hvordan vi jobber med kommunikasjon i Datatilsynet.
Datatilsynet har som strategisk satsing at vi skal bidra til økt kunnskap om og interesse for personvern. Vi skal også jobbe for at andre aktører tar personvernhensyn. Vi skal sette borgeren i stand til å ta vare på sitt eget personvern, og vi skal ha stor synlighet i personverndebatten. I 2019 har vi fortsatt arbeidet med å lage god veiledning til de nye personvernreglene. Her har kommunikasjon som virkemiddel selvsagt vært svært viktig.
Kommunikasjonsarbeidet er basert på statens kommunikasjonspolitikk og gjeldende regelverk, slik som offentlighetsloven og forvaltningsloven. Videre heter det i instruksen fra Kommunal- og moderniseringsdepartementet at vi skal ha en aktiv holdning til kommunikasjon, både internt og eksternt. Det er viktig at vi fanger opp signaler som angår Datatilsynet, og at vi bruker dette aktivt i kommunikasjonsarbeidet. Kommunikasjon skjer i første rekke gjennom nettstedet vårt, direkte veiledning overfor publikum, aktiv mediekontakt og gjennom en utstrakt foredragsvirksomhet.
I 2019 ble dessuten veiledningstjenesten en egen ressursenhet i kommunikasjonsavdelingen. På denne måten er vi godt rustet til å fange opp behovet fra publikum, og koble ulike tiltak tett opp mot kommunikasjon i ulike kanaler.
Formidling gjennom egne kanaler
Nettstedet datatilsynet.no
Hjemmesiden er vårt viktigste verktøy for kommunikasjon med våre målgrupper, og vi legger stor vekt på at innholdet skal være relevant og enkelt tilgjengelig for våre brukere. Vi lanserte oppdaterte nettsider i august 2019, der funksjonalitet og design var optimalisert etter vårt forarbeid med brukerbehov og analyser som ble lagt året før. Nettsidene har fått bedre strukturert innhold og nye løsninger som har som mål å gjøre brukerne mer selvhjulpne. Et selvstendig mål er å redusere antall henvendelser til vår veiledningstjeneste, noe vi tror vi har lykkes med. Effekten vil vi imidlertid først kunne si noe konkret om over tid.
I kommende periode satses det enda sterkere på veiledning ut til publikum, både til virksomheter og enkeltborgere. Vi skal satse ytterligere på nettbasert veiledning. I 2019 har vi jobbet med å legge til rette for at vi kan åpne opp for chat-tjenester via våre nettsider. Vi har vært på besøk hos Arbeidsdirektoratet i Bodø for å lære av deres måter å gi veiledning via en-til-en-chat, og redet grunnen for ulike verktøy som kan tas i bruk. Planen er å sette opp en pilot i løpet av 2020.
Vi har i 2019 styrket veiledningstjenesten med flere studenter som fortløpende lager aktuelle nettsaker der vi ser at skoen trykker. Arbeidet med elektronisk klageskjema er også høyt prioritert, og skal implementeres via nettstedet.
Vi jobber også med å implementere video-strømming og opptak av egne arrangementer og andre hendelser som kan ha større interesse enn for de som er til stede fysisk. Måler er å nå ut til flest mulig i hele landet. Vår erfaring er at mange virksomheter og enkeltpersoner følger med på våre arrangementer når vi direktesender, og vi ønsker å gjøre dette tilgjengelig fra egen nettside.
Veiledning
Vi produserer, oversetter og publiserer veiledere til sentrale deler av det nye regelverket for å kunne hjelpe virksomhetene med å tilpasse seg suksessivt. God veiledning er avgjørende for virksomheter som skal følge opp plikter de har etter personvernregelverket.
I løpet av meldingsåret ble det blant annet publisert oppdatert veiledning om overvåking og kontroll i arbeidslivet. Formålet er å gi virksomheter en enkel oppskrift på hvordan man kan finne frem i regelverket og gjennomføre gode prosesser. Vi lagde også veiledning om hvordan databehandleravtaler skal sikre at personopplysninger blir behandlet i samsvar med regelverket og som setter en klar ramme for hvordan databehandleren kan behandle opplysninger. Dette gir en praktisk innføring i når man må inngå en databehandleravtale og kravene til innholdet i en slik avtale.
Utvikling og besøk
Antall besøk på datilsynet.no har økt kraftig de siste årene, med en prosentvis økning de siste tre årene på 48 prosent. Siden 2018 har det imidlertid vært en liten nedgang i besøk, noe som kan tyde på at informasjonsbehovet ikke har vært like intenst som i forordningsåret 2018. Det er likevel bare en liten nedgang, og vi vet at det fortsatt er et stort informasjonsbehov blant publikum. Antall sidevisninger har hatt en økning i samme periode, samtidig som vi har hatt en nedgang i antall sider på nettstedet. Nedgang i antall sider kommer av at vi har jobbet med å strukturere innholdet bedre og samle relevant informasjon på en mer effektiv måte.
Statistikk og informasjonskapsler (cookies)
For å ha god innsikt og målrettet arbeid er vi avhengige av gode statistikkverktøy på nettsiden. I 2018 anskaffet vi derfor SiteImpove Analytics for å sikre oss et mer stabilt og grundig datamateriale til vårt fremtidige arbeid. Dette verktøyet bestemte vi oss likevel for å stenge ned i tilknytning til lansering av de oppdaterte nettsidene i august 2019. Etter en nøye vurdering valgte vi å prioritere en nettside som var oppdatert i forhold til nytt regelverk og endringene i cookies-retningslinjene fra det europeiske Personvernrådet. Vi innførte også et cookie-banner med ulike tillatelser på nettsiden. Vi mangler dessuten statistikk på interne søk for hele 2019 siden denne ble slått av ved lansering av nye sider, og all tidligere historikk ble slettet. Vi vil få en annen, cookie-fri måte å hente ut anonym statistikk på fra serverne våre implementert fra nyåret 2020.
NKOM, norsk fagmyndighet på dette feltet, vurderer nå endringer i tolkningen av det norske regelverket.
Personvernblogg, sosiale medier og debattinnlegg
Personvernbloggen.no fungerer etter intensjonen. Den er et rom hvor vi kan reise andre problemstillinger enn vi kan på den ordinære nettsiden, og der vi i større grad kan benytte ombudsrollen vår. Der publiserer vi også kronikker som vi har hatt på trykk i aviser og tidsskrifter.
Vi følger med på omtale av Datatilsynet og personvern på Twitter, og vi besvarer de fleste spørsmål og kommentarer som kommer via denne kanalen.
Vi vurderer også tilstedeværelse i andre SOME-kanaler, og startet opp en risikovurdering av vår eventuelle tilstedeværelse på Facebook. Vi er den første datatilsynsmyndigheten i Europa som gjør en slik grundig vurdering etter personvernforordningen. Vurderingen ferdigstilles våren 2020, og med bakgrunn i denne vi vil ta stilling til om vi åpner en konto for Datatilsynet eller ikke. Vi tror at dette arbeidet vil være en god pekepinn for våre søsterorganisasjoner, og vi regner også med at vår konklusjon vil være av stor interesse for andre aktører og offentligheten.
I 2019 startet vi opp et podcast-prosjekt. Planen er å lansere vår egen podcast, Personvernpodden, i løpet av våren 2020. På denne måten når vi ut i flere og nye kanaler. Målet er å øke bevisstheten og refleksjoner om personvern hos et større publikum.
Nyhetsbrev
Ved utgangen av 2019 var det 3 698 som abonnerte på nyhetsbrevet vårt, og vi opplever en jevn økning i antall abonnenter. Statistikken viser imidlertid en nedgang fra 2017 til 2018, noe som kommer av at vi måtte vi innhente nye samtykker fra alle mottakerne av nyhetsbrevet på grunn av det nye personvernregelverket.
Vi sender i snitt ut to nyhetsbrev i måneden, avhengig av om vi har saker å formidle. Av personvernhensyn har vi ikke noen spesifikk statistikk på antall klikk, men kan generelt si at vi har en høy åpningsrate i våre nyhetsbrev.
Mediekontakt
Vi vurderer mediene som en svært viktig kanal for å få frem budskapene våre, og det er jevn pågang og interesse fra disse. Vi legger stor vekt på å ha et profesjonelt forhold til pressen. Dette innebærer at vi skal ha god tilgjengelighet og et høyt servicenivå overfor journalistene. Dette mener vi å ha lykkes godt med også i 2019.
Vi noterer ned hver gang vi kontaktes av journalister i en ny sak, og i løpet av året har vi registrert 676 besvarte mediehenvendelser til kommunikasjonsavdelingen. Det er imidlertid mange henvendelser som generer flere oppslag i ulike medier, og i mange mediesaker er vi omtalt uten å være kontaktet. Medieovervåkingstjenesten Infomedia har registrert til sammen 4 233 oppslag i medier der Datatilsynet er omtalt i løpet av året.
Det er en ganske jevn fordeling av saker der Datatilsynet er omtalt i riksmedia, lokalmedia og annet (som her vil si nettsteder som ikke er definert som ordinær dagspresse, for eksempel fagtidsskrifter, nettmagasin, organisasjoner, nyhetsbyrå eller andre virksomheter):
Når vi ser på et kodet utvalg av oppslagene, fordeler de seg på følgende kilder:
Det er et relativt jevnt trykk i mediene hele året. Som oversiktene viser, har blant annet de store gebyrsakene knyttet til informasjonssikkerhet i Oslo og Bergen kommune preget nyhetsbildet gjennom året. Avviksmeldinger som meldes inn til tilsynet er også en gjenganger – enten som oppslag om enkeltsaker eller bruk av tall i generelle oppslag. Datatilsynets nei til ny lov om Etterretningstjenesten, skapte også mange oppslag og bred debatt.
Oversikten viser fordelingen av medieoppslag gjennom 2019:
En skjematisk oversikt over noen av de mediesakene som fikk mest omtale:
Foredragsvirksomheten
Foredrag er en viktig del av vår utadrettede kommunikasjonsvirksomhet. De gir oss muligheten til å øke kjennskapen til rettigheter og plikter, og til å skape økt forståelse for betydningen av personvern. Samtidig viser vi synlighet og tilgjengelighet for virksomheter, interesseorganisasjoner og publikum. Eksterne forespørsler vurderes ut fra noen faste kriterier slik som antall deltagere, om temaet er relevant for våre satsningsområder, og selvfølgelig kapasitet.
Egne arrangement
Direkte dialog med ulike målgrupper har vært avgjørende i arbeidet med implementeringen av personvernforordningen, særlig blant små og store virksomheter. Stand på konferanser i privat og offentlig sektor har vært prioritert, blant annet Expo Stavanger, Trondheim og Oslo, i tillegg har vi deltatt som medarrangør på større konferanser om teknologi og samfunn slik som KiNS, Sikkerhetskonferansen, Nokios og Normkonferansen.
Personverndagen
Tradisjonen tro markerte Datatilsynet den internasjonale personverndagen i januar med et personvernseminar i samarbeid med Teknologirådet. 2018 var et merkeår for personvernet: Den nye europeiske personvernlovgivningen (GDPR) trådte i kraft, og satte individenes rettigheter i førersetet. Samtidig ga granskningene av Cambridge Analytica og russisk innblanding i det amerikanske presidentvalget oss et unikt innblikk i hvordan persondata brukes til politisk påvirkning.
På seminaret så vi derfor på status for personvernet et halvt år etter at vi fikk det nye regelverket. Hva har det betydd og hvilke utfordringer ser vi? Teknologirådet diskuterte hvordan personvern og demokrati utfordres av ny teknologi, før arrangementet ble avsluttet med en paneldebatt.
Safer Internet Day – «Skal – skal ikke… Aldersgrenser og barn på sosiale medier»
I februar markerte vi den årlige internasjonale Safer Internet Day med et halvdagsseminar sammen med Utdanningsdirektoratet og Medietilsynet. Denne gangen var tema aldersgrenser og barn på sosiale medier. På seminaret prøvde vi å synliggjøre utfordringene knyttet til aldersgrensene som følger av personvernforordningen, samt å gi tips og råd til foreldre.
Av deltakerne i programmet var blant annet barneombud Inga Bejer Engh, skuespiller Ane Dahl Torp og vår egen direktør Bjørn Erik Thon. Den nyeste filmen vi har produsert i Dubestemmer-prosjektet, ble også lansert. Den tar opp nettopp dette med aldersgrenser i sosiale medier. Arrangementet var fulltegnet og kunne også følges på strømming.
Konkurranse om innebygd personvern i praksis
Innebygd personvern er en plikt for alle virksomheter som behandler personopplysninger. Det er et politisk ønske at dette prinsippet brukes både i statlig og offentlig forvaltning. Det vil styrke den enkeltes personvern og rettigheter, samt sikre personopplysningene bedre.
For å løfte frem eksempler på hvordan dette kan og bør jobbes med rent praktisk, har vi de siste årene utlyst en konkurranse. Alle med en løsning, et system, en applikasjon eller programvare som er utviklet i tråd med prinsippene om innebygd personvern, har vært oppfordret til å sende inn sine bidrag. Nytt av året var at det også ble delt ut en studentpris.
Av bidragene vi fikk inn i 2018, ble så tre finalister plukket ut av en jury til å presentere sine bidrag på et arrangement i mars 2019.
- Vinner av hovedprisen var Microdata.no – en tjeneste som fjerner personvernrisikoen ved forskning på mikrodata, samtidig som forskerne får raskere og langt rimeligere tilgang til dataene. Microdata.no er utviklet av Norsk senter for forskningsdata (NSD) og Statistisk sentralbyrå (SSB).
- Andreplassen gikk til No Isolation som har utviklet kommunikasjonsroboten AV1, der innebygd personvern legger grunnlaget for løsningen og designet. Den er laget for barn og unge med langtidssykdom, og er tatt i bruk i klasserom rundt om i hele Europa.
- Studentprisen gikk til fem studenter fra Senter for Rettsinformatikk ved Universitetet i Oslo. De hadde tatt utgangspunkt i vinnerbidraget fra 2017, Kjernejournal, og uttalelser juryen ga om forbedringer. De kom så med gode, konkrete og beskrivende forslag til hvordan forbedringene kan implementeres i Kjernejournal.
Det er utlyst en tilsvarende konkurranse for 2019, og vinneren vil kåres i mars 2020.
Arendalsuka
Arendalsuka skal være en årlig nasjonal arena hvor aktører innenfor politikk, samfunns- og næringsliv møter hverandre og andre, for debatt og utforming av politikk for nåtid og framtid. Personvern berører så å si alle sektorer og områder i samfunnet vårt. Politikeres holdning til, forståelse for og i hvilken grad de tar hensyn til personvern, er svært viktig. Dette gjenspeiles blant annet i lovforslag, vurdering av kontrolltiltak i samfunnet og i om politikerne er i stand til å finne riktig balanse mellom sikkerhet, brukervennlighet, innovasjon og personvern. Arendalsuka er derfor en viktig arena for Datatilsynet å være synlig på for å best mulig kunne bidra til at personvern står høyt på agendaen når politikk utformes.
I meldingsåret hadde vi derfor flere arrangementer der vi inviterte politikere og fagfolk til debatt om en rekke tema:
- «Kunstig intelligens og personvern: Hvordan styre algoritmene i riktig retning?» (sammen med Tekna)
- «Fremtidens digitale borgere: Tar vi ansvar for å ivareta dem og personopplysningene deres godt nok?»
- «Arendal Analytica: Digital målretting i politisk valgkamp?» (sammen med Civita)
- «PlattformNorge: Datakappløp i helsesektoren – hva slags utfordringer har det for personvernet?»
I tillegg deltok vi på tre andre arrangementer, blant annet i en debatt om forslaget til ny lov om Etterretningstjenesten.
Vi var jevnt over fornøyde med oppmøtet og fikk gode tilbakemeldinger.
Eksterne foredrag
I 2019 holdt vi 160 foredrag på kurs, konferanser og seminarer i regi av andre aktører som ønsket vår deltakelse. Vi er dermed tilbake på et tilsvarende antall som før personvernforordningen ble vedtatt i EU. Dette er innenfor det som har vært vårt normale aktivitetsnivå for foredragsvirksomheten i årene før personvernforordningen.
Vi har også i dette meldingsåret konsentrert innsatsen mot større konferanser og seminarer regi av bransjeorganisasjoner. Ikke minst har vi også prioritert å stille opp på ulike nettverksmøter for personvernombudene.
Vi takket nei til et betydelig antall forespørsler om foredrag som enten ikke oppfylte våre prioriteringskriterier, eller hvor vi rett og slett ikke hadde tilgjengelige medarbeidere på det ønskede tidspunktet.
Veiledningstjenesten
Datatilsynets veiledningstjeneste er et tilbud for virksomheter og publikum som har spørsmål som ikke krever ordinær saksbehandling om behandling av personopplysninger. Et viktig mål med tjenesten er å gjøre enkeltpersoner i stand til å ivareta egne interesser i saker som gjelder personvern og å bistå virksomheter i å følge pliktene i personvernlovgivningen. Det er et stort spenn i kompleksiteten i spørsmålene som er av både juridisk og teknisk karakter.
I løpet av 2019 har veiledningstjenesten registrert totalt 7 186 henvendelser.
Effektivisering av veiledningstjenesten – utvidet åpningstid og utfasing av e-post
Fra og med juni økte vi våre åpningstider på telefonveiledningen, samtidig som vi faset ut veiledning på e-post. Begrunnelsen var å gi et bedre og raskere tilbud til våre brukere. Vi har lenge opplevd en stor økning i antall e-poster, og det kunne ta opptil flere uker å få svar på noe som kunne vært besvart raskt via telefon. I tillegg satser vi på å bygge ut våre nettsider som den primære kilde for informasjon om rettigheter og plikter. Vi har ansatt seks studenter fra juss- og teknologistudier i ressursenheten for veiledning som ble en del av kommunikasjonsavdelingen etter omorganiseringen. Studentene bidrar, foruten telefonveiledning, med å skrive tekster til nettsidene. I tillegg til studentene bidrar jurister og teknologer fra fagseksjonene i den daglige veiledningen på telefon.
Av de 7 186 henvendelser veiledningstjenesten registrerte i 2019, består 1 968 av e-poster (registrert frem til juni) og 5 218 telefoner. Henvendelser per e-post er betraktelig redusert etter at vi faset ut denne tjenesten og økte åpningstid for telefonveiledningen, mens antall telefonhenvendelser har økt noe.
Vi opplever at veiledningstjenesten vår har blitt mer effektiv ved å satse på telefonveiledning. Publikum får raskere svar, og dialogen i veiledningssituasjonen gjør at komplekse problemstillinger blir løst underveis i samtalen. Det hoper seg ikke opp med e-poster i saksbehandlingssystemet, og studenter og saksbehandlere frigjør med tid til ordinær saksbehandling og arbeid med nettsider.
Det er stor variasjon i kompleksiteten i henvendelsene vi får. Noen besvares på få minutter mens flere av henvendelsene er omfattende og kompliserte. I gjennomsnitt brukes det rundt ni minutter på en samtale, mens gjennomsnittlig ventetid er rundt fire minutter. Et mål for kommende år er å få ned ventetiden i telefonkø.
Veiledningstjenesten er til enhver tid er bemannet med tre til fire personer, og vi opplever at etterspørselen fra publikum er stor.
Vi fører statiststikk over henvendelsene som går direkte til veiledningstjenesten. Vi registrerer hva henvendelsene handler om, og hvem henvendelsene kommer fra. I tillegg registrerer vi om henvendelsene dreier seg om arbeidsliv. Dette gjør vi for å få bedre oversikt over hva publikum lurer på slik at vi kan tilpasse veiledningen på nettsiden vår og bygge kompetanse på aktuell tematikk.
Hvem kontakter oss?
Statistikken viser at 49 prosent av de som tar kontakt med denne tjenesten er representanter for virksomheter, mens 48 prosent er privatpersoner. Det nye regelverket begynner å bli godt implementert i flere virksomheter, men mange arbeider fortsatt med å etterlevelse i praksis. Som følge av overgangen til det nye regelverket, har det også tiltrådt flere personvernombud i norske virksomheter.
Personvernombudene står for tre prosent av henvendelsene. Dette antallet er i realiteten høyere, siden vi bare har registrert henvendelser fra personvernombud siden april 2019.
Hva handler henvendelsene om?
Nedenfor følger en kort oppsummering av de mest sentrale kategoriene for hva veiledningstjenesten får spørsmål om. Merk at tallene ikke vil være fullstendig dekkende, ettersom flere av henvendelsene vil kunne plasseres i ulike kategorier.
Register
Én av fire henvendelser til veiledningstjenesten handlet om registre. Det dreier seg blant annet om hva som kan registreres, når og hvordan man kan kreve å få slettet informasjon, samt rettigheter knyttet til innsyn i egne personopplysninger. Blant privatpersoner som ringer til veiledningstjenesten gjelder klart de fleste henvendelsene bruk av personopplysninger i ulike registre.
40 prosent av henvendelsene innenfor denne kategorien gjelder kunde- og medlemsregistre, 15 prosent av spørsmålene dreier seg om personalregistre, mens 17 prosent gjelder andre offentlige registre, slik som innenfor skole, skatt, politi og lignende. Vi får også en del spørsmål om journalopplysninger (helse, NAV, barnevern og lignende), og registrering i forbindelse med kredittopplysningsvirksomhet.
Internkontroll og informasjonssikkerhet
Internkontroll og sikkerhet var tema for 23 prosent av det totale antall henvendelser til veiledningstjenesten. 34 prosent av disse henvendelsene gjaldt informasjonssikkerhet, slik som risikovurderinger, kryptering og autentisering. Vi ser at antall henvendelser om dette har økt siden 2018.
Hvis vi ser bare på henvendelsene fra virksomheter, er internkontroll og informasjonssikkerhet det vi får flest spørsmål om. Vi har også mottatt mange spørsmål om avviksbehandling og databehandleravtaler. Dette henger nok sammen med at mange virksomheter fortsatt jobber med å sikre at deres systemer er forenelige med det nye personvernregelverket.
Kameraovervåking
Kameraovervåking er en gjenganger, og i 2019 handlet 14 prosent av henvendelsene til veiledningstjenesten om dette. Kameraovervåking av hjem og bolig står for en fjerdedel av disse henvendelsene.
Det er også mange arbeidstakere som tar kontakt fordi de føler seg urettmessig overvåket. Vi mottar dessuten en del spørsmål om kameraovervåking i borettslag/sameier, ved hytter og i private boliger.
Internett
Ulike henvendelser om internett sto for 7 prosent av henvendelsene. Dette er på lik linje med 2017 og 2018. Over halvparten av disse henvendelsene gjelder uønsket publisering av bilder, film, tekst og lignende på nett.
Sporing og kontroll
Denne kategorien utgjorde 10 prosent av henvendelsene, og hele 62 prosent av disse henvendelsene var relatert til arbeidslivet. De vanligste temaene for henvendelsene på dette området gjelder kontroll av e-post, hjemmeområde og telefon, mens 30 prosent av henvendelsene gjaldt sporingsteknologi slik som GPS, velferdsteknologi og flåtestyring.
Annet
Et betydelig antall av henvendelsene vi får lar seg ikke lett kategorisere og er derfor lagt til i samlekategorien «annet». Vi har blant annet mottatt et betydelig antall henvendelser som er utenfor Datatilsynets forvaltningsmandat, og som vi derfor i liten grad har muligheten til å veilede om.
Spesielt om spørsmål knyttet til arbeidsliv
Spørsmål knyttet til personvern i arbeidslivet har tradisjonelt sett utgjort en stor andel av henvendelsene til veiledningstjenesten. Det sjekkes derfor alltid om henvendelsen gjelder personvern i arbeidslivet i tillegg til kategori, da spørsmål innen arbeidslivet kan gjelde flere av kategoriene over.
Statistikken viser at hele 20 prosent av den totale andelen henvendelser dreide seg om arbeidsliv i meldingsåret. Mange av spørsmålene handler om kontroll og overvåking av ansatte. Det er spørsmål om kameraovervåking på arbeidsplassen, innsyn og sletting av ansattes e-post, samt adgangskontroll og logging av arbeidsinnsats. Vi får også spørsmål om bruk av GPS-sporing og annen sporing av ansatte.
Henvendelser fra personvernombud
Tre prosent av henvendelsene kommer fra personvernombud i offentlige og private virksomheter. Vi ser at denne gruppen ofte er ute etter veiledning om avviksbehandling.
I løpet av året, mottok vi 23 klager på våre enkeltvedtak. Dette er det laveste tallet på mange år. To av klagene gjelder vedtak som vi fattet i 2018. Ti av klagene gjaldt beslutninger om å avslutte sakene, mens tre av klagene gjaldt vedtak om overtredelsesgebyr.
Av Datatilsynets vedtak som ble klagebehandlet i nemnda i 2019, ble kun ett omgjort. Denne saken gjaldt sletting av personopplysninger i søketreffindeksen i Google. Datatilsynet kom opprinnelig til at klageren ikke kunne kreve å få de aktuelle søketreffene slettet, men Personvernnemnda kom til en annen konklusjon. To av klagesakene som ble oversendt til nemnda, ble senere trukket av klager.
I løpet av meldingsåret, har Datatilsynet fattet tre avgjørelser om overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Vi har i tillegg fattet sju andre vedtak om overtredelsesgebyr etter reglene i den gamle personopplysningsloven, siden forordningen ikke har tilbakevirkende kraft. Disse sakene gjelder ulovlig innsyn i e-post på arbeidsplassen, kredittvurderinger uten saklig behov og ulovlig publisering av bilder fra overvåkingskamera.
Via eInnsyn mottok vi 3 437 innsynskrav i løpet av meldingsåret. Dette er en økning på om lag 14 prosent sammenlignet med 2018. Tallet på innsynskrav øker fremdeles jevnt. Dette fremstår som en naturlig stigning med tanke på at vi også har registrert flere saker. Av disse innsynskravene avslo vi kun 256. Det ble samtidig levert ut 409 sladdede dokumenter (meroffentlighet), noe som betyr at det ble gitt helt eller delvis innsyn i hele 80,7 prosent av alle innsynsbegjæringene.
Innføringen av personvernforordningen har ført til at Datatilsynet mottar langt flere avviksmeldinger enn tidligere. Forordningen stiller strenge krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene. Siden innføringen av forordningen har Datatilsynet mottatt nesten 3 000 avviksmeldinger. I 2019 alene er tallet på mottatte avviksmeldinger 1 916. Den store økningen i antall mottatte avviksmeldinger har naturlig nok ført til økt ressursbruk knyttet til saksbehandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, og veilednings- og kommunikasjonsarbeid.
Personvernregelverket stiller strenge krav til behandling av personopplysninger om barn. Likevel har om lag én av ti avviksmeldinger Datatilsynet har mottatt i meldingsåret, handlet om avvik som har rammet barn, og 49 prosent av dem gjelder skolesektoren. Flere av disse avvikene har vært alvorlige og har utløst overtredelsesgebyr (se mer under kapittelet om barn, unge og utdanning). Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet blir dermed spesielt viktig fremover.
De aller fleste avviksmeldingene blir avsluttet uten noen videre form for saksbehandling. Dette er saker hvor vi vurderer risikoen for alvorlige konsekvenser for enkeltindividet som lav, samt at de ansvarlige har gjort tiltak for å informere de berørte. 16 prosent går imidlertid videre til mer omfattende saksbehandling.
Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot.
Ordningen med personvernombud har eksistert i Norge siden 2001. Med den nye personvernlovgivningen er innholdet i personvernombudsrollen blitt betydelig styrket. Ordningen ble samtidig gjort obligatorisk for de aller fleste statlige og kommunale virksomheter, og for en rekke private virksomheter og organisasjoner.