Vurdering av fremtidsutsikter
Internasjonal utvikling
For det første er den internasjonale utviklingen viktig. Nordmenn bruker i stor utstrekning tjenester fra selskaper som ligger utenfor Europa, og da særlig i USA. I tillegg vedtas helt sentrale lover på personvernområdet i EU, der Norges rolle er begrenset. Vi må derfor utvikle strategier som gir oss mulighet for påvirkning, selv om beslutningene treffes utenfor landets grenser.
For oss i Datatilsynet er det viktig å holde oss orientert om utviklingen i USA, og å ha jevn dialog med de store teknologiselskapene som har sine hovedkontorer der. Dette gjør vi først og fremst gjennom deres representanter i Norge, men også ved at vi med noen års mellomrom har møter med selskapsledelse på høyt nivå i USA. Vi ser også at Artikkel 29-gruppen (les mer under Internasjonalt arbeid) tar opp konkrete saker mot disse selskapene. Det er viktig at vi fra norsk side, så langt ressursene tillater, også påtar oss arbeid for internasjonale organer. Dette gjorde vi blant annet da vi for noen år siden ga viktige innspill til det irske datatilsynet når de førte tilsyn med Facebook.
Vi har også valgt å ta en sentral rolle i utviklingen av den internasjonale personvernpolitikken når det gjelder Big Data (stordata). På vegne av Berlin-gruppen (les mer under Internasjonalt arbeid) påtok vi oss å utarbeide en rapport (en såkalt «opinion») om personvernutfordringer ved bruk av stordata, og hvordan disse utfordringene kan møtes. Rapporten ble senere godkjent også av Artikkel 29-gruppen, og dannet videre grunnlag for en erklæring fra den internasjonale personvernkonferansen høsten 2014. Dette var første gang at vi fra det norske Datatilsynets side har tatt denne typen initiativ.
Dette er en arbeidsmetodikk vi ønsker å utvikle videre. Norge er ikke medlem i EU, og har dermed liten formell innflytelse på de beslutningsprosessene som foregår i de sentrale organene der. Av den grunn er det desto viktigere at vi, gjennom å stille oss til disposisjon for å delta i utviklingen av policydokumenter, likevel kan påvirke internasjonale prosesser som er av betydning for personvernet til norske borgere. Vi har som følge av dette som mål at vi skal påta oss rollen som såkalt «rapportør» for en ny utredning for Artikkel 29-gruppen. Temaet for en slik utredning er foreløpig ikke avklart.
Vi har også som mål å være pådriver i samarbeidet mellom de nordiske personvernmyndighetene. En av grunnene til at vi ser dette samarbeidet som viktig, er at en viktig vei til påvirkning i EU, nettopp går gjennom de nordiske landene som sitter godt posisjonert i EUs organer.
EUs personvernforordning
EUs personvernforordning vil gi oss nye muligheter. Det nye lovverket vektlegger i større grad enn tidligere de såkalte systempliktene, slik som strengere krav til avvikshåndtering. På flere områder vil også den enkelte borgers personvern bli styrket. Dette gjelder for eksempel gjennom «retten til å bli glemt» og ved «dataportabilitet», som er retten til å hente ut egne personopplysninger fra en tjeneste, og så eventuelt flytte disse over til en annen tjenesteleverandør. I personvernforordningen vektlegges også prinsippet om innebygd personvern. Dette vil gjøre det enklere for oss å nå målet om at dette i større grad skal bli implementert i praksis hos norske virksomheter.
Forordningen gir imidlertid også Datatilsynet utfordringer. Det vil bli opprettet et nytt organ kalt European Data Protection Board (EDPB), som vil få en sentral rolle blant annet i tolkning av personvernregelverket. Norge vil trolig kun få observatørstatus i dette organet. Det blir derfor vesentlig for oss å finne strategier for å kunne få mer innflytelse. Vi har allerede lagt en strategi for å øke aktivitetsnivået vårt i Artikkel 29-gruppen. Dette er viktig, ettersom EDPB vil ha mange av de samme medlemmene som Artikkel 29-gruppen. Ved å være aktive i denne gruppen, og påta oss arbeid, vil vår stemme også bli bedre hørt i det nye organet.
Det nye felles personvernregelverket i Europa gjør at vi må gå gjennom hele vår juridiske praksis og alle våre arbeidsmetoder. Dette innebærer nye og spennende utfordringer for Datatilsynet, noe vi stiller oss udelt positive til å ta fatt på. Arbeidet fordrer imidlertid at vi tilføres økte ressurser. Dette trengs blant annet til å utvikle elektroniske løsninger for å håndtere avviksrapporteringer fra virksomhetene, og til informasjonstiltak overfor virksomheter og befolkningen forøvrig.
Den teknologiske utviklingen
Det er avgjørende for Datatilsynet å være godt oppdatert på den teknologiske utviklingen. Teknologi er i dag helt sentralt i alle sektorer, og for alle profesjoner. Alle ansatte i Datatilsynet må derfor være godt oppdatert på nye teknologitrender. For å klare dette må vi bygge kompetanse internt, delta i internasjonalt arbeid, dra på studiereiser til utlandet og ha tett kontakt med norske teknologibedrifter. Tett og god kontakt med forsknings- og utviklingsmiljøer er også sentralt.
Økende etterspørsel etter tilsynets kompetanse
Vi opplever en økende etterspørsel etter Datatilsynets kompetanse og ressurser. Vi mottar stadig flere henvendelser fra privatpersoner, vi får flere foredragshenvendelser, svært mange virksomheter vil ha våre uttalelser og råd, og vi opplever jevnt stor pågang fra media. Samtidig gjennomfører vi årlig om lag 70 tilsyn, og behandler en lang rekke konsesjonssaker og enkeltsaker. Vi inviteres med i ulike fora for å gi våre innspill, og mange offentlige etater vil høre vår mening.
Nødvendig med handlingsrom
Det er selvfølgelig svært positivt at det er interesse om personvernspørsmål, og at vår kompetanse blir verdsatt. Samtidig må vi ha klare prioriteringer for arbeidet vårt. Det er derfor viktig at Datatilsynet har handlingsrom til å nedprioritere enkeltsaker og områder som vi etter grundige vurderinger mener det ikke er riktig å prioritere. Dersom alle saker skal behandles like grundig, og alle områder vies like stor oppmerksomhet, står vi overfor en umulig oppgave. Vi ser samtidig at vi må jobbe for å fjerne tidstyver i egen virksomhet, effektivisere egne arbeidsmetoder og sørge for å rekruttere medarbeidere med høy kompetanse.
Datatilsynet er en liten organisasjon som står overfor de samme kravene og forventningene som de store statsetatene når det gjelder for eksempel de statlige fellesføringene og krav til rapportering, modernisering og utvikling. Vi har et begrenset økonomisk handlingsrom. Dette gjør det vanskelig for oss, i hvert fall på kort sikt, å omdisponere innen gitte økonomiske rammer, uten at dette går ut over vårt utadrettede personvernarbeid.