Årsrapport for 2019

Årsrapport for 2019

I årsrapporten vår kan du lese om hva som preget 2019 på personvernfeltet, og hvilke utfordringer Datatilsynet ser fremover. Du finner også en gjennomgang av de viktigste sakene og områdene vi har jobbet med. Årsmeldingen er et utdrag av årsrapporten som er sendt til Kommunal- og moderniseringsdepartementet. Last ned pdfen dersom du vil lese hele den godkjente årsrapporten.

Leders beretning

Leders beretning er en introduksjon til årsmeldingen, skrevet av direktør Bjørn Erik Thon, der han gir et overordnet bilde over meldingsåret 2019.

Skal vi feste noen stikkord til året 2019, må det bli avvik, politisk debatt, internasjonalt arbeid og forberedelse til de neste fem årene.

Avviksmeldinger

Avviksmeldinger er ikke noe nytt for Datatilsynet, og plikten til å melde avvik har eksistert i en årrekke. Men antall meldinger har vært beskjedne, med en bunnår i 2015 da vi mottok fattige 86 meldinger. Med det nye personvernregelverket ble kravet om å melde avvik skjerpet, og som alltid når nye regler kommer, er det interessant å stille følgende spørsmål: Får de næringsdrivende med seg endringene? Svaret må besvares med et entydig ja, i hvert fall hva angår plikten til å melde avvik. Vi endte opp med 1 916 avviksmeldinger.

Nå er det ikke slik at alle disse sakene tas opp til full forvaltningsbehandling. Dersom avviket karakteriseres som lite alvorlig, og virksomheten har iverksatt tiltak for å lukke avviket og begrense skaden, avsluttes saken med et enkelt brev. Men vi ser også at de mest alvorlige sakene vi har behandlet det siste året, har sitt utspring i avviksmeldinger. Det er også grunn til å peke spesielt på personvernet for barn og unge i utdanningen, og vi viser særlig til det som er skrevet om dette i et eget kapittel i årsmeldingen.

Politisk debatt

En annen ting som har preget året, er politisk debatt om personvernspørsmål. Debatten om det som ble omtalt som «dødelig personvern» handlet om hvorvidt en for streng fortolkning av personvern­reglene forhindret behandling av pasienter. Datatilsynet tok utfordringen, stilte til debatt og strakte ut en hånd til kritikerne. Etter at debatten hadde lagt seg, opplevd vi imidlertid ingen særlig respons på vår utstrakte hånd. Her håper vi på mer bevegelse fremover.

I januar gjorde Datatilsynet et linjeskift. Vi åpnet, med noen klare forutsetninger, for veiprising. Grunnen til vårt standpunkt kan kort oppsummeres slik: Statens inntekter knyttet til bilkjøring går dramatisk nedover, og dagens system med at man betaler for passering av et «tilfeldig» punkt er i lengden ikke bærekraftig og heller ikke særlig rettferdig. Det vil derfor gi bedre personvern om Datatilsynet setter premissene for en personvernvennlig veiprising, enn å sette seg på bakbeina og si nei. Vi forutsetter at det ikke registreres hvor man har kjørt, bare at man har kjørt. Personvern må bygges inn i teknologien fra starten og gi bedre personvern samlet sett, enn dagens løsning gjør.

En tredje debatt å trekke frem, handler om digitalt grenseforsvar som også ble omtalt i fjorårets årsmelding. I vårt høringssvar gikk vi imot regjeringens forslag som også fikk sterk kritikk fra uventet hold. Både Riksadvokaten, Politiets Sikkerhetstjeneste og de hemmelige tjenestenes kontrollorgan (EOS-utvalget), gikk alle ut med til dels sterk kritikk av forslaget. Vi har sjelden sett et lovforslag få en så dårlig start. Særlig alvorlig er det at det er umulig å fastslå omfanget av overvåkingen – med det i mente at lovverket skal praktiseres i hemmelighet av en hemmelig tjeneste.

Internasjonalt arbeid

En av de viktigste pilarene i personvernregelverket er et forpliktende samarbeid koordinert av det europeiske Personvernrådet (EDPB). Datatilsynet har vært meget aktive i dette arbeidet. Vi har vært rapportør for to viktige veiledere, og det er faktisk halvparten av de totale antall veilederne Personvernrådet har ferdigstilt.

Det behandles også en stor mengde overnasjonale saker, der poenget er å samarbeide på tvers av landegrensene. Vi følger nøye med på og bidrar med innspill i mange viktige saker, og har også hatt ansvar for ti saker der norske virksomheter har vært klaget inn.

Interne prosesser

De siste årene har vi sett at Datatilsynets organisering ikke har vært optimal, sett i lys av våre oppgaver. Vi har tidligere valgt å utsette en organisasjonsgjennomgang til vi har sett et samlet bilde av hva som ville treffe oss etter at det nye personvernregelverket trådte i kraft. I 2019 var tiden moden, og etter en grundig prosess som var godt forankret i hele virksomheten, kom den nye organisasjonen på plass tidlig på høsten.