Kontroll og saksbehandling
Datatilsynets oppgaver og myndighet er angitt i personopplysningsloven (kapittel 6 og 7) og personvernforordningen (artikkel 57 og 58). Artikkel 57 inneholder en liste på 22 punkter over tilsynets oppgaver. I dette kapittelet ser vi på tall og tendenser i saksbehandlingen.
Mange av oppgavene er nye med forordningen. Vi har identifisert at 14 av punktene krever en eller annen form for saksbehandling. Det innledende punktet slår fast at Datatilsynet «skal føre tilsyn med og håndheve anvendelsen av denne forordningen». Tilsynsbegrepet bør her forstås i vid forstand, den engelske forordningsteksten bruker for eksempel begrepet «monitor», som kan oversettes med «følge med på».
En stor del av saksmengden er klager fra enkeltpersoner. Enkeltindividet har fått et styrket vern i forordningen. Regelverket slår fast at den registrerte (enkeltindividet) har en rett til å klage til Datatilsynet dersom han eller hun anser at en behandling av opplysninger om ham eller henne er i strid med regelverket. Datatilsynet «skal» i så fall behandle klagesaken.
Eksempler på nye oppgaver er behandling av søknader om godkjenning av bindende virksomhetsregler (BCR), ad hoc-kontrakter for overføring av personopplysninger til tredjeland og godkjenning av atferdsnormer. Dette er særlig krevende former for saksbehandling. I tillegg kommer oppfølging og saksbehandling av et høyt antall meldinger om brudd på personopplysningssikkerheten (avviksmeldinger).
Konsesjonsplikten, som spilte en sentral rolle i personopplysningsloven 2000, er nå avviklet. Samtidig er ansvarlighetsprinsippet fremhevet som et av de sentrale prinsippene i personopplysningsretten. Vi har slik opplevd en overgang fra forhåndskontroll til etterkontroll.
Sanksjonsmidlene som er innført, skal sikre etterlevelsen av regelverket i praksis. Forordningens fortalepunkt 148 uttaler at «[f]or å styrke håndhevingen av bestemmelsene i denne forordning, bør det ved overtredelse av denne forordning ilegges sanksjoner, herunder overtredelsesgebyr». Unntak fra dette utgangspunktet gjelder «mindre overtredelser», eller dersom lovovertrederen er en fysisk person. De mest alvorlige lovbruddene kan resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen i forrige regnskapsår dersom lovovertrederen er et foretak, eller 20 millioner euro i alle andre tilfeller.
Antall saker, saksdokumenter og klager
I løpet av 2019 har vi registrert et rekordhøyt antall nyopprettede saker. I løpet av året registrerte arkivet 3 118 nye saker, og til sammen 5 096 innkommende dokumenter. Sammenlignet med året før, innebærer det en økning på 18 prosent i antallet registrerte saker. Det dreier seg med andre ord om en betydelig økning.
Økningen kommer trolig av fortsatt stigende oppmerksomhet om personvern, både på rettighetssiden og pliktsiden, etter innføringen av personvernforordningen.
Datatilsynet fattet 285 enkeltvedtak i 2019. Dette innebærer en økning sammenlignet med 2018, da tallet på enkeltvedtak var 246. Samtidig var antallet utgående dokumenter på 3 531. Antallet utgående dokumenter innebærer en markant økning sammenlignet med foregående år. Sammenlignet med fjoråret var det en økning på 34 prosent.
Sammenlignet med årene før personvernforordningen, ser vi imidlertid en klar nedgang i antall enkeltvedtak. Hovedårsaken til dette er trolig avviklingen av konsesjonsplikten, og plikten til å søke om forhåndsgodkjenning ved overføring av personopplysninger til utlandet i medhold av EU-kommisjonens standardkontrakter. I tillegg er det ikke lenger nødvendig å søke Datatilsynets tillatelse for å opprette personvernombud.
Klager på Datatilsynets enkeltvedtak
I løpet av året, mottok vi 23 klager på våre enkeltvedtak. Dette er det laveste tallet på mange år. To av klagene gjelder vedtak som vi fattet i 2018. Ti av klagene gjaldt beslutninger om å avslutte sakene, mens tre av klagene gjaldt vedtak om overtredelsesgebyr.
I 16 av sakene var det en fysisk person som klaget, og i de resterende sakene kom klagene fra organisasjoner, offentlige etater og private selskaper. I to av sakene omgjorde vi vårt opprinnelige vedtak etter klage. Disse sakene gjaldt retten til innsyn i egne personopplysninger. Ni av klagesakene er fremdeles til behandling hos oss, resten er oversendt til Personvernnemnda, eller i ett tilfelle Kommunal- og moderniseringsdepartementet for endelig avgjørelse.
Av Datatilsynets vedtak som ble klagebehandlet i nemnda i 2019, ble kun ett omgjort. Denne saken gjaldt sletting av personopplysninger i søketreffindeksen i Google. Datatilsynet kom opprinnelig til at klageren ikke kunne kreve å få de aktuelle søketreffene slettet, men Personvernnemnda kom til en annen konklusjon. To av klagesakene som ble oversendt til nemnda, ble senere trukket av klager.
Sanksjoner
I løpet av meldingsåret, har Datatilsynet fattet tre avgjørelser om overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Vi har i tillegg fattet sju andre vedtak om overtredelsesgebyr etter reglene i den gamle personopplysningsloven, siden forordningen ikke har tilbakevirkende kraft. Disse sakene gjelder ulovlig innsyn i e-post på arbeidsplassen, kredittvurderinger uten saklig behov og ulovlig publisering av bilder fra overvåkingskamera.
De tre avgjørelsene som er avgjort etter reglene i personvernforordningen, har alle handlet om brudd på personopplysningssikkerheten. Ingen av dem ble klaget inn for Personvernnemnda. Det ble ikke gitt vedtak om tvangsmulkt i 2019.
Høringer
I løpet av 2019 har Datatilsynet kommet med 33 høringsuttalelser, av totalt 159 mottatte høringssaker. Dette er noe lavere enn de siste årene. Blant annet tror vi at dette kan være et resultat av strengere prioriteringer internt i Datatilsynet – vi har måtte konsentrere oss om de aller viktigste høringssakene.
I uttalelsene våre har vi kommet med nokså omfattende merknader i forbindelse med ulike lov- eller forskriftsendringsforslag. Blant de mest sentrale er uttalelsene våre til
- forslaget om endringer i personopplysningsloven
- NOU 2019: 9 Fra kalveskinn til datasjø, ny lov om samfunnsdokumentasjon og arkiver
- NOU 2019: 3 Nye sjanser – bedre læring
- NOU 2019: 5 Ny forvaltningslov
- NOU 2019: 10 Åpenhet i grenseland, om bilder, film og lydopptak i helse- og omsorgstjenesten, barnevernet, skolen og barnehagen
- forslag til ny lov om etterretningstjenesten
Konsesjoner og forhåndsdrøftelser
Forhåndsdrøftelser ble innført med personvernforordningen, og skal delvis kompensere for at konsesjonsplikten falt bort med innføringen av det nye regelverket. Initiativet til slike drøftelser skal komme fra de behandlingsansvarlige. Plikten til å gjennomføre slike drøftelser med Datatilsynet oppstår når den behandlingsansvarlige har identifisert at en forestående behandling av personopplysninger vil kunne medføre høy risiko for de registrertes rettigheter og friheter, for eksempel etter først å ha gjennomført en personvernkonsekvensvurdering.
I løpet av meldingsåret mottok Datatilsynet fem henvendelser om forhåndsdrøftelser. I tillegg var det registrert to saker i 2018, som ble fulgt opp i 2019. De formelle kriteriene for forhåndsdrøftelser var bare oppfylt i to av sakene, og i begge tilfellene ble det gjennomført drøftelser i løpet av meldingsåret. De øvrige anmodningene ble enten avvist fordi de formelle forutsetningene for forhåndsdrøftelser ikke var oppfylt, eller de ble trukket tilbake.
I løpet av meldingsåret ble det gitt én konsesjon. Konsesjonsplikten ble som tidligere nevnt avviklet ved innføringen av det nye regelverket, men i medhold av overgangsreglene fikk ett selskap konsesjon av Datatilsynet til å behandle personopplysninger i forbindelse med kredittopplysningsvirksomhet.
Atferdsnormer
Datatilsynet mottok i 2018 flere søknader om godkjenning av atferdsnormer, og noen av disse ble besvart i 2019. Alle svarene som ble sendt ut gjorde søkerne oppmerksomme på Personvernrådets retningslinjer om atferdsnormer, og at ingen av søknadene oppfylte kravene som stilles i disse retningslinjene.
Offentlighetsloven og innsynskrav – OEP
Via eInnsyn mottok vi 3 437 innsynskrav i løpet av meldingsåret. Dette er en økning på om lag 14 prosent sammenlignet med 2018. Tallet på innsynskrav øker fremdeles jevnt. Dette fremstår som en naturlig stigning med tanke på at vi også har registrert flere saker. Av disse innsynskravene avslo vi kun 256. Det ble samtidig levert ut 409 sladdede dokumenter (meroffentlighet), noe som betyr at det ble gitt helt eller delvis innsyn i hele 80,7 prosent av alle innsynsbegjæringene.
Vi bestreber oss på etterleve offentlighetslovens mål om åpenhet, og vi legger ned store ressurser i utførelsen av de oppgavene som offentlighetsloven pålegger oss. Både arkivpersonalet, en dedikert juridisk fagdirektør og de enkelte saksbehandlerne, er alle med på vurdere innsynskravene. Dette gjenspeiles i et relativt høyt antall utleverte sladdede dokumenter. Det er også mange følsomme personopplysninger i dokumenter som vi mottar i forbindelse med klager om ulike personvernkrenkelser fra enkeltpersoner, og som må vernes etter de gjeldende reglene i offentlighetsloven og forvaltningsloven om taushetsplikt.
Spesielt om avviksmeldinger
Innføringen av personvernforordningen har ført til at Datatilsynet mottar langt flere avviksmeldinger enn tidligere. Forordningen stiller strenge krav til at brudd på personopplysningssikkerheten skal meldes inn til datatilsynsmyndighetene. Siden innføringen av forordningen har Datatilsynet mottatt nesten 3 000 avviksmeldinger. I 2019 alene er tallet på mottatte avviksmeldinger 1 916. Den store økningen i antall mottatte avviksmeldinger har naturlig nok ført til økt ressursbruk knyttet til saksbehandling, men er samtidig en kilde til kunnskap som kan informere og styre ressurser knyttet til tilsyn, og veilednings- og kommunikasjonsarbeid.
Tallene vi har basert den videre analysen på er fra og med februar og ut 2019. Vi har imidlertid identifisert noen svakheter ved statistikkføringen – både når det gjelder kategoriseringer og interne rutiner. Et større arbeid med å få på plass gode tekniske løsninger, samt en gjennomgang av kategoriseringer til statistikkføring er per i dag under utvikling. Dette gjør at tallene i denne årsmeldingen må ses på som overslag og trender.
Hvilke typer overtredelser er meldt inn?
Avvikene Datatilsynet behandler varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange tusen rammede. Den desidert vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra Datatilsynets side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.
«Annet» er dessverre foreløpig en stor kategori. Der havner for eksempel mange saker som har lav risiko for de berørte og dermed ikke er meldepliktige, eller der type overtredelse er uklart på meldetidspunktet. Meldinger som ikke lar seg plassere i andre kategorier, havner også her. Dette er noe vi jobber med å forbedre med nytt system og nye rutiner.
Hvor skjer avvikene?
Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for hele 30 prosent av de innmeldte avvikene. De færreste av disse gjelder imidlertid særlige kategorier personopplysninger, og er følgelig ikke de mest alvorlige. Antallet avvik fra finanssektoren kan også delvis forklares med et stort fokus på etterlevelse av forordningen og høy kompetanse.
Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.
23 prosent av alle avvik kommer fra kommunesektoren. Det inkluderer skoler, barnehager, mange helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og mange sensitive opplysninger behandles i denne sektoren. Ikke overraskende meldes flest avvik inn fra kommunene med flest innbyggere. Det er imidlertid viktig å være klar over at meldte avvik ikke er det samme som manglende informasjonssikkerhet. Det kan også bety høy bevissthet om informasjonssikkerheten.
Avvik som rammer barn/unge
Personvernregelverket stiller strenge krav til behandling av personopplysninger om barn. Likevel har om lag én av ti avviksmeldinger Datatilsynet har mottatt i meldingsåret, handlet om avvik som har rammet barn, og 49 prosent av dem gjelder skolesektoren. Flere av disse avvikene har vært alvorlige og har utløst overtredelsesgebyr (se mer under kapittelet om barn, unge og utdanning). Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet blir dermed spesielt viktig fremover.
Tiltak
De aller fleste avviksmeldingene blir avsluttet uten noen videre form for saksbehandling. Dette er saker hvor vi vurderer risikoen for alvorlige konsekvenser for enkeltindividet som lav, samt at de ansvarlige har gjort tiltak for å informere de berørte. 16 prosent går imidlertid videre til mer omfattende saksbehandling.