Kontroll og saksbehandling
Det er i første rekke personopplysningsloven og personvernforordningen som definerer Datatilsynets oppgaver og myndighet. I tillegg fastsetter også politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en håndfull forskrifter, oppgaver for tilsynsmyndigheten.
Mange av oppgavene våre innebærer skriftlig saksbehandling. En høy andel av saksdokumentene Datatilsynet mottar, er klager fra enkeltindivider. Regelverkets formål er å styrke enkeltindividets grunnleggende rettigheter, og derfor er vår plikt til å følge opp klagene fra enkeltpersoner direkte formulert i forordningen.
Vi har i tillegg en rekke andre typer saker til behandling, slik som søknader om godkjenning av bindende virksomhetsregler (BCR), godkjenning av ad hoc-kontrakter for overføring av opplysninger til tredjeland, godkjenning av atferdsnormer og så videre. Vi kan også opprette saker av eget tiltak, for eksempel på bakgrunn av tips fra media eller publikum. Tilsynet mottar dessuten en lang rekke meldinger om brudd på personopplysnings-sikkerheten (avviksmeldinger). Flere av disse meldingene nødvendiggjør grundige analyser og oppfølging av saksbehandlerne i tilsynet.
Ifølge personvernforordningen er det de som er behandlingsansvarlige eller databehandlere som skal sørge for at regelverket blir etterlevd. Konsekvensene ved lovbrudd kan bli svært alvorlige. Loven og forordningen inneholder bestemmelser om administrative sanksjoner og overtredelsesgebyr. Hvis lovovertrederen er et foretak, kan de mest alvorlige lovbruddene resultere i gebyrer på opptil 4 prosent av den samlede globale omsetningen fra forrige regnskapsår. I alle andre tilfeller ligger den øvre beløpsgrensen på 20 millioner euro.
Gjennomførte aktiviteter
Antall saker, saksdokumenter og klager
I 2021 har vi registrert et høyere antall nye saker enn i 2020. I løpet av året, registrerte arkivet vårt 3 474 nye saker. På samme tid i fjor rapporterte vi om 3 271 opprettede saker totalt. Økningen er på omlag seks prosent.
Til sammen ble det registrert 6 285 nye innkommende dokumenter i 2021. Tallet for 2020 var 5 733, og økningen tilsvarer litt i underkant av ti prosent. Tilfanget av antallet saker og saksdokumenter, har økt konstant siden 2014.
Datatilsynets dokumentproduksjon har også økt betydelig. I 2021 ble det sendt ut 5 222 dokumenter, mot 4 337 i 2020. Dette innebærer en økning på om lag 20 prosent. Vi ser også en tilsvarende økning i antallet overtredelsesgebyr og klager på enkeltvedtak sendt til behandling i Personvernnemnda (se nedenfor).
Samlet sett ser vi altså at utviklingen siden innføringen av personvernforordningen i 2018 fortsetter, med et stigende antall registrerte dokumenter inn og et høyere sakstall enn tidligere. Dokumentproduksjonen har også gått markant opp. Samlet sett viser statistikken at Datatilsynets totale arbeidsmengde stadig øker.
Av de registrerte sakene er i underkant av 600 klagesaker fra enkeltindivider. Et høyt antall av disse klagesakene, rundt 25 prosent, gjelder personvern i forbindelse med kundeforhold. Omtrent 12-13 prosent av klagene gjelder helseopplysninger. En tilsvarende andel handler om personvern på arbeidsplassen. Videre mottar vi en betydelig andel klagesaker om behandling av personopplysninger på eller ved hjelp av ulike digitale systemer eller tjenester, slik som internett, sosiale medier og mobiltelefonapplikasjoner. Andre sakskategorier som er høyt representert blant de individuelle klagesakene er kredittopplysninger, kameraovervåking og barns personvern.
Klager på Datatilsynets enkeltvedtak
I løpet av året fattet vi 306 enkeltvedtak. Det innebærer en økning på litt over 21 prosent sammenlignet med året før. Samtidig ble 43 av enkeltvedtakene våre påklaget. Også dette innebar en økning fra 2020 (13 prosent). I 21 tilfeller ble sakene sendt videre til Personvernnemnda for klagebehandling.
Seks klager resulterte i at Datatilsynet omgjorde egne vedtak i løpet av meldingsåret. Det resterende antallet var fremdeles under forberedelse ved utgangen av meldingsåret.
I syv av tilfellene førte klagene til at enkeltvedtakene ble helt eller delvis omgjort. Blant disse klagene gjaldt om lag halvparten våre avvisningsvedtak eller beslutninger om å avslutte saken. Vi mottok åtte klager på ileggelse av overtredelsesgebyr, mens én klage gjaldt en irettesettelse. I noen av sakene førte saksbehandlingen i Personvernnemnda til reduksjon i de utmålte overtredelsesgebyrene. Nemnda ga i disse sakene uttrykk for at lang saksbehandlingstid måtte føre til lavere overtredelsesgebyr. Vi har derfor særlig merket oss disse nemndsavgjørelsene.
Et antall klagesaker ble forberedt oversendt til klagebehandling i løpet av året, og det resterende antallet klager har resultert i videre undersøkelser – flere av disse klagesakene var ikke avsluttet ved overgangen til 2022. Totalt fattet Personvernnemnda 26 vedtak i meldingsåret.
Se fullstendig oversikt over sakene som ble oversendt til nemnda i 2021 under Vedlegg.
Sanksjoner
I løpet av meldingsåret, har Datatilsynet gitt 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. Dette innebærer en dobling sammenlignet med 2020.
Disse sakene gjelder blant annet brudd på personopplysningssikkerhet, ulovlig overvåking på arbeidsplassen, innhenting av kredittopplysninger og ulovlig utlevering av personopplysninger via mobilapplikasjoner.
Det høyeste overtredelsesgebyret som ble gitt var på 65 millioner kroner. I denne saken hadde et amerikansk selskap samlet inn og solgt personopplysninger av sensitiv karakter via en dating-app, Grindr. Datatilsynet vurderte saken som svært alvorlig, og ga selskapet det høyeste gebyret i norsk personvernhistorie så langt. Saken er imidlertid ikke rettskraftig avgjort ved årsskiftet da klagefristen utløper medio februar 2022.
I en annen sak, ga vi bompengeselskapet Ferde et gebyr på 5 millioner for å ha overført personopplysninger om bompasseringer til Kina uten rettslig grunnlag. Selskapet valgte å godta gebyret, og avgjørelsen blir dermed stående.
Alt i alt utstedte Datatilsynet overtredelsesgebyrer på i underkant av 80 millioner kroner i løpet av 2021. I noen av disse sakene har vi mottatt klager, og i et fåtall av sakene var klagefristen fremdeles ikke gått ut ved årsskiftet. Sammenlignet med 2020, da vi hadde 13 saker som resulterte i overtredelsesgebyr på til sammen snaue seks millioner, er dermed økningen betydelig. Dette gjelder både antallet ilagte overtredelsesgebyr og, ikke minst, det totale beløpet. I tillegg ble det gitt 13 irettesettelser. Reaksjonene kom blant annet som følge av ulovlig kameraovervåking, publisering av personopplysninger på et kommunalt nettsted og lydopptak uten samtykke.
Se fullstendig oversikt over overtredelsesgebyrene og tvangsmulktene som ble gitt i 2021 under Vedlegg.
Høringer
I løpet av 2021 mottok Datatilsynet 205 høringssaker. Vi ser altså at også her er det en jevn økning. På grunn av behovet for å prioritere andre saksbehandlingsoppgaver, er det uttalt i Datatilsynets virksomhetsplan at høringsuttalelser i saker som ikke har stor betydning for personvernet, skal nedprioriteres. Likevel har vi gitt 61 uttalelser i 2021. En del av forklaringen på det relativt høye antallet kan være at det kom flere forslag enn normalt på grunn av pandemien. Mange av disse sakene berørte personvernet i vesentlig grad. Flere av dem hadde svært knappe høringsfrister som gjorde at vi måtte kaste oss brått rundt.
De av høringssakene som ikke blir besvart med konkrete merknader og innspill, blir likevel gjennomgått og vurdert av en seksjonssjef eller en saksbehandler. Dersom vi finner at det ikke er grunn til å gi en uttalelse, eller at høringssaken er blant dem som ikke skal prioriteres, blir den tatt til etterretning og avsluttet. Vi vil fortsette å nedprioritere høringssaker som ikke har stor betydning for personvernet i 2022.
Les nærmere omtale av noen av våre mest sentrale høringsuttalelser videre utover i rapporten. Se forøvrig en fullstendig oversikt over høringsuttalelsene våre med merknader i 2021, under Vedlegg.
Offentlighetsloven og innsynskrav – eInnsyn
Via OEP mottok vi 5 715 innsynsbegjæringer i løpet av meldingsåret. Dette er en betydelig økning siden 2020, da vi mottok 3 671 innsynskrav, noe som også da var et rekordhøyt antall. Økningen er på nærmere 60 prosent. Tidligere år har det vært en jevn økning, men antallet har altså gått vesentlig opp i 2021. Denne stigningen har vært merkbar, og den har hatt store konsekvenser for det øvrige arbeidet, slik som saksbehandlingen. Noe av årsaken kan nok tilskrives det økte antallet saker som beskrevet over, og også at mange journalister ønsker innsyn i de innmeldte avvikssakene. Vi har vurdert ulike tiltak for å imøtekomme den voksende etterspørselen, og dette vil bli et tema videre utover i 2022.
Vi gir innsyn i de langt fleste tilfellene. Det ble likevel gitt avslag på 522 innsynsbegjæringer da dokumentene inneholdt taushetsbelagt informasjon. I 963 tilfeller ga vi delvis innsyn, som følge av meroffentlighetsvurderinger.
Vi legger flere ressurser i utøvelsen av offentlighet enn noen gang, og disse innsynsbegjæringene treffer særlig juridiske avdeling. Avdelingen får som en følge av det høye antallet innsynsbegjæringer, mindre tid til å arbeide med de oppgavene som personvernforordningen foreskriver, og det samme gjelder oppgavene som følger av det øvrige regelverket vi har ansvaret for, slik som politiregisterloven og helseregisterloven.
Åpenhet om forvaltningens virksomhet er helt grunnleggende i et demokratisk samfunn, men dersom utviklingen fortsetter i samme retning, vil det samtidig kunne få negative konsekvenser for en annen grunnleggende rettighet, nemlig personvernet.
Tilsyn og tilsynsmetodikk
Gjennomføring av tilsyn/kontroll er en viktig aktivitet for å nå målene våre og gjennomføre samfunnsoppdraget vårt. Vi skal gjennomføre tilsyn og kontrollere prioriterte områder basert på risiko. Vi skal systematisere og kommunisere funnene, samt følge opp etterlevelsen av pålegg. Hvilke virksomheter vi velger å kontrollere, faller normalt i to kategorier: virksomheter hvor vi antar at det er en særskilt risiko, og representative virksomheter hvor vi ønsker å avdekke status innenfor en sektor eller et tematisk område. Vi har også som mål at vi skal gjennomføre det vi har definert som profilerte tilsyn. Det skal synliggjøre tilsynsvirksomheten vår, og ikke minst skape en allmennpreventiv virkning av bruken av tilsyn som virkemiddel.
Som en følge av innføringen av personvernforordningen i norsk rett og vår egen tilpasning av saksbehandlingen, har vi de siste årene gjennomført færre tilsyn enn tidligere. 2020 ble så svært preget av pandemien, og i 2021 ønsket vi derfor å øke tilsynsaktiviteten og hadde planlagt 14 stedlige tilsyn. Dessverre har de restriksjonene og begrensningene som har fulgt av koronapandemien, også i 2021 ført til at dette ikke lot seg gjøre. Ni av disse tilsynene er enten påbegynt høsten 2021 eller overført til tilsynsplanen vår for 2022. De øvrige vil bli erstattet av andre og mer aktuelle tilsyn i planen for 2022.
Vi gjennomfører dessuten kontinuerlig hendelsesbaserte tilsyn der vi benytter tilsynshjemmelen vår for å undersøke blant annet brudd på personopplysningssikkerheten nærmere. Vi ser at vi er sårbare ved restriksjoner og begrensninger knyttet til fysiske møter, og har derfor satt i gang et arbeid med å utarbeide rutiner og retningslinjer for gjennomføring av tilsyn ved hjelp av videoløsninger.
Tilsynsmetodikk
I 2020 startet vi et arbeid med å utforme forbedret tilsynsmetodikk tilpasset nytt lovverk og tilsynsobjektene. En tverrfaglig prosjektgruppe fikk i oppdrag å utforme en felles tilsynsmetodikk for alle typer tilsyn som Datatilsynet utfører. Metodikken skulle være basert på anerkjente revisjonsstandarder, men tilpasset regelverket vi forvalter.
Våren 2021 godkjente ledelsen ny tilsynsmetodikk. Den er basert på «ISO 19011 – Veiledning for revisjon av ledelsessystemer» og «ISO 9001 – Sertifisering av kvalitetssystem», men tilpasset personvernforordningens tilsynskriterier. En viktig leveranse i arbeidet var både opplæringspakke for tilsynsteam og for tilsynsledere.
Det er også opprettet en egen tilsynskoordinator i Datatilsynet. Tilsynskoordinatoren sine viktigste oppgaver er å følge opp planlegging og gjennomføring av tilsyn, samt rapportering av avvik til ledelsen. Koordinatoren har en samlet oversikt over tilsynsaktiviteten, er en ressursperson for tilsynslederne, sørger for kontinuerlig evaluering og oppdatering av tilsynsmetodikken, sørger for intern opplæring i tilsynsmetodikken, samt bistår ledelsen og ser til at hvert enkelt tilsyn har tilstrekkelig ressurser – både tid og personell.
Høsten 2021 ble det gjennomført opplæring av tilsynsdeltakere og tilsynsledere, og metodikken er allerede tatt i bruk. Det er også utarbeidet og implementert egne retningslinjer for utvelgelse av risikobaserte- og profilerte tilsyn.
Høsten 2021 startet også arbeidet med å videreutvikle metodikken til å omfatte algoritmetilsyn.
Spesielt om meldinger om brudd på personopplysningssikkerheten (avviksmeldinger)
Forordningen stiller krav til at brudd på personopplysningssikkerheten relatert til konfidensialitet, integritet og tilgjengelighet skal meldes inn til Datatilsynet. I 2021 mottok vi 2 255 slike avviksmeldinger. Det vil si et gjennomsnitt på i underkant av 190 avviksmeldinger per måned.
Det har altså vært en voldsom økning i antall avviksmeldinger sammenlignet med året før personvernforordningen trådte i kraft (2017) da vi mottok 349 avviksmeldinger. Den nærmest eksplosive økningen vi opplevde rett etter innføringen av forordningen, har roet seg noe, men vi ser likevel en jevn økning fra år til år. Dette medfører selvsagt et økt behov for oppfølging og saksbehandling.
Det er positivt at avvik meldes inn. Det viser at virksomhetene er kjent med plikten til å melde ifra om avvik, og at de har rutiner både for å avdekke og melde slike avvik. Økningen i antall innmeldte brudd på personopplysningssikkerheten reflekterer en økt bevissthet knyttet til denne plikten. Det er likevel grunn til å tro at det fortsatt er mørketall og at en del avvik ikke meldes inn. I Datatilsynets kommunikasjon utad har vi imidlertid prøvd å legge vekt på hvor viktig det er å melde fra om brudd på personopplysningssikkerheten.
Det omfattende antallet har ført til økt ressursbruk knyttet til saksbehandling i tilsynet. Samtidig er avviksmeldingene en god kilde til kunnskap om risiko, sårbarheter og trusler ved behandlingen av personopplysninger. Dette er en viktig kilde for oss, i tillegg til statistikk fra tips og klager som kommer inn til oss, når vi skal planlegge risikobaserte tilsyn.
Hvilke typer sikkerhetsbrudd er meldt inn?
Avviksmeldingene vi får inn varierer fra menneskelige feil som rammer én eller få personer, til målrettede hackerangrep med mange hundre tusen rammede (se oversikt på neste side). Den vanligste årsaken til at et avvik oppstår, er at personopplysninger blir sendt til feil mottaker. Disse sakene utløser som regel ingen reaksjon fra vår side, og de rammede personene er som regel informert om avviket idet meldingen kommer inn til oss.
Fordelingen på de ulike typene avvik er omtrent lik som foregående år. I 2021 har en rekke store dataangrep mot så vel offentlige som private virksomheter preget nyhetsbildet. Andelen hackerangrep er omtrent på samme nivå som i 2020, mens andelen ransomware har økt. Ofte benytter trusselaktører angrepsvektorene phishing og ransomware for å gjennomføre et angrep, og det er derfor naturlig å se disse under ett.
Kategorien «Annet» omfatter alt fra konsekvenser av manglende testing, lagring på feil sted, øvrige faktorer knyttet til løsninger, programmer med manglende innebygd personvern og lignende.
Hvem melder om brudd på personopplysningssikkerheten til Datatilsynet?
Hele 32 prosent av alle meldingene som sendes inn, kommer fra kommunesektoren. Det inkluderer skoler, barnehager, ulike helsetjenester, eldreomsorg og barnevern. Kommunene er ansvarlige for mange av tjenestene som er nærmest enkeltindividet, og følgelig behandles mange personopplysninger her. Å løfte kommunenes kompetanse på personvern og informasjonssikkerhet er derfor en viktig prioritering for Datatilsynet.
Finanssektoren, som her inkluderer blant annet bank, forsikring, inkasso og kredittvurdering, står for 22 prosent av de innmeldte avvikene. De færreste av disse gjelder særlige kategorier personopplysninger. Fordelingen mellom de ulike sektorene er om lag lik som i 2020. Sekkekategorien «annen privat» inkluderer alle private selskaper som ikke faller naturlig inn under noen av de andre kategoriene.
Selv om en sektor melder mange avvik, er den ikke nødvendigvis en «personvernversting» av den grunn. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, slik som for eksempel i finanssektoren, og at de har gode rutiner for å avdekke og melde inn alle avvik. På samme måte kan mangel eller fravær av innmeldte avvik skyldes at virksomheter ikke har etablert en god hendelseshåndtering.