Internasjonalt arbeid og samarbeid
Internasjonalt samarbeid er svært viktig for Datatilsynet siden personvernforordningen skal tolkes likt i hele EØS. Hva som skjer i andre EØS-stater og i Det europeiske personvernrådet (European Data Protection Board – EDPB) kan påvirke handlingsrommet vårt.
Det er nedfelt i strategien vår at vi skal påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Datatilsynet har fortsatt å engasjere seg i temaer og saker som kan ha mye å si for personvernet i Norge. I 2022 ble det enda tydeligere enn før at Datatilsynets internasjonale arbeid i Personvernrådet har resultert i gode påvirkningsmuligheter i EU. Datatilsynet har påvirket utfallet i flere store og betydningsfulle saker på EU-nivå, og vi har gjort oss bemerket i den politiske diskusjonen om håndhevingen av personvernforordningen.
Deltakelse i Personvernrådet med ekspertgrupper
Personvernrådet er et uavhengig EU-organ opprettet i henhold til personvernforordningen. De viktigste oppgavene til rådet er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås og sikre at den tolkes på en ensartet måte i EØS. Dessuten er rådet den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern.
Personvernrådet består av datatilsynsmyndighetene i EU og EØS. Datatilsynet er fullverdig medlem, men siden Norge er en EØS-stat, har vi ikke rett til å stemme eller stille til valg som rådets leder eller nestleder. Datatilsynet deltar i Personvernrådets plenumsmøter, som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:
- Border, Travel and Law Enforcement Expert Subgroup
- Compliance, e-Government and Health Expert Subgroup
- Cooperation Expert Subgroup
- Enforcement Expert Subgroup
- Financial Matters Expert Subgroup
- International Transfers Expert Subgroup
- IT Users Expert Subgroup
- Key Provisions Expert Subgroup
- Social Media Expert Subgroup
- Strategic Advisory Expert Subgroup
- Taskforce on Fining
- Technology Expert Subgroup
De fleste ekspertgruppene møtes også som regel én gang i måneden. Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor de endelige avgjørelsene om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i Personvernrådets plenums- og ekspertgruppemøter i 2022.
Hver ekspertgruppe ledes av én eller flere koordinatorer. Datatilsynet bidrar med én av to koordinatorer for Social Media Expert Subgroup.
I tillegg til ekspertgruppene finnes det flere ad hoc-arbeidsgrupper, typisk for koordinering i ulike sakskomplekser. Vi deltar også i dette arbeidet.
Under Personvernrådet er det opprettet en egen komité, Coordinated Supervision Committee, for koordinering av tilsyn med store EU-plattformer. I 2022 deltok én jurist fra Datatilsynet i komiteens møter.
Personvernrådet har dessuten et eget kommunikasjonsnettverk som diskuterer kommunikasjonsstrategi og -tiltak, samt deler nasjonale nyhetssaker. Én kommunikasjonsmedarbeider deltok fast i nettverket i 2022.
Rapportøroppdrag
I 2022 har Datatilsynet vært hovedrapportør for Personvernrådets retningslinjer om teknologi som kan avsløre og rapportere barneovergrepsmateriale på nett. Dette arbeidet fortsetter inn i 2023.
Datatilsynet har dessuten vært en del av rapportørteamet for Personvernrådet og European Data Protection Supervisors felles uttalelse om EUs nye lovforslag om forebygging og bekjempelse av barneovergrepsmateriale. Vi har også vært en del av rapportørteamet for én av Personvernrådets bindende beslutninger i tvisteløsningsmekanismen etter personvernforordningen.
Internasjonal saksbehandling / IMI
Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved såkalt grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt etter nærmere regler. Den ledende datatilsynsmyndigheten undersøker så saken, og legger deretter frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).
Internasjonal saksbehandling krever at vi fortløpende følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer tilsynsmyndighetene til enighet om hva avgjørelsene skal gå ut på, men særlig i saker om de største internasjonale teknologiselskapene, kan det være krevende å komme til enighet med den ledende tilsynsmyndigheten.
I 2022 har vi som berørt tilsynsmyndighet kommet med innsigelser i to saker som gjelder store, internasjonale teknologiselskaper. Når vi kommer med innsigelser, må ledende tilsynsmyndighet enten ta innsigelsen til følge, eller saken må behandles i Personvernrådet gjennom personvernforordningens tvisteløsningsmekanisme. I 2022 ble flere av våre innsigelser fra 2021 og 2022 behandlet av Personvernrådet, og Datatilsynet er meget fornøyd med utfallet av denne behandlingen.
I 2022 ble vi identifisert som berørt datatilsynsmyndighet i 178 nye saker. I samme periode ble vi identifisert som ledende tilsynsmyndighet i 16 saker. En stor andel av de grenseoverskridende sakene fra tidligere år er fremdeles åpne ved årsskiftet, siden saksbehandlingstiden i denne typen saker er lengre enn for andre saker.
Godkjenning av overføringsgrunnlag
Datatilsynet kan godkjenne bindende konsernregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter i EØS, samt at BCR-søknaden må legges frem for Personvernrådet for en uttalelse.
Ved utgangen av 2022 hadde vi, som ledende tilsynsmyndighet, elleve åpne søknader om godkjenning av BCR som overføringsgrunnlag.
I tillegg har Datatilsynet i 2022 gjennomgått tre BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet.
Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2022 gjaldt dette ti konsern.
Schengen-samarbeid
Datatilsynet er tilsynsorgan for den nasjonale behandlingen av personopplysninger i de felleseuropeiske systemene som er etablert gjennom Schengen-samarbeidet, Schengen informasjonssystem (SIS) og visuminformasjonssystemet VIS. I 2022 fikk vi også nye oppgaver etter Eurodac II-forordningen.
Oppgavene våre består av tilsyn, behandling av klager fra registrerte, informasjon og veiledning, deltagelse i samarbeidsfora på europeisk nivå og besvarelse av høringer om regelverksendringer. Vi deltar også ved evaluering av andre medlemsstaters etterlevelse av Schengen-regelverket på personvernområdet. Schengen-systemene skal utvides i årene fremover, og med det blir Datatilsynet tillagt flere tilsyns- og rapporteringsoppgaver.
Som ledd i det pågående arbeidet vårt med å overholde forpliktelsene som følger av Schengen-regelverket, har vi opprettet en tverrfaglig intern gruppe som har ansvaret for koordinering og gjennomføring av Schengen-oppgaver. I 2022 utarbeidet denne gruppen en egen strategi for Datatilsynets arbeid med Schengen-forpliktelsene.
Schengen-evaluering av Norge
Som medlem i Schengen-samarbeidet er Norge regelmessig gjenstand for inspeksjon og evaluering gjennom den såkalte Schengen-evalueringsmekanismen. Formålet med slike evalueringer er å sikre at Schengen-regelverket anvendes effektivt og enhetlig av medlemsstatene, samtidig som det opprettholdes et høyt nivå av gjensidig tillit mellom medlemslandene.
I juni 2022 ble det gjennomført en evaluering av Norges etterlevelse av Schengen-regelverket på personvernområdet. Evalueringen ble gjennomført av en delegasjon bestående av representanter fra forskjellige EU-/EØS-land og fra EU-kommisjonen. Delegasjonen besøkte Datatilsynet 27. juni 2022. Her fikk de blant annet presentert våre tilsyns- og kontrolloppgaver knyttet til SIS og VIS. I løpet av inspeksjonsperioden ble det også gjennomført besøk hos Utlendingsdirektoratet og Politiet.
I etterkant av evalueringen avgir delegasjonen en rapport til EU-kommisjonen. Evalueringsrapporten om Norges etterlevelse på personvernområdet var ikke klar på rapporteringstidspunktet.
Koordineringsgrupper for tilsyn med SIS, VIS og Eurodac
Som nevnt deltar Datatilsynet i samarbeidsfora på europeisk nivå. Det er etablert tre koordineringsgrupper med formål å koordinere og utveksle informasjon om datatilsynsmyndighetenes tilsyn med nasjonal behandling av personopplysninger i henholdsvis SIS, VIS og Eurodac. Vi er fullverdig medlem av disse gruppene, og i 2022 deltok én jurist i disse møtene.
Global Privacy Assembly (GPA)
GPA er et den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av datatilsyn fra hele verden. I 2022 deltok én jurist og én samfunnsviter på GPAs årsmøte. Dessuten deltar Datatilsynet i tre av GPAs arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.
Datatilsynet er én av fire såkalte co-chairs for International Enforcement Working Group.
Nordisk møte
Datatilsynsmyndighetene i Norge, Island, Finland, Danmark, Sverige, Færøyene og Åland har årlige møter for å diskutere i personvernspørsmål i kontekst av våre nordiske verdier. I 2022 fant det nordiske møte sted i Helsinki. Under møtet ble vi enige om å fortsette det tette, nordiske samarbeidet, blant annet når det gjelder barns personvern i kontekst av gaming. De nordiske datatilsynsmyndighetene vil dessuten fokusere på de nye lovforslagene fra EU på det digitale feltet, noe vi frykter kan føre til fragmentert håndhevelse og ressursutfordringer.
Internasjonalt samarbeid mellom datatilsyns-, forbruker- og konkurransetilsynsmyndigheter
Personvernrådet og det tilsvarende forumet for forbrukertilsynsmyndigheter, Consumer Protection Cooperation Network (CPC), har satt i gang et arbeid for å se hvordan data- og forbrukertilsynsmyndighetene kan samarbeide tettere. Dette arbeidet er inspirert av gode eksempler i ulike EØS-land, der det norske Datatilsynets nære samarbeid med Forbrukertilsynet har blitt fremhevet. Vi har en sentral rolle i dette arbeidet. Arbeidet har fortsatt i 2022, og én jurist har deltatt.
Én av GPAs arbeidsgrupper, Digital Citizen and Consumer Working Group, ser særlig på krysningspunktet mellom personvern, forbrukervern og konkurranserett, og vi er som nevnt over medlem av denne arbeidsgruppen.
Andre samarbeid
Datatilsynet er også med i andre internasjonale fora, slik som den såkalte Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT) og Global Privacy Enforcement Network (GPEN).