Kontroll og saksbehandling
Alle Datatilsynets aktiviteter og resultater er basert på oppgaver som følger av personvernforordningen artikkel 57 nr. 1. Antall innkomne saker, innsynsbegjæringer og avviksmeldinger er høyt, og vi må gjøre kontinuerlige prioriteringer.
Personopplysningsloven og personvernforordningen gir oss myndighet til å gi pålegg, iverksette undersøkelser og ilegge administrative sanksjoner. Vi har også oppgaver i henhold til kredittopplysningsloven, politiregisterloven, helseregisterloven og SIS-loven, i tillegg til en rekke forskrifter.
Mange av oppgavene innebærer skriftlig saksbehandling. En høy andel av henvendelsene som kommer inn, er klager på mulige brudd på personvernregelverket fra enkeltindivider. Loven fastslår at slike saker skal behandles, og Personvernnemnda har bidratt til å avklare at vi ikke kan avslutte saksbehandlingen uten å fatte vedtak.
Kvalifiserte brudd på personopplysningssikkerheten er meldepliktig, og antallet slike innkommende «avviksmeldinger» fortsetter å øke. Mange av disse sakene fører til omfattende undersøkelser, og flere av dem ender med vedtak om pålegg eller sanksjoner.
Vi starter også saker av eget tiltak, og gjennomfører ulike former for kontroller for å undersøke om reglene blir fulgt. Disse sakene starter etter en gjennomført risikovurderinger eller etter mottatte tips.
Antall saker, vedtak og klager
I 2023 har vi nok en gang registrert et høyere antall nye saker og dokumenter enn foregående år. I løpet av året registrerte vi 4 204 nye saker.
I løpet av året mottok vi 62 klager på vedtak vi har gjort. I sju saker omgjorde vi vedtakene våre, mens vi sendte 31 saker over til Personvernnemnda for klagebehandling.
Personvernnemnda fattet vedtak i 24 saker i 2023, og i 19 av dem ble Datatilsynets vedtak opprettholdt. Det er altså en relativt lav andel av vedtakene våre som blir omgjort.
Klager fra enkeltpersoner på mulige regelverksbrudd holder seg relativt konstant. I 2023 gjaldt dette 591 av sakene som kom inn. Hele 170 av disse klagene handlet om ulike personvernspørsmål som oppstår i forbindelse med kunde- og medlemsforhold, mens 91 handlet om personvern på arbeidsplassen.
Korrigerende tiltak og sanksjoner
I 2023 ble det ilagt seks overtredelsesgebyr for brudd på reglene i personvernforordningen. Dette er det laveste antallet siden forordningen ble innført. Det er særlig antall overtredelsesgebyrer for brudd på reglene om kredittvurderinger og overvåking på arbeidsplassen som har gått ned, og som er hovedårsaken til nedgangen.
Overtredelsesgebyrene ble gitt til både private og offentlige virksomheter som etter den norske spesiallovgivningen i utgangspunktet stilles på lik linje når det gjelder denne sanksjonsformen (se personopplysningsloven § 26 andre ledd).
I Meta-saken vedtok vi en løpende tvangsmulkt på 1 million kroner per dag inntil det aktuelle lovbruddet opphørte (se nærmere omtale av denne saken under «Internasjonalt arbeid og samarbeid»). Da tvangsmulkten ble betalt i slutten av november 2023, var det endelige beløpet på nesten 83 millioner kroner.
Totalt har vi ilagt overtredelsesgebyr og tvangsmulkt på 96,4 millioner kroner i rapporteringsåret:
Saksnr. | Mottaker | Stikkord | Sum | |
1 | 21/03649 | Karmøy kommune | Overtredelsesgebyr | 300 000 |
2 | 20/02422 | SATS ASA | Overtredelsesgebyr | 10 000 000 |
3 | 21/03126 | Argon Medical Devices Inc | Overtredelsesgebyr | 2 500 000 |
4 | 20/01642 | Homenet AS | Overtredelsesgebyr | 400 000 |
5 | 21/01164 | Elit Elektro AS | Overtredelsesgebyr | 110 000 |
6 | 20/01847 | Miljøstiftelsen Zero | Overtredelsesgebyr | 110 000 |
7 | 21/03530 | Facebook Norway AS (Meta Platforms Ireland Limited) | Tvangsmulkt | 82 980 000 |
Vi ga dessuten 12 irettesettelser, og det ble gitt pålegg om å etterkomme lovens krav i 23 av sakene.
I løpet av året fattet vi også flere andre ulike typer vedtak. Dette inkluderer forskjellige avvisningsvedtak og avslag på søknader. Vi ga også tillatelser til å behandle personopplysninger, for eksempel i saker om dopingkontroll på treningssentre (ihht. overgangsreglene (FOR-2018-06-15-877)). I mange tilfeller gikk vedtaket ut på at regelverkets krav ikke var brutt. Andre ganger fant vi at regelverkskravene var krenket, samtidig som vi besluttet å ikke ilegge korrigerende tiltak. Videre er pålegg om å utlevere informasjon til oss som en del av tilsyn, inkludert i vedtaksstatistikken. En del saker blir også fulgt opp med skriv som inneholder informasjon om hva som er de behandlingsansvarliges plikter eller de registrertes rettigheter. Slike «påpekinger» regnes ikke som enkeltvedtak, og de inngår derfor ikke i vedtaksstatistikken.
Offentlighetsloven og innsynsbegjæringer – eInnsyn
Igjen ser vi en markant økning i antall innsynsbegjæringer sammenlignet med tidligere år. Håndteringen av begjæringene i samsvar med lovens krav, er utfordrende og tidkrevende, ikke minst alle meroffentlighetsvurderingene. Antallet avslåtte begjæringer har gått ned sammenlignet med 2022 og 2021. Samtidig sendte vi ut mer enn 2 131 sladdede dokumenter i løpet av året, noe som også innebærer en økning sammenlignet med tidligere.
Vi tror at økningen i innsynsbegjæringer kan forklares med økt dokumenttilfang, men trolig er det også stigende interesse for Datatilsynets saksbehandling. Vi har satt i verk tiltak for å møte den voksende etterspørselen, men alle tiltakene krever manuell innsats – i fraværet av bedre og mer moderniserte digitale verktøy eller fellesløsninger for statlige organer til å håndtere disse sakene.
Høringer
Vi mottok hele 211 høringssaker i rapporteringsåret, noe som er en tydelig oppgang fra årene før. Vi skrev 52 høringssvar, noe som er på linje med tidligere år. Dette til tross for at vi har måttet prioritere ned høringsarbeidet.
Noen av de mest sentrale høringsuttalelsene våre omtales mer konkret lenger bak i rapporten.
Meldinger om brudd på personopplysningssikkerheten – avviksmeldinger
Personvernforordningen stiller krav til at brudd på personopplysningssikkerheten, også kalt avvik, skal meldes til Datatilsynet. I 2023 mottok vi 2 822 slike meldinger. Det er en økning på oppunder 25 prosent. I 2017, året før forordningen trådte i kraft, mottok vi 349 avviksmeldinger. Vi ser altså en markant økning i antall meldinger i årene etter.
Alle meldingene vurderes manuelt og journalføres. Av de innmeldte bruddene, avsluttet vi omlag 80 prosent med et standard avslutningsbrev.
Det er ressurskrevende å behandle et så stort antall avviksmeldinger, og det er derfor nødvendig å prioritere de mest alvorlige avvikene. Avviksmeldingene som ikke tas opp til videre saksbehandling, er likevel en verdifull kilde til informasjon, og de gir oss et godt grunnlag for å vurdere hvilke utfordringer, sårbarheter og trusler ulike private og offentlige virksomheter må håndtere.
Vi ser at det har vært en vekst i de fleste typer brudd siden 2022. Kategorien «tilsiktede angrep» har økt med hele 143 prosent i 2023, noe som gjenspeiler den krevende trusselsituasjonen offentlig og privat sektor må håndtere. I tillegg ser vi en økning i avviksmeldinger knyttet til «manglende/feil i tilgangsstyring» på 44 prosent.
Fra januar 2023 ble sektorkategoriene oppdatert i tråd med inndeling (NACE-koder) brukt av SSB og Brønnøysundregistrene. Det gjør at sektorstatistikk fra tidligere år ikke lar seg direkte sammenligne.
Selv om en sektor melder mange avvik, er det ikke nødvendigvis slik at personvern og personopplysningssikkerhet er dårligere ivaretatt der enn i sektorer som melder inn få avvik. Et høyt antall avvik kan også skyldes at sektoren behandler store mengder persondata, og at de har gode rutiner for å avdekke og melde inn alle typer avvik.
Tilsynsvirksomheten
Vi gjennomførte 119 planlagte og hendelsesbaserte tilsyn, fordelt på både privat og offentlig sektor. Av disse ble 105 utført som skriftlige tilsyn (brevkontroller) og 14 ble gjennomført som stedlige kontroller. Vi så nærmere på følgende tema:
- oppfyllelse av personvernprinsippene og behandlingsansvar
- ivaretakelse av registrertes rettigheter
- kontroll av virksomhetenes styringssystem for personvern og informasjonssikkerhet
- personopplysningssikkerhet i offentlig sektor
- kameraovervåking i arbeidslivet
- eksponering av barn i sosiale medier
Tilsynsobjekt | Metode |
Kommuner og fylkeskommuner (98) | Brevlig |
Oppfølging av tilsyn hos kommuner (11) | Stedlig |
Arbeids- og velferdsetaten (NAV) | Stedlig |
Kripos - politiets tilgang til opplysninger i Visa Information System for politimessige formål | Brevlig |
Kredittopplysningsforetak (4) | Brevlig |
Kameraovervåking i arbeidslivet (2) | Stedlig |
Eksponering av barn i sosiale medier | Brevlig |
Convene Collection AS | Brevlig |
Et fellestrekk vi så, var at mange virksomheter har mangler knyttet til internkontrollen og styringssystemene sin. Vi observerer også at mange virksomheter ikke har iverksatt tilstrekkelige tiltak for å ivareta personopplysningssikkerheten. Dette inkluderer mangler knyttet til logging, tilgangsstyring, autentisering og sikkerhetskopiering/gjenoppretting. En del virksomheter har i tillegg utfordringer knyttet til kravene til behandlingsprotokoll og manglende oversikt over interne ansvarsforhold.
Majoriteten av tilsynene ble rettet mot offentlig sektor. Dette inkluderer tilsyn med Arbeids- og velferdsetaten (NAV) og med kommuner i hele landet. Disse tilsynene omtales nærmere under «Annen vesentlig aktivitet».