Nytt om personvern – Datatilsynet oppsummerer personvernåret 2021
I mars publiserte Datatilsynet sin årsrapport for 2021. Rapporten oppsummerer fjorårets tall og tendenser for tilsynets virksomhet og gir et frempek på hvilke personvernutfordringer tilsynet vil fokusere på i tiden fremover.
Hovedmål og prioriteringer
Tilsynets prioriterte hovedområder for 2021 var kontroll og saksbehandling,internasjonalt samarbeid og drift av regulatorisk «sandkasse». Faglig lå fokuset på personvern relatert til skole, barn og unge, samt koronarelaterte problemstillinger. Datatilsynet påpeker at det de siste årene har blitt iverksatt tiltak som ikke ville vært akseptable i en normal situasjon, herunder kontrolltiltak i arbeidslivet. Datatilsynet mener det er viktig at vi kommer tilbake til en «før korona-tilstand». I praksis innebærer det at tiltak som ikke er risikovurdert enten må risikovurderes, eller avsluttes. Ifølge tilsynet må også kontrolltiltak i arbeidslivet reduseres.
Håndtering av klagebehandling og avviksmeldinger
I løpet av 2021 registrerte Datatilsynet 3 474 nye saker, en økning på seks prosent fra 2020. Av disse utgjorde i underkant av 600 klagesaker fra enkeltindivider. Klagesakene gjaldt blant annet følgende temaer:
Rundt 25 prosent gjaldt virksomheters behandling av personopplysninger om sine kunder
Rundt 12-13 prosent gjaldt behandling av helseopplysninger
Rundt 12-13 prosent gjaldt behandling av personopplysninger i arbeidslivet
For øvrig mottok Datatilsynet et betydelig antall klager om behandling av personopplysninger ved bruk av digitale tjenester (som for eksempel nettjenester, sosiale medier og apper), innhenting av kredittvurderinger, bruk av kameraovervåkning og barns personvern.
Det har videre vært en moderat økning i antall mottatte avviksmeldinger, hvor flere store saker var knyttet til cyberangrep. Datatilsynet realitetsbehandler ca. 20 prosent av avviksmeldingene de får inn. Vedtakene viser at Datatilsynet har fokusert på håndheving av særlig alvorlige avvik, som for eksempel overtredelsesgebyret mot Østre Toten kommune. Til tross for at Datatilsynet behandler få saker om brudd på personopplysningssikkerheten, legger de til grunn at de vedtakene som treffes har stor signaleffekt og viser til at mange kommuner skjerpet sine sikkerhetsrutiner i kjølvannet av Østre Toten-saken.
Overtredelsesgebyrer
I 2021 utstedte Datatilsynet 26 overtredelsesgebyrer, en dobling fra året før. Overtredelsesgebyrenes størrelse har økt betydelig, med totalt ca. 80 millioner kroner i overtredelsesgebyrer fordelt på 26 saker i 2021, mot ca. 6 millioner kroner fordelt på 13 saker i 2020. Ett av gebyrene var på 65 millioner kroner, og representerer det høyeste gebyret som hittil er gitt i Norge for brudd på personvernet. Vedtaket er enda ikke rettskraftig.
Enkelte av klagesakene som ble behandlet i Personvernnemnda førte til reduksjon overtredelsesgebyrene. Nemnda uttrykte i disse sakene blant annet at lang saksbehandlingstid fører til lavere overtredelsesgebyr.
Tilsynsaktivitet
Datatilsynet har en risikobasert tilnærming til sin tilsynsrolle. Virksomhetene de velger å kontrollere faller normalt innenfor en av følgende kategorier: (i) virksomheter hvor tilsynet antar at der er en særskilt risiko, og (ii) representative virksomheter hvor tilsynet ønsker å avdekke status innenfor en sektor eller et tematisk område. I tillegg gjennomfører Datatilsynet hendelsesbaserte tilsyn og har også som mål å gjennomføre såkalte profilerte tilsyn.
Tilsynsaktiviteten gikk ned både i 2020 og 2021, særlig som følge av koronapandemien og restriksjonene denne medførte. I løpet av disse årene har Datatilsynet utformet en ny tilsynsmetodikk tilpasset nytt lovverk og tilsynsobjektene, samt opprettet en tilsynskoordinator. Dette kan tilsi at Datatilsynet vil øke sin tilsynsaktivitet i årene som kommer. Samtidig fremgår det av rapporten at selv om Datatilsynet ønsker å gjennomføre flere stedlige tilsyn og andre kontrolltiltak av eget tiltak fremover, kan dette bli utfordrende som følge av økningen i antallet klagesaker som må prioriteres.
Internasjonalt samarbeid
Det internasjonale arbeidet har i 2021 vært prioritert fra Datatilsynets side. Gjennom deltakelse i Personvernrådet og dets undergrupper får Datatilsynet mulighet til å påvirke rettsutviklingen. Datatilsynet er for eksempel hovedrapportør for Personvernrådets retningslinjer om verktøy for avdekking av barneovergrepsmateriale.
Framtidsutsikter og fokusområder
Datatilsynet antar at deres avgjørelser i større grad vil bli utfordret rettslig fremover, både i Personvernnemda og i domstolene. Som følge av den stadige utviklingen på teknologiområdet, anser Datatilsynet det også sannsynlig at sakene vil øke i kompleksitet.
Datatilsynet uttrykker misnøye over manglende håndhevelse av regelverket overfor internasjonale teknologigiganter, noe de også anser som en fremtidsutfordring. Videre peker de på at en harmonisert tolkning og praktisering av personvernforordningen er en kontinuerlig utfordring.
I tillegg trekker tilsynet frem behovet for arbeid med personvern innenfor kommunesektoren. Mange kommuner mangler tilstrekkelig kompetanse, og det foreligger derfor et behov for blant annet veiledning og samordning av kunnskap.
Datatilsynet uttrykker også bekymring over det store antallet henvendelser om personvern i arbeidslivet. De mener dagens regelverk er godt, men at det svikter i etterlevelsen. Det er verdt å merke seg at Datatilsynet ofte reagerer med overtredelsesgebyr eller andre korrigerende tiltak i saker hvor en arbeidsgiver bryter personvernregelverket, som for eksempel i saker om kameraovervåkning på arbeidsplassen. Datatilsynet skriver i rapporten at de ser alvorlig på disse sakene, blant annet som følge av det ujevne styrkeforholdet mellom arbeidsgiver og arbeidstaker.
Avslutningsvis fremholder tilsynet manglende digitalsikkerhet som en fremtidsbekymring. I 2021 ble det gjennomført en rekke større dataangrep mot offentlige og private norske virksomheter. Datatilsynet påpeker at mange virksomheter ikke tar sikkerhet tilstrekkelig på alvor før en uønsket hendelse inntreffer, og at mange angrep kan forhindres gjennom relativt enkle tekniske tiltak.