Utvalde hurtiglenker

    Meldinger til Stortinget

    Meld. St. 34 (2024–2025)

    Datatilsynets og Personvernnemndas årsrapportar for 2024

    Til innhaldsliste
    Neste kapittel
    Til forsida

    1 Merknader frå Digitaliserings- og forvaltningsdepartementet til Datatilsynets årsrapport

    Datatilsynet er eit uavhengig forvaltningsorgan oppretta i medhald av personopplysningslova og personvernforordninga. Tilsynet kan ikkje instruerast i behandlinga av einskildsaker eller den faglege verksemda elles.1 Digitaliserings- og forvaltningsdepartementet har det administrative ansvaret for Datatilsynet. Tilsynet skal kvart år sende årsrapporten sin til departementet, som legg rapporten fram for Stortinget.2 I denne meldinga legg regjeringa fram Datatilsynet og Personvernnemndas årsrapportar for 2024.

    Datatilsynets hovudmål er å arbeide for eit godt personvern for alle. For å nå dette målet, og for å prioritere oppgåvene sine, har tilsynet utarbeidd ein strategi3 med ein visjon, ein grunnmur og tre innsatsområde som er styrande for arbeidet. Visjonen for tilsynets arbeid er «saman for menneskeverd og tillit i det digitale Noreg». Datatilsynet skal vere ein kunnskapsbasert, framtidsretta og solid organisasjon. Innsatsområda i strategien er delt i tre delar, retta mot samfunnet, verksemder og individ. For samfunnet skal Datatilsynet fremje personvern som ein føresetnad for demokrati og ein rettvis maktbalanse. For verksemder skal tilsynet bidra til godt personvern i praksis, medan dei skal jobbe for å vareta personvernet til innbyggjarane. I 2024 prioriterte Datatilsynet følgjande hovudområde:

    • Personvern for barn og unge

    • Internasjonalt arbeid

    • Den regulatoriske sandkassa

    • Kontroll og sakshandsaming

    Som prioritert verkemiddel har Datatilsynet i rapporteringsåret særleg arbeidd med saksbehandling og kontroll. I tillegg til behandling av ulike klagar og spørsmål om behandling av personopplysningar, har tilsynsverksemda vore del av Datatilsynets arbeid. I 2024 gjennomførde Datatilsynet 18 planlagde og hendingsbaserte tilsyn i både private og offentlege verksemder. Seks tilsyn var stadlege tilsyn, seks var skriftlege tilsyn, medan seks kontrollar blei gjennomførde som digitale tilsyn i form av tekniske kontrollar av nettstader.

    1.1 Organisasjon og budsjett

    Datatilsynet blei i rapporteringsåret leidd av direktør Line Coll. Ho tiltredde stillinga 1. august 2022. Stillinga som direktør i Datatilsynet er eit åremål på seks år, med moglegheit for oppnemning for ytterlegare ein periode.

    I rapporteringsåret gjennomførte Datatilsynet ein organisasjonsutviklingsprosess med brei medverknad frå dei tilsette. Eit av resultata var at det blei gjort justeringar i organisasjonen som mellom anna førte til at dei fire juridiske seksjonane ikkje lenger er samla i ein juridisk avdeling, men alle er direkte underlagde direktøren. Dette fekk også innverknad på leiargruppa. Med verknad frå 1. september 2024 består leiargruppa av seksjonsleiar for utgreiing, analyse og politikk, seksjonsleiar for offentlege tenester, seksjonsleiar for private tenester, seksjonsleiar for teknologi, tryggleik og tilsyn, seksjonsleiar for internasjonal seksjon, juridisk direktør, avdelingsdirektør for kommunikasjon og samfunnskontakt og avdelingsdirektør for administrasjonsavdelinga i tillegg til direktøren.

    Datatilsynet hadde i 2024 ei budsjettramme på kap. 1550 post 01 på 82,24 mill. kroner, og fekk i tillegg 1,64 mill. kroner i lønskompensasjon. Det blei dessutan overført 3,43 mill. kroner i ubrukte midlar frå 2023, slik at samla disponible middel på kap. 1550 post 01 i 2024 var 87,31 mill. kroner. Om lag 76% av dei tildelte midla er bundne i løn, medan dei resterande 24% av budsjettet går til drift.

    I løyvinga ligg 7 mill. kroner til arbeidet med den regulatoriske sandkassa for personvernvennleg digitalisering og innovasjon (tidlegare omtalt som sandkassa for personvern og kunstig intelligens). Midla til sandkassa er rammeoverført frå Digitaliserings- og forvaltningsdepartementet (3 mill. kroner), i tillegg til 1 mill. kroner kvar frå Arbeids- og inkluderingsdepartementet, Helse- og omsorgsdepartementet, Kunnskapsdepartementet og Nærings- og fiskeridepartementet.

    Datatilsynet hadde i rapporteringsåret 69 tilsette fordelt på 56,54 årsverk (DFØ-modellen). Fleire av dei deltidstilsette er studentar knytte til Datatilsynets ressurseining for rettleiing, med ein stillingsbrøk kvar på 25 prosent. Talet på årsverk er om lag uendra frå 2023. Ved utgangen av 2024 fordelte dei fast tilsette i tilsynet seg på 59 prosent kvinner og 41 prosent menn, noko som er ein litt jamnare kjønnsfordeling enn året før.

    1.2 Saksbehandling og kontroll

    Datatilsynets oppgåver følgjer av personvernforordninga artikkel 57. Regelen inneheld ein omfattande opplisting av dei oppgåvene som ligg til datatilsynsmyndigheita. Det følgjer mellom anna av forordninga at tilsynsmyndigheita skal behandle «klager [over behandling av personopplysningar] som er inngitt av en registrert eller et organ», føre tilsyn med etterleving av regelverket, gi råd til både dei som behandlar personopplysningar og til dei registrerte, samarbeide med tilsynsmyndigheiter i andre land for å sikre etterleving av regelverket og gi råd ved utarbeiding av regelverk med personvernkonsekvensar.

    I tillegg til oppgåvene etter personopplysningslova og personvernforordninga fører Datatilsynet tilsyn med etterleving av fleire andre regelverk, som til dømes politiregisterlova, arbeidsmiljølova, helseregisterlova, pasientjournallova, kredittopplysningslova og lov om Schengen informasjonssystem. Datatilsynet er òg gitt tilsynsoppgåver etter ny lov om elektronisk kommunikasjon som blei vedteke i Stortinget 13. desember 2024 og tok til å gjelde 1. januar 2025. I tillegg kjem Datatilsynet til å få oppgåver etter den komande KI-lova og etter ny lov om digital tenester som regjeringa arbeider med.

    Saksmengda i Datatilsynet har vore jamt stigande sidan personvernforordninga blei gjennomført i norsk rett i 2018. Auken haldt fram i 2024, og talet på nye saker var rekordhøgt, med totalt 4736 nye saker mot 4204 i 2023. Til samanlikning blei det registrert 3118 nye saker i 2019, som var det første heile året personvernforordninga gjaldt i Noreg. I løpet av dei siste fem åra har det samla talet på nye saker i Datatilsynet såleis auka med om lag 1600 saker. I tillegg til at talet på saker aukar, blir sakene òg stadig meir komplekse og tidkrevjande. Stadig fleire av sakene har dessutan eit europeisk tilsnitt ved at den behandlingsansvarlege verksemda er etablert utanfor Noreg medan dei registrerte er norske borgarar. Dette gjer saksbehandlinga meir kompleks og tidkrevjande.

    Datatilsynet gjer i årsrapporten greie for den store auken i talet på nye saker i 2024. Dei skriv at talet på klager på moglege brot på personopplysningsregelverket motteke frå einskildpersonar auka frå 591 i 2023 til 902 i 2024. Dette er ei auke på om lag 50 prosent. Tilsynet forklarer auken mellom anna med at dei i april 2024 lanserte eit digitalt klageskjema som straks førte til fleire klager. Truleg oppfattar folk at det er enklare å klage når dei kan bruke eit digitalt skjema. Samstundes peiker Datatilsynet på at talet på klager på brot på personopplysningsregelverket aukar i heile Europa. I Sverige er talet, til dømes, nær dobla dei to siste åra.

    Vedtak

    I rapporteringsåret fatta Datatilsynet 384 vedtak. Dette talet er ein monaleg auke samanlikna med året før, då talet på registrerte vedtak var 303. I 2020 blei det til samanlikning fatta 252 vedtak. 73 av dei 384 vedtaka Datatilsynet fatta i 2024 blei påklaga. Dette er prosentvis om lag same talet på klager som året før. Fem av dei påklaga vedtaka i 2024 blei heilt eller delvis endra av Datatilsynet etter klage, medan 48 av klagene blei sende til Personvernnemnda for klagebehandling. Dei resterande klagesakene var ved årsskiftet framleis til behandling hos Datatilsynet. Departementet gjer nærare greie for Personvernnemnda si behandling av sakene i del 2.

    I Meld. St. 32 (2023–2024) Datatilsynets og Personvernnemndas årsrapportar for 2023 gjorde departementet greie for at Datatilsynet, i eit forsøk på spare ressursar, avslutta ei rekkje mindre alvorlege saker utan å fatte realitetsvedtak. Dette gjaldt mellom anna saker om kameraovervaking i naboforhald og ulike klager på behandling av personopplysningar i arbeidstilhøve. Mange av desse sakene har Personvernnemnda sendt tilbake til Datatilsynet for ny behandling, då nemnda meiner at Datatilsynet ikkje har høve etter personvernforordninga til å avslutte sakene utan å fatte vedtak. Tilsynet skriv i årsrapporten at den obligatoriske behandlinga av mindre prinsipielle saker legg beslag på ressursar som elles kunne vore brukt på tilsyn og rettleiing. Dette gir ein illustrasjon på kor lite handlingsrom Datatilsynet har når det kjem til å vurdere kva for saker dei skal bruke dei avgrensa ressursane sine på, og er også ei forklaring på kvifor saksbehandlingstida aukar i takt med saksmengda.

    Sanksjonar

    Datatilsynet tok 44 avgjerder om korrigerande tiltak eller lovbrotsgebyr for brot på personvernregelverket i 2024. Vedtaka omfattar ulike former for irettesettingar (14 saker), pålegg og lovbrotsgebyr (fem saker) etter personvernforordninga. Lovbrotsgebyra blei alle gitt til offentlege verksemder og varierte frå 85 000 kroner til 20 millionar kroner (Arbeids- og velferdsetaten, seinare oppheva av Personvernnemnda, sjå omtale i del 2). Samla utgjorde lovbrotsgebyra, med unntak for de oppheva gebyret mot Arbeids- og velferdsetaten, i 2024 735 000 kroner, noko som er eit svært lågt tal. Det låge talet skuldast mellom anna at gebyra er retta mot offentleg sektor, som normalt får lågare gebyr enn verksemder i privat sektor. Datatilsynet har òg heimel til å gi pålegg av ymse slag for å sikre etterleving av personopplysningsregelverket. I 2024 fatta tilsynet vedtak om slike pålegg i 24 ulike saker. I tillegg blei det fatta elleve vedtak som følgje av ulike avvik avdekte i tilsynsverksemda, mellom anna det store kommunetilsynet Datatilsynet gjennomførde i 2023.

    I tillegg til irettesettingar, pålegg og lovbrotsgebyr, fatta tilsynet eitt vedtak om tvangsmulkt etter den norske personopplysningslova. Årsaka til tvangsmulkta var manglande dokumentasjon om at eit pålegg var gjennomført. Skilnaden mellom tvangsmulkt og lovbrotsgebyr er at tvangsmulkta er løpande og skal medverke til at den behandlingsansvarlege oppfyller sine plikter etter personopplysningslova, medan lovbrotsgebyret er ein reaksjon som følgje av lovbrot. Tvangsmulkt har inga parallell i personvernforordninga, men er eit særnorsk verkemedel.

    I 2023 fatta Datatilsynet eit vedtak om tvangsmulkt mot Meta (som mellom anna eig Facebook og Instagram) og Facebook Norge. Mulkta var 1 mill. kroner per dag for brot på reglane om rettsleg grunnlag i personvernforordninga artikkel 6. Tvangsmulkta løp i 82 dagar, og samla beløp blei 82,89 mill. kroner. Saka mot Meta Inc. og Facebook Norge var ei stor og viktig sak for Datatilsynet i 2023. Frå vedtaket i saka blei fatta 14. juli registrerte dei til saman 1708 timar arbeid i saka. Den reelle arbeidsmengda knytt til saka er likevel mykje høgare som følgje av at dei ikkje registrerte arbeidstimar før vedtak i saka blei fatta.

    Saka tok mykje ressursar også etter at vedtaket var fatta, både i form av oppfølging nasjonalt, mellom anna sak i Oslo tingrett i august 2023, og i Det europeiske personvernrådet, som stadfesta Datatilsynet sitt vedtak på europeisk nivå i oktober 2023. I tillegg til at saka blei behandla i Oslo tingrett, klaga Meta tvangsmulktvedtaket inn for Personvernnemnda. Klagen, som blei avgjort i 2024, reiste ei rekkje prinsipielle spørsmål om behandling av grensekryssande saker etter personvernforordninga, mellom anna om Datatilsynet har heimel til å gi tvangsmulkt etter den norske personopplysningslova i saker som blir behandla etter konsistensmekanismen i peronvernforordninga. Nemnda konkluderte (sak PVN-2023-31 og PVN-2024-04) med at Datatilsynet ikkje kan gi tvangsmulkt, som er eit særnorsk verkemedel, i saker som blir behandla etter konsistensmekanismen i personvernforordninga. I samband med den pågåande etterkontrollen av personopplysningslova har Justis- og beredskapsdepartementet varsla at dei vil sjå nærare på utforminga av regelen om tvangsmulkt i personopplysningslova.

    Store saker, som Meta-saka, og saka om Arbeids- og velferdsetaten si behandling av personopplysningar, med kompliserte juridiske og økonomiske vurderingar og stor offentleg merksemd, er krevjande for tilsynet og legg beslag på store ressursar både i saksbehandling og mediehandtering. Datatilsynet vurderer likevel at arbeidet gir stor effekt for personvernet nasjonalt og internasjonalt, og at det difor er riktig å prioritere nokre slike store saker sjølv om det fører til lengre saksbehandlingstid i ein del av dei mindre sakene.

    Det er statens innkrevingssentral som krev inn mulkt og gebyr etter Datatilsynets vedtak. Pengane går i statskassa.

    Tilsyn

    Datatilsynet gjennomførde i 2024 relativt få planlagde og hendingsbaserte tilsyn, 18 i talet fordelt på offentleg og privat sektor. Det blei gjennomført seks brevkontrollar, seks stadlege tilsyn og seks digitale tilsyn med nettstader. I tilsyna så Datatilsynet nærare på mellom anna etterleving av personvernprinsippa og behandlingsansvaret, verksemdenes styringssystem for personvern og informasjonstryggleik, personopplysningstryggleik og behandling av kredittopplysningar. Fem av dei brevlege kontrollane var retta mot kredittopplysningsverksemder.

    Dei digitale tilsyna fokuserte på nettstaders bruk av sporingsverktøy og var eit resultat av ei rekkje medieoppslag om nettstader som delte særskilde kategoriar personopplysningar (tidlegare kalla sensitive personopplysningar) med tredjepartar. Desse tilsyna var ikkje avslutta ved årsskiftet 2024/2025.

    Eitt av tilsyna i 2024 blei gjennomført i tråd med Noregs pliktar etter Schengen-reglane. Tilsynet ble utført ved ambassaden i London. Schengen-tilsyn er ressurskrevjande tilsyn som skal følgje strenge regelfastsette krav.

    Datatilsynet skriv i årsrapporten at eit fellestrekk i mange av tilsyna er at dei finn manglar ved internkontrollen. Mange verksemder har heller ikkje sett i verk tilstrekkelege informasjonstryggleikstiltak. Slike manglar kan få store negative konsekvensar for verksemdene. I tilsyna mot kommunar og fylkeskommunar har Datatilsynet difor hatt fokus på dialog og rettleiing i høve til tilsynsobjekta. Det blei òg publisert ein samlerapport frå tilsyna som mellom anna er meint som rettleiing og eit grunnlag for kommunane sjølve til å vurdere om dei etterlev personvernreglane. Denne arbeidsforma er ny for tilsynet, og har blitt godt motteke hos tilsynsobjekta.

    Avviksmeldingar

    Innføringa av personvernforordninga i 2018, og merksemda om dei høge gebyra som kan påleggast ved brot på regelverket, har ført til at Datatilsynet mottek ein stor mengd avviksmeldingar. Avviksmeldingar er meldingar om brot på personopplysningstryggleiken. Personvernforordninga stiller krav om at slike brot skal meldast til datatilsynsmyndigheita innan fastsette fristar. I 2017, året før forordninga tok til å gjelde, fekk Datatilsynet 349 avviksmeldingar. Sidan har det vore ein jamn og stor auke. I 2024 fekk Datatilsynet 3191 avviksmeldingar. Talet på avviksmeldingar har auka monaleg sidan 2019, det første heile året personvernforordninga gjaldt i Noreg, då tilsynet fekk inn 1916 avviksmeldingar. Datatilsynet gjer ei vurdering av alle innmelde brot. Av dei innmelde brota blir 80 prosent avslutta utan vidare oppfølging frå Datatilsynet, medan 20 prosent går vidare til saksbehandling.

    Dei rapporterte brota varierer i omfang og alvor. Avviksmeldingane gjeld mellom anna sending av personopplysningar til feil mottakar (om lag 37 prosent av meldingane), feil i tilgangsstyring (auka med 14 prosent frå 2023), utilsikta publisering av personopplysningar og tilsikta dataangrep (auka med 39 prosent sidan 2023). Godt over halvparten av avviksmeldingane kjem frå verksemder innan offentleg administrasjon, skule og barnehage og helse, omsorg og sosialteneste, med den største auken innan offentleg administrasjon (1348 melde avvik i 2024 mot 962 i 2023). At ein bransje utmerker seg med mange avviksmeldingar er ikkje eintydig negativt. Det kan òg vere teikn på god kjennskap til regelverket og til gode rutinar for å melde avvik, gjerne i kombinasjon med at sektoren behandlar store mengder personopplysningar. I årsrapporten skriv Datatilsynet at melde avvik i kategorien «tilsikta angrep» har auka med 39 prosent i 2024, noko som speglar eit stadig meir komplekst trusselbilde og strekar under kor viktig det er å jobbe med førebyggjande tiltak.

    Avviksmeldingane er ei viktig kjelde til informasjon om risiko, sårbarheiter og truslar ved behandlinga av personopplysningar. Denne informasjonen blir mellom anna brukt når Datatilsynet planlegg risikobaserte tilsyn. Meldingane er òg ei kjelde til informasjon om kjennskapen til personopplysingsreglane i ulike bransjar og sektorar. På den måten kan dei gi grunnlag for å målrette rettleiing mot desse sektorane. Det høge talet på melde avvik er samstundes utfordrande for tilsynet fordi det har ført til auka ressursbruk knytt til saksbehandling av avviksmeldingane.

    Krav om dokumentinnsyn

    I 2024 fekk Datatilsynet 7547 krav om dokumentinnsyn etter offentleglova. Dette var ei svak auke frå 2023. Talet på krav om dokumentinnsyn har likevel auka jamt dei siste åra, og er meir enn dobla frå 2020, då tilsynet fekk 3671 krav om dokumentinnsyn. Som i tidlegare år er truleg noko av årsaka til auken den store auken i saksmengda og ei stadig aukande interesse for Datatilsynet si verksemd. Store og profilerte saker, som saka mot Arbeids- og velferdsetaten og Personvernnemnda si oppheving av tvangsmulkta mot Meta i 2024, gir truleg òg opphav til mange krav om dokumentinnsyn. Datatilsynet gir innsyn i dei fleste tilfella, og talet på avslag har gått noko ned samanlikna med talet på krav om dokumentinnsyn. Talet på delvis innsyn har gått noko opp frå 2023, og det blei i 2024 gitt delvis innsyn i 2398 dokument.

    Auken i krav om dokumentinnsyn har dei siste åra medført auka innsats for å handtera alle krava. Ikkje minst blir arbeidet med å vurdere meiroffentlegheit stadig meir ressurskrevjande, noko som særleg legg beslag på den juridiske kompetansen i tilsynet. I 2024 registrerte Datatilsynet 1579 arbeidstimar på behandling av innsynskrav, noko som er om lag eit årsverk. Tilsynet rapporterer at behandling av krav om innsyn i avviksmeldingar er særleg ressurskrevjande. Desse dokumenta inneheld ofte informasjon om sårbarheiter og avvik som kan nyttast av potensielle trusselaktørar, og det er difor svært viktig å gjere grundig gjennomgang og sladding av dokumenta før det blir gitt innsyn.

    Barn og unge

    Datatilsynet har i fleire år prioritert arbeid med personvern for barn og unge. Særleg den raske digitaliseringa i skule og barnehage, med stadig fleire digitale hjelpemiddel og verktøy, kan gå ut over personvernet. Også fritida til barn og unge er i stor grad digitalisert. Barn og unge er ei gruppe som nyt særskild vern etter personvernregelverket. Dei er sjølv ofte mindre medvitne om personvernutfordringane knytt til bruk av digitale tenester og er difor avhengige av at vaksne tek gode val på barnas vegne. Tilsynet peiker særleg på at nettbaserte spel og sosiale nettverk skapar utfordringar knytt til samtykke og aldersverifisering, sporing og atferdsbasert marknadsføring.

    I arbeidet med å trygge barn og unge sitt personvern har Datatilsynet i 2024 prioritert arbeid med fleire store høyringssaker. Arbeid med høyringssaker er ofte tidkrevjande, men gir samstundes moglegheit for å påverke personvernkonsekvensar når nye reglar blir utarbeidd. Sentrale saker har vore oppretting av individregistre over barn i barnehage og grunnskule, oppretting av eit nasjonalt personidentifiserbart barnevernregister og behandling av sensitive opplysningar for å nedkjempe seksuelle overgrep, trakassering og vald i idretten. Tilsynet har dessutan samarbeidd med KS i deira prosjekt Skolesec, og har gitt innspel til arbeidet med ei nasjonal personvernvurdering (DPIA) av Google sine tenester og ei nasjonal DPIA for kunstig intelligens i digitale læremiddel.

    Saman med Utdanningsdirektoratet driv Datatilsynet nettressursen dubestemmer.no der dei formidlar informasjon om personvern til barn og unge. Nettstaden, som har vore i drift i ei årrekke, blir stadig utvikla og blir ofte trekt fram som ein viktig ressurs for kunnskap om personvern og tryggleik på nett.

    Tilsynet har òg arbeidd internasjonalt med spørsmål knytt til barn og unge sitt personvern. Dei har delteke i ei nordisk arbeidsgruppe som ser på barns personvern i samband med gaming, og i rapporteringsåret publiserte Datatilsynet, saman med dei andre nordiske datatilsyna, ein rettleiar om barns personvern i nettbaserte spel. Tilsynet har dessutan delteke i to undergrupper under Det europeiske personvernrådet som ser på ulike spørsmål knytt til barn og unge sitt personvern.

    Kommunikasjonsverksemd

    Ulike typar kommunikasjon om rettar og plikter etter personvernreglane er ein viktig del av Datatilsynets arbeid. Gjennom kommunikasjonsarbeidet skal dei bidra til auka kunnskap om og interesse for personvern. Tilsynet publiserer aktivt på eiga nettstad. I tillegg har dei eigen blogg og podkast. For nokre år sidan tok Datatilsynet ei avgjerd om ikkje å bruke Facebook. Dei har likevel vore aktive på både X (tidlegare Twitter) og frå tidleg 2024 også LinkedIn. I 2024 tok dei ei avgjerd om å avslutte bruken av X basert på ei vurdering av personvernkonsekvensar og den kommunikasjonsfaglege effekten ved bruk av plattforma. Dei tilsette i tilsynet held ei lang rekkje foredrag på både eigne og andre sine arrangement. I 2024 handla om lag kvart fjerde foredrag om kunstig intelligens og personvern.

    I 2024 har Datatilsynet, i samsvar med hovudmålet om eit godt personvern for alle, prioritert informasjonstiltak som har effekt for alle. Dei har mellom anna satsa på fleire nye rettleiingar på nett, webinar og interaktiv, digital rettleiing. Den telefonbaserte rettleiingstenesta er òg ein del av tilsynets kommunikasjonsverksemd. Dette er ein viktig kanal for alle som har spørsmål om behandling av personopplysningar. I 2024 kom det inn 5690 førespurnader til rettleiingstenesta, mot 5169 året før. Kvar samtale varer i snitt i drygt ti minutt, noko som viser at dette er ein stor og viktig del av tilsynet si rettleiingsverksemd.

    Internasjonal verksemd

    Datatilsynet deltek aktivt i internasjonalt personvernarbeid. Det europeiske personvernrådet (personvernrådet), som er samarbeidsorganet for datatilsyna i alle EØS-landa, er ein svært viktig arena i så måte. Her møtest alle dei europeiske tilsyna for faglege diskusjonar, mellom anna om tolking av personvernforordninga. Dette er viktig for å sikre at regelverket blir tolka og praktisert likt i alle landa. Personvernrådet har etablert ei rekkje undergrupper som arbeider med ulike tema. Datatilsynet deltek aktivt i desse gruppene. Tilsynsmyndigheitene behandlar dessutan ei rekkje saker som gjeld innbyggarar og/eller verksemder etablerte i fleire land. I desse sakene krev personvernforordninga at tilsyna samarbeider. EU har i 2024 arbeidd med ei ny forordning om saksbehandlingsføresegner i grenseoverskridande saker etter GDPR. Forordninga skal medverke til at same sak blir behandla likt i alle EØS-landa, men vil samstundes innebere at tilsynsmyndigheita får fleire forpliktingar i grenseoverskridande saker. Det er venta at forordninga vil bli vedteke i løpet av 2025. Dei komande reglane kan få konsekvensar for ressurssituasjonen i Datatilsynet.

    Datatilsynet deltek på lik linje som EU-landa sine datatilsyn i personvernrådet, men utan røysterett. Tilsynet er svært aktiv i dette personvernsamarbeidet og har teke ein leiarrolle i fleire av rådets arbeid. I 2024 deltok Datatilsynet på om lag 150 møte i regi av personvernrådet – dei fleste fysiske møte utan moglegheit for digital deltaking. Arbeidet krev god førebuing og er ressurskrevjande. Gjennom dette arbeidet har det norske Datatilsynet opparbeid seg ein solid posisjon som gir store moglegheiter for å påverke og sette agendaen for personvernutviklinga internasjonalt.

    I rapporteringsåret blei Datatilsynet identifisert som tilsyn som saka rørde ved i 373 saker. Dette er ei auke frå 304 saker i 2023. Samstundes har talet på grenseoverskridande saker der det norske tilsynet er leiande tilsyn halde seg relativt stabilt, og var i 2024 på 17 saker. Internasjonal saksbehandling føreset at tilsynet følger med på andre lands saker og gir innspel i desse sakene etter fastsette prosessreglar. Saksbehandlinga skjer på engelsk i eit informasjonssystem sett opp av Europakommisjonen.

    Departementets vurderingar

    Datatilsynet har eit breitt mandat og skal gjere ein stor jobb for dei tildelte midla. Oppgåvene stiller krav til god planlegging og prioritering. Digitaliserings- og forvaltningsdepartementet er godt tilfreds med arbeidet Datatilsynet har utført i rapporteringsåret. Aktivitetsnivået har vore høgt, og tilsynet har arbeidd godt for å tilpasse verksemda til sakstilfanget. I tillegg har Datatilsynet medverka til å sette personvern på dagsordenen i ei rekkje samanhengar, både nasjonalt og internasjonalt. Tilsynet kjem godt ut i ei omdømemåling gjennomførd av IPSOS i 2024, der tilsynet ligg i kategorien «godt omdøme», og skårar spesielt høgt på samfunnsansvar og kunnskap.

    Samtidig ser departementet at saksmengda i Datatilsynet har auka kraftig, og vil framover ha særskild merksemd retta mot ressurssituasjonen i tilsynet. Ei rekkje nye regelverk frå EU påverkar utviklinga på det digitale området, inkludert behandling av personopplysningar. Når desse regelverka blir gjennomførte i norsk rett, vil Datatilsynet ofte få nye rettleiings- og tilsynsoppgåver. Kvar for seg kan oppgåvene vere relativt lite krevjande, men samla utgjer dei ein stor auke i arbeidsmengda.

    I 2023 bad departementet Direktoratet for forvaltning og økonomistyring (DFØ) om å gjere ei evaluering av Datatilsynet. Evalueringa skulle vere til hjelp både for tilsynet sine prioriteringar og organisasjonsutvikling og for departementet si styring av verksemda. Evalueringa, som er publisert i DFØ-rapport 2024:8 Både vaktbikkje og førerhund?, synte at tilsynet gjer svært mykje godt arbeid innanfor dei tildelte ressursane. DFØ peikte samstundes på at tilsynet i stor grad er styrt av «innboksen» og må utnytte ressursane klokt for å få mest mogleg ut av dei tildelte midla. Dette oppfattar departementet at tilsynet har arbeidd godt med i 2024, og at dei bevisst og målretta har arbeidd med verkemiddel som gir størst mogleg effekt for flest mogleg. Departementet følgjer utviklinga i omfang og kompleksitet i tilsynets oppgåver og har god dialog med tilsynet om effektiv ressursutnytting.

    1.3 Styring og kontroll i verksemda

    Datatilsynet gjer i årsrapporten greie for at dei arbeider målretta med intern styring og kontroll som eit verktøy for å utnytte ressursane best mogleg. I 2024 tredde Datatilsynet sin nye treårige strategi i kraft. Strategien er inspirert av innspela tilsynet fekk gjennom Prosjekt Kvist i 2023, der dei henta innspel frå om lag 160 verksemder. Med utgangspunkt i innspela har tilsynet vurdert korleis dei best kan hjelpe flest mogleg.

    I årsrapporten peiker Datatilsynet òg på funna i evalueringa som blei gjennomført av DFØ. DFØ peikte på at verksemda har vakse mykje dei seinare åra, men at organisasjonskulturen og støttesystema ikkje har utvikla seg i takt med oppgåvemengda, noko som mellom anna får konsekvensar for saksavviklinga. Evalueringa syner at det er nødvendig både å styrke Datatilsynet og å effektivisere arbeidet tilsynet gjer. I lys av dette har Datatilsynet arbeidd med organisasjonsutvikling, effektivisering av saksbehandlinga og vidareutvikling av styringssystemet sitt. Styringssystemet legg til rette for betre intern regeletterleving, auka effektivitet og meir målretta oppfølging av strategiske prioriteringar. Dette er viktige tiltak for effektiv drift av ein moderne organisasjon, og eit arbeid departementet støttar.

    1.4 Framtidsutsikter

    Datatilsynet peiker i årsrapporten på ei rekkje tilhøve som dei trur vil påverke personvernet og tilsynets arbeid i tida framover. Kunstig intelligens og deling av data vil påverke både verda og personvernet i åra framover. For Datatilsynet er det viktig å vere eit tydeleg tilsyn som skal bidra til etisk og forsvarleg bruk av kunstig intelligens i tråd med regjeringas mål. I tillegg trekk tilsynet fram globale reguleringsutfordringar som viktige for arbeidet deira. Stadig fleire personvernsaker blir avgjort av EU-domstolen. Desse avgjerdene, saman med ei mengd nye regelverk på det digitale området, vil vere med og prege Datatilsynets arbeid framover. Det same gjeld det internasjonale trugselbilete, der personopplysningar blir nytta i cyber-operasjonar, manipulering av innhald i digital kanalar og inngripande overvaking. Datatilsynet peiker på at utviklinga reflekterer eit stadig meir komplekst trugselbilete og viktigheita av forebyggande tiltak. Her meiner tilsynet at dei framover vil ha ei viktig rolle i å framheve verdien av personvern i eit demokratisk samfunn.

    Fotnotar

    1

    Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningslova) § 20.

    2

    Personopplysningslova § 21, jf. forordning (EU) 2016/679 (personvernforordninga) artikkel 59.

    3

    Datatilsynet. (2024). Datatilsynets strategi 2024 – 2026.

    Neste kapittel
    Til forsida
    Neste kapittel
    Til forsida
    Til forsida
    Til toppen