9. Personvernstyremakta – organisering og oppgåver
- 9.1 Sammendrag
- 9.1.1 Innleiing – oppgåver og verkemiddel, status i andre land
- 9.1.2 Hovudmoment i rapporten frå Personvernkommisjonen
- 9.1.3 Hovudfunn i evalueringa til Difi
- 9.1.4 Datatilsynet – den nye arbeidsforma og den meir strategiske tilnærminga
- 9.1.5 Datatilsynet framover
- 9.1.5.1 Bør Datatilsynet drive både tilsynsverksemd og ha rolla som ombod for personvernspørsmål?
- 9.1.5.2 Om dialog med forskings- og utviklingsmiljø
- 9.1.5.3 Eit råd for Datatilsynet
- 9.1.5.4 Samarbeid med eksterne aktørar
- 9.1.5.5 Datatilsynet – arbeidsformer, effektivisering og prioriteringar
- 9.1.5.6 Kompetansen til Datatilsynet
- 9.1.5.7 Regionalisering av Datatilsynet
- 9.1.5.8 Ressursbehovet til Datatilsynet i åra som kjem
- 9.1.5.9 Sektorvis styrking av personvernkompetansen
- 9.1.6 Særleg om ordninga med personvernombod
- 9.1.7 Personvernnemnda
- 9.1.8 Fornyings-, administrasjons- og kyrkjedepartementet og Justis- og beredskapsdepartementet
- 9.1.9 Hovudpunkt kapittel 9
- 9.2 Komiteens merknader
Det blir i meldinga vist til at Datatilsynet er den sentrale personvernstyremakta. Tilsynet vart oppretta i 1980 og har vakse frå ei verksemd med nokre få tilsette til om lag 40 i dag. Verksemda er inndelt i fire avdelingar: administrasjonsavdelinga, kommunikasjonsavdelinga, juridisk avdeling og tilsyns- og tryggleiksavdelinga.
Oppgåvene til tilsynet er definerte i personopplysningslova § 42.
Datatilsynet fører i tillegg tilsyn etter ulike lover.
Datatilsynet har definert følgjande som kjerneoppgåvene sine:
Behandle innkomne saker og drive tilsynsverksemd, jf. personopplysningslova § 42 nr. 2 og 3.
Gi råd og rettleiing til privatpersonar, næringsdrivande, offentlege etatar o.l., jf. personopplysningslova § 42 nr. 6.
Vere ombod for personvernspørsmål, jf. personopplysningslova § 42 nr. 5.
Drive informasjonsarbeid, jf. personopplysningslova § 42 nr. 5 og 6.
Dette samsvarar langt på veg med omtalen Personvernkommisjonen har gitt, sjå rapporten frå kommisjonen, punkt 18.1.2.
Både tilsynsverksemd og informasjonsarbeid er verkemiddel Datatilsynet nyttar for å gjere personvernregelverket betre kjent. Ombodsrolla blir òg brukt aktivt som eit verkemiddel i samanhengar der tilsynsrolla anten ikkje fungerer godt, eller der det ikkje er rettsleg grunnlag for å bruke den kompetansen Datatilsynet har som tilsyn.
Datatilsynet er oppretta som eit uavhengig tilsynsorgan underlagt Fornyings-, administrasjons- og kyrkjedepartementet. NOU 1997:19 Et bedre personvern peikte bl.a. på at «departementets etatsstyring må ta hensyn til at tilsynsmyndigheten skal være faglig uavhengig».
At Datatilsynet skal vere uavhengig, er stadfesta i Ot.prp. nr. 92 (1998–1999) og i Innst. O. nr. 51 (1990–2000), der «komiteen er enig med Justis- og beredskapsdepartementets karakteristikk av Datatilsynet som et faglig uavhengig forvaltningsorgan med særskilt vide fullmakter». Den uavhengige stillinga er òg forankra i europeisk regelverk. I EUs forslag til forordning på personvernområdet er den uavhengige stillinga omtala i kapittel 6. Her blir alle EU/EØS-land pålagde å ha ei uavhengig personvernstyremakt. Enkeltvedtaka til Datatilsynet kan likevel klagast inn til Personvernnemnda.
I tillegg arbeider ei lang rekkje tilsynsstyremakter med spørsmål knytte til behandling av personopplysningar på sitt kompetanseområde. Dette gjeld mellom anna Arbeidstilsynet, Post- og teletilsynet, Helsetilsynet og Forbrukarombodet.
Datatilsynsstyremaktene i EØS-området er ulikt organiserte. Eit gjennomgåande trekk er likevel at organa er organiserte som sjølvstendige sektorstyremakter, og at dei i tillegg til tilsynsoppgåver har ei ombodsrolle ved at dei skal skape medvit rundt og delta i debattar om personvern. Oppgåvene deira består i hovudsak av å behandle saker om og føre tilsyn med bruk av personopplysningar, gi rettleiing om behandling av personopplysningar og kome med høyringsfråsegner. Trass i noko ulike oppgåver er det relativt liten skilnad på korleis personvernstyremaktene i dei nordiske landa er organiserte, og det er godt samarbeid mellom etatane.
Organiseringa av personvernstyremakta er omtala i kapittel 11 i rapporten frå Personvernkommisjonen. Personvernkommisjonen kjem med fleire forslag til endringar. Forslaga omhandlar desse tema:
oppgåvene og ressursane til Datatilsynet
regionalisering av Datatilsynet
oppretting av eit råd for Datatilsynet
sektorvis styring av personvernkompetansen
dialog med akademia og andre fagmiljø
Hausten 2010 gav Fornyings-, administrasjons- og kyrkjedepartementet Direktoratet for forvaltning og IKT (Difi) i oppdrag å evaluere Datatilsynet. Evalueringa var ei oppfølging av framlegget frå Personvernkommisjonen. Målet med prosjektet var
å vurdere om personvernstyremaktene, og Datatilsynet som hovudaktør, har dei nødvendige føresetnadane for å kunne oppfylle rollene og oppgåvene sine i samsvar med personopplysningslova
å gi Fornyings-, administrasjons- og kyrkjedepartementet eit betre grunnlag for å vidareutvikle styringsdialogen mellom FAD, Datatilsynet og Personvernnemnda
å gi Datatilsynet eit godt verktøy for framtidig organisasjons- og utviklingsarbeid
Som ein del av arbeidet vart ei rekkje interne og eksterne informantar intervjua.
Rapporten Evaluering av Datatilsynet vart framlagd 3. oktober 2011.
Hovudkonklusjonen til Difi var at Datatilsynet oppnår gode resultat på eit breitt område. Det vart òg understreka at Datatilsynet hadde utvikla seg positivt både med tanke på å gjere organisasjonen betre rusta til å løyse ulike typar oppgåver og til å kome i konstruktiv dialog med ulike målgrupper. Dei fleste informantane vurderte Datatilsynet som ein god rådgivar i personvernspørsmål, samstundes som det kom fram noko kritikk frå enkelte informantar som meinte Datatilsynet ikkje alltid er gode nok til å vurdere ulike omsyn mot kvarandre.
Det vart òg peikt på enkelte ting som kunne bli betre. Rapporten peikte mellom anna på behovet for meir strategisk bruk av verkemiddel og ressursstyring, sterkare rollemedvit, ei tydeleggjering av ombodsrolla, betre samarbeid med ulike målgrupper og betre forvaltningskompetanse.
Rapporten frå Difi konkluderer med at det er lite fagleg kontakt mellom Datatilsynet og Personvernnemnda. Datatilsynet er likevel bevisst på å bruke klageorganet for å få avklåra prinsipielle tolkingsspørsmål. Sidan Datatilsynet er eit fagleg uavhengig forvaltningsorgan, er den faglege kontakten mellom Datatilsynet på den eine sida og Justis- og beredskapsdepartementet og Fornyings-, administrasjons- og kyrkjedepartementet på den andre òg etter måten liten. Departementa er mellom anna varsame med å uttale seg om korleis regelverket skal tolkast, fordi bruk av reglane er ei oppgåve for Datatilsynet og eventuelt Personvernnemnda.
For å leggje til rette for effektiv ressursbruk på alle område gjennomførte Datatilsynet ein intern strategiprosess parallelt med evalueringa til Difi. Den nye strategien vart lansert i november 2011 og peiker ut kva retning Datatilsynet skal gå i dei neste fem åra.
Eit hovudpunkt her er ei meir strategisk arbeidsform. Datatilsynet vedtek kvart år ein detaljert verksemdsplan som slår konkret fast kva aktivitetar etaten skal gjennomføre. I tillegg har Datatilsynet vedteke fagstrategiar på helseområdet, i justissektoren og på det internasjonale området.
Eit anna viktig punkt i strategien er å medverke til auka interesse for og kunnskap om personvern og vidare å arbeide for at andre aktørar òg legg vekt på personvern.
Strategien legg òg vekt på kor viktig det er med kvalitet og kompetanse. Det er sett i gang ein plan for å heve kompetansen internt. Datatilsynet gjer òg i større grad enn tidlegare klåre prioriteringar av innkomne saker og har som mål å behandle fleire saker ved å gi rettleiing framfor å gi kvar sak ei full forvaltningsbehandling.
Til slutt er det ei viktig oppgåve å identifisere farar for personvernet og vere synleg og tydeleg i den offentlege debatten. Datatilsynet skal bruke ombodsrolla til å fremje debatt, men samtidig markere tydeleg i kvart einskilt tilfelle kva for ei av rollene sine etaten spelar.
Det er ikkje uvanleg i norsk forvaltning at eit organ har fleire roller. Det er likevel ikkje vanleg med to så tydelege roller i eitt og same organ som det ein finn i Datatilsynet. Både Difi og Personvernkommisjonen peiker på at det kan vere krevjande å ha rolla som både tilsyn og ombod. Medan tilsynsrolla krev nøytralitet og objektivitet, ligg det i rolla som ombod at ein skal ta konkret stilling til ulike spørsmål. Difi peiker i rapporten på at det sterke engasjementet blant dei tilsette i etaten kan føre til at medvitet om rolla som forvaltningsorgan ikkje alltid er sterk nok. Datatilsynet sjølv peiker i strategien sin på at det kan vere spesielt krevjande å skilje mellom dei to rollene når ein går frå ombodsrolla til tilsynsrolla.
Difi peiker i evalueringa av Datatilsynet på ei oppfatning av at tilsynet ikkje alltid godt nok veger omsyn og regelverk opp mot kvarandre, og at dei i for stor grad einsidig legg vekt på personvernomsyn. I evalueringa frå Difi er det òg lagt vekt på at hovudtyngda av informantane viser stor forståing for dei ulike rollene Datatilsynet har, og meiner at etaten i hovudsaka balanserer bra i arbeidet med ulike oppgåver.
Det er mange fordelar med å kombinere dei to rollene, som i mange tilfelle overlappar kvarandre. I høyringsarbeidet glir rollene over i kvarandre. I informasjonsarbeidet er det òg vanskeleg å skilje mellom informasjon som blir gitt i rolla som ombod, og informasjon som blir gitt i rolla som tilsyn. Som tilsyn får Datatilsynet kvart år ca. 10 000 meldingar og telefonsamtaler frå næringsdrivande og privatpersonar. Datatilsynet kan derfor basere synspunkta sine i høyringssaker og utvalsarbeid på ein unik og erfaringsbasert kunnskap om korleis personvernlovgivinga faktisk blir etterlevd.
Ein kombinasjon av dei to rollene gir dessutan Datatilsynet eit større handlingsrom enn om rollene var skilde.
Aktivt internasjonalt engasjement er viktig for Datatilsynet. Eit eventuelt reint ombod på personvernområdet vil ikkje ha tilgang til dette nettverket.
Det blir i meldinga vist til at for sterk oppsplitting i forvaltningsorgan med reindyrka roller vil kunne gi ei uoversiktleg forvaltning. I samband med evalueringa av Datatilsynet peiker Difi likevel på at det kan vere nødvendig å avklåre ombodsrolla til statlege organ meir generelt. I Datatilsynet sitt tilfelle verkar fordelane med å halde på begge rollene først og fremst å vere at etaten i utøvinga av ombodsrolla kan dra nytte av den verdifulle informasjonen og kompetansen dei opparbeider seg gjennom å utøve rolla som tilsynsstyremakt. For eit lite organ som Datatilsynet med eit stort arbeidsfelt er dette svært verdifullt. Den største utfordringa ved å kombinere dei to rollene er at det kan vere krevjande både for tilsynet sjølv og for dei som samhandlar med tilsynet, å vite kva rolle etaten til kvar tid opptrer i, og dermed kva verkemiddel dei kan bruke.
I Datatilsynet sitt tilfelle meiner regjeringa at fordelane med å halde dei to rollene i eitt og same organ skyggjer over ulempene. Regjeringa viser òg til at fleirtalet i Personvernkommisjonen – 14 medlemer – meiner at kombinasjonen av roller i Datatilsynet bør vidareførast. Dette er òg den konklusjonen regjeringa har trekt. Samtidig blir det understreka at det er viktig at Datatilsynet er tydeleg på dei ulike rollene sine, og spesielt når det flytter seg frå ombodsrolla over i tilsynsrolla. Datatilsynet har i det store og heile klart å balansere dei to rollene på ein tilfredsstillande måte, noko som òg blir understreka i evalueringsrapporten frå Difi. Det blir lagt til grunn at Datatilsynet òg i det vidare arbeidet arbeider aktivt med rolleforståinga, slik at det blir mogleg å kombinere dei to rollene på ein god måte. Det er viktig å ha eit sterkt, synleg og uavhengig datatilsyn som fremjar personvernomsyn og talar personvernet si sak.
Både Difi og Personvernkommisjonen har peikt på kor viktig det er at Datatilsynet har kontakt med forskings- og utviklingsmiljø. Ein del av den strategiske satsinga til Datatilsynet går ut på å styrkje dialogen med FoU-miljøa og setje i verk forskingsprosjekt på personvernområdet. Datatilsynet har òg eit etablert samarbeid med fleire høgskular og universitet. Regjeringa legg derfor til grunn at Datatilsynet held fram med å utvikle forholdet til forskings- og utviklingsmiljøa til felles nytte.
Personvernkommisjonen føreslår at det blir oppretta eit «Datatilsynets råd», som kan fungere som «et kollektivt rådgivningsorgan med bredere sammensetning enn man finner i Datatilsynets profesjonelle stab». Dette er grunngitt med at personopplysningslova krev mange interesseavvegingar, og at ein bør sikre at det også blir lagt vekt på andre interesser enn personverninteressene.
Det går fram av meldinga at det ikkje er aktuelt no å opprette eit råd for Datatilsynet, slik Personvernkommisjonen har teke til orde for. Dersom enkeltsaker, rapportar og tilsynsrapportar skal leggjast fram for eit kollegialt råd, vil det mest truleg føre til lengre saksbehandlingstid enn i dag. Datatilsynet har stor sakspågang, og eit råd kan derfor lett bli eit kompliserande og fordyrande ledd i saksbehandlinga. Personvernnemnda har i dag full kompetanse til å overprøve enkeltvedtaka Datatilsynet gjer. Eit råd vil i mange tilfelle føre til at det i realiteten kan bli tre instansar som vurderer saker. Godt samarbeid og god dialog med sektorinteresser, næringsliv og andre styremakter kan tilføre Datatilsynet informasjon som legg grunnlag for ei balansert saksbehandling, og kan dermed redusere behovet for eit rådgivingsorgan.
I forslaget til ny EU-forordning blir det understreka at tilsynsstyremakta skal vere absolutt uavhengig.
Personvernkommisjonen peiker på at personopplysningslova krev breie vurderingar og interesseavvegingar. Datatilsynet vil, ved å satse på kompetanseutvikling og auka kontakt med ulike målgrupper og FoU-miljø, vere godt rusta til å gjere dei avvegingane fagområdet krev. I klagesaker blir desse vurderingane tekne av Personvernnemnda.
Difi understrekar i rapporten sin (kapittel 7.2) kor viktig det er at Datatilsynet gjer ei strategisk vurdering av den samla verksemda og bruken av verkemiddel, medrekna samarbeid med eksterne aktørar.
Omfattande kontakt med eksterne aktørar er ei viktig strategisk satsing for Datatilsynet. Det er viktig med slik kontakt, og det synest å vere ein situasjon alle partar tener på. Gjennom aktiv rådgiving kan Datatilsynet bidra til at eksterne aktørar tek omsyn til personvernet i si eiga verksemd. Som Difi peiker på, er det likevel viktig å formidle klårt kvar grensa går for kva Datatilsynet skal bidra med. Dette er viktig av ressursomsyn, men òg for å sikre eigen nøytralitet.
Regjeringa vil dessutan understreke kor viktig det er at Datatilsynet legg vekt på å ha kontakt med eksterne aktørar – både næringsliv, interesseorganisasjonar og andre instansar – og på den måten opparbeide betre sektorkompetanse og forståing for utfordringane i sektoren. Dette vil gjere tilsynet endå betre i stand til å ta dei breie avvegingane feltet krev.
Difi nemner i punkt 7.7 i evalueringsrapporten sin at mange informantar meiner ein bør effektivisere den daglege saksbehandlinga i Datatilsynet. Som Difi òg peiker på, har Datatilsynet vurdert korleis saksbehandlinga kan organiserast, og kva saker som spesielt skal prioriterast. Datatilsynet har òg nyleg lansert ei ny nettside, og det er eit mål at heimesida skal gi svar på dei spørsmåla eit informasjonssøkjande publikum er oppteke av.
Det blir i meldinga vist til at det ikkje er grunn til å tru at saksmengda til Datatilsynet kjem til å bli mindre i åra framover og at det derfor er viktig at tilsynet stadig arbeider for å effektivisere arbeidsmetodane sine.
Både Personvernkommisjonen og Difi understrekar at det er viktig at Datatilsynet har ein breitt samansett kompetanse.
I strategien til Datatilsynet er høg kompetanse ei av dei viktigaste strategiske satsingane, i tillegg til brei kontakt med eksterne aktørar. Det er laga ein plan for å heve kompetansen internt.
Regjeringa vil understreke behovet for at eit sektorovergripande tilsyn har god sektorkompetanse. Det er Datatilsynet som sjølv må vurdere korleis kompetansen skal vere samansett internt. Det er likevel viktig å understreke kor mykje det har å seie at Datatilsynet har god teknologisk kompetanse. God internasjonal kompetanse gjer det lettare å få gjennomslag i internasjonale forum, og derfor blir òg slik kompetanse vurdert som spesielt viktig.
Personvernkommisjonen meiner Datatilsynet bør regionaliserast, og føreslår å opprette fleire regionkontor. Føremålet er å få ei meir lokal forankring i personvernarbeidet.
Personvernkommisjonen går inn for at eit eventuelt regionapparat bør ha minst seks tilsette på kvart kontor for at kontora skal bli effektive. Regjeringa er einig i at eventuelle regionkontor må ha ei viss minimumsbemanning. Regionkontor med ei bemanning i samsvar med forslaget frå Personvernkommisjonen ville derimot ha ført til nesten ei dobling av talet på tilsette i personvernstyremakta. Regjeringa ser ikkje føre seg at Datatilsynet i åra som kjem bør styrkjast i eit omfang som kan rettferdiggjere ein slik vekst i regionane. Så synleg og kompetent som Datatilsynet er i dag, vil ei oppsplitting av etaten gjennom å etablere regionkontor i stor grad kunne setje personvernarbeidet tilbake, i alle fall på mellomlang sikt. Mykje talar for at så små fagmiljø som dei offentlege personvernmiljøa ikkje er tente med ei oppsplitting i regionkontor. Regjeringa går derfor inn for å halde ved lag eit sentralisert datatilsyn etter den eksisterande modellen.
Personvernkommisjonen meinte at Datatilsynet har for små ressursar i høve til dei omfattande oppgåvene tilsynet er tildelt. Kommisjonen føreslo at Datatilsynet skal få større ressursar, og at dei spesielt må bruke ressursane til å styrkje kompetansen på informasjonsteknologi.
Det blir i meldinga peikt på at samanlikna med dei nordiske systerorganisasjonane er ressurssituasjonen til Datatilsynet også relativt bra. Datatilsynet har dessutan dei seinare åra fått noko auka løyvingar, mellom anna som følgje av nye tilsynsoppgåver, no sist etter ekomlova og politiregisterlova.
Samtidig ser regjeringa at det dukkar opp stadig fleire og meir komplekse problemstillingar knytte til personvern. Datatilsynet har ei stor saksmengd. Det er viktig at Datatilsynet er aktivt til stades på den internasjonale arenaen, noko som òg er ressurskrevjande. Regjeringa har vurdert at dei omfattande oppgåvene tilsynet har fått som følgje av at datalagringsdirektivet skal implementerast i norsk rett, og som følgje av den nye politiregisterlova, kan tilseie at løyvingane bør aukast noko, slik at tilsynet blir i stand til å gi nødvendig rettleiing og føre tilfredsstillande tilsyn på dette området. I Prop. 1 S (2012–2013) er det føreslått å auke budsjettet til Datatilsynet for 2013 med drygt 1,7 mill. kroner i høve til 2012-budsjettet for å setje tilsynet i stand til å ta seg av desse oppgåvene.
Personvernkommisjonen føreslår å styrkje personvernkompetansen sektorvis ved at andre organ som får med personvernspørsmål å gjere, bør ha ein person internt med høg kompetanse på personvernspørsmål. Det er føreslått at dette først og fremst blir gjort gjennom å opprette personvernombod i desse organa.
Regjeringa er einig med kommisjonen i at organ som ofte har med personvernspørsmål å gjere, bør ha spesiell kompetanse på området.
Regjeringa vil sjå spørsmålet om sektorvis styrking av personvernet i samanheng med utviklinga av personvernombodsordninga. Det er likevel viktig å understreke at sektorvis styrking av personvernkompetansen må vurderast breiare enn til berre å gjelde oppretting av personvernombod. I strategien til Datatilsynet er eit av satsingsområda å medverke til større interesse for personvern og arbeide for at også andre legg vekt på personvernomsyn i arbeidet. Regjeringa har òg over tid arbeidd for betre personvernarbeid på dei ulike fagområda, mellom anna ved å utarbeide ei rettleiing i vurdering av personvernkonsekvensar til bruk i utgreiingsarbeidet i forvaltninga. Det blir i meldinga vist til at desse tiltaka, saman med at Datatilsynet har systematisk kontakt med sentrale aktørar i den offentlege forvaltninga og i næringslivet, kan medverke til at andre sektorar legg større vekt på personvern.
Ordninga med personvernombod er i dag frivillig. Det er no om lag 200 personvernombod fordelte på i underkant av 400 verksemder i både offentleg og privat sektor. Somme ombod hjelper fleire behandlingsansvarlege utan å vere tilsette hos nokon av dei. Andre personvernombod er tilsette i verksemda og har oppgåva som personvernombod på fulltid. Dei blir omtala som personvernombod, sjølv om dei kanskje betre kan omtalast som personvernrådgivarar, sidan meininga er at hovudoppgåva skal vere å gi råd både til behandlingsansvarlege og registrerte. Det er òg teke omsyn til dette i den nye politiregisterlova, der ordninga med personvernrådgivarar er lovfesta.
Ordninga med personvernombod er i dag berre laust forankra i norsk personopplysningsregelverk og i EUs personverndirektiv. Reguleringa er i hovudsak relatert til lemping eller forenkling av meldeplikta for behandling av personopplysningar hos behandlingsansvarlege som har oppretta personvernombod. Det finst ikkje reglar i norsk lov eller forskrift som direkte regulerer oppgåvene og ansvaret til omboda, og heller ikkje reglar om kva plikter og ansvar den behandlingsansvarlege har overfor omboda. Eit forslag om klårare regelfesting og regulering av ordninga ligg til vurdering i Justis- og beredskapsdepartementet som eit ledd i etterkontrollen av personopplysningslova. Eit av forslaga er å lette på fleire av pliktene til den behandlingsansvarlege dersom det blir oppretta personvernombod. Slike lettar i pliktene etter regelverket føreset at personvernomboda er godt skolerte og har ei sterk stilling i høve til den behandlingsansvarlege. I motsett fall kan oppretting av eit personvernombod bli ei sovepute. Eventuelle endringar i ordninga med fleire oppgåver for ombodet og færre plikter for den behandlingsansvarlege må derfor vurderast nøye.
Etter forslaget til ny personvernforordning i EU skal alle offentlege organ og private verksemder med over 250 tilsette ha personvernombod («data protection officer»).
Den norske ordninga med personvernombod vart evaluert i 2011 då Synnovate gjennomførte ei spørjeundersøking blant personvernomboda, leiarar og tilsette i verksemder med ombod. Resultata frå undersøkinga er sprikande.
I Difi-evalueringa av Datatilsynet vart det òg stilt spørsmål om ordninga med personvernombod. Svara i undersøkinga Difi har gjort, er med på å underbyggje dei noko sprikande svara om effekten av ordninga som kom fram i undersøkinga Synnovate utførte.
I stortingsbehandlinga av forslaget om å implementere datalagringsdirektivet i norsk rett bad Stortinget i oppmodingsvedtak nr. 473 11. april 2011 regjeringa om å leggje Innst. 275 L (2010–2011) til grunn for det vidare arbeidet. I punkt 12 g vart regjeringa beden om å sørgje for å etablere ei ordning med personvernrådgivarar/-koordinatorar i større statlege etatar som behandlar sensitive personopplysningar, spesielt Arbeids- og velferdsforvaltninga og helsesektoren. Å opprette ein funksjon som personvernrådgivar, slik politiregisterlova legg opp til i politiet, vil vere eit nyttig tiltak for å rette søkjelyset mot personvernspørsmål. Samtidig viser evalueringa av ordninga med personvernombod at det er noko usikkert kva verknad omboda faktisk har på personvernnivået hos den behandlingsansvarlege. Eit pålegg om å opprette personvernrådgivarar/-koordinatorar i visse sektorar og hos visse behandlingsansvarlege krev derfor at ein klårgjer og regelfestar innhaldet i ordninga i langt større grad enn det som i dag er tilfellet.
EUs utkast til personvernforordning vil, slik forslaget ligg føre, leggje sterke føringar på korleis ein skal utforme ordninga med personvernrådgivarar. Dersom det endelege EU-regelverket regulerer ordninga, må desse reglane mest truleg òg innførast i Noreg. Regjeringa ser det slik at ei ordning med personvernrådgivarar i store verksemder som behandlar sensitive personopplysningar, kan vere eit godt tiltak for å rette søkjelyset mot personvern i verksemda og på den måten styrkje regeletterlevinga. Rådgivaren kan gjere sitt til å betre personvernet for dei registrerte. Regjeringa ønskjer å vente med ei ny regulering av ordninga med personvernrådgivarar/personvernombod og nye pålegg om å etablere personvernrådgivarar til EUs personvernregelverk er ferdig revidert, og til det eventuelt er vedteke klårare reglar for korleis personvernrådgivarane skal vere organiserte og forankra i verksemda, og kva oppgåver dei skal ha.
Regjeringa ønskjer likevel å presisere at både offentlege og private verksemder som behandlar store mengder av personopplysningar, kan vere tente med å ha god lokal personvernkompetanse. Desse verksemdene står fritt til å etablere personvernombod i tråd med tilrådingar frå Datatilsynet, eventuelt personvernrådgivarar med oppgåver som verksemda sjølv definerer, med det føremålet å betre regeletterlevinga og det generelle personvernet i verksemda. Mange av dei store helseføretaka har òg etablert personvernombod/personvernrådgivarar, noko regjeringa ser på som positivt. Dersom EU vedtek endringar i personvernreguleringa, vil det vere naturleg for regjeringa å gå gjennom og revidere den norske ordninga med personvernombod/-rådgivar i lys av den internasjonale reguleringa.
Personvernnemnda er klageorgan for vedtak Datatilsynet har gjort i medhald av personopplysningslova eller anna regelverk tilsynet har vedtakskompetanse etter. Nemnda har sju medlemer med personlege varamedlemer.
Personvernnemnda er eit fagleg uavhengig forvaltningsorgan. Ved at klagesaker blir behandla i nemnda, og ikkje som tidlegare i departementet, er tilsynsstyremakta sikra ei uavhengig stilling, slik det er nedfelt i EUs personverndirektiv og personopplysningslova. Nemnda er samansett på ein slik måte at ho er godt rusta til å gjere vurderingar i saker der personvern er eitt av fleire moment som skal vurderast. Tradisjonelt har nemnda derfor hatt både teknologisk, økonomisk og medisinsk kompetanse i tillegg til juridisk kompetanse.
Saksmengda i Personvernnemnda har variert noko sidan nemnda vart oppretta, men har dei seinaste åra lege på om lag 10–15 saker per år.
Om lag halvparten av vedtaka i Datatilsynet som blir innklaga til nemnda, blir omgjorde. Omgjeringsprosenten i høve til kor mange vedtak Datatilsynet gjer, er likevel svært låg, sidan under 5 pst. av vedtaka i Datatilsynet blir sende inn til Personvernnemnda til klagesaksbehandling.
Personvernnemnda er eit reint klageorgan og gjer vedtak som berre er bindande for partane i kvar einskild sak. Det er svært sjeldan saker på personvernområdet blir klaga inn til behandling i rettsapparatet. Sidan Personvernnemnda er klageorgan på personvernområdet, har vedtaka nemnda gjer, stor presedensverknad i andre og tilsvarande saker som kjem til behandling i Datatilsynet. Det er derfor viktig at vedtaka nemnda gjer, blir skrivne på ein måte som gjer dei eigna til å bli brukte som rettleiing i liknande saker seinare.
Regjeringa meiner ordninga med ei uavhengig klagenemnd på personvernområdet til no har fungert godt. Også ordninga med at utnemninga av medlemene i nemnda er delt mellom Stortinget og regjeringa, meiner regjeringa fungerer godt. Regjeringa har vurdert om det er grunnlag for å endre ordninga med personlege varamedlemer, vurderer det inntil vidare som føremålstenleg å halde Personvernnemnda ved lag med personlege varamedlemer i den noverande forma.
I regjeringa er hovudansvaret for det generelle arbeidet med personvernsaker delt mellom Fornyings-, administrasjons- og kyrkjedepartementet og Justis- og beredskapsdepartementet. Justis- og beredskapsdepartementet har ansvaret for personopplysningslova og følgjer opp arbeid med personvern både i Europarådet og EU. Fornyings-, administrasjons- og kyrkjedepartementet har ansvaret for personopplysningsforskrifta, etatsstyringa av Datatilsynet og Personvernnemnda og dessutan for det generelle personvernarbeidet til regjeringa. Fornyings-, administrasjons- og kyrkjedepartementet deltek òg i personvernarbeidet i regi av OECD. Før personopplysningslova vart vedteken, låg heile ansvaret for personvernområdet hos Justisdepartementet. Det administrative ansvaret for Datatilsynet vart flytt til Arbeids- og administrasjonsdepartementet i 2000 for å sikre at etatsstyringa av Datatilsynet ikkje skulle kome i konflikt med interessene til Justis- og beredskapsdepartementet som etatsstyrar av fleire store behandlingsansvarlege.
Arbeidsfordelinga mellom departementa fungerer bra.
Det ligg ikkje føre konkrete planar om å endre den noverande arbeidsfordelinga på personvernområdet.
Datatilsynet er ein relativt liten organisasjon med avgrensa ressursar og eit omfattande arbeidsområde.
Datatilsynet bør vere tydeleg på når det opptrer som ombod, og når det opptrer som tilsyn.
Det blir ikkje lagt opp til endringar i organiseringa av Datatilsynet. Etaten bør ha merksemd retta mot organisasjonsutvikling og rekruttering av ulike typar kompetanse og leggje vekt på å ha god kontakt med ulike fag- og forskingsmiljø.
Ordninga med personvernombod som er utvikla av Datatilsynet, har vakse mykje dei siste åra. Før nokon blir pålagd å etablere personvernombod/personvernrådgivar, må ein få på plass ei klårare rettsleg forankring og regulering av ordninga, noko som må sjåast i lys av endringar i internasjonalt regelverk på området.
Klageorganet Personvernnemnda gjer om vedtak frå Datatilsynet i om lag halvparten av dei sakene nemnda får til behandling. Talet på klager over vedtaka til Datatilsynet er likevel svært lågt sett i høve til kor mange vedtak tilsynet gjer totalt.
Komiteen er opptatt av Datatilsynets uavhengighet innenfor de rammer som er trukket opp av Stortinget i lovs form.
Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti vil peke på at Datatilsynet og Personvernnemnda er blitt vurdert av Difi, som har utarbeidet en rapport om virksomheten, der man finner at tilsynet fyller sine funksjoner både som ombud og tilsynsorgan for førstnevnte og nemnda som klageorgan, på en god måte, og at dette oppnås innenfor en moderat ressursramme.
Disse medlemmer deler synspunktet på at organiseringen så langt har vært hensiktsmessig, og derfor ikke tilsier noe behov for endringer.
Disse medlemmer vil understreke at statens egne forvaltningsledd, sentraladministrasjon så vel som statlige foretak, forutsettes å rette seg etter Datatilsynets og Personvernnemndas avgjørelser.
Disse medlemmer tar til etterretning at regjeringen ikke støtter forslaget fra Personvernkommisjonen om en viss regionalisering av Datatilsynet for å utvide tilsynsfunksjonen. Derimot vil det lokale personvernarbeidet kunne bli påvirket av EUs forslag til personvernforordning, som setter krav til bedrifter med mer enn 250 ansatte om å ha en personvernrådgiver.