Datatilsynet – Årsrapport 2021
02 mai, 2022
Årsrapporten til Datatilsynet er en oppsummering av personvernåret som har vært. Datatilsynet beskriver selv foregående år som en berg- og dalbane, der de både trekker frem problemstillinger som følge av koronapandemien og flere store saker i forbindelse med cyberangrep. Generelt tar rapporten for seg hva som har påvirket Datatilsynet sin drift det siste året, herunder tendenser hva gjelder klage og avviksbehandling, samt de viktigste sakene og områdene Datatilsynet har jobbet med.
Antall klager og avviksmeldinger økte i 2021. Datatilsynet skriver at det er kundeforhold de mottok flest klager om, mens flere store saker tilknyttet avviksmeldinger har omhandlet cyberangrep. Sistnevnte er som tidligere forklart veldig på agendaen, og som Datatilsynet forklarer, er omfanget og skadepotensialet etter disse angrepene med på å understreke den unektelige sårbarheten bak et digitalt samfunn. Hva gjelder øvrige avviksmeldinger og klager er vårt perspektiv at det nødvendigvis ikke behøver å være tale om flere feil enn tidligere, men at både privatpersoner og virksomheter har blitt mer bevisste rundt lovverket. Dermed reagerer de også deretter. Samtidig skriver Datatilsynet selv at saksbehandling, kontroll og veiledning har vært en prioritert aktivitet i året som har vært.
Forekomsten av både enkeltvedtak og overtredelsesgebyr har økt. Datatilsynet fattet 306 enkeltvedtak i 2021, og dette resulterer dermed i en økning på litt over 21 prosent sammenlignet med 2020. 43 av nevnte vedtak ble påklaget, noe som innebar en økning på 13 prosent. 21 saker ble sendt videre til Personvernnemda for klagebehandling. Hva gjelder sanksjoner ga Datatilsynet 26 overtredelsesgebyr etter brudd på bestemmelser i personvernforordningen. De skriver selv at dette innebærer en dobling sammenlignet med 2020. Det høyeste gebyret som ble gitt var på 65 millioner kroner, og er det høyeste gebyret i personvernsammenheng som er blitt gitt i Norge. Oppsummert utgjør overtredelsesgebyrene en totalsum på underkant av 80 millioner kroner, og er en betydelig økning sammenlignet med 2020 som innebar en samlet sum på seks millioner kroner i overtredelsesgebyr.
Under kapitlet «Annen vesentlig aktivitet» i rapporten trekker Datatilsynet frem de mest sentrale områdene som har vært preget av mye aktivitet det siste året. Dette gjelder blant annet «arbeidsliv», «bank, finans og kredittvurdering», «facebook-rapport», «helse- og velferd», «informasjonssamfunnstjenester og annonseindustrien», «Schrems II» og «publisering på internett». De fleste av oss husker Legelisten-saken og Datatilsynets DPIA av facebook. Personlig vil jeg også anbefale for dem som utfører kredittvurderinger som en del av sin drift, at de leser Datatilsynets sammendrag under «Bank, finans og kredittvurdering». Det ble gitt bøter i 2021 på grunnlag av manglende rettslig grunnlag i denne sammenheng.
Folk og virksomheter der ute er opptatt av å gjøre rett. Av årsrapporten til Datatilsynet hadde de over 7 millioner sidevisninger på sin nettside. De uttaler i denne sammenheng at deres fokus på gode kommunikasjonsløsninger vil videreføres for å imøtekomme det veiledningsbehovet som er der ute. Det er derimot ikke kun folk og virksomheter som er opptatt av å gjøre rett, dette gjelder også Datatilsynet. Avslutningsvis har de viet et eget kapittel til egne utfordringer i forbindelse med deres rolle av å være et tilsyn, samt ombud. Den økende forekomsten av klager og saker til personvernnemda vil kunne gå utover annet viktig arbeid, samt at de ser en reell utfordring for at sakenes kompleksitet vil med tiden eskalere. Her trekker de særlig frem ICO (Britiske Datatilsynet) sin utredning i forbindelse med Cambridge Analytica saken. Dette vil ikke kun være en utfordring for de nasjonale datatilsynene, men også den registrerte og eventuelle domsinstanser som kan bli nødt til å behandle enkelte saker videre.
Vedlagt er en henvisning til Datatilsynets nettside, herunder rapporten. God lesing!