Myndighetsanalys av Datainspektionen

Sammanfattning

Statskontoret har på regeringens uppdrag genomfört en myndighetsanalys av Datainspektionen. En myndighetsanalys är en bred genomlysning av en myndighets förutsättningar, verksamhet, resultat och utmaningar. Syftet är att både regeringen och myndigheten ska kunna dra nytta av analysen.

Datainspektionen ska verka för att skydda människors fri- och rättigheter i samband med att någon behandlar deras personuppgifter. Det gör myndigheten genom att utöva tillsyn över de verksamheter som behandlar personuppgifter och att stödja och vägleda myndigheter, företag, organisationer och allmänheten. Datainspektionen ska också samarbeta med andra dataskyddsmyndigheter i EU. Myndigheten ansvarar också för tillstånd och tillsyn enligt kamerabevakningslagen, kreditupplysningslagen och inkassolagen.

Datainspektionen – en myndighet under omställning

Dataskyddsförordningen styr en stor del av Datainspektionens verksamhet. Denna förordning gäller sedan 25 maj 2018 och har medfört nya uppgifter, befogenheter och skyldigheter. Myndigheten har även fått ett mer omfattande uppdrag som har att göra med kamerabevakning.

Regeringen har höjt Datainspektionens anslag för att myndigheten ska kunna fullgöra sitt utökade uppdrag. Anslaget har mer än fördubblats sedan 2016. Myndigheten har fått 110 miljoner kronor för 2020 och regeringen har föreslagit att de ska få ytterligare 10 miljoner kronor under året. Myndigheten har på kort tid även fördubblat personalstyrkan.

Datainspektionen har gjort en heltäckande riskanalys och bedriver ett omfattande utvecklingsarbete för att hantera omställningen. Statskontoret bedömer att omställningen har gjort det svårare för myndigheten att nå goda resultat inom flera områden. Det beror delvis på att myndigheten har behövt hantera de många förändringarna, men också på att myndigheten har utmaningar i den interna styrningen.

Myndigheten behöver visa bättre resultat framöver

Det är tydligt att Datainspektionen behöver leverera bättre resultat framöver. Myndigheten avslutar få tillsynsärenden inom dataskyddsområdet och har långa handläggningstider för tillstånd att bedriva kamerabevakning.

Datainspektionen når bättre resultat inom andra områden. De har till exempel hanterat en stor mängd klagomål från allmänheten om behandling av personuppgifter. Myndigheten har vidare prioriterat att informera allmänheten och företag om de nya reglerna i dataskyddsförordningen. De bedriver också ett omfattande samarbete med andra dataskyddsmyndigheter i EU.

Statskontoret bedömer att Datainspektionen behöver fortsätta arbetet mot en mer effektiv verksamhet. Regeringen har höjt myndighetens anslag kraftigt. Regeringen bör kunna förvänta sig att myndigheten använder de ökade resurserna på ett sätt som leder till bättre resultat för Datainspektionen.

Myndigheten behöver utveckla den interna styrningen

Statskontorets analys visar att Datainspektion behöver utveckla den interna styrningen för att verksamheten ska bli effektiv. Vi rekommenderar följande åtgärder:

• Datainspektionen behöver tydliggöra uppdraget och sätta mål för verksamheten.
  Datainspektionen har stort utrymme och ansvar att själv konkretisera sitt uppdrag. Myndigheten har tagit fram en övergripande vision och målbild, men behöver också fastställa konkreta mål som går att följa upp.
• Datainspektionen behöver fokusera mer på effektivitet
  Datainspektionen behöver stärka effektivitetsperspektivet inom verksamheten. I dag finns en kultur i myndigheten som betonar rättssäkerhet och kvalitet, vilket är en styrka. Men myndigheten behöver också arbeta enkelt, snabbt och kostnadseffektivt.
• Datainspektionen behöver förbättra uppföljningen av verksamheten
  Datainspektionen behöver tydligare följa upp vilka resultat myndigheten åstadkommer. Datainspektionen behöver bland annat sätta mål för och följa upp handläggningstider för flera av myndighetens ärendeslag. De behöver också förbättra uppföljningen av hur myndighetens informations- och vägledningsinsatser svarar mot målgruppernas behov.
• Datainspektionen behöver skynda på digitaliseringen av myndigheten
  Datainspektionen ligger efter när det gäller digitalisering. Myndigheten saknar fortfarande flera grundläggande digitala verktyg och flera it-projekt har försenats. Datainspektionen behöver fortsätta att stärka it-styrningen och då sträva efter att hitta lösningar som förenar tillräckliga säkerhetskrav med ändamålsenliga och effektiva it-verktyg.

Regeringen bör följa Datainspektionen noga

Regeringens styrning av Datainspektionen är återhållsam. Det följer av att dataskyddsförordningen ställer krav på att myndigheten ska vara oberoende när det gäller att utföra sina uppgifter. Dataskyddsförordningen kräver samtidigt att regeringen ska säkerställa att myndigheten har de resurser som krävs för att utföra sina uppgifter. Regeringen bör även framöver följa Datainspektionen noga med tydliga förväntningar på att myndigheten kan redovisa en effektiv verksamhet.

Regeringen bör ta ställning till inkassouppdragets hemvist

I och med arbetet med dataskyddsförordningen har Datainspektionen prioriterat ner insatser som följer av uppdraget inom inkassoområdet. Det gäller bland annat tillsynen av inkassoverksamheter.

Myndigheten har ett övergripande ansvar för tillsyn och tillståndsprövning enligt inkassolagen, men de delar ansvaret för den faktiska tillsynen med Finansinspektionen. Det delade ansvaret gör det svårare att bedriva tillsynen enhetligt och att utveckla praxis inom området.

I dag prioriterar både Datainspektionen och Finansinspektionen sina uppgifter med inkasso lågt. Dessutom ger det delade tillsynsansvaret sämre förutsättningar för att bedriva uppdraget effektivt och ändamålsenligt.

Statskontoret bedömer att regeringen bör välja ett av två möjliga alternativ för att komma tillrätta med utmaningarna:

• Regeringen kan skärpa kraven på Datainspektionen att prioritera uppgifterna enligt inkassolagen. Regeringen bör också ställa tydligare krav på att Datainspektionen och Finansinspektionen samverkar.
• Regeringen kan utreda om det skulle vara mer effektivt och ändamålsenligt att samla allt ansvar på inkassoområdet till en myndighet.

Inledning

Statskontoret har på regeringens uppdrag genomfört en myndighetsanalys av Datainspektionen enligt den modell för myndighetsanalyser som Statskontoret tidigare har redovisat.^[1]

Datainspektionen ska bidra till att människors fri- och rättigheter skyddas i samband med att företag och organisationer behandlar deras personuppgifter. Det gör myndigheten genom att ge information och vägledning om reglerna på dataskyddsområdet och att utöva tillsyn enligt de lagar och förordningar som reglerar behandling av personuppgifter. Myndigheten prövar också ansökningar om tillstånd för kamerabevakning. Därutöver ansvarar Datainspektionen för att ge tillstånd och utöva tillsyn enligt kreditupplysningslagen och inkassolagen. De ska också verka för att aktörer som arbetar med kreditupplysning och inkasso upprätthåller en god sed.

I detta kapitel beskriver vi vårt uppdrag och hur vi har genomfört analysen.

Regeringens uppdrag till Statskontoret

Enligt uppdraget ska Statskontoret analysera hur Datainspektionen fullgör sitt uppdrag och använder sina resurser. I samband med denna analys ska Statskontoret också:

• särskilt belysa myndighetens möjligheter att bedriva en effektiv tillsyn, kontroll och bevakning av dataskyddsområdet, samt dess möjligheter att informera om reglerna på dataskyddsområdet
• analysera hur externa och interna faktorer påverkar myndighetens möjligheter att fullgöra sitt uppdrag och att bedriva verksamhet på ett effektivt och rättssäkert sätt
• analysera hur myndigheten följer upp, analyserar och redovisar resultat
• belysa hur Datainspektionen kan arbeta med de delar av verksamheten som inte är knutna till frågor som rör enskildas personliga integritet, och hur dessa frågor bör hanteras framöver.

Uppdraget finns i sin helhet i rapportens bilaga.

Statskontoret har i dialog med Justitiedepartementet uppfattat att analysen ska ge en lägesbild av var Datainspektionen befinner sig utifrån de förändringar som myndigheten har gått igenom under de senaste åren. Det innefattar enligt vår tolkning särskilt en analys av Datainspektionens förutsättningar att bedriva en effektiv tillsyn enligt dataskyddsförordningen och myndighetens förutsättningar att möta det behov av information och stöd som målgrupperna för myndighetens verksamhet har.

En del av uppdraget handlar om att analysera den del av Datainspektionens verksamhet som inte rör frågor om personlig integritet. Vi har uppfattat att den verksamhet som regeringen avser här handlar om Datainspektionens ansvar för att utfärda tillstånd och utöva tillsyn enligt inkassolagen (1974:182), samt myndighetens uppgift att verka för att de aktörer som bedriver inkassoverksamhet följer en god sed. När det gäller denna del riktar sig vår analys på att belysa för- och nackdelar med myndighetens nuvarande roll med det övergripande ansvaret för inkasso och hur det delade tillsynsansvaret med Finansinspektionen fungerar. Denna analys redogör vi för i kapitel 5 i rapporten.

Vi har lagt tyngdpunkten i vår analys av Datainspektionen vid myndighetens verksamhet efter att dataskyddsförordningen trädde i kraft i maj 2018.

Modellen för myndighetsanalyser

När Statskontoret gör en myndighetsanalys går vi igenom myndighetens förutsättningar, verksamhet, resultat och utmaningar. Analysen ger en övergripande bild av hur myndigheten arbetar för att säkerställa att myndighetens förvaltning är rättssäker, effektiv samt medborgar- och företagsorienterad. Myndighetsanalysen kan vara ett underlag i regeringens årliga dialog med myndighetens ledning. Den kan också fungera som underlag för regeringen att bedöma om myndigheten är rustad för att möta förändringar inom sitt område, och för att bedöma om regeringens styrning av myndigheten fungerar.

En myndighetsanalys är uppbyggd av fyra analysmoment med tillhörande frågor.

Figur 1. Statskontorets modell för myndighetsanalyser.

Källa: Statskontoret 2008:17. Modell för myndighetsanalyser.

I det första momentet analyserar vi vilka uppgifter och resurser som regeringen har gett myndigheten och vilka mål som är vägledande för verksamheten. I det andra momentet analyserar vi hur myndigheten utför sina uppgifter och vilka resultat som myndigheten uppnår. Tillsammans ger dessa två moment en grund för det tredje analysmomentet, där vi belyser faktorer som är särskilt viktiga för att myndigheten ska kunna fullgöra sitt uppdrag. Sådana faktorer kan finnas inom myndigheten och i det omgivande samhället eller hos aktörer som myndigheten interagerar med. I det fjärde analysmomentet identifierar vi de områden som myndigheten eller regeringen behöver utveckla för att myndigheten ska kunna fullgöra sitt uppdrag framöver.

Hur vi har genomfört analysen

Vi har samlat in data för analysen under perioden januari till mars 2020. Underlaget för analysen består i huvudsak av intervjuer, statistik om myndighetens verksamhet samt offentliga och interna dokument som årsredovisningar, budgetunderlag, verksamhetsplaner, uppföljningar, interna policys och underlag om myndighetens utvecklingsarbete. Vi har också använt oss av flera tidigare utredningar och propositioner som berör Datainspektionens verksamhet.

Intervjuer med chefer och medarbetare

Vi har intervjuat myndighetens generaldirektör och de sju enhetschefer som i början av 2020 ingick i myndighetens ledningsgrupp. Därutöver har vi intervjuat myndighetens verksamhetscontroller, HR-funktionen, ansvariga för it-verksamheten samt fackliga företrädare och myndighetens skyddsombud.

För att få en djupare bild av myndighetens verksamhet har vi genomfört fyra fokusgrupper med medarbetare som arbetar på de operativa enheterna och på kommunikationsenheten. Gruppernas storlek har varierat mellan tre och sju deltagare. Vi bad myndigheten att bjuda in deltagare med olika arbetsuppgifter och olika lång anställningstid till fokusgrupperna. Sammanlagt har vi träffat 22 av myndighetens medarbetare i fokusgrupperna.

Fokusgrupper skiljer sig från gruppintervjuer genom att de frågor vi ställde dels var färre, dels mer övergripande. I fokusgrupperna med medarbetarna fick deltagarna diskutera utifrån följande teman: en dag på Datainspektionen, myndighetens interna styrning, stöd i arbetet, arbetsmiljö, myndighetens resultat och utmaningar för myndigheten framöver.

Intervjuer med myndighetens målgrupper

Datainspektionens målgrupp är både omfattande och diversifierad (se kapitel 2). Det har under projekttiden inte varit möjligt för oss att göra en bred undersökning av hur målgrupperna uppfattar kontakten med Datainspektionen och det stöd som myndigheten ger. I stället har vi intervjuat ett antal aktörer som på olika sätt berörs av dataskyddsförordningens regler. Flera av aktörerna är bransch- eller medlemsorganisationer. På så sätt har vi fått en bredare bild av Datainspektionens förmåga att informera och vägleda sina målgrupper, även om det begränsade urvalet inte har gjort det möjligt för oss att dra några generella slutsatser av intervjuerna med dessa intressenter.

Vi har intervjuat E-hälsomyndigheten, Sveriges kommuner och regioner (SKR), Svenskt Näringsliv, Företagarna, Sveriges konsumenter, Svensk handel samt Forum för dataskydd.

Övriga intervjuer

Vi har även intervjuat två av ledamöterna i Datainspektionens insynsråd, och vi har intervjuat tjänstemän vid Justitiedepartementet för att få deras syn på regeringens styrning av myndigheten. Slutligen har vi intervjuat företrädare för Finansinspektionen med anledning av att de delar tillsynsansvaret enligt inkassolagen med Datainspektionen.

Projektgrupp och kvalitetssäkring

I projektgruppen har ingått Love Berggrund (mars–juni 2020), Hannes Jacobsson (januari–mars 2020), Maria Karanta, Emeli Mårtensson (projektledare) och Linnea Nilsson (praktikant). Verksjuristen Johan Hultgren har deltagit i arbetet från och med april 2020. Rapporten har kvalitetssäkrats enligt Statskontorets rutiner.

Företrädare för Datainspektionen, Finansinspektionen och Justitiedepartementet har kontrollerat fakta i relevanta delar av rapporten.

Hur vi har disponerat rapporten

I kapitel 2 redogör vi för Datainspektionens uppgifter, mål och resurser. I detta kapitel analyserar vi regeringens styrning av myndigheten.

I kapitel 3 beskriver vi myndighetens verksamhet och analyserar myndighetens resultat. I detta kapitel redogör vi också för målgruppernas syn på Datainspektionens verksamhet.

I kapitel 4 beskriver och diskuterar vi den interna styrningen på myndigheten. Här redogör vi också för myndighetens arbete med digitalisering och it-utveckling samt kompetensförsörjning och arbetsmiljö.

I kapitel 5 tar vi oss an frågan om Datainspektionens uppdrag på inkassoområdet och hur myndigheten arbetar med dessa frågor. Myndigheten delar ansvaret för tillsyn av inkassoverksamhet med Finansinspektionen. I kapitlet belyser vi hur det delade ansvaret fungerar, och hur de båda myndigheterna ser på sina respektive uppdrag.

I kapitel 6 presenterar vi vår samlade bedömning av myndighetens resultat och vilka utmaningar Datainspektionen står inför framöver. Vi redovisar också våra rekommendationer till Datainspektionen och regeringen.

Uppgifter, mål och resurser

I detta kapitel analyserar vi förutsättningarna för Datainspektionen. Vi tar upp myndighetens uppgifter och mål, hur regeringen styr myndigheten och vilka resurser Datainspektionen har för sitt uppdrag.

Sammanfattande iakttagelser

• Datainspektionen har gått igenom en omställning de senaste åren. Dataskyddsförordningen och andra kompletterande regelverk har medfört att myndigheten fått nya uppgifter, befogenheter och skyldigheter. Myndigheten har också fått ett utökat ansvar för tillstånd för och tillsyn över kamerabevakning.
• Dataskyddsförordningen anger att tillsynsmyndigheterna ska vara oberoende när de utför sina uppgifter enligt förordningen. Regeringens styrning av Datainspektionen är därför återhållsam. Dialogen mellan Datainspektionen och Justitiedepartementet fungerar samtidigt väl.
• Regeringen ska enligt dataskyddsförordningen se till att Datainspektionen har de resurser som krävs för uppdraget, men får samtidigt bara i begränsad utsträckning styra hur myndigheten använder sitt anslag. Med dessa förutsättningar har myndighetens ledning ett stort ansvar för att använda sina resurser väl och redogöra för en effektiv verksamhet för regeringen.
• Datainspektionens anslag har mer än fördubblats sedan 2016. Myndigheten anser att verksamheten fortfarande är underfinansierad. Vi anser att Datainspektionen kan bli bättre på att visa att man använder de resurser myndigheten redan har på ett effektivt sätt.

En kort tillbakablick

Datainspektionen inrättades 1973 i samband att riksdagen beslutade om en nationell datalag, den första i världen. Myndigheten hade då i uppdrag att utfärda tillstånd för att skapa och föra personregister, och att utöva tillsyn enligt datalagen. Datainspektionen fick 1974 ansvar för att utfärda tillstånd enligt kreditupplysningslagen och inkassolagen, samt att utöva tillsyn över de aktörer som bedriver verksamhet inom dessa områden. Från 1982 hade myndigheten också i uppdrag att utfärda licenser enligt datalagen. Dessa licenser var ett bevis för att den som för personregister hade anmält sig hos Datainspektionen.^[2] Under de första åren hade myndigheten ett tjugotal anställda.^[3]

Myndighetens verksamhet förändrades 1998 då EU:s dataskyddsdirektiv genomfördes i svensk rätt genom personuppgiftslagen (1998:204). Systemet med tillstånd och licenser för att upprätta personregister avskaffades då, och myndigheten stärkte i och med dataskyddsdirektivet samarbetet med de övriga dataskyddsmyndigheterna inom EU. Antalet anställda under dessa år var omkring 30.^[4]

Datainspektionens uppdrag och uppgifter genomgick inga större förändringar under åren som följde. År 2016 beslutade EU om en gemensam förordning för hur personuppgifter ska behandlas, den så kallade dataskyddsförordningen (förkortad GDPR).^[5] Dataskyddsförordningen började gälla i Sverige 25 maj 2018, och ersatte då personuppgiftslagen.

Regeringen planerar att byta namn på myndigheten till Integritetsskyddsmyndigheten från och med 2021.^[6]

Datainspektionen ska skydda den personliga integriteten

Enligt Datainspektionens instruktion är myndighetens uppgift att

• arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter
• underlätta det fria flödet av sådana uppgifter inom EU
• verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.

Instruktionen ger ramarna för verksamheten, men en stor del av myndighetens uppdrag och uppgifter preciseras i dataskyddsförordningen. Myndigheten behöver också förhålla sig till ett stort antal andra regelverk (i rutan nedan beskriver vi de huvudsakliga regelverken).

Datainspektionen har själva sammanfattat de huvudsakliga uppgifterna som att myndigheten ska

• granska och verkställa tillämpningen av dataskyddsreglerna
• ge vägledning och stöd till myndigheter, företag och organisationer samt till allmänheten
• bidra till en enhetlig tillämpning av dataskyddsreglerna inom EU
• utfärda tillstånd och genomföra tillsyn avseende kamerabevakning, inkassoverksamhet och kreditupplysning
• följa och rapportera om utvecklingen inom integritetsområdet.^[7]

Huvudsakliga regelverk för Datainspektionens verksamhet

Dataskyddsförordningen är ett gemensamt regelverk för hela EU och trädde i kraft den 25 maj 2018. Förordningen syftar till att skydda enskildas personuppgifter. Dataskyddsförordningen reglerar bland annat hur personuppgifter får registreras, användas, lagras och spridas. Förordningen preciserar Datainspektionens uppdrag när det gäller personuppgiftsbehandling och styr därmed i stor utsträckning myndighetens verksamhet. Bland annat anger förordningen ett stort antal uppgifter för de nationella tillsynsmyndigheterna.^[8]

Dataskyddslagen är Sveriges nationella lagstiftning som kompletterar dataskyddsförordningen. Den reglerar flera frågor som är centrala för Datainspektionen, till exempel att den kan ålägga myndigheter sanktionsavgifter. Det finns även ett stort antal nationella författningar för specifika myndigheter eller sektorer som rör hanteringen av personuppgifter som Datainspektionen behöver förhålla sig till, till exempel patientdatalagen.

Kamerabevakningslagen (2018:1200) trädde i kraft den 1 augusti 2018. Lagen reglerar under vilka omständigheter kamerabevakning får användas och vilka verksamheter som behöver tillstånd av Datainspektionen för att få kamerabevaka. Oavsett om verksamheten behöver tillstånd eller inte, måste den som kamerabevakar uppfylla kraven i dataskyddsförordningen och brottsdatalagen. Datainspektionen ansvarar för tillsyn av de verksamheter som kamerabevakar. Myndigheten tog över tillsynsansvaret från länsstyrelserna i samband med att den nya lagen började gälla.

Brottsdatalagen (2018:1177) trädde i kraft i den 1 augusti 2018 och reglerar hur brottsbekämpande myndigheter får behandla personuppgifter. Lagen bygger på samma principer som dataskyddsförordningen, men är utformad för att vara anpassad till brottsbekämpande verksamhet.

Kreditupplysningslagen (1973:1173) syftar till att skydda den personliga integriteten hos de som finns registrerade hos kreditupplysningsföretag. Lagen har anpassats till dataskyddsförordningen. Den som vill bedriva kreditupplysningsverksamhet behöver som huvudregel tillstånd från Datainspektionen, som också utövar tillsyn över verksamheten.

Inkassolagen (1974:182) reglerar hur inkassoverksamhet får bedrivas. Datainspektionen beslutar om tillstånd för verksamheter som vill bedriva inkassoverksamhet och utövar tillsyn för de inkassoverksamheter som har myndighetens tillstånd. Datainspektionen har också i uppgift att verka för att verksamheter som bedriver inkassoverksamhet följer god sed. Datainspektionen delar på tillsynsansvaret för med Finansinspektionen.

En myndighet under omställning

När dataskyddsförordningen infördes i maj 2018 medförde det nya regelverk, uppgifter och förutsättningar för Datainspektionen. Förordningen preciserar ett stort antal uppgifter för varje nationell tillsynsmyndighet i EU. Vissa av uppgifterna är breda, som att Datainspektionen ska ansvara för att utöva tillsyn och sprida kunskap om personuppgiftsbehandling. Andra är mer detaljerade, som att myndigheten ska uppmuntra branscher att ta fram så kallade uppförandekoder och ansvara för certifieringar som utfärdas till personuppgiftsansvariga eller personuppgiftsbiträden.

Dataskyddsförordningen innebär bland annat också att myndigheten har fått

• en omfattande skyldighet att samarbeta med andra europeiska dataskyddsmyndigheter i enskilda klagomål och tillsynsärenden
• nya krav på information och vägledning till de som hanterar personuppgifter
• i uppgift att hantera anmälningar om säkerhetsincidenter som rör behandling av personuppgifter i samhället (personuppgiftsincidenter)
• i uppgift att ta emot anmälningar om dataskyddsombud
• ett större inflöde av ärenden till myndigheten, till exempel i form av frågor och klagomål
• möjlighet att besluta om stora sanktionsavgifter i tillsynen.

Datainspektionen anser att införandet av dataskyddsförordningen och andra kompletterande lagar har varit så omfattande att det utökade ansvaret myndigheten fått kan liknas vid att starta upp en ny myndighet. Myndighetens uppdrag har förändrats, anslaget har ökat och personalstyrkan har vuxit. Vi uppfattar att det har tagit mycket tid och kraft för Datainspektionen att anpassa sig till de nya förutsättningarna.

Det gäller särskilt som myndigheten också har fått utökade uppgifter i och med kamerabevakningslagen. Myndigheten har fått bygga upp en ny verksamhet för att utfärda tillstånd för kamerabevakning. De har också fått ett utökat uppdrag att utöva tillsyn över området.

Omfattande målgrupp

Datainspektionen har en omfattande målgrupp. Datainspektionen har som tillsynsmyndighet ansvar för att verka för och kontrollera att alla svenska företag, ideella organisationer samt myndigheter, regioner och kommuner följer reglerna i dataskyddsförordningen, kamerabevakningslagen och andra lagar som rör behandling av personuppgifter.^[9]

Alla individer som får sina personuppgifter behandlade eller kommer i kontakt med aktörer som bedriver kredit- eller inkassoverksamhet berörs också av Datainspektionens verksamhet.

Datainspektionens uppdrag omfattar också EU/EES-medborgare som omfattas av personuppgiftsbehandling som utförs av en verksamhet i Sverige. Uppdraget omfattar också företag i andra EU/EES-länder i de fall då de bedriver verksamhet i flera länder, men har sin huvudsakliga verksamhet i Sverige.

Datainspektionens organisation

Datainspektionen är en enrådighetsmyndighet, vilket innebär att generaldirektören ensam leder Datainspektionen. Den nuvarande generaldirektören tillträdde i mars 2018. Till myndigheten hör ett insynsråd som sedan 1 april 2020 består av åtta ledamöter. I maj 2020 hade myndigheten 89 anställda, varav fem var tjänstlediga.

Datainspektionens operativa verksamhet är organiserad i tre tillsynsenheter utifrån samhällssektorer. Uppgifterna knutna till kamerabevakning är placerade på tillsynsenheten för rättsväsende och försvar.

Vid sidan av de tre tillsynsenheterna finns en stabsenhet, chefsjuristens enhet med ett EU-sekretariat samt enheter för administration respektive kommunikation. Sedan januari 2020 finns också en enhet för informationssäkerhet och tillsynsprocess (figur 2).

Figur 2. Datainspektionens organisation. Antal medarbetare inom parentes.

Källa: Datainspektionen.

Not: Antalet medarbetare avser maj 2020.

Regeringens styrning är återhållsam

Dataskyddsförordningen styr en stor del av Datainspektionens arbete. Förordningen reglerar även förhållandet till regeringen, bland annat genom att den anger att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter (artikel 52). Detta oberoende finns även i EU:s stadga om de grundläggande rättigheterna (artikel 8).

Dataskyddsförordningen säger också att

• medlemsstaterna ska säkerställa att varje tillsynsmyndighet har de resurser som behövs för att utföra sina uppgifter
• tillsynsmyndighetens generaldirektör ska stå fri från utomstående påverkan och varken får begära eller ta emot instruktioner av någon.^[10]

Kravet på oberoende innebär att regeringen är återhållsam i sin styrning av Datainspektionen. Den återhållsamma styrningen avspeglas bland annat i instruktionen för myndigheten, som huvudsakligen innehåller hänvisningar till förordningar, direktiv och avtal. Motsvarande gäller för myndighetens regleringsbrev, som i princip bara innehåller standarduppgifter om myndighetens finansiering och krav på att myndigheten ska lämna ekonomiska prognoser. Regeringen ger med några undantag inte uppdrag till Datainspektionen, varken i regleringsbrev eller som särskilda uppdrag.^[11]

Datainspektionens oberoende gäller den verksamhet myndigheten bedriver enligt dataskyddsförordningen.^[12] Däremot bör regeringen kunna styra andra delar av verksamheten i den utsträckning det inte påverkar myndighetens oberoende eller förmåga att utföra uppdraget enligt dataskyddsförordningen.^[13]

Dialogen mellan myndigheten och Regeringskansliet fungerar väl

Vår bild är att dialogen mellan myndigheten och Regeringskansliet fungerar väl. Det säger både Datainspektionens ledning och de företrädare på Justitiedepartement vi intervjuat.

Myndighetens ledning uppfattar att Justitiedepartementet följer myndighetens verksamhet, och att departementet förstår de utmaningar myndigheten står inför. Företrädare för Justitiedepartementet påpekar också i våra intervjuer att myndigheten befinner sig i en omställningsfas, och att departementet förstår att det har påverkat myndighetens verksamhet.

Oberoendet är i linje med den svenska förvaltningsmodellen

Dataskyddsförordningens krav på att myndigheten ska vara oberoende är i linje med svensk rätt, där myndigheterna ska vara självständiga i sitt beslutsfattande (myndighetsutövningen). Men dataskyddsförordningen innebär mer långtgående begränsningar i regeringens möjligheter att styra myndigheten. Tidigare utredningar har pekat på att

• regeringen inte bör prioritera mellan olika verksamheter enligt dataskyddsförordningen, som tillsyn och utåtriktat arbete^[14]
• regeringens möjlighet att ge uppdrag till myndigheten är begränsade, men bör bedömas från fall till fall.^[15]

EU-kommissionen övervakar hur medlemsstaterna tillämpar dataskyddsförordningen. När det gäller den svenska Datainspektionen har EU-kommissionen enligt Justitiedepartementet hittills framför allt haft frågor om generaldirektörens ställning. Om regeringen skulle bedöma att det finns anledning att stärka generaldirektörens ställning ytterligare kan man överväga de förslag som finns i utredningen Ett samlat ansvar för tillsynen över den personliga integriteten.^[16]

Oberoendet gäller även arbetet i Europeiska dataskyddsstyrelsen

Tillsynsmyndigheternas oberoende gäller även Datainspektionens arbete inom Europeiska dataskyddsstyrelsen (EDPB). I arbetet inom EDPB representerar Datainspektionen inte regeringen, som annars är vanligt när myndigheter arbetar på EU-nivå.^[17] I stället fullgör Datainspektionen uppgifter myndigheten har enligt dataskyddsförordningen, tillsammans med de andra nationella tillsynsmyndigheterna i medlemsstaterna.

I EDPB ska myndigheterna arbeta med att tolka och tillämpa dataskyddsförordningen. Men Datainspektionens beskrivning av mynidghetens arbete i EDPB är mer långtgående än så. Datainspektionen säger att myndigheten deltar i ”ett omfattande och intensivt policyskapande arbete” i EDPB.^[18] Datainspektionen påpekar också att myndigheten har varit drivande i policyarbetet, eftersom det ger möjligheter att föra fram och ta tillvara svenska synpunkter och intressen.^[19]

Men att driva svenska intressen är regeringens ansvar.^[20] Datainspektionen bör därför se över hur man kommunicerar sitt arbete i EDPB. Kommunikationen bör återspegla att myndigheten är del av en europeisk förvaltningsstruktur som tolkar och tillämpar dataskyddsförordningen, snarare än företrädare för regeringen och Sverige som medlemsstat. I den utsträckning myndigheten i arbetet i EDPB förväntas ta ställning i frågor som kräver en svensk position bör man verka för att sådana frågor behandlas i ett forum där regeringen är representerad.

Det finns krav på en effektiv verksamhet

Datainspektionen ska, precis som andra förvaltningsmyndigheter, följa förvaltningslagen, myndighetsförordningen, förordningen om budget och årsredovisning och en rad andra regelverk. Det innebär bland annat att det finns krav på Datainspektionens ledning att de ska kunna visa att myndigheten bedriver en effektiv verksamhet.^[21]

Detta krav blir särskilt tydligt för Datainspektionen. Regeringen har för andra myndigheter möjlighet att dra ner på anslagen eller gripa in i hur myndigheten prioriterar, till exempel om myndigheten inte utför sitt uppdrag på ett effektivt sätt. Men dataskyddsförordningen säger att regeringen ska se till att myndigheten har de resurser som uppdraget kräver, och begränsar samtidigt regeringens möjlighet att styra myndighetens verksamhet. Under dessa förutsättningar har myndigheten ett ännu större ansvar att bedriva en effektiv verksamhet.

Myndigheten behöver även kunna visa för regeringen att verksamheten är effektiv. Dialogen mellan myndigheten och departementet fungerar efter vad vi ser i dag väl. Samtidigt ser vi att myndigheten kan stärka sin uppföljning av resultaten (se vidare i kapitel 4). En bättre uppföljning skulle kunna vara till nytta för regeringen i att bedöma myndighetens verksamhet och behov.

Vi konstaterar också att Datainspektionen i sina budgetunderlag inte visar hur myndigheten har analyserat vilka åtgärder i verksamheten som skulle kunna minska de egna kostnaderna.^[22] Detta ska myndigheten göra som alternativ till förslag som innebär högre kostnader.^[23]

Datainspektionens anslag har mer än fördubblats

Datainspektionen finansieras i huvudsak av anslag. En mindre del av intäkterna kommer från avgifter som myndigheten får ta ut för utbildningsinsatser och kurser.

Datainspektionens anslag uppgick vid årets början 2020 till drygt 110 miljoner kronor. Regeringen har i vårändringsbudgeten aviserat att myndigheten ska få ytterligare 10 miljoner kronor 2020.^[24] Anslaget har vuxit snabbt. År 2016 hade myndigheten ett anslag på knappt 50 miljoner kronor.

Anslagsökningen de senaste åren har fördelats enligt följande:

• 30 miljoner kronor från och med 2018 för verksamhet som följer på dataskyddsförordningen.
• Totalt 20 miljoner kronor under 2019 och 2020 till följd av utökade uppgifter på kamerabevakningsområdet.
• Ett engångsbelopp på 10 miljoner kronor för 2020 för verksamheten som gäller kamerabevakning.^[25]

Nyrekryteringar gjorde att myndigheten överskred anslaget 2019

Datainspektionen hade ett anslag på drygt 94 miljoner kronor 2019.^[26] Men myndigheten redovisade under samma år kostnader mot anslaget på drygt 100 miljoner kronor.

Datainspektionen budgeterade under 2019 för att använda hela anslagskrediten på omkring 2,8 miljoner kronor. Men myndigheten bedömde i sin ekonomiuppföljning i augusti 2019 att verksamheten skulle göra underskott på ytterligare 2,3 miljoner kronor. Underskottet var ett resultat av att intäkterna från utbildningsverksamheten blivit lägre än beräknat och att rekryteringen av ny personal hade medfört högre kostnader än myndigheten hade planerat för.^[27] På begäran av myndigheten fördubblade regeringen anslagskrediten under hösten 2019.

Datainspektionen har tidigare år haft en ekonomi i balans (figur 3). Men år 2017 gjorde myndigheten inte av med hela sitt anslag. Det berodde på att myndigheten länge var osäker på om de skulle få mer resurser under året, vilket gjorde att de inte hann rekrytera ny personal i den omfattning som det fanns utrymme till.^[28]

Figur 3. Anslagsutveckling och förbrukat anslag över tid (miljoner kronor).

Källa: Datainspektionens årsredovisningar 2011–2019.

Myndigheten bedömer att den behöver ytterligare resurser

Trots ökade anslag bedömer myndigheten att anslaget är för lågt för den verksamhet som ingår i myndighetens uppgifter. Därför begär myndigheten i budgetunderlaget för 2021–2023 en höjning av anslaget på drygt 14 miljoner kronor för arbete som följer av dataskyddsförordningen respektive 4,5 miljoner kronor för kamerabevakningsområdet.^[29] Dessa yrkanden handlar uteslutande om kostnader för att rekrytera mer personal.

Det extra tillskott myndigheten redan har fått på 20 miljoner för det utökade uppdraget inom kameraområdet motsvarar vad regeringen bedömde i propositionen att myndigheten behövde.^[30]

Datainspektionens uppdrag har växt de senaste åren, både genom den nya dataskyddsförordningen och genom det utökade ansvaret för kamerabevakning. Myndigheten har också en rad detaljerade uppgifter och ska arbeta mot omfattande målgrupper. Myndigheten kan därmed ha rätt i sin bedömning att anslaget ännu är för lågt i förhållande till uppdraget.

Samtidigt har regeringen redan tillfört stora resurser till myndigheten. Vi har ännu inte sett fullt ut vad myndigheten förmår göra med de resurser de redan har till sitt förfogande.

I nästa kapitel går vi igenom vilka resultat myndigheten hittills har uppnått.

Myndighetens verksamhet och resultat

I detta kapitel redogör vi för Datainspektionens verksamhet och resultat. Vi utgår framför allt från myndighetens egen redovisning av verksamheten, som är inriktad på att redovisa prestationer. Vi redogör också för målgruppernas syn på den utåtriktade verksamheten.

Sammanfattande iakttagelser

• Datainspektionen har prioriterat utåtriktat arbete, som bland annat innebär att man ger vägledning och stöd till företag, myndigheter och andra organisationer. Under 2019 ägnade Datainspektionen mer än dubbelt så mycket tid åt det utåtriktade arbetet som åt tillsyn.
• Datainspektionen har avslutat få tillsynsärenden under de senaste åren. Bidragande orsaker är nya regelverk, att det finns en försiktighetskultur i myndigheten och att det är stort fokus på rättssäkerheten.
• Antalet klagomål från privatpersoner på hur aktörer hanterar personuppgifter har ökat kraftigt. Datainspektionen har klarat av att avsluta dessa ärenden på tre månader, vilket är kravet enligt dataskyddsförordningen.
• Handläggningstiderna för ansökningar om tillstånd för kamerabevakning är mycket långa, närmare ett år. Det beror delvis på att Datainspektionen till en början fick detta uppdrag utan ytterligare anslag. Vi konstaterar även att myndigheten i liten utsträckning genomför tillsyn över kamerabevakning.
• Datainspektionen har under de senaste åren prioriterat ned kreditupplysnings- och inkassoverksamheten och har avslutat få tillsynsärenden inom dessa områden.
• Datainspektionen har en hög ambitionsnivå i samarbetet på EU- nivå. Myndigheten deltog i samtliga expertarbetsgrupper inom Europeiska dataskyddsstyrelsen under 2019 och leder arbetet med fem vägledningar. Därutöver har myndigheten behövt samarbeta med andra EU-länders tillsynsmyndigheter i omkring 500 operativa ärenden.
• Datainspektionen har de senaste åren tagit emot många frågor via mejl och telefon. Myndigheten har kommit i kapp när det gäller att besvara skriftliga frågor, men besvarade 2019 mindre än hälften av alla telefonsamtal.
• Myndigheter och organisationer som vi har intervjuat har överlag förtroende för Datainspektionen. Men de skulle vilja ha mer konkret stöd och vägledning från Datainspektionen i deras specifika ärenden.

Myndighetens verksamhet

Datainspektionen lägger mest tid på utåtriktad verksamhet knuten till dataskyddsförordningen, betydligt mer än på tillsyn. Myndigheten lägger också förhållandevis mycket tid på EU-samverkan och uppgifter knutna till kamerabevakning.

Dataskyddsförordningen dominerar verksamheten

Datainspektionens verksamhet domineras av de uppgifter myndigheten har genom dataskyddsförordningen och brottsdatalagen, såväl det utåtriktade arbetet som tillsynen (figur 4). Datainspektionen ägnade en övervägande del, 85 procent av den totala tiden, åt uppgifter myndigheten utför enligt dataskyddsförordningen. ^[31] Eftersom myndigheten utgår från tidredovisningen när de fördelar kostnaderna speglar detta även hur myndigheten spenderar sina medel.

Figur 4. Nedlagd tid per verksamhetsområde 2019 (procent).

Källa: Datainspektionen.

Kommentar: Datainspektionens verksamhet kan delas in i fyra huvudsakliga områden: dataskyddsförordningen och brottsdatalagen, kamerabevakning, inkasso och kreditupplysning. De uppgifter myndigheten utför enligt dataskyddsförordningen dominerar: det handlar om 85 procent av de totala kostnaderna. Vi redovisar därför i figuren en mer detaljerad nedbrytning av verksamhetsområdet dataskyddsförordningen (mörkblå färg). Motsvarande nedbrytning har vi inte gjort för övriga verksamhetsområden (ljusblå färg).

Myndigheten lade under 2019 ner mer tid på utåtriktad verksamhet än på tillsyn enligt dataskyddsförordningen (42 procent respektive 16 procent av myndighetens totala tid). Datainspektionen påpekar att det har funnits ett stort behov av informationsinsatser till myndighetens målgrupper.

EU-arbetet myndigheten utför enligt dataskyddsförordningen tog 11 procent av den totala tiden 2019. Därutöver lade Datainspektionen tid på remisser och klagomål kopplade till dataskyddsförordningen, 6 respektive 4 procent.^[32]

Myndigheten ger vägledning och stöd till en omfattande målgrupp

Datainspektionen lade ner 42 procent av den totala tiden 2019 på utåtriktad verksamhet kopplad till dataskyddsförordningen. Den utåtriktade verksamheten är bred och omfattande. Bland annat ingår det att svara på frågor från privatpersoner och organisationer, att ta fram vägledningar och informationsmaterial till webbplatsen, att hålla utbildningar och föreläsa och att samverka med myndigheter med närliggande uppdrag. Datainspektionen pekar på att det är nödvändigt att myndigheten informerar och vägleder de som behandlar personuppgifter för att de ska kunna tolka och tillämpa dataskyddsförordningen rätt.

Tillsynen utgår delvis från identifierade risker

Datainspektionen lade 2019 ner 16 procent av den totala tiden på tillsyn myndigheten utför enligt dataskyddsförordningen.

Myndigheten delar upp tillsynsverksamheten utifrån dataskyddsförordningen i två områden – riskbaserad tillsyn och händelsestyrd tillsyn. Den riskbaserade tillsynen inleder myndigheten utifrån en policy myndigheten beslutat om i förväg och som gäller två år, men som myndigheten uppdaterar när det finns skäl att göra det.^[33] Utifrån tillsynspolicyn tar Datainspektionen fram en årlig tillsynsplan som närmare anger vilka riskområden och branscher som myndigheten ska prioritera när de inleder tillsyn. Myndigheten identifierar riskområdena utifrån en samlad bild av de klagomål och personuppgiftsincidenter som kommer in till myndigheten, omvärldsbevakning eller genom att utgå från områden där tillämpningen av dataskyddsförordningen är oklar. Under 2019 och 2020 ska myndigheten bland annat prioritera verksamheter inom hälso- och sjukvården, rättsväsendet och skolor.

Den händelsestyrda tillsynen inleds utifrån brister som myndigheten får kännedom om till exempel genom klagomål och personuppgiftsincidenter. Ambitionen är att tillsyn som myndigheter inleder på grund av en händelse så långt som möjligt ska ligga inom ramen för de riskområden som de har identifierat i tillsynsplanen.^[34]

Det är svårt att få en samlad bild av hur stor andel av de pågående och avslutade tillsynsärendena som utgår från den riskbaserade tillsynen och vilka som är händelsestyrda. Vi uppfattar att myndigheten inte tycker att det är meningsfullt eller möjligt att dela upp tillsynerna på detta sätt. Det beror på att en händelsestyrd tillsynsaktivitet kan falla under de prioriterade områdena som finns i tillsynsplanen. Men det står i Datainspektionens tillsynspolicy att merparten av resurserna ska gå till riskbaserad tillsyn.^[35] Där står det också att tillsynen ska riktas mot verksamheter som ger störst effekt för den personliga integriteten.

Myndigheten bedriver ett omfattande samarbete på EU-nivå

Under 2019 lade myndigheten ner 11 procent av sin totala tid på EU-samarbete som är en följd av myndighetens uppgifter enligt dataskyddsförordningen. Datainspektionen bedriver ett omfattande arbete på EU-nivå i Europeiska dataskyddsstyrelsen, EDPB. I detta organ samarbetar EU-ländernas nationella dataskyddsmyndigheter. Det handlar dels om ett arbete med att utfärda gemensamma riktlinjer, rekommendationer och yttranden, dels om operativt samarbete i gränsöverskridande ärenden.

Datainspektionen påpekar att skyldigheterna att samarbeta i gränsöverskridande ärenden tar mycket resurser och inte alltid stämmer överens med myndighetens nationella prioriteringar.

Myndigheten lägger 12 procent av tiden på uppgifter knutna till kamerabevakning

År 2019 lade Dataskyddsmyndigheten ner 12 procent av sin tid på uppgifter knutna till kamerabevakning.

Genom kamerabevakningslagen (2018:1200) fick myndigheten i augusti 2018 ett nytt uppdrag – att bevilja tillstånd för kamerabevakning åt verksamheter som utför uppgifter av allmänt intresse och på platser dit allmänheten har tillträde. Den nya lagen innebär också att Datainspektionen numera ansvarar för all tillsyn av kamerabevakning. Ansvaret för att ge sådana tillstånd och delar av tillsynen över kamerabevakning låg tidigare under länsstyrelserna.

Tillsynen över inkasso och kreditupplysning är en liten del

Datainspektionen ansvarar för att ge tillstånd till företag som bedriver inkassoverksamhet respektive kreditupplysning, samt att utöva tillsyn över dessa företag. I dagsläget har närmare 200 företag myndighetens tillstånd att bedriva inkassoverksamhet, och 20 aktörer har tillstånd att bedriva kreditupplysning. Myndigheten lade under 2019 en marginell del av sin tid på dessa uppgifter – 2 respektive 1 procent.

Datainspektionen påpekar att tillsyns- och tillståndsansvaret enligt inkassolagen ligger utanför myndighetens huvudsakliga uppdrag att bidra till skyddet för människors personliga integritet. Vi återkommer till detta i kapitel 5.

Få avslutade tillsynsärenden enligt dataskyddsförordningen

Datainspektionen har bedrivit tillsyn enligt dataskyddsförordningen sedan 2018. I verksamhetsplanen för 2019 och 2020 har Datainspektionen angett att tillsynsverksamheten på dataskyddsområdet är ett prioriterat utvecklingsområde. Men vi konstaterar att myndigheten har en bra bit kvar i sitt arbete att utveckla den interna styrningen av tillsynen. Datainspektionen har ännu inte satt upp några kvantitativa mål för den tillsyn de ska utföra enligt dataskyddsförordningen. Inte heller finns det några interna riktlinjer för hur stora resurser myndigheten ska lägga på denna tillsyn.

Under 2018 avslutade myndigheten 66 tillsynsärenden. År 2019 avslutades 11 ärenden. ^[36] I ett av dessa ärenden utfärdade myndigheten en sanktionsavgift.

Färre tillsynsbeslut från 2015

Antalet avslutade tillsynsärenden, både totalt och per årsarbetskraft har, med undantag för 2018, minskat varje år från och med 2015 (tabell 1). Minskningen beror dels på att myndigheten har prioriterat ned tillsynen, och dels att produktiviteten i detta arbete har blivit lägre. Vi konstaterar att nedgången i produktiviteten började redan flera år före att dataskyddsförordningen började gälla.

Tabell 1. Antal avslutade tillsynsärenden 2014–2019.

*Antalet avslutade tillsynsärenden per årsarbetskraft (beräkning av Statskontoret) avser antalet fördelade på myndighetens totala årsarbetskrafter och inte bara de som handlägger tillsynsärenden, men indikerar ändå en minskning i produktiviteten.

Källa: Datainspektionen (2020). Budgetunderlag 2021–2023.

År 2018 ökade antalet avslutade tillsynsärenden något men antalet ärenden per årsarbetskraft var fortfarande lågt. Majoriteten av de avslutade tillsynsärendena under 2018 låg inom ramen för en bredare granskning myndigheten genomförde för att undersöka om ett antal verksamheter hade utsett och anmält ett dataskyddsombud till Datainspektionen. Dessa tillsynsärenden var avgränsade till detta tema, och var därigenom mer begränsade och av enklare karaktär än ett typiskt tillsynsärende. Dessa tillsynsärenden syftade enligt myndigheten till att belysa det nya kravet på att utse dataskyddsombud.

Tillsynsärendena drar ut på tiden

De tillsynsärenden som Datainspektionen avslutade under 2019 hade en genomsnittlig handläggningstid på 286 dagar, vilket motsvarar drygt 9 månader. Det innefattar tillsynsärenden enligt dataskyddsförordningen, brottsdatalagen och kamerabevakningslagen.^[37] Under 2018 var handläggningstiden för avslutade tillsynsärenden knappt hälften så lång, i genomsnitt 133 dagar.

Dataskyddsförordningen har delvis gjort tillsynsarbetet mer komplext

Datainspektionen avslutade fler tillsynsärenden när personuppgiftslagen (1998:204) fortfarande gällde. Men det finns vissa skillnader mellan personuppgiftslagen och dataskyddsförordningen som gör att det inte helt av går att jämföra siffrorna för tillsyn enligt de båda lagarna. Den nya lagstiftningen innebär bland annat att det saknas praxis på vissa områden och att myndigheten i sin tillsyn ofta behöver göra ställningstaganden som kan få principiell betydelse. Kraven på att myndigheten ska delta i EU-samarbetet i gränsöverskridande ärenden är också en stor skillnad mot tidigare. Sammantaget menar myndigheten att arbetet är betydligt mer krävande än tidigare. Samtidigt är uppgifterna och sakområdet i grunden desamma – det handlar om frågor som myndigheten har arbetat med i decennier och har stor kompetens inom.

Att myndigheten nu ska besluta om sanktionsavgifter är också något som enligt Datainspektionen har bidragit till att tillsynen har blivit mer komplex. Sanktionsavgifter kan liknas vid straffrättsliga åtgärder, vilket ställer höga krav när det gäller handläggningen av ärendena. Sanktionsbeloppen kan också få stora och negativa konsekvenser för verksamheterna. I dagsläget, innan det finns praxis att luta sig mot, har myndigheten valt att bara generaldirektören får fatta beslut om sanktionsavgifter.

Men det är inte självklart att sanktionsavgifter gör att tillsynsärenden drar ut på tiden. Ett exempel är Spelinspektionen som har fattat ett antal beslut om sanktionsavgifter på upp till 100 miljoner kronor, efter att spelmarknaden omreglerades och en ny spellag infördes 2019.^[38]

Det kan även finnas andra förklaringar till att Datainspektionen upplever att tillsynen blivit mer komplex. Sannolikt har det att göra med att behandlingen av personuppgifter ökat kraftigt som en följd av den tekniska utvecklingen, vilket Datainspektionen själv säger är en förklaring till att rättstillämpningen har blivit svårare.^[39]

Datainspektionen har inlett ett internt projekt som ska underlätta för myndigheten att bedöma eventuella sanktionsavgifter i tillsynen.^[40]

En försiktighetskultur på myndigheten bidrar till att beslutsprocesserna blir utdragna

Både chefer och medarbetare på Datainspektionen säger att det i vissa avseenden finns en försiktighetskultur på myndigheten, som gör att chefer och handläggare har svårt att komma fram till ett beslut. Vi tror att myndigheten kan göra mer för att också handlägga ärenden enkelt, snabbt och kostnadseffektivt och ändå behålla en god rättssäkerhet.

Försiktigheten när det gäller att fatta tillsynsbeslut med höga sanktionsavgifter beror på att dessa beslut kan få mycket stora konsekvenser för tillsynsobjekten. Det är därför viktigt att utredningen i ärendena lever upp till kraven på rättssäkerhet och att besluten blir sakligt och formellt korrekta.

Myndigheten bör givetvis även i fortsättningen ställa höga krav på rättssäkerheten. Men det är bara en av flera faktorer som myndigheten ska ta hänsyn till. Enligt 9 § förvaltningslagen ska alla ärenden handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att äventyra rättssäkerheten.

Myndigheten har inrättat ett så kallat rättstillämpningsforum, där myndigheten ska avgöra svårare rättsliga frågor. Forumet leds av myndighetens chefsjurist. Syftet är att ta fram rättsliga ställningstaganden i principiella tolkningsfrågor, bland annat för att underlätta tillsynsarbetet för medarbetarna. Men det har enligt våra intervjuer varit svårt att hitta bra former för forumet, och det har därför inte bidragit till att snabba på tillsynsarbetet på det sätt det var tänkt.

Flera medarbetare påpekar också att Datainspektionen behöver bli modigare i sitt beslutsfattande. Samtidigt förstår medarbetarna att Datainspektionen är under uppbyggnad, och att det behöver ta tid innan myndigheten har kommit fram till hur den ska tolka den nya lagstiftningen. Men om myndigheten blir modigare i beslutsfattandet kan det gå snabbare att etablera praxis för hur myndigheten ska agera när ett beslut överklagas, vilket borde göra rättstillämpningen enklare med tiden.

Sedan januari 2020 finns en ny enhet som ska arbeta med att utveckla och effektivisera tillsynsprocessen.

Negativa konsekvenser av få avslutade tillsynsärenden

Trots att myndigheten lägger den största delen av sina resurser på insatser myndigheten utför enligt dataskyddsförordningen så står tillsynen bara för en mindre del. Men tillsynen är central i Datainspektionens uppdrag. Vi konstaterar att myndighetens avslutar få tillsynsärenden vilket riskerar att få flera negativa konsekvenser.

• Den mest påtagliga konsekvensen är att aktörer kan fortsätta hantera personuppgifter på ett felaktigt sätt.
• Få avslutade tillsynsärenden innebär att det också tar lång tid att etablera praxis, vilket i sin tur innebär att tillsynen tar ännu längre tid.
• Avslutade tillsynsärenden är viktiga för myndighetens externa kommunikation. De får spridning i media och bidrar till att vägleda de målgrupper som myndigheten ska utöva tillsyn över.
• Långa tillsynsprocesser är också problematiska för tillsynsobjekten, som under tiden tillsynen pågår inte vet om de kommer behöva betala en sanktionsavgift, eller hur stor avgiften kommer att bli.

Ytterst blir det en legitimitetsfråga för myndigheten och den lagstiftning som den har som uppgift att granska hur den följs. Om myndigheten inte bedriver tillsyn i tillräcklig omfattning, och därmed inte fattar beslut om sanktionsavgifter, kommer allmänheten, företag och organisationer att uppfatta den nya dataskyddsförordningen som tandlös. Det kan i sin tur försämra förtroendet för lagstiftningen.

Samtidigt är det viktigt att påpeka att Datainspektionen på olika sätt arbetar för att öka effektiviteten i tillsynen. Det är också rimligt att anta att tillsynen kommer att gå fortare när myndigheten har etablerat en praxis för tillsynen.

Kraftig ökning av antalet klagomål

Den som anser att någon har behandlat personuppgifter på ett felaktigt sätt kan lämna klagomål till Datainspektionen. Att hantera klagomål är ingen ny uppgift för myndigheten. Men genom dataskyddsförordningen har myndighetens förutsättningar för att handlägga klagomål förändrats.

Sedan dataskyddsförordningen började gälla har antalet klagomål som kommer in till Datainspektionen ökat kraftigt jämfört med tidigare år (tabell 2). Under 2019 tog myndigheten emot mer än tio gånger så många klagomål som under åren innan dataskyddsförordningen började gälla.

Tabell 2. Inkomna klagomål enligt personuppgiftslagen (PuL), dataskyddsförordningen och brottsdatalagen 2015–2019.

Källa: Datainspektionen (2020). Årsredovisning 2019.

Datainspektionen tolkar den stora ökningen av klagomål som att dataskyddsförordningen har fått genomslag bland allmänheten, och att privatpersoner har blivit mer medvetna om sina rättigheter när någon behandlar deras personuppgifter. Men ökningen beror också på att dataskyddsförordningen har gjort det möjligt för privatpersoner att klaga till Datainspektionen även om klagomålet gäller hur personuppgifter behandlats i ett annat land.

Datainspektionen har hanterat klagomålen inom tidsfristen

Datainspektionen ska enligt dataskyddsförordningen handlägga ett klagomål inom tre månader. I personuppgiftslagen fanns inga krav på hur snabbt ett ärende skulle handläggas. Datainspektionen påpekar att det har varit svårt att hantera den kraftiga ökningen av antalet klagomål. Nytt är också att många klagomål gäller verksamheter som finns i flera länder, vilket gör hanteringen av klagomål mer omfattande och komplex. Men trots att antalet klagomål har ökat kraftigt har Datainspektionen klarat av att handlägga ärenden inom tre månader. För perioden juni 2018 till mars 2020 var den genomsnittliga handläggningstiden för avslutade klagomål 36 dagar, det vill säga drygt en månad.^[41]

Datainspektionen har som ambition att använda klagomålen som underlag för att bedriva en riskbaserad tillsyn.^[42] Men det är inte helt tydligt på vilket sätt myndigheten systematiskt analyserar och använder de klagomål som kommer in för att identifiera risker. Vi uppfattar att myndigheten hittills till största delen har använt klagomålen för att fånga upp brister och när det behövts inleda en så kallad händelsestyrd tillsyn. Under 2019 har myndigheten inlett tillsyn baserat på klagomål mot bland annat Google, Klarna och Spotify.^[43] Myndigheten planerar nu att analysera inflödet av klagomål. Syftet är att ta fram underlag för en riskbedömning i en tillsynsplan för 2021–2022.

Det finns ännu ingen gemensam syn i EU på hur klagomål ska hanteras

Det finns olika uppfattningar inom EU hur tillsynsmyndigheterna ska hantera klagomål från privatpersoner. Enligt dataskyddsförordningens artikel 57 respektive 78 är tillsynsmyndigheten skyldig att ”… undersöka den sakfråga som klagomålet gäller”, och inom tre månader lämna besked till den som klagat om vad som händer i handläggningen.

Enligt Datainspektionen finns än så länge ingen gemensam syn inom EU på vad skyldigheten att undersöka sakfrågan innebär. Det finns exempel på tillsynsmyndigheter i andra EU-länder som inleder tillsyn varje gång det kommer in ett klagomål till myndigheten. Men Datainspektionen tolkar det som att de bara ska inleda tillsyn utifrån klagomål om de får många klagomål mot samma verksamhet, och om klagomålen visar på särskilt allvarliga brister.

Det skulle få stora konsekvenser för myndigheten om en EU-gemensam tolkning av förordningen skulle leda till att myndigheten ska inleda tillsyn varje gång det kommer in ett klagomål. Det är de representanter för myndigheten vi intervjuat övertygade om. Vi kan konstatera att myndigheten i dag inte har de resurser som skulle krävas för att inleda tillsyn i så många fler ärenden. Under 2019 har Datainspektionen tagit initiativ till att inom EU kartlägga hur de olika tillsynsmyndigheterna hanterar klagomål, för att tillsynsmyndigheterna utifrån detta ska kunna enas om en gemensam syn på hur de ska hantera klagomål.^[44]

Resultat från andra uppgifter myndigheten utför enligt dataskyddsförordningen

Utöver tillsyn och att hantera klagomål har dataskyddsförordningen medfört att Datainspektionen fått flera andra nya arbetsuppgifter. Det handlar till exempel om att hantera anmälningar om personuppgiftsincidenter, föra register över dataskyddsombud, hantera förhandsamråd, godkänna så kallade uppförandekoder och ackreditera övervakningsorgan.

Många anmälningar om personuppgiftsincidenter

En personuppgiftsincident är en händelse där personuppgifter avsiktligt eller oavsiktligt till exempel kommit i orätta händer eller har blivit ändrade. En verksamhet som upptäcker en personuppgiftsincident måste anmäla incidenten till Datainspektionen inom 72 timmar.

Under 2018 tog myndigheten emot drygt 2 200 anmälningar om personuppgiftsincidenter. För 2019 har antalet ökat till över 4 700 ärenden. Myndigheten har inlett omkring tio tillsynsärenden till följd av en personuppgiftsincident, samtliga under 2019. Det ökade antalet anmälningar av personuppgiftsincidenter tyder enligt myndigheten på att verksamheter blivit mer medvetna om att de är skyldiga att anmäla brister i sin personuppgiftsbehandling. Det gäller i synnerhet myndigheter och större företag. Men Datainspektionen påpekar också att mörkertalet troligtvis är stort, och att de behöver arbeta för att öka kunskapen om hur de kan förebygga sådana incidenter.

Handläggningen av personuppgiftsincidenter har fram till mars 2020 varit helt manuell. Detta har gjort hanteringen ineffektiv och omständlig. I dagsläget arbetar 1,5 årsarbetskraft med att bedöma personuppgiftsincidenter, men resurserna kan tillfälligt utökas om det behövs. Funktionen är placerad i staben, vilket enligt myndigheten är en tillfällig lösning.

Den genomsnittliga tiden för att bedöma personuppgiftsincidenter var 192 dagar under 2019. I mars 2020 lanserade Datainspektionen en e-tjänst som tar emot anmälningar av personuppgiftsincidenter. Myndigheten räknar med att handläggningstiden därmed kommer att bli kortare framöver.

Många anmälningar om dataskyddsombud

En annan ny arbetsuppgift för Datainspektionen är att ta emot anmälningar från verksamheter som enligt förordningen behöver utse ett dataskyddsombud eller som frivilligt väljer att utse ett sådant. Ett dataskyddsombud är en person som verksamheten utsett som ska se till att organisationen följer dataskyddsförordningen, till exempel genom att kontrollera eller informera verksamheten.

Under 2018 tog myndigheten emot över 7 600 anmälningar vilket var fler ärenden än den hann avsluta. För 2019 har antalet anmälningar minskat till omkring 2 300 och myndigheten har kommit ikapp. Hanteringen av anmälningarna är fortfarande manuell, men Datainspektionen säger att handläggningen på sikt ska automatiseras.

Myndigheten har ännu inte godkänt några uppförandekoder

Integritetskommitténs slutbetänkande presenterade flera förslag för att uppmuntra branschorganisationer att utveckla så kallade uppförandekoder som ett led i att förbättra hur de följer reglerna i dataskyddsförordningen. Enligt utredningen kan uppförandekoder vara ett effektivt verktyg för att stärka individers personliga integritet.^[45]

En uppförandekod ska innehålla bindande regler för hur exempelvis en viss bransch ska följa dataskyddsförordningen. Datainspektionens uppgift är att uppmuntra framtagandet av uppförandekoder, och att godkänna eller kommentera koden. Myndigheten ska även ackreditera organ som ska övervaka uppförandekoder. I den uppgiften ingår att ta fram kriterier för hur myndigheten ska ackreditera sådana organ.

Det har hittills kommit in ett fåtal ansökningar om uppförandekoder till Datainspektionen. Enligt myndigheten är en viktig orsak till att uppförandekoder inte har kunnat godkännas att sökande inte har tagit fram koder som uppfyller de krav som förordningen ställer på oberoende övervakningsorgan. Datainspektionen har inte fått in någon ansökan om ackreditering av övervakningsorgan. Myndigheten har heller ännu inte påbörjat arbetet med att ta fram kriterier för ackreditering av övervakningsorgan. Generaldirektören har utsett chefer som ska arbeta vidare med frågan.^[46]

Förhandssamråd kan bli vanligare

Om en verksamhet ska behandla personuppgifter på ett sätt så att det sannolikt leder en till hög risk för att de registrerades rättigheter inte respekteras så måste den ansvariga verksamheten enligt dataskyddsförordningen och brottsdatalagen göra en konsekvensbedömning. I de fall verksamheten genomför en konsekvensbedömning och kommer fram till att det inte går att begränsa risken för de enskilda så att risken inte längre är hög, är verksamheten skyldig att begära ett förhandssamråd med Datainspektionen innan verksamheten börjar behandla personuppgifter.

Datainspektionen säger att förhandssamråd är en uppgift som sannolikt kommer att bli vanligare, till exempel när det gäller ansiktsigenkänning vid kamerabevakning. Under 2018 och 2019 fick Datainspektionen in 21 begäran om förhandsamråd och avslutade 15.^[47]

Långa handläggningstider för kameratillstånd

Handläggningstiderna för tillstånd för kamerabevakning ligger på närmare ett år. Det är ett prioriterat utvecklingsområde för myndigheten att utveckla och effektivisera tillståndsprocessen. Det är också ett utvecklingsområde som är särskilt utpekat i myndighetens verksamhetsplan för 2020.^[48] Tillsynen av kamerabevakning har hittills fått stå tillbaka i och med att myndigheten har prioriterat tillståndsprövningen.

Mer resurser efterhand till att besluta om tillstånd och utöva tillsyn över kamerabevakning

Datainspektionen tog i augusti 2018 över uppgiften att besluta om tillstånd för kamerabevakning från länsstyrelserna. Samtidigt fick myndigheten hela tillsynsansvaret på området. Regeringen gjorde bedömningen att myndigheten behövde 20 miljoner kronor för dessa uppgifter^[49], men ökade bara stegvis myndighetens anslag. Datainspektionen fick 5,7 miljoner kronor 2019 och ytterligare drygt 14 miljoner kronor 2020 för arbetet inom kameraområdet. Datainspektionen har begärt ytterligare 4,5 miljoner kronor för att klara uppdraget.^[50]

Myndigheten har därför först 2020 fått de resurser regeringen ansåg att myndigheten behövde för uppdraget. Regeringen har föreslagit att myndigheten kommer att få ett tillskott på ytterligare 10 miljoner kronor under 2020 för uppdraget om kamerabevakning.^[51]

I och med att Datainspektionen till en början inte fick några extra medel för kamerauppgiften och därefter fått resurser stegvis, har myndigheten byggt upp verksamheten genom omprioriteringar och i viss utsträckning också genom att omfördela resurser.

Myndigheten har många kameraärenden att beta av

Datainspektionen har sedan kamerabevakningslagen började gälla och myndigheten tog över tillståndsansvaret fram till februari 2020 avslutat 347 ärenden. Av dessa avslutades 223 under 2019.

Myndigheten har under samma period tagit emot drygt 880 ansökningar om tillstånd, varav knappt 500 under 2019. Myndigheten hade alltså i februari 2020 många ärenden som ännu inte hade avslutats. I december 2019 hade myndigheten över 500 liggande där myndigheten behövde fatta belsut.^[52] Men vi kan konstatera att antalet avslutade ärenden har ökat under de första månaderna av 2020 (figur 5).

Eftersom tillståndsverksamheten är en ny uppgift för Datainspektionen är det svårt att jämföra genomströmningen av ärenden över tid. Men länsstyrelserna som tidigare fattade beslut om tillstånd för kamerabevakning avslutade under 2015 cirka 900 tillståndsärenden.^[53] Men den nya lagen innebär att färre aktörer behöver ansöka om tillstånd för kamerabevakning. Utredningen som föregick den nya lagen bedömde därför att antalet ansökningar till Datainspektionen skulle minska till omkring 400–600 per år.^[54] Datainspektionen avslutade hälften så många ärenden under 2019.

Beslutsfattandet har delegerats för att minska handläggningstiderna

Den genomsnittliga handläggningstiden för kameratillstånd har ökat succesivt. Myndigheten har ännu inte under någon månad avslutat fler ärenden än vad som kommit in (figur 5). I december 2019 var den genomsnittliga handläggningstiden närmare ett år (346 dagar).

Figur 5. Antal inkomna och avslutade ärenden för kameratillstånd samt genomsnittlig handläggningstid per månad, augusti 2018-februari 2020.

Källa: Underlag från Datainspektionen. Bearbetning av Statskontoret.

Not: Uppgiften som avser handläggningstid bygger på den genomsnittliga handläggningstiden per månad.

En förklaring till de långa handläggningstiderna är att myndigheten inte haft tillräckliga resurser. Enligt medarbetare som vi har intervjuat finns det även andra orsaker. Under de första månaderna efter att myndigheten tagit över uppgiften användes mycket av resurserna till att utveckla rutiner och stöd för handläggningen.

En annan förklaring som lyfts fram i våra intervjuer är att det bara har varit en enhetschef som fattat beslut om de flesta tillstånden. Beslutsfattandet har därför blivit en flaskhals i processen. Orsaken till att bara chefen har fattat beslut är att det har saknats en grundläggande praxis som medarbetare kan följa när de fattar beslut. Men sedan mars 2020 kan även handläggare fatta beslut.^[55]

De långa handläggningstiderna har givetvis konsekvenser för verksamheter som måste vänta på tillstånd. Men det har också konsekvenser för medarbetare som arbetar med tillstånd. Medarbetare som vi intervjuat beskriver det som direkt pinsamt att kontakta någon som sökt tillstånd när det kan ha gått mer än ett år sedan verksamheten ansökte om tillståndet.

Än så länge få tillsynsärenden

Sedan Datainspektionen tog över hela tillsynsansvaret för verksamheter som bedriver kamerabevakning har myndigheten avslutat knappt 30 tillsynsärenden (tabell 3). Sju av dessa ärenden hade redan inletts av länsstyrelserna men flyttades över till Datainspektionen när den nya lagen började gälla.

Ett skäl till att myndigheten inte har avslutat fler ärenden är att myndigheten har prioriterat tillståndsverksamheten framför tillsynen. I dagsläget arbetar två medarbetare delar av sin tid med tillsyn över kamerabevakning. Det innebär att tillsynen över kamerabevakningen i Sverige i dag är mycket begränsad, vilket inte rimmar med att den nya kamerabevakningslagen syftar till ett förstärkt integritetsskydd.^[56]

Tabell 3. Antal inledda och avslutade tillsynsärenden enligt kameraövervakningslagen och kamerabevakningslagen 2018–2019.

Källa: Datainspektionen (2020). Årsredovisning 2019.

Not: Samtliga avslutade tillsynsärenden 2018 var ärenden som Datainspektionen övertog från länsstyrelserna.

Tillsynen av kreditupplysnings- och inkassoverksamheter har prioriterats ner

Datainspektionen har under de senaste åren prioriterat ner tillsynen av inkasso- och kreditupplysningsverksamheter. Myndigheten säger att de har minskat omfattningen av tillsynen för att kunna hantera arbetet med dataskyddsförordningen. Myndigheten avslutade fem tillsynsbeslut enligt de båda lagarna 2019. Det är två ärenden färre jämfört med 2018. Datainspektionen bedömde 2019 att det inte fanns några mer systematiska och allvarliga brister på inkassoområdet.^[57]

Som vi tidigare har beskrivit lägger Datainspektionen förhållandevis lite av sina resurser på dessa områden, även om andelen av de totala resurserna ökat något mellan 2018 och 2019. Vi kan konstatera att myndigheten under tidigare år har varit mer aktiv i tillsynen. År 2016 avslutade myndigheten över 50 tillsynsärenden. Därefter har antalet avslutade ärenden minskat betydligt.

Hög ambitionsnivå i EU-samarbetet

Datainspektionen har en hög ambitionsnivå i den del av arbetet som gäller att gemensamt utveckla riktlinjer och annan vägledning för att tillämpa dataskyddsförordningen. Datainspektionen deltog under 2019 i samtliga tretton expertarbetsgrupper inom EDPB, och har tagit på sig ett särskilt ansvar för att leda arbetet med fem vägledningar. Myndigheten säger att den vill vara en aktiv del i EDPB för att få genomslag för svensk rättstradition och för de behov som svenska medborgare och verksamheter har (se även avsnitt 2.3.3).

Datainspektionen samarbetar med andra europeiska dataskyddsmyndigheter i ärenden som rör flera länder. När ett sådant ärende handlar om en verksamhet som huvudsakligen har sin verksamhet i Sverige är Datainspektionen skyldig att handlägga ärendet.

Datainspektionen var ansvarig tillsynsmyndighet, så kallad Lead Supervisory Authority, i cirka 40 sådana tillsynsärenden under 2019. Datainspektionen var berörd i ytterligare omkring 450 ärenden 2019. Det handlar bland annat om ärenden där myndigheten har möjlighet att lämna synpunkter till andra EU-länders tillsynsmyndigheter. Datainspektionen bedömer att antalet ärenden där flera länders dataskyddsmyndigheter samarbetar på sikt kommer att öka.

Det utåtriktade arbetet har blivit viktigare

En viktig del i Datainspektionens uppdrag handlar om att informera och vägleda både allmänheten och verksamheter som berörs av reglerna i dataskyddsförordningen och andra lagar. Där ingår bland annat att svara på frågor från allmänheten och verksamheter. En av myndighetens viktigaste prioriteringar sedan förordningen började gälla har varit att utveckla det utåtriktade arbetet. Myndigheten ägnade under 2019 drygt 40 procent av den rapporterade tiden till informations- och vägledningsinsatser.

Högt tryck på upplysningstjänsten

I och med de nya regelverken har efterfrågan på information och vägledning varit stor. Inflödet av frågor till myndighetens upplysningstjänst har varit stort, och trycket på medarbetarna har periodvis varit hårt. Särskilt under 2018 hade inte myndigheten tillräcklig kapacitet för att ta emot det stora antalet telefonsamtal. Myndigheten lyckades då bara besvara omkring en tredjedel av samtalen (tabell 4).^[58]

Den stora efterfrågan på vägledning ledde till att myndigheten i början av 2019 hade ungefär 850 förfrågningar och klagomål från allmänheten och organisationer som myndigheten inte hunnit behandla. Efter att myndigheten förstärkt resurerna för att hantera förfrågningar och klagomål och gjort andra insatser för att arbeta av ärenden fick Datainspektionen kontroll på mängden ärenden. De låg i juni 2019 låg på strax under 200 ärenden, vilket är i linje med myndighetens målsättning. Men fortfarande kom drygt hälften av de inkomna samtalen inte fram under året.^[59]

Tabell 4. Besvarade telefonsamtal i myndighetens upplysningstjänst 2018–2019.

Källa: Datainspektionen (2020). Årsredovisning 2019.

Medarbetare på myndigheten upplever att det finns en hög förväntan på Datainspektionen, med press utifrån, och förväntningarna märks av tydligt i upplysningstjänsten. Det framgår av våra intervjuer. Många som kontaktar Datainspektionen vill ha konkreta svar och individuell vägledning, men det är inte alltid möjligt för myndigheten att ge den typen av stöd. Det beror dels på att dataskyddsförordningen ställer krav på att de verksamheter som behandlar personuppgifter ska göra egna bedömningar i olika frågor, dels på att det än så länge saknas praxis för hur myndigheten ska tillämpa förordningen.

Datainspektionen påbörjade under 2019 ett arbete för att effektivisera och utveckla upplysningstjänsten. Arbetet syftar bland annat till att förbättra hur myndigheten följer upp upplysningstjänstens arbete.

Stor efterfrågan på myndighetens utbildningar

Datainspektionen utbildar och föreläser om dataskydd och kamerabevakning (tabell 5). Från 2017 till 2018 ökade efterfrågan på myndighetens utbildningar. Under 2018 fick Datainspektionen tacka nej till över hundra förfrågningar om att föreläsa. För 2019 hade myndigheten en ambition att hålla färre antal utbildningar.

Under 2020 riktar Datainspektionen utbildningarna särskilt till personuppgiftsansvariga och personuppgiftsbiträden.^[60] För att ytterligare möta målgruppernas behov av information och stöd planerar myndigheten också att publicera fler sammanställningar av klagomål och analyser om hur myndigheten hanterat dem.^[61]

Tabell 5. Datainspektionens informations- och utbildningsinsatser 2018–2019.

Källa: Datainspektionen (2020). Årsredovisning 2019.

* Värdet för antal besökare på webbplatsen 2019 är inte mätt på ett helt år och är därför osäkert.

Myndigheter och organisationer vill ha mer konkret stöd

Vi har intervjuat representanter för myndigheter och organisationer som samverkar med Datainspektionen.^[62] Flera av de intervjuade organisationerna har också medlemmar som berörs av dataskyddsförordningen i sitt arbete och behöver vägledning från myndigheten.

De intervjuade har generellt en positiv bild av myndigheten. Denna syn ligger i linje med den mätning som Datainspektionen lät göra under 2018 och 2019. Mätningen visade att förtroendet för Datainspektionen var högt, och låg på ungefär samma nivå som för övriga myndigheter som ingick i mätningen.^[63]

De intervjuade lyfter genomgående fram att Datainspektionen inte i tillräcklig utsträckning ger dem det tydliga stöd och den konkreta vägledning de behöver. En del uppfattar myndighetens svar som inte tillräckligt specifika. Några har även påpekat att de skulle vilja ha utbildningar med fler praktiska och konkreta exempel som gör det lättare för de som deltar i utbildningen att förstå hur de ska tillämpa förordningen. Flera utbildningar som myndigheten tidigare anordnat har enligt de vi har intervjuat varit för generella och har saknat fördjupat innehåll. Samma sak har visat sig när Datainspektionen utvärderat sina utbildningar och konferenser. En stor del av de som svarat på utvärderingarna säger även de att några av utbildningarna inte motsvarade förväntningarna och att innehållet saknade fördjupning.^[64]

De vi har intervjuat i Datainspektionens målgrupper säger att de utbildningar som Datainspektionen anordnade under 2019 var betydligt bättre än de utbildningar Datainspektionen anordnat tidigare, på grund av att myndigheten tagit till sig av synpunkterna från föregående år. Myndighetens egna utvärderingar säger detsamma.

Myndigheten behöver förbättra sin webbplats

Vi börjar med att konstatera att Datainspektionen är väl medveten om att myndighetens webbplats behöver bli bättre på flera sätt. Datainspektionen planerar också att lansera en ny webbplats vid i början av 2021. Lanseringen kommer att göras i samband med att myndigheten byter namn till Integritetsskyddsmyndigheten.

Några myndigheter och organisationer vi har intervjuat säger att Datainspektionens webbplats är svårnavigerad, och de skulle gärna se att den information de vill ha var lättare att hitta. Vissa påpekar också att den information som finns på webbplatsen är för generell. Andra tycker att webbplatsen fungerar bra och har gett tillräckligt stöd vid vägledning.

Något som också framgår av intervjuerna är att vissa saknar tydligare ställningstaganden i frågor som rör hur dataskyddsförordningen ska tolkas och tillämpas och de skulle vilja ha bättre stöd i form av exempelvis mallar på myndighetens webbplats. Några intervjupersoner påpekar även att det saknas översättningar av EDPB:s riktlinjer. Det hade underlättat för målgrupperna att ta del av informationen från EDPB om Datainspektionen tillhandahållit tolkningar och översättningar av riktlinjerna. Flera av målgrupperna säger att de i sin tur behöver vägleda sina medlemmar och målgrupper för att hitta på webbplatsen.

En del av målgrupperna har istället vänt sig till andra EU-länders dataskyddsmyndigheter för vägledning, eftersom man upplever att det saknats information på Datainspektionens webbplats. De länder som målgrupperna nämnt under intervjuerna är Danmark, Tyskland och Frankrike.

Myndighetens interna styrning

I följande kapitel analyserar vi Datainspektionens interna styrning. Vi redogör också för hur myndigheten följer upp och redovisar resultat, och hur Datainspektionen arbetar med frågor som rör kompetensförsörjning och arbetsmiljö. I kapitlet analyserar vi också hur myndigheten styr it-verksamheten.

Sammanfattande iakttagelser

• Datainspektionen har inte formulerat några uppföljningsbara mål för verksamheten. Myndigheten har valt att vänta med att formulera sådana mål med hänvisning till att den är i en uppbyggnadsfas. Vi menar att det nu är tid att formulera mål till exempel handläggningstider. Det behövs för att myndigheten ska kunna effektivisera verksamheten.
• Datainspektionen har gjort en heltäckande riskanalys. Myndigheten bedriver ett omfattande arbete för att utveckla verksamheten.
• Datainspektionen behöver utveckla den interna styrningen. Det handlar bland annat om att få rutiner och processer på plats, att göra det tydligare för medarbeterna vilka prioriteringar som gäller, att effektivisera beslutsfattandet och att fördela myndighetens resurser så att de används på bästa sätt.
• Datainspektionen följer upp sina resultat genom att redovisa prestationer. Myndigheten planerar att framöver utveckla hur de följer upp sina resultat. Myndigheten behöver särskilt arbeta med att identifiera indikatorer för att mäta effektivitet och kvalitet.
  
  
• Digitalisering och it-utveckling är sedan 2018 ett prioriterat område för för Datainspektionen. Myndigheten har hittills sjösatt både externa och interna it-stöd, men det finns fortfarande stora utvecklingsbehov. Det beror bland annat på brister i it-styrningen och på att myndigheten ställer höga säkerhetskrav på it-lösningarna.
• Vi uppfattar att trivseln och stämningen på myndigheten är god, även om arbetsbelastningen i perioder är hög.

Datainspektionen har stort utrymme att formulera egna mål

Vi kan konstatera att regeringen utöver vad som står i instruktionen inte har angett några konkreta mål för Datainspektionen. Det innebär att Datainspektionen har stort utrymme och ansvar att sätta egna mål för verksamheten och att konkretisera sitt uppdrag. Men hittills har myndigheten bara i begränsad omfattning formulerat egna mål för verksamheten.

Det finns en vision och en målbild i den strategiska inriktningen

Datainspektionen beslutade om en strategisk inriktning i december 2018. Den strategiska inriktningen är utgångspunkten för myndighetens samtliga verksamheter de kommande åren, och ska vägleda myndigheten i det fortsatta utvecklingsarbetet.^[65] Den strategiska inriktningen kan ses som en beskrivning av hur myndigheten tolkar det uppdrag myndigheten har genom instruktionen. Vi konstaterar att inriktningen omfattar perioden fram till 2021, och att myndigheten alltså snart behöver uppdatera den.

Den strategiska inriktningen består av fem delar:

• Vision: Ett tryggt informationssamhälle där vi tillsammans värnar den personliga integriteten.
• Uppdrag och huvuduppgifter: Se avsnitt 2.3.
• Värdegrund: Ska vara ett stöd till chefer och medarbetare i arbetet med att utveckla verksamheten och utföra myndighetens uppdrag på bästa sätt. Fem värdeord: tillgänglighet, transparens, tydlighet, tillit och tillsammans.
• Målbild 2021: Vi är en välkänd myndighet med stort förtroende.
• Sju strategiska utvecklingsområden: Utåtriktat och vägledande arbete, Med våra intressenter och vår omvärld i fokus, Nationell och internationell samverkan, Riskbaserad och effektiv tillsyn, Rätt kompetens, arbetssätt och organisation, Digitalisering på insidan och utsidan och Attraktiv myndighet.

Myndigheten behöver konkretisera sitt uppdrag

Datainspektionen har en vision och en målbild, men behöver arbeta mer för att konkretisera och mer i detalj beskriva hur myndigheten ska utföra sitt uppdrag. En så kallad verksamhetslogik kan visa hur det är tänkt att en myndighet ska fullgöra sitt uppdrag. En verksamhetslogik kräver att myndigheten delar upp målbilden och visionen i mål som går att följa upp, vilket gör att myndigheten kan mäta hur väl myndigheten når målen. Myndigheten behöver beskriva hur den ska använda sina resurser för aktiviteter som leder till resultat – prestationer och effekter. En verksamhetslogik kan vara till hjälp för att bedöma vilka projekt och prestationer som är ändamålsenliga och effektiva i förhållande till uppdraget, men kan också vara ett stöd när myndigheten följer upp och utvärderar verksamheten.^[66]

Vi kan konstatera att Datainspektionen genom den strategiska inriktningen har kommit en bit på vägen mot en verksamhetslogik. Myndigheten har också påbörjat ett arbete med att identifiera effekter för olika verksamhetsområden. Syftet är att skapa en mer sammanhållen styrning av verksamheten. Men myndigheten har ännu bara börjat med detta arbete.

Myndigheten behöver utveckla den interna styrningen

Myndighetens interna styrning grundar sig i den strategiska inriktningen. Men myndigheten har inte brutit ner ambitionerna och prioriteringarna i mål som går att följa upp. Myndighetens uppföljning av resultat är inriktad på att följa upp prestationer utan att den är kopplad till några mål. Det gör det svårt att bedöma om myndigheten har använt sina resurser effektivt. Det medför också att det inte finns några tydliga ramar för chefer och medarbetare när det gäller hur verksamheten ska bedrivas och vilka aktiviteter som myndigheten ska prioritera. Vi uppfattar att myndighetens problem med att nå resultat inom flera av sina verksamhetsområden beror på att den interna styrningen inte fungerar tillräckligt bra.

Vi bedömer att dessa brister framför allt är en följd av hur Datainspektionen historiskt sett har styrt och följt upp verksamheten. Myndighetens verksamhet var under många år betydligt mindre än i dag. Flera av de vi har intervjuat säger att det är en förklaring till att det inte har funnits någon tydlig struktur för styrning och uppföljning.

Det är alltså först sedan ett par år tillbaka som myndigheten har påbörjat ett arbete för att utveckla den interna styrningen, bland annat genom den strategiska inriktningen, riskanalyser och utvecklingsprojekt.

Det finns risk att myndigheten inte är tillräckligt effektiv och tappar förtroende

Vi kan konstatera att Datainspektionen är väl medveten om myndighetens risker och utmaningar. Myndigheten gjorde under 2019 en omfattande riskanalys. ^[67] De som tog fram riskanalysen var chefer och medarbetare i gemensamma workshops. Vi har gått igenom analysen och bedömer att riskanalysen ger en bra grund för myndighetens utvecklingsarbete och verksamhetsplan.

Myndigheten har identifierat närmare sjuttio risker i den administrativa verksamheten, kärnverksamheten respektive den interna miljön. Särskilt allvarliga risker handlar dels om att digitaliseringsarbetet ännu inte har kommit igång, dels om att verksamheten som följer av kamerabevakningsuppdraget inte har haft tillräckliga ekonomiska resurser.

Andra risker myndigheten identifierat är bland annat en risk att de interna arbetsprocesserna och den interna informationsdelningen inte fungerar tillräckligt bra. Riskanalysen pekar också på att omvärldens förtroende för myndigheten kan minska om Datainspektionen inte lyckas ge stöd och vägledning i den utsträckning som deras målgrupper behöver.

Datainspektionen håller på att åtgärda riskerna genom att myndigheten har startat och driver omfattande utvecklingsarbeten inom olika områden. Det handlar om digitala utvecklingsprojekt men också kvalitetsutvecklingsprojekt och genom att ge mer resurser till utvalda områden.

Omfattande arbete för att utveckla verksamheten

För att anpassa verksamheten till sitt utökade uppdrag och sina nya förutsättningar har Datainspektionen inlett ett större utvecklingarbete för att höja kvaliteten på myndighetens verksamhet. Arbetet har resulterat i ett antal övergripande ambitioner och mål för huvudprocesserna tillsyn, klagomål och tips, personuppgiftsincidenter, dataskyddsombud samt för arbetet med en sammanhållen verksamhetsstyrning. Myndigheten har konkretiserat de övergripande ambitionerna i delambitioner. Även detta arbete sträcker sig fram till 2021, detsamma som för den strategiska inriktningen.^[68]

Vi konstaterar att utvecklingsarbetet täcker in flera centrala delar av verksamheten där myndigheten behöver öka effektiviteten. Exempelvis har myndigheten under våren 2020 lanserat en e-tjänst för arbetet med personuppgiftsincidenter. Ett annat exempel är den nyetablerade enheten för tillsynsprocess, som ska arbeta med att samlat se över tillsynsverksamheten.

Generaldirektören (GD) har även beslutat om ett stort antal så kallade GD-uppdrag. Uppdragen är bland annat en konsekvens av de behov som myndigheten har identifierat i riskanalysen, men de kan också vara en konsekvens av behov myndigheten identifierat i uppföljningen av verksamhet eller som är prioriterade i den årliga verksamhetsplanen. Till exempel har flera av uppdragen resulterat i rutiner, policys och styrdokument. Från maj 2018 till december 2019 har omkring 45 uppdrag avslutats.

Våra intervjuer med medarbetare visar att flera upplever att det inte alltid är tydligt vilka delar av utvecklingsarbetet som är som mest prioriterade. Det finns också en uppfattning bland medarbetare att ”allt är prioriterat”. Ett övergripande intryck från intervjuerna med medarbetare är också att många tycker att det är ”svårt att hänga med i alla förändringar”. Samtidigt är bilden från intervjuerna att medarbetarna tycker att utvecklingsarbetet är viktigt, och flera lyfter särskilt fram generaldirektören som en positiv kraft i utvecklingen.

Verksamhetsplan med prioriteringar men utan tydliga mål

I verksamhetsplanen för 2020 finns de sju strategiska utvecklingsområdena som kommer från den strategiska inriktningen från 2018.^[69] Områdena täcker i stort sett in hela verksamheten. Myndighetens utåtriktade arbete samt aktiviteter som fokuserar på arbetssätt och organisation är särskilt högt prioriterade både 2019 och 2020. Under 2020 ska myndigheten också arbeta med digitalisering, kompetensförsörjning, tillsyn, nationell och internationell samverkan och omvärldsanalys.

Verksamhetsplanen följs upp i ett särskilt forum

I verksamhetsplanen beskriver myndigheten hur den planerar att arbeta inom respektive område. Planen innehåller ambitioner och prioriteringar, men det finns inga tydliga mål som går att följa upp.

Vi konstaterar att myndigheten behöver utveckla verksamhetsplanen med mål som går att följa upp, tidplaner och resurser. Men enligt myndighetens ledning behöver uppföljningen av verksamhetsplanen vara integrerad i en samlad uppföljningsstruktur. Någon sådan finns ännu inte på plats, men myndigheten avser att under 2020 börja ta fram mål och indikatorer som ska anändas för att följa upp verksamheten. Vi återkommer till detta i avsnitt 4.8.

I dag följer ledningsgruppen upp verksamhetsplanen tre gånger per år, genom den så kallade fördjupade verksamhetsuppföljningen. Uppföljningen ska beskriva hur läget ser ut vid just det tillfället, identifiera områden som det går särskilt bra för, riskområden där myndigheten behöver genomföra åtgärder, samt områden där myndigheten måste styra på ett anat sätt.^[70] Verksamhetsuppföljningen ska också följa upp ledarskapsfrågor och hur ledningsgruppen kan utveckla sitt ledarskap.

Enligt flera av de chefer som vi har intervjuat har den fördjupade verksamhetsuppföljningen gett ledningsgruppen en bättre förståelse för myndighetens utmaningar och en bättre helhetssyn av dem. Samtidigt visar vår genomgång av minnesanteckningarna från uppföljningen att den inte är systematiskt relaterad till de ambitioner och prioriteringar som finns i verksamhetsplanen, utan att uppföljningen mer styrs av de behov myndigheten har för tillfället.

Ett sätt att göra verksamhetsplanering mer konkret är att bryta ner planen till verksamhetsplaner med aktiviteter för respektive enhet. Än så länge har enheterna inga egna verksamhetsplaner. Men det finns ett så kallat arbetsdokument på varje enhet. Chefer vi intervjuat säger att det är svårt att ta fram likvärdiga planer för varje enhet på grund av att enheterna arbetar på olika sätt.

Utmaningar i den interna styrningen

Vi konstaterar att Datainspektionen genom sin målbild, vision och strategiska inriktning har påbörjat ett viktigt arbete med att utveckla en mer sammanhållen styrning av myndigheten. Men vi har i analysen identifierat flera områden i den interna styrningen som hindrar myndigheten från att arbeta effektivt.

Myndigheten har inte prioriterat tillsynen tillräckligt

Enligt verksamhetsplanen för 2019 skulle myndigheten särskilt prioritera både tillsynen och det utåtriktade arbetet. Men Datainspektionen har ägnat betydligt mer tid åt utåtriktat arbete än åt tillsyn.

En orsak är att myndigheten har prioriterat att informera om det nya regelverket. Myndigheten har även lagt ner betydande resurser på EU-samarbetet, både när det gäller gränsöverskridande ärenden och det som myndigheten kallar policyskapande arbete.

Enligt dataskyddsförordningen är Datainspektionen skyldig att utföra en rad uppgifter, men myndigheten har utrymme att själv välja ambitonsnivå för arbetet. Vi bedömer att myndigheten har valt att ha en hög ambitionsnivå både i det utåtriktade arbetet och i delar av EU-arbetet. Detta har fått som konsekvens att det har funnits mindre resurser kvar för tillsyn. Myndigheten behöver framöver fundera på vilken ambitionsnivå som är rimlig för det utåtriktade arbetet och EU-samarbetet i förhållande till tillsynen.

Även i verksamhetsplanen för 2020 är både tillsyn och den utåtriktade verksamheten prioriterade områden. Det är för tidigt att se om myndigheten prioriterar tillsynen i praktiken 2020. Vi konstaterar att det på sikt behövs resultat från tillsynen för att Datainspektionen ska ha något att förmedla i det vägledande arbetet.

Myndigheten behöver bättre rutiner och processer

En stor del av Datainspektionens verksamhet består av någon typ av ärendehandläggning. I denna typ av arbete kan rutiner och styrdokument göra det lättare att arbeta effektivt, oavsett om det handlar om tillsyn, tillstånd, klagomål eller anmälningar. Även om det kan finnas en stor spännvidd mellan ärendena, till exempel hur komplexa de är, vore det bra om myndigheten skulle ha tydliga rutiner för vad som ska göras, av vem, när, inom vilken tidsram, till vilken kostnad och med vilken ambitionsnivå.

Vår bild utifrån intervjuer med chefer och medarbetare är att det ännu inte finns tillräckliga rutiner och styrdokument som stödjer medarbetarna i arbetet. Särskilt de som arbetar med tillsynsverksamheten har ett stort behov av bättre rutiner och processer. I dagsläget har myndigheten inga tydliga rutiner och riktlinjer för hur lång tid de olika aktiviteterna som ingår i ett tillsynsärende får ta. Vi uppfattar att det leder till att ärenden byggs på med fler utredningsinsatser än som var tänkt från början, vilket gör att processen tar längre tid än det var tänkt. Vi uppfattar också att det många gånger är kommunikationen med tillsynsobjekten som fördröjer tillsynsprocessen. Myndigheten arbetar nu för att effektivisera tillsynsprocessen.

Arbetet med att förbättra rutiner och processer försvåras av att det inte finns något intranät där myndigheten kan lägga ut information och styrdokument. Flera medarbetare vi intervjuat konstaterar att det kan vara svårt att veta vem de ska fråga och var de ska leta efter information.

Vi har en positiv bild från intervjuerna att det finns en kultur på myndigheten att de anställda vill hjälpa varandra, och att det är enkelt och naturligt att vända sig till sina mer seniora kollegor. Men i ett läge med många nya medarbetare, där det saknas vissa styrdokument och utan intranät blir ansvaret stort för de medarbetare som har varit med ett tag.

Inte tydligt för medarbetarna hur de ska prioritera mellan olika uppgifter

Både medarbetare i den operativa verksamheten och företrädare för HR-funktionen påpekar i våra intervjuer att arbetsbelastningen på myndigheten är hög.

Medarbetarna upplever att det är svårt att prioritera mellan alla arbetsuppgifter och att det finns en känsla av att aldrig hinna ikapp. Det framgår av fokusgrupperna. Särskilt de medarbetare som arbetar med tillsyn säger att de ofta får ta hand om oförutsedda arbetsuppgifter, till exempel mediakontakter, vilket gör att den egna planeringen blir förskjuten. En annan synpunkt från dessa medarbetare är att enhetscheferna är hårt belastade, och att det därför inte alltid finns tid för avstämningar och dialog.

Det finns en ambition att delegera enklare frågor

En annan faktor som påverkar myndighetens förmåga att arbeta effektivt, framför allt i tillsynsverksamheten, är att chefsnivån i princip fattar alla beslut. Besluten kan därför dra ut på tiden.

Myndigheten har ambitionen att i högre utsträckning än i dag delegera vissa beslut till medarbetare. Tanken är att enklare frågor ska kunna beslutas på lägre nivå, och att det ska kunna öka effektiviteten i tillsyns- och tillståndsverksamheten. Myndigheten arbetar med att uppdatera hur den delegerar beslut, och räknar med att vara färdig med det före sommaren 2020. Myndigheten har redan infört att medarbetare får fatta beslut om tillstånd för kamerabevakning.

Vi ser det som ett viktigt utvecklingsområde att delegera fler frågor. Myndigheten behöver överlag hitta former för att snabbare och enklare fatta beslut (se även kapitel 3).

Myndigheten har skapat nya stödfunktioner men väntat med en större omorganisation

Den operativa verksamheten i Datainspektionen är i princip likadant organiserad som när myndigheten var betydligt mindre, trots att antalet medarbetare har ökat kraftigt under de senaste två åren och ett antal nya arbetsuppgifter har tillkommit.

Vi uppfattar att myndigheten har identifierat att den nuvarande organisationsstrukturen i vissa delar skulle behöva ses över. Det gäller särskilt enheterna i den operativa verksamheten. Men enligt chefer som vi har intervjuat är det i dagsläget inte prioriterat att omorganisera verksamheten. Det beror på att verksamheten i övrigt genomgår så stora förändringar. Myndigheten bedömer att de behöver landa i de nya förutsättningarna innan det blir aktuellt med en större omorganisation.

Myndigheten har infört vissa nya funktioner i den befintliga organisationen, till exempel funktionsansvariga och koordinatorer för olika processer och sakområden. De har också skapat nya enheter för kommunikation och utåtriktad verksamhet, informationssäkerhet och tillsynsprocess, en stab och ett EU-sekretariat. De administrativa funktionerna har också utökats.

Några av de medarbetare som vi har intervjuat säger att den nuvarande organisationsstrukturen behöver ses över, i synnerhet när det gäller enheterna inom den operativa verksamheten. De intervjuade säger bland annat att enheterna i takt med att antalet medarbetare har ökat har blivit alltför stora, vilket gör det svårt för enhetscheferna att vara lika närvarande och tillgänglig för alla. Samtidigt förstår medarbetarna varför myndigheten ännu inte har prioriterat en översyn av organisationen.

Ovanligt att omfördela resurser internt

Vår bild från intervjuerna med chefer och medarbetare är att personal sällan flyttar mellan enheterna, till exempel för att förstärka verksamheter med hög arbetsbelastning. Enligt myndighetsledningen finns i dagsläget inga former för att omfördela resurser på ett strukturerat sätt. En förklaring som ges i intervjuerna är att de olika sakområdena ställer olika krav på medarbetarnas kompetens. Men myndigheten kommer se över hur den kan utnyttja den interna kompetensen mer flexibelt. Bland annat kommer medarbetare i upplysningstjänsten under en tid arbeta på en av de operativa enheterna. Myndigheten kommer också göra kravprofilerna som används i rekryteringsprocessen mer enhetliga för att skapa bättre förutsättningar att föra över kompetens mellan enheterna.

Datainspektionen bedömer att de långa handläggningstiderna för kameratillstånd innebär en mycket hög risk att förtroendet för myndigheten skadas. Trots att riskanalysen pekar på denna stora risk har Datainspektionen bara i begränsad utsträckning flyttat över resurser (personal) från andra enheter. Datainspektionen får under 2020 utökade resurser för att handlägga tillstånd för kamerabevakning. Det bör innebära att handläggningstiderna för kameratillstånd kommer att minska.

Hög andel personalkostnader

En viktig fråga i den interna styrningen är hur myndigheten använder de tillgängliga resurserna. I kapitel 3 redovisar vi hur myndigheten fördelar tiden på olika verksamhetsgrenar. I tabell 6 redovisar vi hur Datainpektionen fördelar sina kostnader på personal, lokaler och övriga driftskostnader. Personalkostnader är den klart största kostnadsposten och uppgick 2019 till drygt 76 miljoner kronor (tabell 6).

Tabell 6. Datainspektionens kostnader 2015–2019 (miljoner kronor).

Källa: Datainspektionens årsredovisningar 2015–2019 samt uppgifter från myndighetens interna uppföljning.

Not: I kolumnen ”Övrig drift” ingår alla övriga kostnader som inte kan hänföras till personal- eller lokalkostnader.

Datainspektionen lägger en större andel av sina resurser på personal än jämförbara myndigheter. Genomsnittet för medelsmå myndigheter (31–100 årsarbetskrafter) 2016 var 63 procent, jämfört med 71 procent för Datainspektionen.^[71]

Företrädare för myndigheten säger i intervjuer och i årsredovisningen att man hoppas kunna sänka andelen av resurserna som går till personalkostnader, genom att satsa på att effektivisera verksamheten och genom digitalisering. Men det syns inte i det senaste budgetunderlaget till regeringen, där myndigheten begär nästan 19 miljoner kronor för att kunna utöka verksamheten med 14,5 årsarbetskrafter.

Ökade kostnader för konsulter och it

Myndighetens övriga driftskostnader har har samtidigt procentuellt ökat snabbare än personalkostnaderna. Det beror delvis på att myndigheten har använt konsulter som stöd i arbetet med att utveckla verksamheten. Konsulter har till exempel hjälpt myndigheten med att ta fram visionen, strategin och verksamhetsplanen. Myndigheten räknar med att kostnaden för konsulter minskar framöver.

En annan förklaring till att de övriga driftskostnaderna har ökat är de ökade utgifterna för it, från cirka 2 miljoner kronor år 2016 till drygt 8 miljoner kronor under 2019.

Personer i myndigheten vi intervjuat beskriver it-utvecklingen som särskilt kostsam. Det finns två skäl till detta:

• Myndigheten har nyligen börjat digitalisera verksamheten och har stora utvecklingsbehov på området.
• De krav myndigheten ställer på säkerhet och på att dataskyddsförordningen ska följas kräver speciallösningar.

Myndigheten räknar även fortsättningsvis med att behöva göra stora investeringar i it. För att frigöra medel till it-utvecklingen bedömer myndigheten att lönekostnadernas andel av budgeten behöver minska kommande år.^[72]

Jämförelsevis låga lokalkostnader

Datainspektionens lokaler ligger i centrala Stockholm. Under de senaste åren har antalet anställda fördubblats, men man har stannat kvar i samma lokaler. 2018 övergick myndigheten till en aktivitetsbaserad kontorsmiljö. Lokalkostnadernas andel av de totala kostnaderna har med åren blivit lägre på grund av denna anpassning (tabell 6). Ett antal ombyggnader har också varit nödvändiga för att utnyttja ytan effektivt.

Datainspektionens lokalkostnader per årsarbetskraft var drygt 94 000 kronor 2019. Det är lägre än genomsnittet för medelsmå myndigheter (30–100 anställda), där lokalkostnader per årsarbetskraft var 139 000 kronor år 2016. ^[73] En viktig förklaring till detta är sannolikt att lokalytan per årsarbetskraft är låg hos Datainspektionen. Det beror dels på att myndigheten har valt att utnyttja en liten yta effektivt för att få stanna kvar i centralt läge, dels att myndigheten bedömt att den inte kunnat flytta med tanke på den omfattande omställningen myndigheten har genomgått senaste åren. Vi uppfattar från våra intervjuer att många uppskattar detta beslut.

Datainspektionen har i tidigare budgetunderlag påpekat att myndigheten sannolikt behöver nya lokaler senast 2022, vilket skulle öka kostnaderna.^[74] Men i det senaste budgetunderlaget tar inte myndigheten upp frågan om den i framtiden behöver nya lokaler och vad de skulle kosta, trots att myndigheten begär medel för att anställa ytterligare 14,5 årsarbetskrafter.

Myndigheten behöver utveckla den ekonomiska styrningen

Datainspektionen anser att uppdraget är mer omfattande än de resurser myndigheten har till sitt förfogande. Myndigheten har därför begärt högre anslag. Men för en myndighet med som anser sig ha otillräckliga resurser blir det också extra viktigt att ha en tydlig styrning och uppföljning av den egna ekonomin.

Men vi konstaterar att myndigheten skulle kunna bli bättre på att styra och följa upp den egna ekonomin:

• I myndighetens verksamhetsplan finns ambitioner och prioriteringar, men det framgår inte vilka resurser som behövs för dessa. Personer vi har intervjuat säger att myndighetsledningen är medveten om att myndigheten skulle kunna göra mer för att knyta verksamhetsplaneringen tydligare till budgetprocessen.
• Myndigheten följer upp ekonomin regelbundet på ledningsgruppsnivå, men ledningen saknar i dag en löpande uppföljning av hur medarbetarna använder sin tid. Myndigheten följer bara i begränsad utsträckning upp utvecklingsprojektens ekonomiska utfall, och har inte satt upp riktlinjer för vad handläggningen av olika ärenden ska kosta.
• Myndigheten saknar i stor utsträckning mått på kostnadseffektivitet. Det vore också bra om myndigheten tydligare relaterade prestationerna till de använda resurserna, till exempel genom att följa upp kostnaderna för ett tillsynsärende över tid.

Myndigheten behöver utveckla resultatuppföljningen

Datainspektionens resultatuppföljning är i huvudsak inriktad på prestationer. Prestationer är ett vanligt sätt att redovisa resultat, men om möjligt bör myndigheter även resonera kring effekter – vad prestationerna har lett till.

Effekter kan vara svåra att mäta. Därför kan man istället behöva mäta förändringar hos målgrupperna eller i samhället som alternativ till effekter.^[75] Datainspektionen har i en rapport beskrivit medborgarnas kunskap och attityder när det gäller integritet och dataskydd. Rapporten beskriver också hur långt olika privata och offentliga verksamheter har kommit i sitt dataskyddsarbete. Den här typen av effekter är ett sätt att resonera kring effekterna av Datainspektionens arbete.^[76]

I rutan finns ett urval av prestationerna som myndigheten redovisar i årsredovisningen för 2019.

• Antal avslutade tillsynsärenden fördelade på ärenden som rör dataskyddsförordningen, brottsdatalagen, kamerabevakning, inkassoverksamhet och kreditupplysning.
• Antal förebyggande och korrigerande åtgärder enligt brottsdatalagen och dataskyddsförordningen.
• Antal avslutade ansökningarför kameratillstånd samt uppgiftsbehandling tredjelandsöverföring.
• Ackumulerade ärendebalanser för ärenden som rör kameratillstånd, klagomål, personuppgiftsincidenter och dataskyddsombud.
• Avslutade förhandssamråd enligt dataskyddsförordningen och brottsdatalagen.
• Antal avslutade ärenden som rör klagomål dataskyddsförordningen och brottsdatalagen, uppförandekoder, personuppgiftsincidenter, begäran om laglighetskontroller, dataskyddsombud, kvalificerade frågor och frågor i upplysningstjänsten.
• Datainspektionens deltagande i EU-samarbetet: antal operativa ärenden, möten och vägledningar där myndigheten är rapportör.
• Antal besvarade remisser.
• Antal arrangerade konferenser, seminarier, utbildningar och föreläsningar.
• Antal besökare på webbplatsen.
• Antal och andel besvarade telefonsamtal i upplysningstjänsten.

Uppföljningen bör innehålla resultat i förhållande till uppställda mål

Datainspektionen behöver formulera mål för vilka resultat myndigheten vill uppnå och sedan knyta resultatindikatorer till dem. Prestationerna är en grund för att ta fram resultatindikatorer. Utgångspunkten finns i den strategiska inriktningen, men myndigheten behöver konkretisera målen för verksamheten.

Myndigheten har inom ramen för arbetet med att ta fram en mer sammanhållen styrning börjat att utveckla ett system för uppföljning. Ambitionen är att från och med 2021 börja mäta och följa upp resultat på ett bättre sätt än i dag. Myndighetens ledning framhåller i intervjuer att det inte har varit meningsfullt att fastställa kvantitativa mål för verksamheten så länge myndigheten varit i en omställningsfas.

Myndigheten har inte gjort några undersökningar med fokus på hur olika målgrupper ser på myndighetens tillgänglighet, service och kvalitet, till exempel de som ansöker om kameratillstånd eller är föremål för tillsyn. Den nationella integritetsrapporten berör dessa frågor, men tyngdpunkten ligger på medborgares och företags syn på dataskyddsreformen.^[77] Datainspektionen följer också upp kvaliteten genom att låta deltagare på utbildningar och konferenser fylla i utvärderingar. ^[78] Under våren 2020 planerar myndigheten att genomföra en utvärdering av de svar på mejl som upplysningstjänsten ger. Utifrån stickprov ska myndigheten bland annat bedöma den juridiska och kommunikativa kvaliteten på svaren.

Det är särskilt viktigt för en ärendetung myndighet att ha bra indikatorer

Det är positivt att Datainspektionen tar ett samlat grepp om uppföljningen. Vi kan konstatera att myndigheten särskilt behöver ta fasta på att identifiera lämpliga indikatorer för att mäta effektivitet och kvalitet. Ekonomistyrningsverket (ESV) har tagit fram exempel på lämpliga resultatindikatorer för myndigheter som handlägger många ärenden. ^[79] Indikatorerna bör vara knutna till uppställda mål. Vi bedömer att Datainspektionen särskilt bör utveckla indikatorer för kameratillståndsärendena, exempelvis genom att följa upp genomloppstiden per ärende och hur de som ansöker om tillstånd för kamerabevakning uppfattar Datainspektionens handläggningsprocess.

ESV ger även myndigheterna rekommendationer i hur de kan bedöma verksamhetens kvalitet. Datainspektionen har i dag inte något system för att följa upp den rättsliga kvaliteten i sina tillsyns- och tillståndsbeslut, till exempel andel korrekta beslut.

Myndighetens digitalisering har börjat från en låg nivå

Datainspektionen har identifierat digitalisering som ett centralt utvecklingsområde för att myndigheten ska kunna arbeta mer effektivt. En del av myndighetens strategiska inriktning handlar om att utveckla den digitala miljön, både externt i form e-tjänster och en ny webbplats och internt i form av it-stöd. Vi delar myndighetens uppfattning att it och digitalisering är ett eftersatt område som myndigheten behöver utveckla. Myndighetens behov av effektiva it-stöd har också ökat i och med myndighetens expansion de senaste åren.

Vi menar att myndigheten har mycket kvar att göra när det gäller att tillhandahålla digitala verktyg och att utveckla e-tjänster. Detta är ett utvecklingsarbete som kommer att kräva stora investeringar framöver. Vi bedömer att det finns flera orsaker till att Datainspektionen ligger efter när det gäller it och digitalisering. En viktig förklaring är att styrningen av it-verksamheten är outvecklad. Vi kan också konstatera att myndigheten ställer mycket höga krav på sina it-lösningar. Dessa faktorer har hämmat it-utvecklingen.

Flera grundläggande digitala verktyg saknas

Myndigheten är bara i början av att utveckla en mer digitaliserad verksamhet. Först i januari 2018 gick myndigheten över till ett digitalt ärendehanteringssystem för att handlägga ärenden. Innan dess var handläggningen manuell. Systemet har underlättat hanteringen av ärenden, men är inte utformat för att vara ett stöd för att följa upp och analysera verksamheten.

Datainspektionen saknar fortfarande vissa andra grundläggande digitala system. Till exempel saknar myndigheten ett intranät, trots att behoven av en effektiv intern kommunikation har ökat i takt med att myndigheten växer. Registraturen och utlämnandet av allmänna handlingar sker helt manuellt. Myndigheten saknar även ett it-stöd för att rekrytera personal.

Datainspektionen tog den första e-tjänsten i drift i mars 2020. Denna tjänst gör att myndighetens målgrupper kan rapportera personuppgiftsincidenter via Datainspektionens webbplats. Tidigare fick anmälarna använda pappersblanketter, vilket gjorde handläggningen långsam. Myndigheten hade planerat att ta tjänsten i drift våren 2018, men sköt upp det flera gånger på grund av bland annat brister i tjänstens säkerhet.

Myndigheten planerar även att införa en e-tjänst för att anmäla klagomål. Den e-tjänsten kommer att tas i drift under 2020. Att myndigheten inte gör det tidigare beror på att myndigheten behöver prioritera om resurserna till förberedelserna inför att myndigheter byter namn i januari 2021.

Myndigheten bör förbättra styrningen av it-verksamheten

Huvudförklaringen till bristerna på it-området är att Datainspektionen tidigare har gjort andra prioriteringar och först nyligen har börjat digitalisera arbetet. Samtidigt har det utvecklingsarbete myndigheten inlett gått trögt, och flera projekt har drabbats av förseningar.

Vår bild utifrån intervjuer med personer på myndigheten är att det finns övergripande utmaningar i hur myndigheten prioriterar och styr den digitala utvecklingen. Myndighetens it-verksamhet har tidigare varit underbemannad. Medarbetare som vi har intervjuat beskriver att myndigheten inte har haft någon projektmodell, och projekt har startat utan att det funnits vare sig budget eller tidsplan, eller en beskrivning av vilka nyttor projektet ska uppnå. Vi uppfattar också att myndigheten inte följt upp it-projekten i tillräcklig omfattning. Men sedan början av 2020 har myndigheten en projektmodell, som bland annat ska användas vid större it-projekt.

Några av de vi har intervjuat säger också att myndighetens organisation för it-frågor är otydlig. De intervjuade menar bland annat att det är oklart vem som fattar beslut i it-frågor och att vissa frågor utreds onödigt grundligt och länge. En annan synpunkt som intervjuade har framfört är att den it-kompetens som finns på myndigheten inte utnyttjats fullt ut, och att ledningsgruppen inte har tillräcklig kompetens om it-utveckling.

Myndigheten ställer höga säkerhetskrav på it-verktygen

En annan förklaring till varför digitaliseringen vid myndigheten tar tid är de höga säkerhetskrav myndigheten ställer på it-lösningar. Det finns i en genomgående uppfattning om att Datainspektionen behöver vara särskilt noggranna med att it-verktygen lever upp till kraven i dataskyddsförordningen. Datainspektionen vill vara ett föredöme i it-säkerhet gentemot andra myndigheter. Flera av de vi har intervjuat påpekar att de höga kraven hindrar myndigheten från att arbeta effektivt.

Detta har bland annat lett till att Datainspektionen i stor utsträckning undviker molntjänster, som numera är inbyggda i många system, till exempel it-stöd för rekrytering. Därmed har myndigheten valt bort standardprogram som andra myndigheter använder. Myndigheten har därför behövt utveckla egna speciallösningar, något som är både kostsamt och tidskrävande.

Kompetensförsörjning och arbetsmiljö viktiga områden framöver

Datainspektionen har i sin strategiska inriktning pekat ut att det är avgörande för myndigheten att den har engagerade och kvalificerade medarbetare.^[80] Under 2020 kommer myndigheten att ta fram en strategi för sin framtida kompetensförsörjning.^[81] Strategin ska bland annat ge myndigheten stöd i att prioritera vid framtida rekryteringar. Myndigheten planerar att arbeta vidare med att utveckla ledarskap och medarbetar-skap.^[82]

Trivseln på myndigheten är god

Den övergripande bilden från medarbetare som vi har intervjuat är att stämningen och trivseln på myndigheten är god, även om flera medarbetare påpekar att arbetsbelastningen i perioder är hög. Både från chefer och medarbetare har vi också fått bilden att förtroendet för generaldirektören är högt.

Många av de som arbetar på Datainspektionen har arbetat en förhållandevis kort tid där. Men vi uppfattar att det bland medarbetarna finns en positiv anda av att hjälpa och stötta varandra i olika frågor. Några av medarbetarna säger att kollegorna är den viktigaste källan till stöd och rådgivning. Samtidigt säger flera medarbetare att det är ett resultat av att det i stor utsträckning saknas digitala plattformar för att samla stöd och information. Så även om det är positivt att kollegor ger varandra stöd, så är det egentligen även ett tecken på att de anställda saknar bra digitala stöd.

Utmaning för myndigheten att växa så snabbt

Datainspektionen har sedan 2014 nästan dubblerat sin personalstyrka, från 50 till närmare 100 personer (tabell 7). Den omfattande rekryteringen har varit utmanande för myndigheten. Myndigheten har kontinuerligt behövt utveckla rutiner och arbetssätt på grund av ny lagstiftning på flera områden. Samtidigt säger medarbetarna att de förstår de ändrade förutsättningarna och att det inte funnits utrymme eller tid att ta fram en ny struktur för myndigheten.

Tabell 7. Uppgifter om personal 2014–2019.

Källa: Datainspektionens årsredovisningar 2014–2019, uppgifter från Arbetsgivarverket samt uppgifter från lönesystemet Palasso.

Myndigheten väntar med att göra en medarbetarundersökning

Vi kan konstatera att Datainspektionen inte har genomfört någon med-arbetarundersökning på över fem år. Myndigheten menar att det inte har varit meningsfullt att göra en sådan typ av mätning på grund av alla förändringar. Myndigheten kommer heller inte att göra det under året, enligt verksamhetsplanen för 2020. Men vi uppfattar att HR-funktionen har fått i uppdrag att se över hur myndigheten skulle kunna genomföra en sådan undersökning.

Det finns inga tydliga tecken på allvarliga problem i arbetsmiljön. Sjuk-frånvaron är också låg i förhållande till genomsnittet bland statligt anställda (3,1 procent jämfört med 3,8 procent).^[83] Men myndigheten har många nya medarbetare och har samtidigt varit under ett hårt tryck i och med det höga ärendeinflödet. Dessa faktorer är en risk för medarbetarnas arbetsmiljö och välmående, vilket sin tur motiverar att på sikt genomföra regelbundna medarbetarundersökningar.

Lätt att rekrytera men kompetensen är eftertraktad

Datainspektionen har under 2018 och 2019 rekryterat nära 75 nya medarbetare. Vi uppfattar inte att det har varit svårt för myndigheten att rekrytera rätt kompetens. De flesta av de anställda är jurister, och många av dem är relativt nyutexaminerade eller har inte tidigare arbetat med dataskyddsfrågor.

Under 2018 och 2019 har 34 medarbetare lämnat myndigheten. I samband med att dataskyddsförordningen började gälla valde många anställda att börja arbeta inom den privata sektorn. Myndigheten upplever att det finns en stor efterfrågan från andra arbetsgivare på dataskyddskompetens. Datainspektionen har svårt att lönemässigt konkurrera med privata arbetsgivare och andra offentliga verksamheter, vilket kan vara ett problem för myndigheten.

Fokusgruppsintervjuerna visar också att det tar lång tid att rekrytera nya medarbetare, till exempel när någon behöver bli ersatt på grund av föräldraledighet, eller när myndigheten har fått mer resurser.

Ansvaret för tillsyn av inkasso

Enligt uppdraget ska vi belysa hur Datainspektionen kan arbeta med de delar av verksamheten som inte är knutna till frågor som gäller enskildas personliga integritet och hur myndigheten bör hantera dessa frågor framöver. Vi uppfattar att detta avser myndighetens uppdrag som hör samman med inkassolagen. I detta kapitel redogör vi för de svårigheter som beror på att Datainspektionen och Finansinspektionen delar på tillsynsansvaret enligt inkassolagen.

Sammanfattande iakttagelser

• Datainspektionen är ansvarig för tillsyn och tillstånd enligt inkassolagen. De ska också följa utvecklingen inom inkassoområdet och utarbeta allmänna råd till inkassoverksamheter. Myndigheten delar i praktiken ansvaret för tillsynen av inkasso med Finansinspektionen. Både Datainspektionen och Finansinspektionen bedriver tillsyn endast i mycket liten omfattning.
• Det delade ansvaret försämrar förutsättningarna att uppnå likvärdighet i rättstillämpningen och kräver att samverkan mellan myndigheterna fungerar.
• Datainspektionen anser att uppgifterna enligt inkassolagen faller utanför myndighetens kärnuppdrag. Myndigheten anser inte att de kan dra någon nytta av uppdraget i sin övriga verksamhet.
• Datainspektionen har föreslagit Finansinspektionen som en möjlig myndighet att ta över Datainspektionens uppgifter enligt inkassolagen. Men Finansinspektionen anser liksom Datainspektionen att dessa uppgifter avviker från deras huvudsakliga uppdrag, och är därför negativ till att ta över ansvaret.

Ett delat tillsynsansvar

Datainspektionen är den ansvariga tillsynsmyndigheten enligt inkassolagen (1974:182). I lagen framgår även i 13 § att företag behöver tillstånd från Datainspektionen för att få bedriva inkasso. Datainspektionen ska genom sin tillsyns- och tillståndsverksamhet se till att aktörerna iakttar god sed när de bedriver inkasso. Myndigheten har haft detta tillsyns- och tillståndsuppdrag sedan 1974.

Ansvaret för tillsyn delas i praktiken med Finansinspektionen. Finansinspektionen ansvarar för tillsyn av den inkassoverksamhet som bedrivs inom ramen för en annan verksamhet, till exempel ett kreditinstitut. Finansinspektionen prövar till skillnad från Datainspektionen inte tillstånd för inkassoverksamhet. Det betyder i praktiken att exempelvis en bank som redan har Finansinspektionens tillstånd att bedriva bankverksamhet automatiskt hamnar under Finansinspektionens tillsynsansvar om banken också börjar bedriva inkassoverksamhet.

Datainspektionens tillsyn omfattar i dag cirka 200 företag som har tillstånd att bedriva inkassoverksamhet.^[84] Denna tillsyn kompletteras av Finansinspektionens tillsyn över ett tiotal aktörer som bedriver inkassoverksamhet inom ramen för tillståndet att bedriva bank- och finansieringsrörelse samt ytterligare några aktörer med verksamhetstillstånd.^[85]

Myndigheterna bedriver tillsyn i liten omfattning

Datainspektionens tillsyn av inkasso har de senaste åren minskat och omfattningen är numer blygsam. Under 2019 lade myndigheten ner drygt två procent av myndighetens resurser på tillsyn av inkasso.^[86] I dagsläget arbetar fem handläggare på vardera 20 procent av sin arbetstid med inkasso.^[87] Datainspektionen förklarar att de har minskat resurserna för tillsynen för att de har prioriterat insatser inom ramen för dataskyddsförordningen.^[88] Enligt myndighetens tillsynsplan för 2019–2020 ska tillsynen i första hand riktas mot inkassoverksamheter med ärenden som omfattar många gäldenärer.^[89] Men det framgår inte av tillsynsplanen hur mycket resurser som myndigheten planerar att ägna åt inkassouppgiften. Under 2019 avslutade Datainspektionen tre tillsynsärenden av inkassoverksamheter.

Myndigheten uppger i intervjuer med oss att de behöver lägga mer resurser på detta uppdrag och bland annat se över de allmänna råden som gäller för inkasso. De allmänna råden sågs senast över 2011.^[90]

Även Finansinspektionen verkar utföra tillsyn av inkasso i mycket liten omfattning. Varken vår intervju med Finansinspektionen eller myndighetens årsredovisning för 2019 visar att myndigheten under året har utfört några tillsynsaktiviteter av inkasso. I årsredovisningen finns ingen särredovisning av nedlagd tid eller uppgifter om fattade beslut för inkasso. Tillsyn över inkassoverksamhet finns inte heller med i Finansinspektionens aktuella tillsynsstrategi, som ska vara grunden i myndighetens riskbaserade tillsyn.^[91] Finansinspektionen säger i intervju med oss att de i sin riskidentifieringsprocess har bedömt att de inte särskilt ska prioritera tillsyn över inkassoverksamheten. Men myndigheten har preliminärt planerat att genomföra en tillsynsaktivitet under 2020.

Utmaningar med ett delat tillsynsansvar

Det delade ansvaret medför enligt Datainspektionen flera svårigheter. Uppdelningen gör det enligt myndigheten svårt att utveckla en enhetlig praxis för området och att utarbeta allmänna råd om vad som är god sed i inkassoverksamhet.

Datainspektionen bedömer att även rättstillämpningen skiljer sig åt mellan myndigheterna, vilket kan påverka tillsynsobjekten.^[92] En utredning från 2016 om tillsynen över den personliga integriteten bekräftar Datainspektionens bild. Utredningen för fram att uppdelningen skapar otydligheter också för tillsynsobjekten, det vill säga inkassobolagen.^[93]

Inget formellt krav på samverkan

Utöver kravet på samverkan mellan alla myndigheter i 8 § förvaltningslagen finns inga instruktionsenliga krav på att Datainspektionen och Finansinspektionen ska samråda i frågor som gäller det delade tillsynsansvaret. Motsvarande krav finns för andra myndigheter med delat tillsynsansvar, till exempel mellan Konsumentverket och Finansinspektionen.^[94] Statskontoret har tidigare konstaterat att svårigheten att utbyta information kan vara ett hinder för att myndigheter som delar på ett tillsynsansvar ska kunna genomföra en ändamålsenlig tillsyn.^[95] Ett delat ansvar ställer därför höga krav på att samverkan fungerar mellan myndigheterna.

Datainspektionen och Finansinspektionen har en kontinuerlig dialog med möten varje halvår. Under träffarna utbyter myndigheterna erfarenheter kring frågor som gäller inkassoområdet, men även andra frågor. Därutöver träffades myndigheterna i januari 2020 på ett möte som Finansinspektionen initierade. Då utbytte de erfarenheter från tillsynsverksamheten.

Vi har svårt att bedöma om denna samverkan ger myndigheterna tillräckligt med information för att utföra sina respektive uppdrag på ett bra sätt. Men Datainspektionen säger att det är svårt att få inblick i hur mycket resurser Finansinspektionen lägger på tillsyn av de bolag som ligger under myndighetens ansvar.

Datainspektionen vill att uppdraget flyttas till en annan myndighet

Datainspektionen anser att tillsynen av inkasso faller utanför deras grundläggande uppdrag att skydda människors integritet vid personuppgiftsbehandling. Inkassoverksamhet gäller andra frågor än de som omfattas av myndighetens kärnverksamhet och kräver en annan typ av kompetens. Det kräver enligt myndigheten också stora resurser för att på ett bra sätt kunna följa utvecklingen inom inkassobranschen och bidra till att inkassoföretagen upprätthåller god sed i sin verksamhet. Myndigheten har under de senaste åren inte prioriterat att lägga resurser på inkassouppdraget.

Datainspektionen anser inte att de i någon större utsträckning kan dra nytta av inkassouppdraget i övriga delar av verksamheten, till exempel genom lärande eller erfarenhetsutbyte. Resurserna som läggs på uppdraget ger enligt myndigheten inga stordriftsfördelar utan måste hanteras separat.

Datainspektionen anser att de skulle kunna hantera andra uppgifter mer effektivt om tillsynen för inkasso flyttades och myndighetens uppdrag blev mer renodlat. Datainspektionen har därför föreslagit att regeringen ska föra över ansvaret för tillsyn och tillståndsprövning för inkasso till en annan myndighet, i första hand Finansinspektionen.^[96]

Finansinspektionen är negativ till att ta över Datainspektionens uppgifter

Finansinspektionen har redan ansvar för viss tillsyn av inkasso. Finansinspektionens tillsyn för inkasso omfattar företag som redan har tillstånd hos myndigheten men som även vill bedriva inkasso. Vi kan utifrån intervjuer med Finansinspektionen konstatera att myndigheten anser att det skulle vara svårt att ta över tillsynsansvaret från Datainspektionen.

Allmänt gäller att Finansinspektionen enligt sin instruktion ansvarar för den tillsyn, regelgivning och tillståndsprövning som rör finansiella marknader och finansiella företag.^[97] Men Finansinspektionen anser att tillsynen för inkasso avviker från myndighetens huvudsakliga uppdrag. De argument som myndigheten för fram mot ett tillsynsansvar är att uppgiften skulle göra deras uppdrag mer diversifierat och kräva en annan typ av kompetens än den som finns på myndigheten.

Myndigheten bedömer att många av de inkassobolag som står under Datainspektionens tillsynsansvar är små verksamheter som inte har någon koppling till finansbranschen. Om det samlade tillsynsansvaret förs över till Finansinspektionen skulle det enligt myndigheten kräva stora resurser och tid för att bygga upp tillräcklig kompetens om den bransch och de bolag som i dag ligger under Datainspektionens tillsynsansvar.

Slutsatser och rekommendationer

I detta kapitel redovisar Statskontoret en samlad bedömning av myndighetens resultat och vilka utmaningar som Datainspektionen står inför framöver. Vi lämnar också rekommendationer till Datainspektionen och till regeringen.

Datainspektionen – en myndighet under omställning

Datainspektionen har i och med att dataskyddsförordningen började gälla den 25 maj 2018 genomgått en stor omställning. Myndigheten har fått nya uppgifter och befogenheter och en omfattande skyldighet att samarbeta med andra tillsynsmyndigheter inom EU. Som en följd av dataskyddsförordningen har myndigheten fått hantera nya typer av ärenden, till exempel anmälningar om personuppgiftsincidenter och registrering av dataskyddsombud. Myndigheten har också fått nya uppgifter som hör till kamerabevakningslagen. På relativt kort tid har myndigheten fått mer än dubbelt så stort anslag och även fördubblat sin personalstyrka.

Myndigheten behöver visa bättre resultat framöver

Omställningen har gjort det svårare för Datainspektionen att nå goda resultat. Myndigheten har behövt fokusera på att hantera många förändringar i lagstiftningen och nya förutsättningar. Men det finns också vissa brister i den interna styrningen som har försvårat för myndigheten att uppnå goda resultat.

Det är tydligt att Datainspektionens resultat framöver behöver bli bättre på flera områden. Det tar lång tid att handlägga ärenden. Det gäller i synnerhet tillsynen på dataskyddsområdet och i tillståndsprövningen för kamerabevakning. Myndigheten har också haft problem med kapaciteten i upplysningstjänsten. En stor andel av de som kontaktar Datainspektionen via telefon har inte kommit fram.

Samtidigt visar vår analys att Datainspektionen når bättre resultat inom vissa områden. Myndigheten har till exempel klarat att handlägga klago-mål utifrån bestämmelserna i dataskyddsförordningen inom tidsfristen (tre månader), trots att antalet ärenden har ökat kraftigt. Myndigheten har också ökat takten i tillståndsprövningen för kamerabevakning under de första månaderna 2020. Datainspektionen har också prioriterat att ge information och vägledning till de stora grupper i samhället som berörs av dataskyddsförordningen. Det är svårt att bedöma genomslaget för myndighetens utåtriktade arbete, men det är tydligt att myndighetens målgrupper har haft ett stort behov av information och stöd.

Regeringen har höjt Datainspektionens anslag från knappt 50 miljoner kronor 2016 till 110 miljoner kronor 2020. Enligt regeringens vårändringsbudget kommer myndigheten få ytterligare tio miljoner kronor under 2020. Myndighetens nya uppgifter och befogenheter har motiverat ökade resurser, men framöver bör myndigheten kunna visa att de ökade resurserna får tydligare genomslag i resultaten i alla delar av verksamheten. Det gäller särskilt tillsynen enligt dataskyddsförordningen.

Vi vill också framhålla det faktum att regeringen i och med kravet på oberoende i dataskyddsförordningen har begränsade möjligheter att styra Datainspektionens prioriteringar. Det ställer höga krav på Datainspektionen att bedriva och redovisa en effektiv verksamhet.

Myndigheten på väg att utveckla verksamheten

Datainspektionen bedriver ett omfattande arbete för att utveckla verksamheten. De har till exempel lagt en grund för att utveckla en mer sammanhållen styrning och hittat former för att upptäcka och följa upp utmaningar i verksamheten genom den fördjupade verksamhetsuppföljningen. De har också påbörjat en resa mot att bli en mer digitaliserad myndighet.

Vår analys visar att stämningen och trivseln på myndigheten är god. Medarbetare och chefer är engagerade och vill utveckla och förbättra verksamheten. Vi ser också att myndigheten har en organisationskultur som värderar rättssäkerhet och kvalitet högt. Vi bedömer att detta sammantaget skapar goda förutsättningar för Datainspektionens fortsatta utveckling.

Den interna styrningen behöver utvecklas

Även om Datainspektionen har lagt grunden för en mer strategisk styrning behöver myndigheten fortsätta att utveckla den interna styrningen för att kunna förbättra resultaten framöver. Statskontoret ser fyra områden som myndigheten särskilt behöver fortsätta att arbeta med:

1. Tydliggöra uppdraget och sätta mål för verksamheten.
2. Fokusera mer på effektivitet i den interna styrningen.
3. Utveckla uppföljningen av verksamheten.
4. Skynda på digitaliseringen av myndigheten.

Myndigheten behöver fortsätta att tydliggöra uppdraget

Statskontoret rekommenderar att Datainspektionen:

• konkretiserar sitt uppdrag och sätter tydliga mål för verksamheten.

Regeringen har som en följd av dataskyddsförordningens krav på oberoende lämnat ett stort utrymme och ansvar för Datainspektionen att själva konkretisera sitt uppdrag. Men vår analys visar att Datainspektionen har en bit kvar i att utveckla dessa delar.

Statskontoret anser att det är bra att myndigheten har påbörjat ett arbete med att definiera uppdraget och sätta övergripande mål. Myndighetens vision, målbild och den strategiska inriktningen har skapat en grund för att få samsyn om verksamhetens inriktning och övergripande prioriteringar.

Men Datainspektionen har ännu inte brutit ned de övergripande uppdraget till verksamhetsmål. Vi bedömer att avsaknaden av tydliga och uppföljningsbara mål har försämrat förutsättningarna för att styra verksamheten effektivt och att följa upp resultaten inom de olika verksamhetsområdena.

Tydliga mål kan hjälpa Datainspektionen att prioritera

Datainspektionen har i dag många uppgifter. De finns i huvudsak i dataskyddsförordningen och annan lagstiftning, snarare än i instruktionen I flera fall är regleringen av dessa uppgifter detaljerad. Med sådana förutsättningar kan det vara svårt för myndigheten att göra ändamålsenliga prioriteringar. Vi anser att tydligare mål kan hjälpa myndigheten att fokusera på vad de i första hand vill uppnå med sin verksamhet. Det kan därmed hjälpa myndigheten att prioritera mellan uppgifter såväl i det löpande arbetet som när det kommer till att utveckla myndigheten.

Effektivitetsperspektivet bör få större utrymme i styrningen

Statskontoret rekommenderar att Datainspektionen:

• för gemensamma diskussioner om hur effektivitet kan bli en starkare del av organisationskulturen
• arbetar för snabbare och enklare beslut och ställningstaganden
• fortsätter att utveckla arbetssätt och rutiner för en mer effektiv tillsynsprocess
• stärker den interna kommunikationen och informationsdelningen genom att så snart det är möjligt utveckla ett intranät.

Vår analys visar att Datainspektionen har haft svårt att uppnå resultat inom flera verksamhetsområden. Vår undersökning visar att rättssäkerhet och kvalitet är viktiga ledord för myndighetens chefer och medarbetare, men vi bedömer att det inte är lika tydligt hur myndigheten styr mot effektivitet. Myndigheten behöver därför ge effektivitetsperspektivet större utrymme i den interna styrningen. I följande avsnitt redovisar vi exempel på detta.

Effektivitet behöver bli en starkare del av organisationskulturen

Vi uppfattar att det finns en organisationskultur i myndigheten som leder till att både de övergripande processerna och handläggningen av ärenden blir utdragna. Kulturen visar sig i en ambition bland både chefer och medarbetare att alla perspektiv och frågor behöver belysas och utredas noggrant.

Organisationskulturen betonar rättssäkerhet och kvalitet, vilket är en styrka. Men det kan finnas en målkonflikt mellan kvalitet och rättssäkerhet å ena sidan och snabbhet, enkelhet och kostnadseffektivitet å den andra sidan. Myndigheten behöver ett starkare effektivitetsperspektiv, både i de större utvecklingsprojekten och i kraven på ärendehandläggningen. Det kan till exempel handla om att föra gemensamma diskussioner om ambitionsnivå och avgränsningar i arbetssätt och processer.

Myndigheten behöver fatta beslut enklare och snabbare

Vi bedömer att Datainspektionen behöver hitta mer effektiva former för hur de ska fatta beslut. Myndigheten behöver också göra det tydligare vilka funktioner som ska vara involverade i vilka beslutsprocesser. Vi uppfattar att det finns en vana i myndigheten av att hissa beslut till en högre nivå om konsensus inte kan nås. Det gäller ofta beslut i tillsynsärenden, men även i frågor som rör verksamheten i stort. Ett exempel är rättstillämpningsforumet som har haft svårt att komma fram till ställningstaganden och beslut.

Enhetscheferna och i vissa fall generaldirektören har i princip fattat alla beslut i både tillsyns- och tillståndsärenden. Men myndigheten har nyligen beslutat om att delegera beslutsrätten för fler tillståndsärenden inom kamerabevakningsverksamheten. Eftersom enhetscheferna har en hög arbetsbelastning bedömer vi att myndigheten framöver behöver hitta former för att delegera en större del av beslutsfattandet. Det skulle inte bara avlasta cheferna i deras arbete utan också stimulera medarbetarna genom att ge dem mer ansvar i sitt arbete. Det är därför positivt att myndigheten nu ser över delegationsordningen.

Viktigt att fortsätta utveckla tillsynsprocessen

Vår analys visar även att Datainspektionens behöver utveckla arbetssätt och rutiner för att handlägga ärenden. Myndigheten har successivt tagit fram styrdokument och stöd för hur de ska handlägga de nya ärendeslagen. Men vi bedömer att rutinerna för hur myndigheten arbetar med tillsynsärenden kan bli tydligare. Det saknas till exempel riktlinjer för hur lång tid de olika momenten inom ramen för ett ärende får ta. Riktlinjerna behöver bli tydligare för att medarbetarna ska kunna avgränsa och prioritera vilka delar som ska ingå i tillsynen. Vi anser därför att det är bra att myndigheten har inrättat en enhet som ska utveckla tillsynsprocessen.

Stort behov av att stärka internkommunikationen

Datainspektionen behöver också utveckla formerna för att utbyta information och erfarenheter internt. Myndigheten har i dag inget intranät. Det är mycket viktigt att myndigheten framöver prioriterar att utveckla ett intranät för att mer systematiskt samla och sprida till exempel information, stöd- och styrdokument. Behovet av både information och stöd till medarbetarna har ökat påtagligt i takt med att myndigheten har vuxit. Medarbetarna får i dag lägga mycket tid på att hitta dokument och annat underlag som stödjer dem i arbetet.

Datainspektionen behöver fortsätta utveckla uppföljningen

Statskontoret rekommenderar att Datainspektionen:

• utvecklar uppföljningen och resultatredovisningen genom att ta fram mål och indikatorer för verksamheten
• utvecklar metoder för att följa upp hur myndighetens verksamheter svarar mot målgruppernas behov.

Statskontoret bedömer att Datainspektionen behöver fortsätta utveckla uppföljningen av sin verksamhet. Datainspektionen har börjat att utveckla ett bättre system för uppföljningen, vilket är positivt. I detta arbete anser vi att myndigheten bör ta fasta på följande punkter:

• Datainspektionen behöver sätta mål för handläggningstider, i första hand för tillstånd av kamerabevakning, men även för tillsynen och övriga ärendeslag.
• Datainspektionen bör sträva efter att de indikatorer myndigheter använder svarar mot förvaltningslagens krav på bland annat effektivitet, rättssäkerhet och service.
• Datainspektionen behöver följa upp kostnaden för olika prestationer i ärendehandläggningen.
• Datainspektionen behöver hitta former för att följa upp om effekterna av myndighetens informations-, stöd- och vägledningsinsatser svarar mot målgruppernas behov.

Myndigheten behöver skynda på digitaliseringen

Statskontoret rekommenderar att Datainspektionen:

• fortsätter att utveckla styrningen av it-verksamheten och skyndar på den nödvändiga digitaliseringen
• strävar efter att kraven på it-säkerhet inte hindrar att myndigheten kan använda ändamålsenliga och effektiva it-verktyg.

Datainspektionen har identifierat att digitalisering är centralt för att kunna arbeta mer effektivt. Vi delar denna bedömning. I dag saknar myndigheten flera grundläggande digitala verktyg.

Därför behöver myndigheten fortsätta utveckla styrningen av it-verksamheten. Myndigheten har tidigare påbörjat utvecklingsprojekt utan budget, tidplan och beskrivning av vilka nyttor myndigheten vill få. Från och med i år finns en projektmodell som ska användas vid större it-projekt.

Datainspektionen har höga säkerhetskrav för sina it-verktyg. Myndigheten vill vara noggranna med att inte bryta mot dataskyddsförordningen och vara ett föredöme för andra myndigheter när det gäller it-säkerhet. Vi bedömer att de höga kraven gör att myndigheten riskerar att inte kunna digitalisera sin verksamhet i den utsträckning som behövs för att vara effektiva. Datainspektionen behöver därför ta fram lösningar på hur de i praktiken kan förena tillräckliga säkerhetskrav med ändamålsenliga och effektiva it-verktyg.

Inkassouppdraget har flera utmaningar

Statskontoret rekommenderar att regeringen:

• som ett alternativ stärker styrningen av Datainspektionens uppdrag på inkassoområdet och i samband med det ställer krav på bättre samverkan mellan Datainspektionen och Finansinspektionen
• som ett annat alternativ utreder om ansvaret för tillsyn av och tillstånd för inkassoverksamheter ska läggas på en myndighet.

Datainspektionen är ansvarig tillsynsmyndighet enligt inkassolagen. I praktiken delas ansvaret för tillsynen mellan Datainspektionen och Finansinspektionen. Vår analys visar att det delade ansvaret medför utmaningar. Båda myndigheterna prioriterar uppdraget lågt. Datainspektionen lägger endast en liten del av sina resurser på tillsyn av inkasso. Uppdraget har fått stå tillbaka på grund av de nya arbetsuppgifterna enligt dataskyddsförordningen och ansvaret för tillsyn och tillstånd gällande kamerabevakning.

Statskontoret bedömer också att det delade ansvaret mellan Datainspektionen och Finansinspektionen gör det svårare att bedriva tillsyn enhetligt och att utveckla praxis inom området. Myndigheterna samverkar i viss utsträckning men Datainspektionen upplever att det är svårt att få inblick i Finansinspektionens arbete.

Regeringen bör överväga två alternativ för uppdragets hemvist

Statskontorets analys visar att frågan om uppdragets hemvist inte är självklar. Det finns sammantaget en rad utmaningar som ger uttryck för att den nuvarande ordningen och ansvarsfördelningen inte skapar optimala förutsättningar för en effektiv och ändamålsenlig tillsyn av inkassobranschen.

Vi anser att regeringen därför bör ta ställning till vilken organisering och ansvarsfördelning som ger bäst förutsättningar för uppdraget. Vi ser två möjliga alternativ som regeringen kan utgå från för att komma tillrätta med utmaningarna: Regeringen kan som ett alternativ stärka styrningen av Datainspektionens uppdrag på inkassoområdet och kraven på samverkan mellan myndigheten och Finansinspektionen. Som ett annat alternativ kan regeringen utreda om hela ansvaret ska läggas på en annan myndighet.

Regeringen kan stärka styrningen av inkassouppdraget

Regeringens begränsade möjligheter att styra Datainspektionen på grund av myndighetens oberoende gäller för uppdraget enligt dataskyddsförordningen. När det gäller myndighetens uppdrag på inkassoområdet ser vi inga hinder för att regeringen kan styra myndigheten så länge det inte påverkar förmågan att utföra uppdraget enligt dataskyddsförordningen.

Statskontoret bedömer att det finns förutsättningar att förbättra resultaten inom inkassouppdraget genom att regeringen stärker styrningen på området. Regeringen kan till exempel ställa krav på att Datainspektionen ska lägga mer resurser på tillsynen av inkassoverksamheter eller att i större utsträckning än i dag följa utvecklingen på området. Om Datainspektionen bedömer att det nuvarande anslaget inte är tillräckligt för att sköta uppdraget bör myndigheten redovisa vilka ytterligare resurser som krävs för att bedriva uppdraget mer effektivt.

Datainspektionen har sedan inkassolagen började gälla haft ansvaret för tillsyn och andra uppgifter som följer av lagen. Myndigheten har därmed byggt upp etablerade arbetssätt och kompetens på området. Detta skapar goda förutsättningar för myndigheten att utveckla effektiviteten på området. Vi bedömer också att myndighetens erfarenhet på området kan tala för att Datainspektionen även fortsättningsvis behåller uppdraget trots att uppdraget på inkassouppdraget avviker från den övriga verksamheten.

Vi anser också att regeringen kan ställa tydligare krav på samverkan mellan Datainspektionen och Finansinspektionen. Det bör leda till att det delade ansvaret kan fungera bättre.

Regeringen kan utreda om ansvaret ska samlas på en myndighet

Statskontoret konstaterar att det delade ansvaret för tillsyn av inkasso innebär utmaningar. Att samla hela ansvaret för tillsyn av och tillstånd för inkassoverksamheter till en myndighet kan skapa bättre förutsättningar för en enhetlig och effektiv tillsyn på området.

Våra intervjuer visar att Finansinspektionen är negativ till att ta över Datainspektionens uppgifter på inkassoområdet. Det har inte varit möjligt för oss att i denna myndighetsanalys ta ställning till om det bör vara Finansinspektionen som tar över ansvaret. Vi har inte heller undersökt om någon annan myndighet kan ta över Datainspektionens uppgifter. Det förutsätter en djupare analys som inte ryms inom ramen för vårt uppdrag. Som ett alternativ till att stärka styrningen av Datainspektionens inkassouppdrag kan regeringen därför utreda vilken myndighet som är mest lämpad att få ett samlat ansvar för tillsyn av och tillstånd för inkassoverksamheter.

Regeringen bör följa Datainspektionen noga

Statskontoret rekommenderar att regeringen:

• följer myndigheten noga med tydliga förväntningar på att myndigheten kan redovisa en effektiv verksamhet.

Regeringen har de senaste åren tillfört stora resurser till Datainspektionen. Myndigheten har genomgått en stor omställning som har tagit tid, kraft och resurser, men framöver bör regeringen kunna förvänta sig att de nya anslagen får tydligare genomslag i form av mätbara resultat. Det gäller till exempel resultat som fler avslutade tillsynsärenden och kortare handläggningstider för kameratillstånd.

Regeringens möjligheter att styra Datainspektionen är begränsade av dataskyddsförordningens krav på oberoende. Men Datainspektionen är också en förvaltningsmyndighet bland andra, vilket betyder att de behöver följa de regelverk som styr myndigheters verksamhet. Regeringen har ett övergripande ansvar för den statliga förvaltningen och hur de gemensamma resurserna används.

Dataskyddsförordningen anger att medlemsstaterna ska säkerställa att tillsynsmyndigheterna har de resurser som krävs för att utföra sina uppgifter. Det kräver att regeringen har en god bild av hur myndigheten använder sina resurser. Regeringen bör även framöver följa Datainspektionen noga med tydliga förväntningar på att myndigheten kan redovisa en effektiv verksamhet.

Referenser

Datainspektionen (2011). Tillämpning av inkassolagen. Datainspektionens allmänna råd.

Datainspektionen (2016). Budgetunderlag för 2017–2019.

Datainspektionen (2017). Hemställan om ändring av tillstånds- och tillsynsansvaret enligt inkassolagen (1974:182). (Dnr. 1863–2017).

Datainspektionen (2018). Datainspektionens strategiska inriktning. (Dnr DI 2018–22222).

Datainspektionen (2018). Årsredovisning 2017.

Datainspektionen (2019). Beslut avseende kvalitetsutveckling, 2019-06-28. (Dnr DI 2019–7937).

Datainspektionen (2019). Budgetunderlag för 2020–2022.

Datainspektionen. (2019). Datainspektionens policy för tillsyn. (Dnr DI-2019-1280).

Datainspektionen (2019). Datainspektionens riskanalys 2019 – senast uppdaterad 19-12-06.

Datainspektionen (2019). Fördjupad verksamhetsuppföljning. 2019-03-22.

Datainspektionen (2019). Hemställan om utökad anslagskredit.

Datainspektionen (2019). Kommunikationspolicy 2019. 2019-12-18. (Dnr DI-2019-8816).

Datainspektionen (2019). Nationell integritetsrapport 2019.

Datainspektionen (2019). Rapport DSO-konferensen 10 dec 2019, Ett år med dataskyddsreformen – utvärdering. Sammanställning av utvärderingsresultat för Datainspektionens utbildningar 2019.

Datainspektionen. (2019). Sammanställning av utvärderingsresultat för Datainspektionens utbildningar 2019.

Datainspektionen (2019): Tillsynsplan 2019–2020. 2019-03-19. (Dnr DI-2019-841).

Datainspektionen (2019). Uppdrag – beräkning av administrativa sanktionsavgifter. (Dnr DI 2019–9172).

Datainspektionen (2019). Årsredovisning 2018.

Datainspektionen (2020). Budgetunderlag 2021–2023. 2020-02-25. (Dnr DI-2020-2185).

Datainspektionen (2020). Delegation i ärenden om kamerabevakningstillstånd. (Dnr DI-2020-2945).

Datainspektionen (2020). GD-uppdrag hösten 2019 och våren 2020.

Datainspektionen (2020). Årsredovisning 2019.

Datainspektionen (2019). Datainspektionens verksamhetsplan 2020. (Dnr DI-2019-13862).

Datainspektionen (2020). Internationellt arbete. (Hämtad 2020-04-17). https://www.datainspektionen.se/.

Ekonomistyrningsverket (2016). Vägledning. Verksamhetslogik.

Ekonomistyrningsverket (2019). Stöd för effektivisering. ESV 2019:29.

Ekonomistyrningsverket (2020). Resultatredovisningen ska vara ett underlag för regeringens bedömning. (Hämtad 2020-03-02). https://www.esv.se/.

Finansinspektionen (2020). Finansinspektionens tillsynsstrategi. (FI dnr 20–2646).

Kantar Sifo (2018). Kantar Sifos anseendeindex för myndigheter 2018.

Proposition 2017/18:231. Ny kamerabevakningslag.

Proposition 2019/20:99. Vårändringsbudget för 2020.

Regeringskansliet (2014). Handbok för EU-arbetet.

Riksrevisionen (2019). Konsumentskyddet på det finansiella området – förutsättningar och statlig tillsyn. (RIR 2019:32).

Statskontoret (2008). Modell för myndighetsanalyser. 2008:17.

Statskontoret (2015). Myndigheternas arbete med frågor om delaktighet i EU. (Dnr 2015/148–5).

Statskontoret (2017). Kostnader för små myndigheter. (Dnr 2017/229–5).

Statskontoret (2018). Delat tillsynsansvar enligt konsumentkreditlagen – för- och nackdelar. (Dnr 2017/281–5).

Statskontoret (2019). Myndigheternas information och samråd i EU-frågor. En fördjupad analys av 12 myndigheters delaktighetsarbete. 2019:11.

Statskontoret (2020). Sjukfrånvaro i staten – myndigheter och sektorer. (Dnr 2020/57–5).

SOU 2002:2. Datainspektionen. Kompetens – Effektivitet – Service.

SOU 2016:65. Ett samlat ansvar för tillsyn över den personliga integriteten.

SOU 2017:52. Så stärker vi den personliga integriteten. Slutbetänkande av Integritetskommittén.

SOU 2017:55. En ny kamerabevakningslag. Betänkande av Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd.

Spelinspektionen (2020). Varning och sanktionsavgift – bonuserbjudanden och otillåtna lotterier. (Dnr 19Si868).

Bilaga: Regeringsuppdraget

Fotnoter

1. Statskontoret (2008). Modell för myndighetsanalyser. 2008:17. ↑

2. SOU 2002:2. Datainspektionen. Kompetens – Effektivitet – Service. ↑

3. Uppgift från intervju med Datainspektionen. ↑

4. Ibid. ↑

5. Förordningens fullständiga namn är Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). ↑

6. Prop. 2019/20:99. Vårändringsbudget för 2020. ↑

7. Datainspektionen (2020) Årsredovisning 2019. ↑

8. Tillsynsmyndigheternas uppgifter framgår av artikel 57 dataskyddsförordningen. ↑

9. Datainspektionen (2019). Kommunikationspolicy 2019. 2019-12-18. (Dnr DI-2019-8816). ↑

10. Dataskyddsförordningen talar om ledamöter. I en svensk kontext kan ”ledamöter” förstås som generaldirektör. Se även SOU (2016:65). Ett samlat ansvar för tillsyn över den personliga integriteten, s. 151. ↑

11. Det enda uppdraget i regleringsbrevet för 2020 är att myndigheten ska ta emot nyanlända arbetssökande personer och personer med funktionsnedsättning för praktik. Det senaste mer omfattande uppdraget gavs i 2016 års regleringsbrev och innebar att myndigheten skulle ta fram informations- och utbildningsmaterial och vidta andra åtgärder för att underlätta för näringslivet att anpassa sig till dataskyddsförordningen. ↑

12. Oberoendet gäller också myndighetens uppgift som tillsynsmyndighet enligt brottsdatadirektivet och uppdragen att granska användningen av personuppgifter inom bland annat Schengens informationssystem och informationssystemet för viseringar. ↑

13. SOU (2016:65). Ett samlat ansvar för tillsyn över den personliga integriteten, s. 161. ↑

14. SOU (2016:65). Ett samlat ansvar för tillsyn över den personliga integriteten,
    s. 160–161. ↑

15. SOU (2017:52). Så stärker vi den personliga integriteten, s. 208. ↑

16. SOU (2016:65). Ett samlat ansvar för tillsyn över den personliga integriteten, s. 152–153. ↑

17. Se Statskontoret (2019). Myndigheternas information och samråd i EU-frågor. En fördjupad analys av 12 myndigheters delaktighetsarbete. 2019:11, sid. 31–34. ↑

18. Datainspektionen (2020). Årsredovisning 2019. ↑

19. Datainspektionen (2020). Internationellt arbete. (Hämtad 2020-04-17). https://www.datainspektionen.se/. ↑

20. Se till exempel Regeringskansliet (2014). Handbok för EU-arbetet. I handboken framgår att när anställda vid myndigheter företräder Sverige i rådsarbetsgrupper, genomförandekommittéer och andra organ inom EU representerar de regeringen. Datainspektionen representerar dock inte regeringen i EDPB, och därmed inte heller Sverige. Det är ett relativt utbrett problem att myndigheter har svårt att tolka den egna rollen i EU-arbete, se Statskontoret (2015). Myndigheternas arbete med frågor om delaktighet i EU. (Dnr 2015/148–5). ↑

21. 3 § myndighetsförordningen. ↑

22. Se Datainspektionens tre senaste budgetunderlag, som avser 2019–2021, 2020–2022 respektive 2021–2023. ↑

23. Förordningen (2000:605) om årsredovisning och budgetunderlag. ↑

24. Proposition 2019/20:99. Vårändringsbudget för 2020. ↑

25. Det finns enligt Regeringskansliet inget beslut om att myndigheten ska få dessa 10 miljoner även kommande år. ↑

26. Myndigheten hade utöver detta intäkter av verksamheten på 6,8 miljoner kronor. ↑

27. Datainspektionen (2019). Hemställan om utökad anslagskredit. ↑

28. Datainspektionen (2018). Årsredovisning 2017. ↑

29. Datainspektionen (2020). Budgetunderlag 2021–2023. 2020-02-25. (Dnr DI-2020-2185). ↑

30. Proposition 2017/18:231. Ny kamerabevakningslag, s. 131. ↑

31. När vi i detta avsnitt i fortsättningen talar om nedlagd tid på uppgifter enligt dataskyddsförordningen ingår även uppgifter enligt brottsdatalagen. ↑

32. Tidredovisningen ger inte en heltäckande bild av hur myndighetens kostnader fördelar sig. Dels mäter man under två månader per år, vilket gör att man missar en del säsongsvariation. Dels innebär metoden att myndigheten fördelar OH-kostnader utifrån tidredovisningen, vilket innebär viss osäkerhet. Datainspektionen planerar att se över tidredovisningen till årsredovisningen för 2020. ↑

33. Datainspektionen. (2019). Datainspektionens policy för tillsyn. (Dnr DI-2019-1280). ↑

34. Datainspektionen. (2019). Datainspektionens policy för tillsyn. (Dnr DI-2019-1280). ↑

35. Ibid. ↑

36. I uppgiften är även tillsynsärenden enligt brottsdatalagen inkluderade. ↑

37. Uppgift från Datainspektionen via mejl 2020-03-05. ↑

38. Spelinspektionen (2020). Varning och sanktionsavgift – bonuserbjudanden och otillåtna lotterier. (Dnr 19Si868). ↑

39. Datainspektionen (2016). Budgetunderlag 2017–2019. ↑

40. Datainspektionen (2019). Uppdrag – beräkning av administrativa sanktionsavgifter. (Dnr DI 2019–9172). ↑

41. Uppgift från Datainspektionen. Den genomsnittliga handläggningstiden avser medelvärdet för genomsnittlig handläggningstid per månad. ↑

42. Datainspektionen (2019). Datainspektionens policy för tillsyn. (Dnr DI-2019-1280). ↑

43. Datainspektionen (2020). Årsredovisning 2019. ↑

44. Ibid. ↑

45. SOU 2017:52. Så stärker vi den personliga integriteten. Slutbetänkande av Integritetskommittén. ↑

46. Datainspektionen (2020). GD-uppdrag hösten 2019 och våren 2020. ↑

47. Datainspektionen (2018). Årsredovisning 2019. ↑

48. Datainspektionen (2019). Datainspektionens verksamhetsplan 2020. 2019-12-17. (Dnr DI-2019-13862). ↑

49. Proposition 2018/18:231. Ny kamerabevakningslag. ↑

50. Datainspektionen (2020). Budgetunderlag 2021–2023. 2020-02-25. (Dnr DI-2020-2185). ↑

51. Proposition 2019/20:99. Vårändringsbudget för 2020. ↑

52. Datainspektionen (2020). Årsredovisning 2019. ↑

53. SOU 2017:55. En ny kamerabevakningslag. Betänkande av Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd, s. 72. ↑

54. SOU 2017:55. En ny kamerabevakningslag. Betänkande av Utredningen om kameraövervakning – brottsbekämpning och integritetsskydd, s. 392. ↑

55. Datainspektionen (2020). Delegation i ärenden om kamerabevakningstillstånd. (Dnr DI-2020-2945). ↑

56. Prop. 2017/18: 2017/18:231. Ny kamerabevakningslag. ↑

57. Datainspektionen (2019). Årsredovisning 2018. ↑

58. Datainspektionen (2019). Årsredovisning 2018. ↑

59. Datainspektionen (2020). Årsredovisning 2019. ↑

60. Datainspektionen (2019). Årsredovisning 2018. ↑

61. Datainspektionen (2019). Datainspektionens verksamhetsplan 2020. 2019-12-17. (Dnr DI-2019-13862). ↑

62. Vi har intervjuat företrädare för Forum för dataskydd, E-hälsomyndigheten, Sveriges kommuner och regioner, Svenskt Näringsliv, Svensk Handel, Sveriges konsumenter och Företagarna. ↑

63. Kantar Sifo (2018). Kantar Sifos anseendeindex för myndigheter 2018. ↑

64. Datainspektionen. (2019). Sammanställning av utvärderingsresultat för Datainspektionens utbildningar 2019. ↑

65. Datainspektionen (2018), Datainspektionens strategiska inriktning. (Dnr DI 2018–22222). ↑

66. ESV (2016). Vägledning. Verksamhetslogik. ESV 2016:31. ↑

67. Datainspektionen (2019). Datainspektionens riskanalys 2019 – senast uppdaterad 2019-12-06. ↑

68. Datainspektionen (2019). Beslut avseende kvalitetsutveckling. 2019-06-28. (Dnr DI 2019–7937). ↑

69. Datainspektionen (2019). Datainspektionens verksamhetsplan 2020. 2019-12-17. (Dnr DI-2019-13862). ↑

70. Datainspektionen (2019). Fördjupad verksamhetsuppföljning. 2019-03-22. ↑

71. Statskontoret (2017). Kostnader för små myndigheter. (Dnr 2017/229–5). ↑

72. Datainspektionen (2020). Årsredovisning 2019. ↑

73. Statskontoret (2017). Kostnader för små myndigheter. (Dnr 2017/229–5). ↑

74. Datainspektionen (2019). Budgetunderlag 2020–2022. 2019-03-01. (Dnr DI-2019-2669). ↑

75. Ekonomistyrningsverket (2020). Resultatredovisningen ska vara ett underlag för regeringens bedömning. Hämtad 2020-03-02. www.esv.se/statens-ekonomi/redovisning/resultatredovisning. ↑

76. Datainspektionen (2019). Nationell integritetsrapport 2019. ↑

77. Datainspektionen (2019). Nationell integritetsrapport 2019. Datainspektionens rapport 2019:2. ↑

78. Datainspektionen (2019). Rapport DSO-konferensen 10 dec 2019. Ett år med dataskyddsreformen – utvärdering. Sammanställning av utvärderingsresultat för Datainspektionens utbildningar 2019. ↑

79. Ekonomistyrningsverket (2019). Stöd för effektivisering. ESV 2019:29. ↑

80. Datainspektionen (2018). Datainspektionens strategiska inriktning. 2018-12-13. (Dnr DI-2018-22222). ↑

81. Datainspektionen (2019). Datainspektionens verksamhetsplan 2020. 2019-12-17. (Dnr DI-2019-13862). ↑

82. Datainspektionen (2018). Datainspektionens strategiska inriktning. 2018-12-13. (Dnr DI-2018-22222). ↑

83. Statskontoret (2020). Sjukfrånvaro i staten – myndigheter och sektorer. (Dnr 2020/57–5). ↑

84. Datainspektionen (2020). Årsredovisning 2019. ↑

85. Uppgift från intervju med Finansinspektionen 2020-03-11. ↑

86. Datainspektionen (2020). Årsredovisning 2019. ↑

87. Uppgift från intervju med chef på Datainspektionen 2020-02-11. ↑

88. Datainspektionen (2019). Årsredovisning 2018. ↑

89. Datainspektionen (2019): Tillsynsplan 2019–2020. 2019-03-19. (Dnr DI-2019-841). ↑

90. Datainspektionen (2011). Tillämpning av inkassolagen. Datainspektionens allmänna råd. ↑

91. Finansinspektionen (2020). Finansinspektionens tillsynsstrategi. (FI Dnr 20–2646). ↑

92. Datainspektionen (2017). Hemställan om ändring av tillstånds- och tillsynsansvaret enligt inkassolagen (1974:182). Dnr. 1863–2017 och underlag från intervjuer med Datainspektionen. ↑

93. SOU 2016:65. Ett samlat ansvar för tillsyn över den personliga integriteten. ↑

94. Förordning (2009:93) med instruktion för Finansinspektionen och Förordning (2009:607) med instruktion för Konsumentverket och Riksrevisionen (2019). Konsumentskyddet på det finansiella området – förutsättningar och statlig tillsyn. RIR 2019:32. ↑

95. Statskontoret (2018). Delat tillsynsansvar enligt konsumentkreditlagen – för- och nackdelar. (Dnr 2017/281–5). ↑

96. Datainspektionen (2017). Hemställan om ändring av tillstånds- och tillsynsansvaret enligt inkassolagen (1974:182). (Dnr. 1863–2017). ↑

97. Förordning (2009:93) med instruktion för Finansinspektionen. ↑