Dataombudsmannens byrå: statsförvaltningens molntjänster ska uppfylla dataskyddskraven

Dataombudsmannens byrå har utvärderat Statens center för informations- och kommunikationsteknik Valtoris, Myndigheten för digitalisering och befolkningsdatas och Skatteförvaltningens förfaranden i användningen av molntjänster år 2022. Utredningen visade att det inte hade säkerställts ett tillräckligt dataskydd för personuppgifter när de överfördes till USA via Valtoris molntjänst. Vid den här tidpunkten hade EU och USA inget gällande ramverk för dataöverföring. Utredningen var en del av en mer omfattande redogörelse där användningen av molntjänster inom cirka hundra organisationer inom den offentliga sektorn i EU granskades.

Föremål för utredningen var organisationernas verksamhet under tidsperioden februari–april 2022. Under den här tidsperioden hade EU och USA inget gällande ramverk för dataöverföring som skulle ha gjort det möjligt att överföra uppgifter på ett säkert sätt. Organisationerna hade därför en skyldighet att genom olika ytterligare skyddsåtgärder säkerställa att den dataskyddsnivå som krävs upprätthölls när personuppgifter överfördes till USA.

Europeiska kommissionen godkände i juli 2023 ett beslut om en tillräcklig nivå på dataskyddet i USA. För närvarande kan personuppgifter med stöd av beslutet överföras till de amerikanska företag som har förbundit sig till de skyddsåtgärder som avtalats i EU:s och Förenta staternas ramverk för dataöverföring.

Aktörerna inom den offentliga sektorn ska sörja för ett tillräckligt dataskydd vid överföring av personuppgifter 

Dataombudsmannens byrå upptäckte att det fanns brister i hur organisationerna hade säkerställt ett tillräckligt dataskydd vid användningen av molntjänster. Dataombudsmannen konstaterar att Valtori borde ha sett till att de molntjänster som Valtori erbjuder den offentliga förvaltningen hade ett tillräckligt dataskydd. MDB och Skatteförvaltningen har en lagstadgad skyldighet att använda de tjänster som Valtori producerar. 

”Tillförlitligheten och lagenligheten i molntjänsterna är särskilt uppenbar inom statsförvaltningen, där betydande mängder av finländarnas personuppgifter behandlas. Aktörerna inom statsförvaltningen har knappt någon möjlighet att påverka de molntjänster de använder. Därför är det särskilt viktigt att tjänsteleverantören ser till att de är lagenliga", konstaterar dataombudsmannen Anu Talus.

Valtori fick en anmärkning om bristerna i dataskyddet. MDB fick också en anmärkning, eftersom MDB hade försummat sin skyldighet att säkerställa att överföringen av data hade garanterats ett tillräckligt skydd. Skatteförvaltningen fick ingen anmärkning, eftersom den enligt utredningen hade strävat efter att beakta dataskyddskraven genom att införa olika kompletterande skyddsåtgärder. De kompletterande skyddsåtgärderna hade dock inte heller helt åtgärdat bristerna. 

Dataombudsmannens byrås beslut är en del av de europeiska dataskyddsmyndigheternas gemensamma utredning där användningen av molntjänster bland annat inom hälso- och sjukvård, finansiering, beskattning, utbildning och it-tjänster utvärderades. I Finland valdes Valtori, Myndigheten för digitalisering och befolkningsdata (MDB) och Skatteförvaltningen ut för utredningen, eftersom de behandlar stora mängder av medborgarnas personuppgifter. 

I sitt beslut T-553/23 från september 2025 konstaterade EU:s tribunal att det nuvarande ramverket för dataöverföring mellan EU och USA fortfarande är ändamålsenlig.

Dataombudsmannens byrås beslut har ännu inte vunnit laga kraft och kan överklagas hos förvaltningsdomstolen.

• Dataombudsmannens beslut TSV/7/2022 om Valtori i Finlex på finska
• Biträdande dataombudsmannens beslut TSV/164/2022 om MDB i Finlex på finska 
• Biträdande dataombudsmannens beslut TSV/24/2022  om Skatteförvaltningen i Finlex på finska

Mer information: 

​​​​​​​Dataombudsman Anu Talus , anu.talus(at)om.fi, tfn 029 566 6776

Pressmeddelande 15.2.2022: Dataombudsmannens byrå inleder en utredning om användningen av molntjänster inom den offentliga sektorn som en del av de europeiska tillsynsmyndigheternas gemensamma åtgärd

Pressmeddelande 19.1.2023: Euroopan tietosuojaneuvosto julkaisi suosituksia julkisen sektorin pilvipalvelujen käytöstä (på finska)

Överföring på grundval av ett beslut om adekvat skyddsnivå

Vanliga frågor om beslutet om adekvat skyddsnivå för USA 

Europeiska unionens tribunals avgörande i ärendet T-553/23 (curia.europa.eu)