Tyngdpunktsområdena för dataskyddsarbetet

Då man började förbereda tillämpningen av EU:s dataskyddsförordning grundades processgrupper vid dataombudsmannens byrå, vars uppgift var att säkerställa enhetlig behandling av ärenden inom det egna ansvarsområdet samt utvecklingen av behandlingsprocessen.

Behandlingen av personuppgiftsincidenter påbörjades

Personuppgiftsincidenter-processgruppens viktigaste uppgifter är att säkerställa smidig mottagning och enhetlig behandling av anmälningar av personuppgiftsincidenter. Processgruppen utgörs av dataombudsmannens byrås juridiska experter specialiserade på personuppgiftsincidenter och IT-specialsakkunniga.

Processgruppen hjälper den övriga personalen på dataombudsmannens byrå med behandlingen och bedömningen av anmälningar om personuppgiftsincidenter. Processgruppen har utarbetat interna anvisningar för bedömning av risker och behandling av typfall. Om personuppgiftskränkningen är atypisk hjälper processgruppen föredraganden av ärendet med behandlingen av personuppgiftsincidenten.

Till dataombudsmannens byrå anmäldes år 2018 totalt 2 220 personuppgiftsincidenter.

Processgruppens uppgifter har utvecklats enligt identifierade behov. Gruppen har utarbetat nya anvisningar och anpassat blanketten för anmälningar av personuppgiftsincidenter utgående från mottagen respons.
Organisationernas anmälningsskyldighet för personuppgiftsincidenter trädde i kraft den 25 maj 2018 då dataskyddsförordningen började tillämpas. Personuppgiftsincidenter ska anmälas till dataombudsmannens byrå, om incidenten kan innebära en risk för mänskliga rättigheter och friheter.

Efter att ha anmält en personuppgiftsincident till dataombudsmannens byrå kan personuppgiftsansvariga få råd om skyddet av personuppgifter och huruvida personuppgiftsincidenten ska meddelas personerna som är föremål för incidenten. Vid behov kan dataombudsmannen beordra organisationen att iaktta sina skyldigheter i enlighet med dataskyddsförordningen.

Processgrupp utvecklar samarbetet med dataskyddsombud

Processgruppen följer upp mottagningen och behandlingen av anmälningar om dataskyddsombud och utvecklar kontakten med dataskyddsombud och kommunikationen som riktas till dem. Utöver dataombudsmannens byrås juridiska experter ingår i processgruppen sekreteraren för informationstjänsten som upprätthåller registret över dataskyddsombud.

I slutet av 2018 hade uppgifterna för 1 227 dataskyddsombud anmälts till dataombudsmannens byrå.

Organisationer har varit skyldiga att meddela uppgifterna för dataskyddsombudet till dataombudsmannens byrå sedan dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddsombudet är en intern expert på dataskydd inom organisationen, som följer upp behandlingen av personuppgifter och stöder och hjälper ledningen och personalen följa dataskyddslagstiftningen. Dataskyddsombudet är såväl dataombudsmannens byrås som registrerades kontaktperson i ärenden som gäller behandlingen av personuppgifter inom den egna organisationen.

En organisation ska utse ett dataskyddsombud, om organisationen

  • i stor omfattning behandlar känsliga uppgifter
  • följer människor i stor omfattning, regelbundet och systematiskt
  • är en aktör inom den offentliga förvaltningen och inte är en domstol.

Människor är medvetna om sina dataskyddsrättigheter

Ärenden som gäller den registrerades rättigheter och klaganden är en av dataombudsmannens byrås viktigaste ärendehelheter. I dessa ingår privatpersoners anmälningar om kränkningar av dataskyddsrättigheter eller misstankar om att någon organisation eller person behandlar personuppgifter på ett sätt som strider mot dataskyddsbestämmelser, men även olika slags begäranden om rådgivning och mer information.

Under året blev det mer ärenden anhängiga från registrerade än förra året.För hanteringen av ärenden som gäller den registrerades rättigheter grundades efter inledningen av tillämpningen av EU:s dataskyddsförordning en processgrupp, i vars uppgifter bland annat ingår utarbetandet av enhetlig praxis för behandlingen av klaganden från registrerade. Under sitt första verksamhetsår har gruppen även strävat efter att prioritera uttryckligen de saker vars effekt på den registrerade är mest omfattande eller allvarliga, samt saker som länge varit anhängiga.

Ärenden som blir anhängiga och kommer från registrerade är vanligtvis väldigt individuella, vilket påverkar deras behandling och tidsåtgången för behandlingen. Ofta krävs i synnerhet i ärenden som gäller klaganden och juridiska frågor ytterligare utredningar, vars införskaffande och genomgång kan fördröja behandlingen.

Behandlingen av det egna ärendet vid dataombudsmannens byrå kan göras smidigare genom att beskriva ärendet så noga som möjligt redan vid den första kontakten med byrån. Hjälp med detta kan fås av anvisningarna och blanketterna på dataombudsmannens byrås webbplats. På webbplatsen finns även en servicestig som kan användas för att ta reda på hur man lättast kan sköta sitt eget ärende.

Konsekvensbedömning bidrar till identifieringen av risker

Konsekvensbedömning är ett självbedömningsverktyg i förordningen med hjälp av vilket personuppgiftsansvariga kan identifiera hot i anslutning till den planerade behandlingen för personernas rättigheter och friheter, bedöma hur allvarliga riskerna är för att hoten uppkommer och hur stor sannolikheten är för att hoten uppkommer samt ta i bruk tillräckliga skyddsåtgärder för att ingripa vid höga risker. Konsekvensbedömningen kan användas bland annat för att förverkliga inbyggt dataskydd och dataskydd som standard och ansvarsskyldigheten som avses i artikel 25 i dataskyddsförordningen.    

Ett föregående samråd ska göras innan den planerade behandlingen inleds, om konsekvensbedömningen visar att behandlingen av personuppgifter skulle innebära en hög risk för den registrerades rättigheter och friheter och den personuppgiftsansvariga inte med sina egna åtgärder kan minska denna risk.

Vid det föregående samrådet tar den personuppgiftsansvariga kontakt med dataombudsmannens byrå som ger skriftliga anvisningar för åtgärder för att sänka risknivån.

År 2018 har varit ett år som kännetecknats av påbörjat arbete då det gäller konsekvensbedömning och föregående samråd. Europeiska dataskyddsstyrelsen bekräftade hösten 2018 kriterier på EU-nivå för när konsekvensbedömning ska göras. Utgående från kriterierna utarbetade dataombudsmannens byrå en nationell förteckning som förutsätts enligt förordningen om vilka behandlingstyper konsekvensbedömningen ska göras för. Förteckningen publicerades i december 2018 och omfattar bland annat biometriska och genetiska uppgifter samt behandling av positionsdata. De första föregående samråden väntas genomföras i Finland i början av 2019.