Verksamhetsberättelse 2018

Dataombudsmannens översikt

Under dataombudsmannens byrås 31:sta verksamhetsår reformerades dataskyddet för tredje gången under byråns verksamhetstid. Tillämpningen av EU:s allmänna dataskyddsförordning (2016/679) inleddes den 25 maj. Samtidigt förnyades med EU:s dataskyddsdirektiv (2016/680) dataskyddslagstiftningen i brottmål. Detta direktiv förutsatte även nationella implementeringsåtgärder (lag om behandling av personuppgifter i brottmål 1054/2018).

Även dataskyddsförordningen innehåller en stor del direktivliknande åtgärder som ska implementeras nationellt. Under ledning av justitieministeriet bereddes således en nationell dataskyddslag (1050/2018), som trädde i kraft den 1 januari 2019 och ersatte den gamla personuppgiftslagen samt förordningen i anslutning till denna. I samband med detta skedde även en intensiv förnyelse av den nationella speciallagstiftningen. Dataombudsmannen hördes totalt 93 gånger av riksdagen under verksamhetsåret. Särskilt betydande var riksdagens grundlagsutskotts arbete. Utskottet utarbetade nya riktlinjer för praxis för lagstiftning om skyddet av personuppgifter och ansåg att dataskyddsförordningen i huvudsak motsvarar den nivå hos dataskyddet som förutsätts enligt 10 § i grundlagen, samtidigt som man beaktar en riskbaserad approach.

Nya befogenheter och uppgifter

Dataskyddsförordningen innebar flera förnyelser. De registrerades rättigheter förbättrades märkbart, personuppgiftsansvariga fick nya skyldigheter och möjligheterna att vara verksam på den digitala inre marknaden förbättrades. Även tillsynsmyndigheternas arbete och befogenheterna i anslutning till detta genomgick alla tiders reform.

Ett skede i dataskyddets historia avslutades då den självständiga datasekretessnämnden, som varit det högsta bestämmande organet för dataskydd, upphörde med sin verksamhet. Inom Europeiska unionen inledde för sin del en slags motsvarighet till datasekretessnämnden, europeiska dataskyddsstyrelsen (EDPB), sin verksamhet. Dess verksamhet med ett flertal underordnade arbetsgrupper startade framgångsrikt och ett arbetsprogram för styrelsen för 2019–2020 utarbetades och godkändes. I den närmaste framtiden kommer dataskyddsstyrelsens funktionsförmåga dock troligtvis prövas på grund av det ökande antalet ärenden.

En ny yrkeskår uppkom även, dataskyddsombud. Dem önskar vi varmt välkomna att hjälpa registrerade och personuppgiftsansvariga.

Antalet anhängiggjorda ärenden ökade kraftigt under år 2018.Vi var fortsättningsvis delvis och under en del av verksamhetsåret tvungna att tillämpa två lagstiftningar. Situationen innebar givetvis en betydlig utmaning för vår serviceförmåga. Beskrivande för verksamhetsåret var även den explosionsartade ökningen av antalet ärenden. Hos dataombudsmannens byrå registrerades under verksamhetsåret 9 617 anhängiggjorda ärenden, jämfört med 3 957 stycken föregående år. Helt nya ärendegrupper utgående från dataskyddsförordningen var anmälningar av dataskyddsombud, anmälningar om personuppgiftsincidenter och ärenden som gäller flera EU-länder, s.k. gränsöverskridande ärenden.

Behov av ytterligare resurser

Vid dataombudsmannens byrå strävade vi efter att anpassa vår verksamhet till århundrades dataskyddsform genom att utveckla hanteringen av kompetens. Vi beskrev nästan alla processer som utgår från våra nya uppgifter. Vi förnyade även systemet för vår verksamhetsstyrning. Personalen vid byrån utförde ett enormt arbete med knappa resurser. Jag vill rikta ett stort tack för detta till samtliga kollegor.

Som tur fick vi även tillgång till extra resurser. Jag tror att vår beredskap då det gäller substans ligger på europeisk toppnivå! I slutet av året inleddes rekryteringen av två biträdande dataombudsmän. Då de tillträder sina ämbeten får vi ett funktionsdugligt kollegium som förutsätts enligt den nationella dataskyddslagen och kan börja använda våra befogenheter i enlighet med dataskyddsförordningen. Kollegiet är ett internt organ inom dataombudsmannens byrå som fattar beslut om dataskyddslagstiftningens administrativa följder.

Behandlingstid av avgjorda ärenden sänkte i 2018.Även stiftandet av underrättelselagstiftningen var föremål för betydande intresse under verksamhetsområdet. Till oss tillföll närmast delen som gäller lagövervakning. Efter många skeden som delvis infallit under det innevarande året godkändes lagpaketet i fråga. Som en följd av detta kommer en självständig underrättelsetillsynsombudsmannatjänst och byrå att grundas i samband med dataombudsmannens byrå.

Dataskyddet föremål för mer intresse än någonsin tidigare

Även dataombudsmannens tidigare verksamhetsår har varit händelserika. Året som nu avslutas har dock enligt min egen erfarenhet varit exceptionellt jämfört med alla andra år. Den ovan beskrivna reformen och å andra sidan regeringens åtgärder då valperioden närmade sig sitt slut är orsaker till det intensiva verksamhetsåret. Även medias intresse för dataskydd har varit exceptionellt stort.

Ett nytt fenomen, åtminstone för mig personligen, var det stora antalet nya dataskyddsexperter på marknaden. Startskottet för dataskyddsförordningen var en guldålder för konsulter. Tyvärr var informationen som erbjöds personuppgiftsansvariga inte alltid av tillräcklig kvalitet. Den nya lagstiftningen ”marknadsfördes” av dessa företagare med fokus på hot om sanktioner. Detta kunde leda till att personuppgiftsansvariga vände sig inåt, då syftet med dataskyddsförordningen var att uppmuntra näringslivet att söka tillväxt i den digitala inre marknaden, där samma regler i och med förordningen gäller en marknad med 510 miljoner konsumenter.

Dataskyddet är en möjliggörare och framgångsfaktor. Då valåret 2019 närmade sig märkte man att dataskyddet fungerade som en garanti för demokratin. Cambridge Analytica-skandalen grundade sig långt på osaklig profilering. Vår uppmärksamhet fästes även vid artificiell intelligens. Digitaliseringen framskrider och det finns en önskan om att göra produktionen av tjänster snabbare och mer kostnadseffektiv. I enlighet med dataskyddsförordningen är det möjligt att godkänna användning av artificiell intelligens i medlemsstatens lagstiftning. Samtidigt måste man dock alltid ta hand om åtgärderna i syfte att skydda de registrerade.

Reijo Aarnio
dataombudsman

Läs mer:

Anhängiggjorda och avgjorda ärenden 2017 och 2018 (på finska)
Europeiska dataskyddsstyrelsens riktlinjer
Europeiska dataskyddsstyrelsens yttranden
Verksamhetsberättelse 2018 (pdf)