Verksamhetsberättelse 2020

Dataombudsmannens byrå tryggar rättigheter och friheter i behandlingen av personuppgifter

Dataombudsmannens byrå är en självständig och oberoende myndighet som övervakar efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter.

Dataombudsmannens byrå främjar medvetenheten om rättigheter och skyldigheter som förknippas med behandling av personuppgifter, påför vid behov administrativa påföljder för överträdelser av EU:s allmänna dataskyddsförordning, utför utredningar och granskningar samt ger utlåtanden om lagstiftningsmässiga och administrativa reformer. Dataombudsmannen samarbetar med andra staters tillsynsmyndigheter och representerar Finland i Europeiska dataskyddsstyrelsen.

Reijo Aarnio var dataombudsman fram till slutet av oktober 2020. Anu Talus började som dataombudsman i början av november, då Aarnio gick i pension efter sin långvariga tjänst. Innan Talus tillträdde tjänsten som dataombudsman var hon biträdande dataombudsman. Jari Råman var den andra biträdande dataombudsmannen.

Läs verksamhetsberättelsen: Dataombudsmannens byrås verksamhetsberättelse 2020 (pdf)

Dataombudsman Anu Talus: Reformernas år 2020

Dataombudsman Anu Talus       I januari 2020 anordnade dataombudsmannens byrå tillsammans med Alma Talent den första dataskyddsdagen. Evenemanget visade sig bli en succé och målet är att etablera dataskyddsdagen som ett årligen återkommande evenemang.

Dataskyddsdagen torde vara ett av de sista evenemangen där det också var möjligt att träffa internationella kollegor. Coronapandemin präglade året hos oss på samma sätt som på andra ställen. Dataombudsmannens byrå gav anvisningar i många coronarelaterade frågor på sin webbplats. Vår byrå flyttade in i nya lokaler under coronavåren 2020, vilket också medförde sina utmaningar.

Trots att coronatiden har prövat samhället på många olika sätt, var det glädjande att märka att frågor gällande skyddet av personuppgifter beaktades proaktivt i coronaåtgärderna i Finland. Finlands coronadiskussion har beskrivits som juridiserad, men ur ett dataskyddsperspektiv var detta enbart positivt. Även Coronablinkern-applikationen kunde utvecklas med hänsyn till de ramar som dataskyddslagstiftningen ställer.

Antalet ärenden som anhängiggjordes hos dataombudsmannens byrå fortsatte öka. Antalet anhängiggjorda ärenden mångdubblades då den allmänna dataskyddsförordningen började tillämpas år 2018 och handläggningen av ärenden blev hårt belastad. I början av 2020 började man lösa arbetsanhopningen systematiskt på byrån. Lösningen av anhopningen avancerade enligt plan, men samtidigt ökade antalet inkommande ärenden ytterligare. Under 2020 anhängiggjordes 937 fler ärenden än året innan. Anmälningar om personuppgiftsincidenter utgjorde redan över en tredjedel av alla anhängiggjorda ärenden år 2020. Under året började vi också utveckla och effektivisera handläggningsprocessen för anmälningar av personuppgiftsincidenter.

I maj 2020 hade det gått två år sedan den allmänna dataskyddsförordningen började tillämpas och Europeiska kommissionen publicerade en utvärdering om tillämpningen av dataskyddsförordningen. Beredningen av kommissionens rapport inföll lämpligt nog under Finlands EU-ordförandeskap. I rapporten konstaterades att större delen av lagstiftningsreformens mål hade uppnåtts och att den nya lagstiftningen har förbättrat medborgarnas rättigheter. Enligt rapporten bör dock en enhetlig tillämpning av lagstiftningen fortfarande effektiviseras.

Förra året var också en tid för stora beslut. Påföljdskollegiet vid dataombudsmannens byrå påförde de första administrativa påföljdsavgifterna för brott mot dataskyddslagstiftningen. Sammanlagt fattades fem beslut om administrativa påföljdsavgifter. Fyra av dessa har överklagats hos förvaltningsdomstolen. Det största av påföljdskollegiets beslut uppgick till ett belopp på 100 000 euro.

Även Europeiska unionens domstol meddelade betydande beslut om skyddet av personuppgifter under året. I juli meddelade EU-domstolen sitt avgörande i det så kallade Schrems II-målet (C-311/18). Genom beslutet hävdes Privacy Shield-arrangemanget och ramverket för överföringar av uppgifter till tredjeländer ändrades. Europeiska dataskyddsstyrelen meddelade för sin del sitt första beslut i ett ärende som gäller Twitter genom ett tvistlösningsförfarande. Den irländska tillsynsmyndigheten meddelade sitt avgörande baserat på tvistlösningsbeslutet och påförde företaget en påföljdsavgift på 450 000 euro.

Dataskyddshösten fortsatte i mycket aktiva tecken. Dataombudsmannens byrå fick tillsammans med TIEKE rf finansiering från kommissionen för att utveckla ett verktyg som mäter nivån på dataskyddet riktat mot små och medelstora företag. Projektet startade i slutet av året och pågår i cirka två år.

Under hösten firades den långvarige dataombudsmannen Reijo Aarnios pensioneringsfest.

Reijo Aarnios pensionering inträffade samtidigt som den genom tiderna största finländska personuppgiftsincidenten. Psykoterapicentret Vastaamo lämnade en anmälan om personuppgiftsincident till dataombudsmannens byrå den 21 oktober 2020. Samtidigt togs även andra frågor gällande skyddet av personuppgifter till diskussion, som förutsättningarna för att behandla personbeteckningar.

När jag sammanställer förra årets händelser kan jag inte undgå tanken om att året var fullt av betydande förändringar, stora utvecklingssteg, dataskyddshändelser och även överraskningar. Och samma gäller nästa år.

Biträdande dataombudsman Jari Råman: Inspektioner under coronatiden och frågor gällande teknologi för jämförelse av ansiktsbilder inom verksamhetsområdet för den inre säkerheten

Biträdande dataombudsman Jari Råman                        År 2020 övervakades behandlingen av personuppgifter som utförs av behöriga myndigheter enligt dataskyddslagen för brottmål för första gången genom inspektioner enligt en utarbetad plan. Tillsynsverksamheten präglades särskilt av den ökade användningen av teknologi för jämförelse av ansiktsbilder. Det så kallade verksamhetsområdet för den inre säkerheten omfattar utöver de till sitt personalantal största personuppgiftsansvariga inom statsförvaltningen, Försvarsmakten och polisen, även Tullen, Gränsbevakningsväsendet, räddningsväsendet, nödcentralverksamhet, mig-rationsförvaltningen samt domstolarna, Åklagarmyndigheten och Brottspåföljdsmyndigheten.

Inspektioner är en metod som dataombudsmannens byrå använder för att utföra sitt tillsynsuppdrag. Genomförandet av den första inspektions-planen enligt den nya formen visade att den har ett tydligt mervärde, trots att verksamheten tar resurser från de övriga uppgifterna för dataombuds-mannens byrå och också sysselsätter föremålen för inspektionerna. Under inspektionerna gjordes nyttiga observationer i synnerhet om utvecklingen av anvisningar och utbildning om behandlingen av personuppgifter samt effektivisering av den interna laglighetsövervakningen.

Vid inspektionerna framgick inget behov av utövandet av särskilda befogenheter. De observationer som framförs i inspektionsberättelserna har tagits på allvar och utförandet av korrigerande åtgärder visar att de behöriga myndigheterna väl har förstått att utvecklingen av dataskyddet stödjer utvecklingen av såväl lagenligheten som effektiviteten i verksamheten. Inspektionerna var särskilt effektfulla när det gäller utvecklingen av behandlingen av personuppgifter relaterad till hotbedömningar som myndigheterna genomfört.

Frågor som gäller användningen av teknologier för jämförelse av ansiktsbilder var fortfarande aktuella i säkerhetsmyndigheternas verksamhet. Polisen utökade användningen av teknologin för jämförelse av ansiktsbilder till bildmaterial som lagrats inom brottsbekämpning, och dataombudsmannens byrå hänvisade polisen till lagenliga verksamhetssätt i samband med föregående samråd. Den gällande lagstiftningen möjliggör inte användningen av online-ansiktsigenkänning i realtid ur ett bildflöde.

Även användningen av Clearview AI-ansiktsigenkänningsteknologin väckte befogad oro i Europa. I Finland framkom problem beträffande användningen av denna teknologi i säkerhetsmyndigheternas verksamhet trots flera tillsynsåtgärder först under 2021, och behandlingen av ärendet fortgår i skrivande stund. Sveriges beslut gällande ärendet är betydande på många sätt. Den personuppgiftsansvarige är ansvarig även om teknologin skulle användas utan godkännande – medvetenheten om korrekt praxis ligger på den personuppgiftsansvariges ansvar. När det gäller biometriska data ska man vara särskilt omsorgsfull i fråga om att säkerställa och påvisa lagenliga verksamhetssätt.

Automatiserat beslutsfattande skapade fortfarande diskussion när det gäller utvecklingen av verksamhetsområdets lagstiftning. Migrationsförvaltningens personuppgiftslag antogs utan bestämmelser om automatiserat beslutsfattande, främst på grund av brister i den allmänna lagstiftningen för förvaltningen. När det gäller regleringen om principerna om behandling av personuppgifter och i synnerhet automatiserade enskilda beslut kan teknologin tillämpas neutralt även i automatiserat beslutsfattande inom förvaltningen. Justitieministeriet beredde därför en bedömningspromemoria och inrättade en arbetsgrupp för att bereda allmän lagstiftning som gäller automatiserat beslutsfattande inom förvaltningen. Arbetet kommer förhoppningsvis att avancera raskt och utvecklingen av automatiserat beslutsfattande kan framskrida kontrollerat inom förvaltningen.

Trots coronatidens utmaningar kunde vi i huvudsak utföra inspektioner enligt plan, även om vissa av dem utfördes med undantagsarrangemang. Erfarenheterna av distansinspektioner var huvudsakligen positiva och de kommer att användas även efter coronatiden.

Utifrån de goda erfarenheterna kommer dataombudsmannens byrå att även i fortsättningen utföra inspektioner hos myndigheter inom den inre säkerheten enligt den nya modellen.

Tyngdpunktsområden för dataskyddsarbetet

Dataombudsmannens byrå påförde de första administrativa påföljdsavgifterna

Påföljdskollegiet vid dataombudsmannens byrå påförde de första administrativa påföljdsavgifterna för brott mot dataskyddslagstiftningen i maj 2020. Kollegiet har till uppgift att påföra påföljdsavgifter enligt dataskyddslagstiftningen till personuppgiftsansvariga eller personuppgiftsbiträden. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Dataombudsmannen är ordförande för kollegiet.

Administrativa påföljdsavgifter är en av de korrigerande befogenheter som dataombudsmannens byrå har möjlighet att använda. Påföljdsavgiften kan påföras utöver eller i stället för andra korrigerande åtgärder. Påföljden ska vara avskräckande, effektiv och proportionell. Påföljdsavgiften kan vara högst 4 % av företagets omsättning eller 20 miljoner euro. Påföljdsavgiften kan inte påföras organisationer inom den offentliga förvaltningen, som staten och statens affärsverk, kommuner och församlingar.

Under 2020 påförde påföljdskollegiet administrativa påföljdsavgifter till sammanlagt fem företag för brott mot dataskyddslagstiftningen

  • Posti Ab påfördes en påföljdsavgift på 100 000 euro för brister i informationen till dem som gjort en flyttanmälan. Företaget borde i samband med att flyttanmälan görs tydligt ha berättat att kunderna har rätt att göra invändningar mot behandlingen av personuppgifter och utlämnande av personuppgifter för direktmarknadsföringsändamål. Förseelsen gällde 161 000 kunder enbart under 2019.
  • Kymen Vesi Oy påfördes en påföljdsavgift på 16 000 euro för underlåtenhet att göra en konsekvensbedömning gällande behandlingen av de anställdas positionsuppgifter. Konsekvensbedömningen borde ha gjorts innan företaget började behandla positionsuppgifter som det insamlade genom att lokalisera fordon med hjälp av ett kördatasystem.
  • En påföljdsavgift på 12 500 euro påfördes ett företag som samlade in personuppgifter om arbetssökande i en otillbörligt stor omfattning. Företaget hade ställt arbetssökande frågor som gällde till exempel hälsotillstånd och familjeförhållanden, vilka inte var nödvändiga med tanke på anställningsförhållandet.
  • Taksi Helsinki påfördes en påföljdsavgift på 72 000 euro för flera brister i behandlingen av personuppgifter. Företaget hade bland annat inte bedömt lagenligheten i behandlingen av personuppgifter gällande sitt kameraövervakningssystem eller informerat kunderna av inspelningen av ljud på det sätt som den allmänna dataskyddsförordningen förutsätter.
  • ACC Consulting Varsinais-Suomi påfördes en påföljdsavgift på 7 000 euro för sändning av elektroniska direktmarknadsföringsmeddelanden utan ett på förhand givet samtycke och för underlåtenhet att tillgodose den registrerades rättigheter. Företaget hade inte besvarat begäranden om den registrerades rättigheter eller tillgodosett dem och inte kunnat visa att personuppgifterna hade behandlats lagenligt.

Utnämning av sakkunnignämnd

Statsrådet tillsatte för första gången en sakkunnignämnd i enlighet med dataskyddslagen. Sakkunnignämnden som är förlagd till dataombudsmannens byrå har till uppgift att på begäran av dataombudsmannen ge utlåtanden om frågor som gäller tillämpningen av lagstiftningen om behandlingen av personuppgifter. Nämndens mandatperiod är 1.10.2020–30.9.2023.

Nämnden består av ordförande, en vice ordförande och tre ledamöter som var och en har en personlig ersättare. Nämndens ledamöter är utomstående sakkunniga. Dessutom kan nämnden vid behov höra andra sakkunniga.

Sakkunnignämnden sammanträder vid behov sammankallad av ordföranden. Nämnden har inte någon formell beslutanderätt.

Sakkunnignämnden

  • Ordförande: biträdande professor Riikka Koulu
  • Ersättare för ordföranden: docent, advokat Tobias Bräutigam
  • Vice ordförande: lagstiftningsråd Tanja Jaatinen
  • Ersättare för vice ordföranden: lagstiftningsråd, enhetschef Sami Kivivasara
  • Ledamot: gruppchef Riikka Rosendahl
  • Personlig ersättare: diplomingenjör Antti Poikola
  • Ledamot: generalsekreterare, ledande sakkunnig Kimmo Rousku
  • Personlig ersättare: dataskyddschef, dataskyddsombud Leila Hanhela-Lappeteläinen
  • Ledamot: direktör Tommi Toivola
  • Personlig ersättare: advokat, delägare Eija Warma-Lehtinen

Åtgärder för att lösa arbetsanhopningen

Dataombudsmannens byrå startade i januari 2020 ett projekt för att lösa arbetsanhopningen. Målet med projektet är att lösa den anhopning av oavgjorda ärenden som anhängiggjorts åren 2014–2018. I början av 2020 fanns det sammanlagt 2 327 sådana gamla ärenden som anhängiggjorts åren 2014–2018.

I slutet av år 2020 fanns det drygt 400 gamla ärenden anhängiga. Av dessa var 188 sådana ärenden som behandlas i internationellt förfarande och vars handläggning beror på åtgärderna hos en annan stats dataskyddsmyndighet.

I samband med att anhopningen av gamla ärenden avgjordes även nyare ärenden, som anhängiggjorts åren 2019–2020. I slutet av år 2020 fanns det sammanlagt cirka 1 550 anhängiga ärenden som anhängiggjorts åren 2016–2019. Från januari 2020 minskade siffran under året med cirka 800 ärenden. Projektet för att lösa arbetsanhopningen fortsätter under 2021 vid dataombudsmannens byrå.

Handläggning av gränsöverskridande ärenden

Med gränsöverskridande handläggning avses behandling av personuppgifter som

  • utförs vid verksamhetsställen i fler än en medlemsstat i EU och då den personuppgiftsansvarige eller personuppgiftsbiträdet har sin etableringsplats i fler än en medlemsstat eller
  • utförs i EU vid ett enda verksamhetsställe för den personuppgiftsansvarige eller personuppgiftsbiträdet, men behandlingen i väsentlig grad påverkar registrerade som finns i fler än en medlemsstat.

När behandlingen av personuppgifter är gränsöverskridande, övervakar de europeiska tillsynsmyndigheterna behandlingen av personuppgifter i samarbete. För ett ärende som handläggs i samarbete fastställs en ledande tillsynsmyndighet som ska samarbeta med de tillsynsmyndigheter som deltar i handläggningen av ärendet. Syftet med samarbetsmekanismen är att säkerställa att EU:s allmänna dataskyddsförordning tillämpas enhetligt i olika EU-länder.

Under 2020 började gränsöverskridande ärenden som handläggs inom samarbetsmekanismen anhängiggöras allt mer. I juni publicerade Europeiska dataskyddsstyrelsen ett register över dataskyddsmyndigheternas beslut som fattats i gränsöverskridande samarbete.

I november 2020 godkände dataskyddsstyrelsen sitt första bindande tvistlösningsbeslut i ett ärende som handlagts inom gränsöverskridande samarbete. Tvistlösningsbeslutet gällde ett ärende där den irländska tillsynsmyndigheten som ledande tillsynsmyndighet hade meddelat ett beslutsförslag som rör Twitter International Company. I fallet var det frågan om en personuppgiftsincident som berörde cirka 88 700 registrerade. Flera deltagande tillsynsmyndigheter motsatte sig Irlands beslutsförslag, varefter den irländska tillsynsmyndigheten överförde ärendet till dataskyddsstyrelsens tvistlösningsförfarande. Den irländska tillsynsmyndigheten gav ett slutligt avgörande på basis av dataskyddsstyrelsens beslut.

Dataombudsmannens byrå behandlade i samarbete med den estniska tillsynsmyndigheten ett fall där ett företag som ordnar hundresor och som är verksamt i Estland hade fört en lista på sin webbplats över personer som var skyldiga företaget pengar. Företaget reagerade inte på den första kontakten från den estniska tillsynsmyndigheten, men tog bort listan efter den andra kontakten. Den estniska tillsynsmyndigheten gav företaget en anmärkning om brott mot dataskyddslagstiftningen.

Inspektionsverksamhet

Under 2020 effektiviserade dataombudsmannens byrå den planmässiga inspektionsverksamheten riktad mot myndigheter för den inre säkerheten. Biträdande dataombudsmannen utförde under året sammanlagt 11 inspektioner riktade mot myndigheter för den inre säkerheten. Föremål för inspektionerna var bl.a. Polisstyrelsen, Skyddspolisen, Brottspåföljdsmyndigheten och

Gränsbevakningsväsendet, Rättsregistercentralen och Försvarsmakten. Inspektionsobjekten och de förfaranden som inspekterades prioriterades utifrån en riskanalys och effektiviteten. Inspektionsobjekten var bland annat anvisningar och utbildning gällande behandlingen av personuppgifter som en del av ansvarsskyldigheten samt det praktiska genomförandet av laglighetsövervakningen.

Inspektionsobjekt var också myndigheternas olika rutiner för behandlingen av personuppgifter, som tillämpning av säkerhetsutredningslagen och funktioner relaterade till hotanalyser som myndigheterna gjort. På basis av inspektionerna gavs de personuppgiftsansvariga mångahanda handledning.

Antalet personuppgiftsincidenter fortsatte öka

Anmälningar om personuppgiftsincidenter utgör den största enskilda gruppen av ärenden som anhängiggjorts vid dataombudsmannens byrå. Under 2020 gjordes 4 276 anmälningar om personuppgiftsincidenter till dataombudsmannens byrå, vilket var 437 fler anmälningar än året innan. En personuppgiftsincident ska anmälas till dataombudsmannens byrå, om incidenten kan äventyra fysiska personers rättigheter och friheter. Anmälningsskyldigheten började i maj 2018.

Den överlägset största delen av personuppgiftsincidenterna beror på att flera saker utförs samtidigt och i brådska. När det gäller personuppgifter ska flera saker inte göras samtidigt, eftersom det ökar antalet slarvfel. Personuppgiftsincidenter kan också förebyggas genom att skydda databaser i enlighet med allmänt accepterad praxis, med hjälp av systemtestning samt genom att se till att anvisningarna är i ordning.

Den mest betydande personuppgiftsincidenten under 2020 var dataintrånget hos psykoterapicentret Vastaamo, som blev offentlig i oktober, då tiotusentals människors personuppgifter och patientjournaler stals och läcktes ut på nätet. Dataombudsmannens byrå ålade företaget att informera de kunder som blivit föremål för dataintrånget personligen om intrånget.

Dataombudsmannens byrå började också utreda huruvida Vastaamos verksamhet var lagenlig. I utredningen bedöms särskilt om iakttagandet av skyldigheter avseende säker behandling av personuppgifter, anmälan om personuppgiftsincidenten och den personuppgiftsansvariges ansvarsskyldighet och de åtgärder som vidtagits utifrån dessa varit tillbörliga hos Vastaamo. Dataombudsmannens byrå samordnar utredningen i samarbete med centralkriminalpolisen och andra myndigheter. Avsikten är att utredningen ska slutföras trots att företaget försattes i konkurs i februari 2021.

Personal och ekonomi

– den nya organisationsstrukturen etablerades, förändringar i sammansättningen av ombudsmän

Under 2020 ökade antalet anställda vid dataombudsmannens byrå till 48 personer. Ansökan till uppgiften som andra biträdande dataombudsman inleddes hösten 2020, då Anu Talus, som verkat som biträdande dataombudsman, utnämndes till ny dataombudsman. Juris magister Heljä-Tuulia Pihamaa, som utnämndes till tjänsten som biträdande dataombudsman, tillträdde tjänsten i mars 2021.

På dataombudsmannens byrå finns tre kundtjänstgrupper, av vilka en koncentrerar sig i huvudsak på ärenden som hänför sig till privata sektorn och gränsöverskridande ärenden, en på ärenden som hänför sig till offentliga sektorn och ärenden som behandlas nationellt och den tredje på ärenden som hänför sig till dataskyddsdirektivet och dataskyddslagen. Byråns förvaltnings-, rådgivnings- och registratorstjänster är centraliserade till förvaltningsenheten. I gruppen Gemensamma funktioner ingår IT-specialsakkunniga, kommunikationer och dataskyddsombudet. I separata processgrupper samordnas även rutiner och projekt relaterade till vissa ärendehelheter, som personuppgiftsincidenter, den registrerades rättigheter och konsekvensbedömning.

I april 2020 flyttade dataombudsmannens byrå till nya lokaler i Fågelviken i Helsingfors. I och med förordnanden och rekommendationer om distansarbete på grund av COVID-19-pandemin tog byrån i bruk nya slags digitala arbetssätt. I den nya situationen blev personalens välbefinnande och säkerhet i arbetet särskilt viktiga.

I personalens sammansättning syntes särskilt projektet för att lösa arbetsanhopningen som startade i börja av året och som byrån rekryterade ny personal för. Under året arbetade fyra överinspektörer och två juridiska sakkunniga med projektet för att lösa arbetsanhopningen.