Verksamhetsberättelse 2021
Dataombudsmannens byrå tryggar rättigheter och friheter i behandlingen av personuppgifter
Dataombudsmannens byrå är en självständig och oberoende myndighet som övervakar efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter.
Under 2021 var dataombudsmannen Anu Talus. Jari Råman och Heljä-Tuulia Pihamaa var biträdande dataombudsmän. Justitie magister Pihamaa utnämndes till biträdande dataombudsman i januari 2021 och hon började sin tjänst i mars.
Läs verksamhetsberättelsen:
Verksamhetsberättelse 2021 Dataombudsmannens byrå (pdf)
Dataombudsmannen Anu Talus: Översikt över året 2021
Året 2021 präglades av coronapandemin. Trots coronaläget anordnades ett seminarium på den internationella dataskyddsdagen nu för andra gången, denna gång på distans. Trots att webbinarier inte kan erbjuda oss den viktiga möjligheten att träffa våra kollegor och skapa nätverk, är det å andra sidan enkelt att delta även om man befinner sig utanför Helsingfors.
I januari utnämnde statsrådet Heljä-Tuulia Pihamaa till biträdande dataombudsman. Hon började sin tjänst i mars 2021.
Ökningen av antalet anhängiga ärenden har pågått i flera år, men har nu stannat av. Under 2021 blev ungefär lika många ärenden anhängiga som under 2020, något under 11 000. Byrån har sedan 2020 systematiskt vidtagit åtgärder för att lösa arbetsanhopningen och lyckats ta itu med anhopningen av anhängiggjorda ärenden.
Dataombudsmannens byrå gav ett stort antal beslut och utlåtanden och hördes av riksdagens utskott. Klagomål handlade ofta om frågor om de registrerades rättigheter och i synnerhet om granskningsrätten. I flera av besluten drog vi också upp riktlinjer om uppgiftsminimering och standardiserat och inbyggt dataskydd, alltså ”privacy by design”. De registrerades rättigheter tillgodoses allra bäst när dataskyddet införlivas i planeringen av nya tekniker, plattformar och applikationer redan från början. Vi kommer att fästa uppmärksamhet vid denna skyldighet enligt den allmänna dataskyddsförordningen även i framtiden. I avgörandepraxisen betonades beröringspunkterna mellan dataskyddet och datasäkerheten, säker behandling av uppgifter och oaktsamhet.
Uppdateringsarbetet av dataombudsmannens byrås strategi sparkades igång med en enkät för att kartlägga intressentgruppernas och medborgarnas synpunkter som blev färdig i maj. Enkätens resultat visade att expertisen och pålitligheten hos dataombudsmannens byrå uppskattas, men det finns utrymme för utveckling i kundorienteringen.
Till stöd av personuppgiftsansvariga publicerade vi en anvisning om konsekvensbedömningar i december. Under 2021 fortsatte vi också med GDPR2DSM-projektet i samarbete med TIEKE rf. Projektet inleddes förra hösten med finansiering från EU-kommissionen och riktas till SMF-företag. Som underlag för arbetet kartlade vi SMF-företagens dataskyddsutmaningar och -behov under våren. Workshopparna för utveckling av verktygen inleddes på sommaren och projektets webbinarier på hösten.
Påföljdskollegiets rutiner för behandling av ärenden etablerades under 2021. Vid förfarandet för hörande av personuppgiftsansvariga bereds personuppgiftsansvariga möjlighet att bli hörda innan ärendet behandlas av påföljdskollegiet. Under hörandet presenteras de faktiska omständigheterna av ärendet och föredragandens preliminära bedömning till personuppgiftsansvariga. Under året gav förvaltningsdomstolen sina första avgöranden där domstolen konstaterade att förfarandet följde förvaltningslagen.
Påföljdskollegiet påförde sammanlagt sju personuppgiftsansvariga påföljdsavgifter under året. Påföljdsavgifter påfördes bland annat en personuppgiftsansvarig som använt sig av robotsamtal utan adekvat samtycke samt ett privat parkeringsövervakningsföretag som behandlat personuppgifter i strid med lagen. Ärendet om Psykoterapiakeskus Vastaamo slutfördes vid dataombudsmannens byrå med påföljdskollegiets behandling. Vastaamo påfördes en påföljdsavgift. Dessutom påfördes påföljdsavgifter en yrkeshögskola för onödig behandling av de anställdas positionsuppgifter och Trafikförsäkringscentralen för alltför omfattande insamling av patientuppgifter.
Andra betydande beslut under 2021 var en anmärkning till polisen för användning av Clearview Ai-ansiktsigenkänningsteknologi samt ett beslut där man ansåg att skatteuppgifter som publicerats i medierna utgör behandling av personuppgifter för journalistiska ändamål. Ett företag som förmedlade kundernas personuppgifter till sina anställdas personliga telefoner via WhatsApp fick en anmärkning.
Europeiska dataskyddsstyrelsen fortsatte också sitt arbete på distans. Betydande händelser vid dataskyddsstyrelsen var bland annat ett bindande tvistlösningsbeslut i ett ärende som gällde WhatsApp och det första brådskande beslutet. Dataombudsmannens byrå gav sitt första beslut i ett gränsöverskridande ärende i egenskap av den ledande tillsynsmyndigheten.
Internationella dataöverföringar fortsatte att ha en betydande roll inom dataskyddsfrågor även under 2021. Europeiska kommissionen fattade två separata likvärdighetsbeslut om dataskyddet i Storbritannien. Det ena av besluten fattades i enlighet med dataskyddsdirektivet för brottmål och var det första i sitt slag. Dataöverföringar till tredje länder kommer att vara angelägna även i framtiden genom uppdaterade ramverk och anvisningar.
Anu Talus
Dataombudsman
Biträdande dataombudsman Heljä-Tuulia Pihamaa: Handledning under pandemitiden och dataskyddsfrågor i det digitaliserande samhället
2021 präglades ännu av coronapandemin, precis som året innan. Vi gav sakkunnigutlåtanden om lagstiftningsförslag och besvarade förfrågningar och klagomål som förknippades med corona.
Vi gav flera sakkunnigutlåtanden om lagstiftningsprojekt som hänför sig till reformen av social- och hälsovårdslagstiftningen. Som under tidigare år utgjorde ärenden som förknippas med social- och hälsovården den största branschen för dataombudsmannens byrå under 2021 mätt i antalet anhängiggjorda ärenden. Under 2021 handlade närmare 30 % av de ärenden som anhängiggjorts vid dataombudsmannens byrå social- och hälsovården. Anmälningar om personuppgiftsincidenter utgjorde en betydande del av dessa ärenden. I branscher där särskilda personuppgifter behandlas uppnås tröskeln för anmälan till myndigheten ofta, vilket för sin del förklarar det höga antalet anmälningar om social- och hälsovårdssektorn i förhållande till andra branscher.
En enkät om dataskydd som genomfördes tillsammans med FPA och Institutet för hälsa och välfärd visade social- och hälsovårdssektorns behov för konkreta anvisningar för anmälningspraxis av personuppgiftsincidenter. För att besvara detta behov upprättade vi under senare delen av år 2021 en anvisning om skyldigheten att anmäla personuppgiftsincidenter som riktades särskilt till aktörer inom social- och hälsovården. Vi hoppas att anvisningen kan vara till hjälp även i andra branscher. Det är uppenbart att det fortfarande finns behov av handledning i anmälning av personuppgiftsincidenter. Därför kommer vi att uppdatera anvisningen under 2022.
Som det övriga samhället digitaliseras även undervisningsbranschen. Fenomenet berör alla undervisningsanordnare och läroanstalter.
Man torde kunna säga att undervisningssektorn tog ett så kallat digitalt språng under pandemitiden och undervisningen övergick i ilfart till en digital miljö. Denna utveckling visade sig även i ärenden om undervisningssektorn som anhängiggjorts vid dataombudsmannens byrå och som ofta handlade om dataskyddsfrågor i anknytning till applikationer som används i undervisningen. Vid införandet av digitala tjänster ska man utöver lagstiftningen om behandling av personuppgifter även beakta andra bestämmelser som gäller för undervisningsväsendet. Därför lämnade vi in ett initiativ till Utbildningsstyrelsen om att upprätta anvisningar för införandet av applikationer som utnyttjas i undervisningen. Vår förhoppning och målsättning är att detta arbete som förutsätter samarbete framskrider under 2022 och att man även ska adekvat beakta frågor som förknippas med behandlingen av elevernas personuppgifter i applikationer som används i undervisningen.
Vi strävade efter att säkerställa att dataskyddslagstiftningen efterlevs i det finländska arbetslivet genom intressegruppssamarbete med bland annat arbetarskyddsmyndigheten samt genom utlåtanden om lagstiftningsprojekt och statsförvaltningens anvisningar. Under coronapandemin var frågan om huruvida arbetsgivaren får behandla uppgifter om arbetstagarnas coronavaccinationer kortvarigt en av de vanligaste frågorna till dataombudsmannens byrå. Vi ville svara på informationsbehovet under pandemitiden i synnerhet med allmänna anvisningar på byråns webbplats.
Byrån deltog också i ett trepartsutredningsarbete om behoven att ändra dataskyddslagen för arbetslivet. Utredningsarbetet syftar bland annat till att minska de utmaningar som förekommit vid lagstiftningens tillämpning. Arbetet fortsätter under 2022.
Heljä Tuulia Pihamaa
Biträdande dataombudsman
Tyngdpunktsområden för dataskyddsarbetet
Påföljdsavgifter för överträdelser av dataskyddslagstiftningen
Dataombudsmannens påföljdskollegium har till uppgift att påföra personuppgiftsansvariga eller personuppgiftsbiträden administrativa påföljdsavgifter i enlighet med dataskyddsförordningen. Påföljdskollegiet består av dataombudsmannen och två biträdande dataombudsmän. Dataombudsmannen är kollegiets ordförande. Kollegiet inledde sin verksamhet under hösten 2019, och de första administrativa påföljdsavgifterna påfördes i maj 2020.
Administrativa påföljdsavgifter är en av de korrigerande befogenheter som dataombudsmannens byrå kan använda. Påföljdsavgiften kan påföras utöver eller i stället för andra korrigerande åtgärder, och avgiften kan vara högst 4 % av företagets omsättning eller 20 miljoner euro. Påföljdsavgiften kan inte påföras organisationer inom den offentliga förvaltningen, såsom staten och statens affärsverk, kommuner och församlingar.
Påföljden ska vara avskräckande, effektiv och proportionell. Under 2021 gav påföljdskollegiet ett avgörande där man inte påförde en påföljdsavgift. Avgörandet gäller en underentreprenör som i egenskap av ett personuppgiftbiträde genomfört direktmarknadsföring i form av samtal för en personuppgiftsansvarig. Att påföra en påföljdsavgift skulle i relation till överträdelsens allvarlighetsgrad ha varit effektivt och avskräckande, men inte proportionellt. I sin bedömning beaktade kollegiet bland annat företagets omsättning och dess anhängiggjorda konkursansökan.
Under 2021 påförde påföljdskollegiet sammanlagt sju organisationer påföljdsavgifter för överträdelser av dataskyddslagstiftningen.
- ParkkiPate Oy påfördes en påföljdsavgift på 75 000 euro för dataskyddsförseelser i samband med parkeringsövervakningsavgifter. Överträdelserna gällde bland annat underlåtenhet att tillgodose de registrerades rättigheter och brister i begränsningen av uppgifternas förvaringstid. Dessutom behandlade företaget i regel personuppgifter mer omfattande än vad som skulle ha varit nödvändigt för identifiering.
- Ett tidningsförlag påfördes en påföljdsavgift på 8 500 euro för direktmarknadsföring utan samtycke. I samband med robotsamtal hade man inte sett till att de registrerade kan utnyttja sina dataskyddsrättigheter. Den personuppgiftsansvariga och dess underentreprenör som genomförde marknadsföringssamtalen hade inte heller upprättat något behandlingsavtal för direktmarknadsföringen.
- En högskola påfördes en påföljdsavgift på 25 000 euro för dataskyddsförseelser vid behandlingen av positionsuppgifter från arbetstidsuppföljningen. Arbetsgivaren behandlade de anställdas positionsuppgifter utan fog och utan rättslig grund med en mobilapplikation som är avsedd för stämpling av arbetstid.
- I december 2021 påförde påföljdskollegiet Psykoterapiakeskus Vastaamo Oy en påföljdsavgift på 608 000 euro för dataskyddsförseelser. Vastaamo hade försummat grundläggande åtgärder för säker behandling av personuppgifter samt sina skyldigheter i anknytning till anmälan om dataintrång. Vastaamo borde utan dröjsmål ha anmält dataintrånget både till dataombudsmannen och till sina kunder, eftersom intrånget orsakade en hög risk för de som drabbades. Brister observerades även i upprättandet av dokumentation i enlighet med ansvarsskyldigheten.
- Påföljdskollegiet påförde en läkarklinik en administrativ påföljdsavgift på 5 000 euro för av försummelser av den registrerades rättigheter. Läkarkliniken hade inte tillgodosett kundens rätt till insyn i sina patientuppgifter på tillbörligt sätt, och det fanns brister i klinikens förfaringssätt i fråga om tillgodoseendet av den registrerades rättigheter. Kliniken uppgav inte heller tydligt för vilka uppgifter kliniken är personuppgiftsansvarig.
- En resebyrå påfördes en påföljdsavgift på 6 500 euro för brister i säker behandling av uppgifter och tillgodoseendet av den registrerades rättigheter. Resebyrån hade bland annat använt en nätförbindelse som inte var krypterad för ett visumansökningsformulär och lagrat formulär som innehöll personuppgifter på en öppen webbserver.
- Trafikförsäkringscentralen påfördes en påföljdsavgift på 52 000 euro för alltför omfattande insamling av patientuppgifter. Dataombudsmannens byrå har utrett Trafikförsäkringscentralens tillvägagångssätt vid begäranden av patientuppgifter från hälso- och sjukvården för handläggning av ersättningsärenden. Trafikförsäkringscentralen hade systematiskt begärt patientuppgifter om personer som ansökt om ersättning utan att avgränsa vilka uppgifter som behövs.
Åtgärder för att lösa arbetsanhopningen, förnyade processer
Antalet anhängiga ärenden vid dataombudsmannens byrå har ökat för varje år sedan den allmänna dataskyddsförordningen trädde i kraft. Under 2021 stabiliserade sig antalet anhängiga ärenden vid dataombudsmannens byrå till samma nivå som året innan, och sammanlagt 10 816 ärenden anhängiggjordes. Under 2021 behandlade dataombudsmannens byrå 519 fler ärenden än vad som anhängiggjordes under året, sammanlagt 11 380 stycken.
Sedan år 2020 har dataombudsmannens byrå systematiskt vidtagit åtgärder för att lösa arbetsanhopningen. Detta projekt fortsatte också under 2021.
Byrån utvecklade sina interna förfaringssätt för att effektivisera behandlingen av ärenden. Under sommaren infördes ett nytt förfaringssätt för prioritering och sortering av ärenden med syfte att förenhetliga praxisen vid behandlingen av ärenden och trygga likabehandling av kunderna. Det nya förfaringssättet underlättar personalens tidshantering och planmässig fördelning av resurserna.
Anmälningar om personuppgiftsincidenter utgör drygt 40 procent av ärenden som anhängiggjorts vid dataombudsmannens byrå. Under hösten infördes en ny sorteringsprocess för anmälningar om personuppgiftsincidenter vid byrån. Med processen blir behandlingen av anmälningarna effektivare och de åtgärder som krävs smidigare.
Handläggning av gränsöverskridande ärenden
Med gränsöverskridande handläggning avses behandling av personuppgifter som utförs vid verksamhetsställen i fler än en EU-medlemsstat och där den personuppgiftsansvarige eller personuppgiftsbiträdet har sin etableringsplats i fler än en medlemsstat eller utförs i EU vid ett enda verksamhetsställe för den personuppgiftsansvarige eller personuppgiftsbiträdet, men behandlingen i väsentlig grad påverkar registrerade som finns i fler än en medlemsstat.
När behandlingen av personuppgifter är gränsöverskridande, övervakar de europeiska dataskyddsmyndigheterna behandlingen av personuppgifter i samarbete. För ett ärende som handläggs i samarbete fastställs en ledande tillsynsmyndighet som ska samarbeta med de tillsynsmyndigheter som deltar i handläggningen av ärendet. Syftet med samarbetsmekanismen är att uppnå gemensamma beslut som är bindande för den ledande tillsynsmyndigheten och de deltagande myndigheterna och att säkerställa att EU:s allmänna dataskyddsförordning tillämpas enhetligt i de olika EU-länderna.
Under sommaren 2021 gav dataombudsmannens byrå sitt första beslut i egenskap av den ledande tillsynsmyndigheten i ett gränsöverskridande ärende.
I juli fattade Europeiska dataskyddsstyrelsen ett tvistlösningsbeslut i ett ärende som gällde WhatsApp Ireland Limited. Beslutet gällde den irländska dataskyddsmyndighetens granskning av huruvida WhatsApp på ett transparent sätt informerar de registrerade om behandlingen av personuppgifter. Dessutom antog dataskyddsstyrelsen sitt första brådskande bindande beslut som gällde en begäran från tillsynsmyndigheten i Hamburg om att brådskande vidta åtgärder mot Facebook Ireland Limited på grund av ändringarna i användarvillkoren för meddelandetjänsten WhatsApp.
Under året utvecklade dataombudsmannens byrå också sina egna förfaringssätt för handläggning av gränsöverskridande ärenden.
Dataombudsmannens byrås behörighet och förfaringssätt
Förvaltningsdomstolen gav under året sitt avgörande i tre besvärsärenden om administrativa påföljdsavgifter. Enligt förvaltningsdomstolen hade den process som föregått påförandet av en påföljdsavgift uppfyllt förvaltningslagens krav i dessa fall.
Under våren 2021 förtydligade förvaltningsdomstolens beslut tolkningen av samtycke till kakor och behörigheterna till övervakning av frågor som relaterar till kakor. Förvaltningsdomstolen upphävde två av Transport- och kommunikationsverket Traficoms beslut som gäller de sätt som webbplatser ber om användarens samtycke till kakor. Samtidigt konstaterade domstolen att Traficom är behörig myndighet när det gäller övervakning av samtycke till kakor. Efter förvaltningsdomstolens avgöranden överförde dataombudsmannens byrå klagomål gällande kakor till Traficom för behandling.
Biträdande justitiekanslern började undersöka dataombudsmannens byrås förfaranden vid behandlingen av ärenden under år 2020 och gav sitt avgörande i slutet av år 2021. Dataombudsmannens byrå lämnade en utredning till biträdande justitiekanslern bland annat om behandlingstiderna av ärenden, hur gamla anhängiga ärenden behandlas samt hur de vidtagna åtgärderna har påverkat verksamheten. Biträdande justitiekanslern gjorde också en laglighetskontroll vid byrån.
Enligt biträdande justitiekanslern verkar utvecklingsåtgärderna och de åtgärder som byrån vidtagit för att avhjälpa överbelastningen lovande. Den nuvarande situationen vid hanteringen av ärenden riskerar dock försämras om dataombudsmannens byrå inte har tillräckliga personalresurser.
Antalet personuppgiftsincidenter fortsatte öka
Anmälningar om personuppgiftsincidenter utgör den största enskilda gruppen av ärenden som anhängiggjorts vid dataombudsmannens byrå. Under året tog dataombudsmannens byrå emot 4 785 anmälningar om personuppgiftsincidenter, vilket var drygt 500 fler än året innan. Antalet anmälda personuppgiftsincidenter har ökar för varje år, och de utgjorde redan cirka 44 % av anhängiggjorda ärenden. Flest anmälningar kommer från reglerade områden såsom social- och hälsovården, finanssektorn och telekommunikationsbranschen.
En personuppgiftsincident ska anmälas till dataombudsmannens byrå, om incidenten kan medföra en risk för de drabbade personerna. Anmälningsskyldigheten för organisationer började i maj 2018.
Dataombudsmannens byrå har uppmärksammat att det finns skillnader mellan olika branscher i identifieringen och behandlingen av personuppgiftsincidenter. Särskilt inom social- och hälsovården har det observerats behov för preciserande anvisningar om anmälning om personuppgiftsincidenter. För att möta detta behov skickade biträdande dataombudsmannen i november ett instruktionsbrev till aktörer inom social- och hälsovården för att förtydliga anmälningspraxisen.
I november kompletterade dataombudsmannens byrå sina anvisningar med anvisning om sparandet av logguppgifterna för den tid då datasystemet blivit föremål för en personuppgiftsincident. Skyldigheten att dokumentera personuppgiftsincidenter omfattar även logguppgifter.
Internationella överföringar av uppgifter
När personuppgifter överförs utanför Europeiska ekonomiska samarbetsområdet eller till internationella organisationer kan den nivå av skyddet för personuppgifter som dataskyddsförordningen garanterar försämras. Därför föreskrivs det i dataskyddsförordningen om olika grunder för överföring, med vilka personuppgifter kan överföras och en nivå på dataskyddet som motsvarar EU:s krav kan garanteras.
Anvisningarna om överföring av personuppgifter preciserades och uppdaterades under året. Särskilt EU-domstolens så kallade Schrems II-avgörande (C-311/18) från juli 2020 preciserade de villkor under vilka personuppgifter lagligt kan överföras från ett EU- och EES-land till tredje land eller en internationell organisation.
Under året gjordes betydande uppdateringar i överföringsgrunderna. Europeiska kommissionen godkände i juni uppdaterade standardavtalsklausuler för överföring av personuppgifter till tredje länder. Dessutom fattade Europeiska kommissionen två likvärdighetsbeslut om dataskyddet i Storbritannien. Europeiska dataskyddsstyrelsen publicerade i juni den slutliga versionen av rekommendationerna för kompletterande skyddsåtgärder för att underlätta bedömningen av behovet av tilläggsskyddåtgärder och valet av skyddsåtgärder som lämpar sig för situationen.
Genom Schrems II-avgörandet förtydligades också anvisningarna till myndigheterna, och dataskyddsmyndigheternas ansvar för övervakningen av internationella överföringar av uppgifter betonades. Dataombudsmannens byrå meddelade under hösten att övervakningen av överföringar av personuppgifter kommer att effektiviseras.
Stöd till personuppgiftsansvariga i dataskyddsfrågor
Under senare delen av år 2020 beviljades dataombudsmannens byrå och TIEKE rf EU-finansiering för GDPR2DSM-projektet för att skapa ett lättanvänt dataskyddsverktyg för SMF-företag i samarbete med företagen. Utvecklingen av verktyget tillsammans med företagen inleddes med en workshop med 30 deltagare i juni. Verktygets första version presenterades i oktober.
Som en del av projektet anordnade dataombudsmannens byrå och TIEKE tillsammans med sina samarbetspartner kostnadsfria webinarier om dataskydd för SMF-företag. Under året anordnades sammanlagt fjorton webinarier om teman som företagen hade föreslagit. Projektet finansieras av Europeiska unionens program för rättigheter, jämlikhet och medborgarskap.
Under våren upprättade dataombudsmannens byrå en anvisning om konsekvensbedömningen av dataskyddet till stöd för personuppgiftsansvariga. Vid sidan av anvisningen upprättades även ett enkelt Excel-registreringsverktyg som personuppgiftsansvariga kan använda för konsekvensbedömningar. Anvisningen kan i tillämpliga delar även användas för konsekvensbedömningar i enlighet med dataskyddslagen för brottmål. Syftet med en konsekvensbedömning av dataskyddet är att identifiera och minska risker förknippade med behandlingen av personuppgifter samt att ta fram material för att kunna bevisa efterlevnaden av dataskyddsregleringen.
Personal och ekonomi
Under 2021 ökade antalet anställda vid dataombudsmannens byrå. I slutet av år 2021 hade dataombudsmannens 55 anställda.
Byrån har tre kundtjänstgrupper av vilka en koncentrerar sig i huvudsak på ärenden som hänför sig till privata sektorn och gränsöverskridande ärenden, en på ärenden som hänför sig till offentliga sektorn och ärenden som behandlas nationellt och den tredje på ärenden som hänför sig till dataskyddsdirektivet och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Till förvaltningsenheten har man koncentrerat byråns förvaltnings-, rådgivnings- och registratorstjänsterna. I gruppen Gemensamma funktioner ingår IT-specialsakkunniga, kommunikationer och dataskyddsombudet. I separata utvecklingsgrupper samordnas även vissa ärendehelheter, såsom praxis och projekt som hänför sig till personuppgiftsincidenter, den registrerades rättigheter och konsekvensbedömningar.
Justitie magister Heljä-Tuulia Pihamaa som utnämndes till biträdande dataombudsman inledde sin tjänst i mars 2021. I egenskap av biträdande dataombudsman leder Pihamaa kundtjänstgruppen för den offentliga sektorn och ärenden som behandlas nationellt.
När covid-19-begränsningar och distansarbete fortsatte har förfaringssätten för distansarbete och digitala arbetssätt etablerats i byråns vardag.
I personalens sammansättning syntes fortfarande särskilt projektet för att lösa arbetsanhopningen. Projektet inleddes i början av år 2020. Med visstidsanställda har man riktat arbetet allt mer till handläggningen av anhängiga ärenden sedan år 2020.