Hoppa till innehåll

Verksamhetsberättelse 2022

Dataombudsmannens byrå tryggar rättigheter och friheter i behandlingen av personuppgifter

Dataombudsmannens byrå är en självständig och oberoende myndighet som övervakar efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter.

Under 2022 var Anu Talus dataombudsmannen och Heljä-Tuulia Pihamaa biträdande dataombudsman. Jari Råman var biträdande dataombudsman fram till maj 2022. Justitie magister Annina Hautala började sin tjänst som biträdande dataombudsman i september.

Läs verksamhetsberättelsen:

Verksamhetsberättelse 2022 Dataombudsmannens byrå (pdf)

Dataombudsmannen Anu Talus: Betydelsen av tillit allt viktigare i dataekonomin

Tietosuojavaltuutettu Anu Talus             Betydelsen av digitalisering, dataekonomi och dataskydd diskuterades under våren 2023 vid framtidsseminariet av finansministeriets ministerarbetsgrupp för utveckling av digitaliseringen. Den följande trenden kommer att vara tillit. Denna tillit har ett namn: dataskydd. Dataskydd är en grundläggande rättighet som vilken den europeiska dataekonomin bygger på.

År 2022 lär redan kunna kallas för året då dataskydd etablerades. Samtidigt har det gångna året även präglats av reformer och utveckling. Även detta är ett fenomen som till en viss del har etablerats – den utvecklande teknologin och den motsvarande lagstiftningen håller dataskyddet i ett tillstånd av ständig förändring. Dataskyddsexperterna möter konstant nya utmaningar.

Det första tecknet på att situationen har blivit stabilare är antalet anhängiggjorda ärenden vid dataombudsmannens byrå. För tredje året i rad var antalet anhängiggjorda ärenden omkring 11 000. Stabiliseringen av avtalet ärenden underlättar också organiseringen av arbetet på byrån.

Ett annat tecken som visar att verksamheten blivit stabilare berör påföljdskollegiets avgöranden. Under året meddelade dataombudsmannens påföljdskollegium fem avgöranden där en påföljdsavgift påfördes. Påföljdsavgifterna var mellan 8 300 och 750 000 euro. Inget av påföljdskollegiets avgöranden överklagades vid förvaltningsdomstolen. Detta avviker tydligt från påföljdskollegiets första avgöranden som i regel överklagades oberoende av påföljdsavgiftens storlek. Ändringen lär delvis ha orsakats av att vad gäller processuella frågor har förvaltningsdomstolen bekräftat att dataombudsmannens byrås förfaringssätt motsvarar lagens krav. Det är inte längre fråga om någon ny påföljd heller, utan man har börjat få en känsla av påföljdsavgifternas storlek och förståelse för deras allmäneuropeiska nivå. Påföljdsavgifter påfördes bland annat i situationer som handlade om personuppgiftsansvariges kärnverksamhet, de interna förfaringsmodellerna var bristfälliga eller man hade velat undvika samarbete med myndigheten.

Av andra avgöranden kan nämnas avgörandet om Skatteförvaltningens för omfattande insamling av uppgifter, biträdande dataombudsmannens beslut om att den registrerades granskningsrätt inte är ett sätt för myndigheten att skaffa information samt biträdande dataombudsmannens beslut där det konstaterades att positionsdatafunktionen på arbetstagares datorer inte kan vara automatiskt påslagna.​​​​​​​

Ett tema som tycks vara vanlig är också internationella överföringar av personuppgifter. Europeiska dataskyddsstyrelsens koordinerade åtgärd under 2022 handlade om användningen av molntjänster i den offentliga sektorn. Samtidigt behandlar flera olika EU-länder så kallade 101 dalmatiner-fall som har samma kärnfråga – dataöverföringar till tredjeländer. Av dataombudsmannens byrås beslut kan nämnas biträdande dataombudsmannens beslut om Helmet-bibliotek som handlade om användningen av Google Analytics och dataöverföringar. Under våren framskred likvärdighetsbeslutet om USA:s dataskydd efter president Bidens besök i Europa, och EU-kommissionen publicerade utkastet till sitt avgörande om likvärdighetsbeslutet i mitten av december. Dataskyddsstyrelsen gav ett utlåtande om frågan i början av år 2023. Frågan kommer säkert även framöver att utgöra ett centralt tema på dataskyddsforum.

Utöver internationella dataöverföringar kommer de aktuella frågorna under de kommande åren sannolikt att innefatta artificiell intelligens. Lagstiftningsprojekt om AI har inletts både nationellt och på EU-nivån. Redan nu ställer de lagändringar som riksdagen godkänt ramvillkoren för automatiskt beslutsfattande vid myndighetsbeslut. Detta är en utvecklingstrend som vi förhoppningsviskan utnyttja även i vår egen verksamhet. Under 2022 har dataombudsmannens byrå börjat använda en screeningprocess för anhängiggjorda ärenden. Detta skulle utgöra en bra grund för automatiskt beslutsfattande.

Dataskyddsstyrelsens tvistlösningsförfarande etablerade också sin plats under år 2022 som en samarbetsform mellan tillsynsmyndigheterna. Under året gav dataskyddsstyrelsen fem tvistlösningsbeslut. Ett av dem handlade om Metas (Instagram) behandling av personuppgifter av barn utan en adekvat behandlingsgrund. Till följd av dataskyddsstyrelsens beslut påförde den irländska dataskyddsmyndigheten en administrativ påföljdsavgift på 405 miljoner euro. Genom tvistlösningsförfarandet gav dataskyddsstyrelsen också beslut som handlade om riktad marknadsföring och den rättsliga grunden för behandlingen av personuppgifter för riktad marknadsföring på Instagram, WhatsApp och Facebook.

Dataombudsmannens byrå började implementera byråns nya strategi som blev färdig under 2022. Strategins prioriterade områden är EU-samarbete, ett kundorienterat arbetssätt, samarbete med intressentgrupperna och välbefinnande i arbetet. I samband med den nya strategin fick dataombudsmannens byrå också en ny vision. Sammansättningen av byråns ombudsmän ändrades under hösten när Annina Hautala började sin tjänst som en ny biträdande dataombudsman.

Byrån slutförde ett tvåårigt projekt där ett verktyg för små och medelstora företag utvecklades. Verktyget publicerades för att fritt kunna användas av alla och utvecklas vidare. Vi inledde också ett nytt projekt som finansieras av EU-kommissionen. Syftet med det nya projektet är att förbättra barnens dataskydd.

Vi återupplivade också tidigare praxis som fått vila under coronatiden. De nordiska tillsynsmyndigheterna höll sitt möte i Helsingfors. Mötena har alltid anordnats på en plats som ligger nära till vatten. Möten för de nordiska tillsynsmyndigheterna hade varit på paus under coronatiden. Dessa möten har anordnats sedan år 1988.

Flera av de teman som behandlats under år 2022 kommer att få ännu större betydelse under år 2023. Europeiska dataskyddsstyrelsen höll ett möte under våren 2022 i Wien för att diskutera hur verksamheten skulle kunna effektiveras. I tillsynsmyndigheternas gemensamma yttrande betonades betydelsen av allt tätare samarbete. Dataskyddsstyrelsen uppmanade också EU-kommissionen att komplettera den allmänna dataskyddsförordningen för att samarbetet mellan tillsynsmyndigheterna ska kunna bli smidigare. Till exempel tillsynsmyndigheternas gemensamma, koordinerade åtgärder etablerades också som en samarbetsform. Den andra koordinerade åtgärden i ordningen där man kartlägger personuppgiftsansvarigas situation inleddes i början av år 2023.

Kommissionens dataförordningar kommer att ha stor betydelse både under 2023 och senare. Kommissionen vill effektivera den digitala inre marknaden. Allt bygger på tillit, och människan ligger i centrum. Det väsentliga för framgångsrikt genomförande av dataförordningarna är att tillsynsmyndigheterna har tydliga ansvarsområden. Myndighetens behörighet var också ett av dataombudsmannens prioriterade områden under 2022. Effekten av de reviderade dataförordningarna och de åtgärder som ska effektivera verksamheten kommer att märkas under de kommande åren.

Anu Talus

Dataombudsman

Biträdande dataombudsman Heljä-Tuulia Pihamaa: Barnens dataskydd, behandling av patient och kunduppgifter och andra dataskyddsfrågor inom den offentliga sektorn

        Dataskyddsåret 2022 var väldigt händelserikt precis som året innan. Mitt ansvarsområde omfattar dataskyddsfrågor som främst hänför sig till den offentliga sektorn och nationella dataskyddsfrågor, till exempel frågor om tillämpningen av dataskyddslagen inom social- och hälsovården, utbildningssektorn och arbetslivet. Under året behandlade vi såväl frågor om användningen av de registrerades rättigheter och registeransvarigas anmälningar om personuppgiftsincidenter som begäranden om föregående samråd. Aktuella frågor handlade bland annat om behandlingen av barns personuppgifter, webbsidornas spårningsteknologier samt laglig behandling av hälsouppgifter.

Som under tidigare år utgjorde ärenden som förknippas med social- och hälsovården den största branschen för dataombudsmannens byrå under 2022 mätt i antalet anhängiggjorda ärenden. Största delen av de anhängiggjorda ärendena var anmälningar av personuppgiftsincidenter och frågor om användningen av den registrerades lagstadgade dataskyddsrättigheter såsom rätten att granska sina uppgifter och begäranden att radera uppgifter.

På grund av uppgifternas användningsändamål leder begärandena i praktiken väldigt sällan till att patient- och klientuppgifter inom social- och hälsovården beordras att korrigeras eller raderas. I praktiken är det aldrig möjligt att radera alla patient- och klientuppgifter inom hälso- och sjukvården, och till exempel diagnostiska uppgifter som en yrkesperson inom hälsovården har registrerat kan inte beordras att raderas.

​​​​​​​Den reglerade social- och hälsovårdsbranschen har ett tydligt behov av myndighetsanvisningar, varför vi under hösten 2022 publicerade en guide om behandlingen av klientuppgifter inom socialvården. I guiden presenteras bland annat dataombudsmannens byrås avgörandepraxis. Anvisningarna om anmälning av personuppgiftsincidenter från 2021 uppdaterades också med nya exempel på dataombudsmannens byrås webbplats.

Överföringen av elevvården till välfärdsområdena lyfte upp dataskyddsfrågor. Frågor om utlämnande av personuppgifter inom elevvården är viktiga för aktörer som är verksamma inom studerandevårdens multiprofessionella samarbete. Dessa frågor har också stor inverkan på utvecklingen av datasystem inom undervisningsväsendet och i välfärdsområdena. Eftersom förtydligande anvisningar behövs för att trygga såväl barn och ungas välbefinnande som det multiprofessionella samarbetet, lämnade vi under årets senare del ett initiativ till utbildnings- och kulturministeriet, social- och hälsovårdsministeriet, Institutet för hälsa och välfärd och Utbildningsstyrelsen med syfte att förtydliga förutsättningarna för och utfärda nationella anvisningar om utlämnande av uppgifter. Under 2022 gav vi flera utlåtanden om reformer av småbarnspedagogiken och undervisningsbranschen.

Under senare delen av 2022 gav biträdande dataombudsmannen ett avgörande som tog ställning till användningen av spårningsteknologier på myndigheternas webbplatser. I regel bör man kunna använda myndigheternas webbtjänster utan att uppgifter om besök på webbplatsen hamnar till exempel i kommersiellt bruk. Användning av spårningsteknologier får inte leda till att de registrerades personuppgifter som den registeransvariga behandlas hamnar hos utomstående i strid med lagen. Personuppgifter får inte heller överföras till USA i strid med lagen. Avgörandet handlade om användningen av till exempel verktyget Google Analytics.

Dataombudsmannens byrås påföljdskollegium behandlade ett ärende som handlade om dataskydd inom arbetslivet, behandling av arbetstagarnas hälsouppgifter. Påföljdskollegiet påförde en påföljdsavgift en registeransvarig som i strid med lagen hade sparat arbetstagarnas hälsouppgifter i personaladministrationssystemen och försummat sin skyldighet att informera arbetstagarna om behandlingen av deras personuppgifter.

Stöd i frågor om behandlingen av barn och ungas personuppgifter i synnerhet inom hobbyverksamhet. Ett tvåårigt projekt GDPR4CHLDRN som genomförs tillsammans med Utvecklingscentralen för Informationssamhälle TIEKE rf inleddes under hösten 2022. Projektet fokuserar på främjandet av barn och ungas dataskydd inom hobbyverksamhet. Projektet finansieras av EU-kommissionen och syftar främst till att erbjuda information om behandling av personuppgifter till föreningar som anordnar hobbyverksamhet för barn.

Heljä-Tuulia Pihamaa

Biträdande dataombudsman

Biträdande dataombudsman Annina Hautala: Mångsidiga
dataskyddsfrågor inom säkerhets- och justitieförvaltningen

​​​​​​​Jag började i min tjänst som biträdande dataombudsman i september 2022. För min del gick årets sista månader till en stor del till att bekanta mig med mitt nya uppdrag, grupp och dataombudsmannens byrå. Jag fick bli en del av en kompetent och erfaren organisation, vilket underlättade betydligt min introduktion i uppgiften.

I min tjänst började jag leda dataombudsmannens byrås kundtjänstgrupp som hanterar främst dataskyddsfrågor som hänför sig till säkerhetsoch justitieförvaltningen. Uppgiften är speciell i och med att tillämpningen av dataskyddsdirektivet för brottmål och dess genomförande genom dataskyddslagen för brottmål har en betydande roll i arbetet.

I synnerhet under den senare delen av året koncentrerades mycket av arbetet i beredningen av utlåtanden om lagstiftningen och höranden hos utskotten. Vi hördes bland annat om statsrådets redogörelse om underrättelselagstiftningen. Vi hördes också till exempel om propositionen om ändring av lagen om nödcentralsverksamhet samt regeringspropositionen om personbeteckningar och beviljande av dem.

Vad gäller den teknologiska utvecklingen vill jag här ännu lyfta fram utlåtandena och hörandena om regeringens propositioner om digital identitet och om automatiskt beslutsfattande. Det bör noteras att dataskyddskraven är teknologineutrala. Vad gäller automatiskt beslutsfattande var det nödvändigt att ur dataskyddsperspektivet fästa lagstiftarens uppmärksamhet särskilt vid skyldigheten att informera de registrerade i rätt tid såsom förutsätts i dataskyddslagstiftningen och understryka att de registrerade enligt dataskyddslagstiftningen ska ha rätt att motsätta sig att bli föremål för automatiskt beslutsfattande. Diskussionen om lösningar som använder artificiell intelligens och dataskyddsfrågorna i samband med automatiskt beslutsfattande kommer att fortsätta och jag anser att det också bör fortsätta, eftersom dessa teknologier utvecklas snabbt som bäst och skapar nya möjligheter, men ger också upphov till risker ur dataskyddsperspektivet.

​​​​​​​Som under tidigare år genomfördes granskningar av personuppgiftsansvariga planmässigt som en del av ombudsmannens tillsynsverksamhet. Granskningarna koncentrerades till den så kallade inre säkerheten. Detta kan anses vara motiverat, eftersom de registrerade har snävare direkta granskningsmöjligheter vid behandling av personuppgifter inom denna sektor. I granskningsplanen beaktades också övervakningen och inspektioner av EU-informationssystem som hänför sig till den inre säkerheten i enlighet med de särskilda bestämmelserna som gäller dem.

En central del av dataombudsmannens byrås internationella samarbete är att delta i arbetet av Europeiska dataskyddsstyrelsens underarbetsgrupper samt i arbetet av de gemensamma tillsynsgrupperna för Schengen-datasystemet (SIS II), administrationssystemet för fingeravtrycksuppgifter av asylsökanden (Eurodac) och EU:s informationssystem för viseringar (VIS).

Granskningarna under 2022 visade att personuppgiftsansvariga har tagit de observationer som framställts i tidigare granskningsberättelser på allvar och vidtagit korrigerande åtgärder. Personuppgiftsansvariga fick handledning på basis av granskningarna och uppmärksamhet fästes vid verksamhetens utvecklingsområden. Under 2022 gällde de största granskningarna informationssystemet för viseringar och Schengens informationssystem.

Vi gjorde två inspektionsbesök till Skyddspolisen och granskade lagligheten av behandlingen av personuppgifter hos Skyddspolisen på basis av registrerades begäranden samt gick igenom aktuella frågor.

Under året sysselsattes dataombudsmannen också av utlåtanden för åtalsprövning, sammanlagt i samband med 37 fall under året. Åklagaren ska höra dataombudsmannen bland annat innan åtal väcks i sekretessbrott mot personregister, brott mot kommunikationshemlighet, dataintrång eller brott mot dataskyddet. Vid behandling av ett sådant ärende ska domstolen också ge dataombudsmannen tillfälle att bli hörd.

Under året använde ombudsmannen sina korrigerande befogenheter tre gånger inom säkerhetsoch justitieförvaltningens verksamhetsområde. I denna översikt vill jag lyfta fram ett avgörande från februari 2022, där huvudbudskapet var att personuppgiftsansvariga inte kan använda den registrerades granskningsrätt som ett sätt för myndigheten att inhämta information. Den personuppgiftsansvariga fick en anmärkning och har beordrats sluta med sitt förfarande som strider mot den allmänna dataskyddsförordningen vad gäller kontroll av brottslig bakgrund av personer som önskar bli familjehemsföräldrar.

Under året har det skett förändringar i säkerhetsoch justitieförvaltningen och dataskyddet ska motsvara dessa förändringar som kommer att fortsätta. Såväl kriget i Ukraina som den teknologiska utvecklingen och läget för Finlands inre säkerhet påverkar helheten. Den rådande situationen gör oss ännu mer medvetna om varför dataskydd är så viktigt.

Annina Hautala

Biträdande dataombudsman

Tyngdpunktsområden för dataskyddsarbetet

Påföljdskollegiet: Påföljdsavgifter för överträdelser av dataskyddslagstiftningen

Dataombudsmannens byrås påföljdskollegium har till uppgift att behandla ärenden som handlar om att påföra personuppgiftsansvariga eller personuppgiftsbiträden administrativa påföljdsavgifter i enlighet med dataskyddsförordningen. Påföljdskollegiet består av dataombudsmannen och de två biträdande dataombudsmännen. Dataombudsmannen är kollegiets ordförande. Under 2020–2022 har påföljdskollegiet påfört sammanlagt 17 påföljdsavgifter för överträdelser av EU:s allmänna dataskyddsförordning.

Administrativa påföljdsavgifter är en av de korrigerande befogenheter som dataombudsmannens byrå kan använda. Påföljdsavgiften kan påföras utöver eller i stället för andra korrigerande åtgärder, och avgiften kan vara högst 4 % av företagets omsättning eller 20 miljoner euro. Påföljdsavgiften kan inte påföras organisationer inom den offentliga förvaltningen, såsom staten och statens affärsverk, kommuner och församlingar. Påföljden ska vara avskräckande, effektiv och proportionell.

Administrativa påföljdsavgifter påfördes sammanlagt fem organisationer. Överträdelser som lett till en påföljdsavgift handlade ofta särskilt om frågor om tillgodoseendet av den registrerades rättigheter samt bristfällig praxis vid behandling av hälsouppgifter. Under våren 2022 påfördes för första gången en påföljdsavgift för att den personuppgiftsansvariga inte hade följts dataombudsmannens tidigare åläggande. Påföljdsavgifterna var mellan 8 300 och 750 000 euro.

​​​​​​​Två av ärendena behandlades inom ramverket för europeiska dataskyddsmyndigheternas gränsöverskridande samarbetsförfarande. Dataombudsmannens byrå var den ledande myndigheten. Besluten är bindande för de tillsynsmyndigheter som deltagit i ärendenas behandling.

Under 2022 påförde påföljdskollegiet fem organisationer administrativa påföljdsavgifter för överträdelser av dataskyddslagstiftningen.

  • Påföljdskollegiet påförde Alektum Oy en påföljdsavgift på 750 000 euro för allvarliga dataskyddsöverträdelser. Företaget hade i regel låtit bli att besvara begäranden som handlat om de registrerades dataskyddsrättigheter. Företaget iakttog inte heller sin skyldighet att samarbeta med tillsynsmyndigheten.
  • Ett telemarknadsföringsföretag påfördes en påföljdsavgift på 8 300 euro eftersom företaget inte hade följt dataskyddsombudsmannens tidigare åläggande om tillgodoseende av de registrerades granskningsrätt. Dataombudsmannen hade ålagt företaget att uppfylla en kunds begäran att få åtkomst till inspelningen av ett försäljningssamtal som hen tagit emot. Detta var dataombudsmannens byrås första avgörande där en påföljdsavgift påförs på grund av underlåtenhet att följa dataombudsmannens byrås åläggande.
  • Ett förlag påfördes en påföljdsavgift på 85 000 euro på grund av brister i tillgodoseendet av dataskyddsrättigheter via bolagets e-postkanal En del av de registrerades begäranden att granska eller radera sina uppgifter hade inte blivit tillgodosedda på grund av ett tekniskt problem med e-postdirigeringen. Bolaget borde ha sett till att testa sin e-postlåda i och med att det varit fråga om de registrerades huvudsakliga elektroniska kontaktkanal för dataskyddsfrågor.
  • Påföljdskollegiet påförde Viking Line en påföljdsavgift på 230 000 euro för olaglig behandling av personalens hälsouppgifter. Bolaget har bland annat sparat arbetstagarnas hälsouppgifter i personaladministrationens system på ett sätt som bryter mot lagen. En del av de sparade diagnosuppgifterna var dessutom felaktiga och de hade sparats under en anmärkningsvärt lång tid. Det konstaterades också brister i hur företaget informerade sina anställda om behandlingen av personuppgifter.
  • Ett företag som behandlat hälsouppgifter utan adekvat samtycke påfördes en påföljdsavgift på 122 000 euro. Företaget hade inte begärt ett uttryckligt samtycke av användarna av sin tjänst för behandling av personuppgiftstyper relaterade till hälsa. Företaget påfördes en påföljdavgift för överträdelser av dataskyddsförordningen, eftersom behandlingen av hälsouppgifter är en del av företagets kärnverksamhet.

Strategin förnyades, det europeiska samarbetet blir tätare

Dataombudsmannens byrå förnyade sin strategi för åren 2022–2025 genom att fastställa de strategiska prioriteringarna, visionen och missionen för sin verksamhet.

De strategiska prioriteringarna är kundorientering, samarbete med intressentgrupperna, europeiskt samarbete samt välbefinnande på arbetsplatsen. I sin nya vision betonar dataombudsmannens byrå sin roll som aktiv främjare av en ansvarsfull digital miljö.

Under strategiperioden lägger man stor vikt särskilt vid förutsebarheten och transparensen av dataombudsmannens byrås verksamhet och beslut. Byrån har för avsikt att fördjupa samarbetsrelationerna med utvalda intressentgrupper och precisera syften och målen för samarbetet med intressentgrupperna. Dataombudsmannens byrå vill vara en trivsam och motiverande arbetsplats som de främsta sakkunniga inom dataskydd söker sig till och engagerar sig i.

Under strategiperioden fortsätter dataombudsmannens byrå också att upprätthålla sina starka samarbetsrelationer med andra europeiska aktörer. Vår avsikt är att effektivt föra fram viktiga synvinklar i de europeiska beredningsprocesserna.

Dataskyddsmyndigheterna inom Europeiska ekonomiska samarbetsområdet fördjupar sitt samarbete

I april 2022 gav EU- och EES-områdets dataskyddsmyndigheter ett gemensamt yttrande om att de nationella dataskyddsmyndigheterna kommer att fördjupa sitt samarbete i implementeringen av den allmänna dataskyddsförordningen. I yttrandet presenterades de centrala målsättningarna och åtgärderna för ett ännu effektivare samarbete. Dataskyddsmyndigheterna kom överens bland annat om genomförande av gemensamma tillsynsåtgärder, om att fastställa årliga prioriteter på dataskyddsstyrelsenivån samt att effektivera det gränsöverskridande informationsutbytet. Dessutom kom man överens om att fördjupa samarbetet i strategiskt betydande gränsöverskridande ärenden.

En av Europeiska dataskyddsstyrelsens målsättningar är medlemsstaternas enhetlig tolkning av lagstiftningen samt att etablera de nya behörigheter som EU:s nya datareglering fört med sig. I oktober lämnade dataskyddsstyrelsen en sammanfattning till Europeiska kommissionen om administrativa förfaranden som dataskyddsstyrelsen önskar bli harmoniserade på EU-nivån.

De nordiska dataskyddsmyndigheternas möte i Helsingfors

De nordiska dataskyddsmyndigheterna höll ett möte i oktober 2022 i Helsingfors. Under mötet diskuterade dataskyddsmyndigheterna från Sverige, Norge, Danmark, Island, Finland, Åland och Färöarna det nordiska samarbetet och aktuella dataskyddsfrågor.

Dataskyddsmyndigheterna kom överens om att intensifiera sitt praktiska samarbete genom utbyte av information och bästa praxis bland annat i frågor om barn och onlinespel, offentlighetslagstiftningen, ärendehanteringen och det europeiska hälsodataområdet. I sin deklaration underströk dataskyddsmyndigheterna att övervakningen av dataskyddsbestämmelserna inte bör splittras upp till följd av EU:s nya förordning om digitala marknader. Dessutom efterlyser dataskyddsmyndigheterna tillräckliga resurser om dataskyddsmyndigheterna kommer att tilldelas ytterligare uppgifter.

Åtgärder för att lösa arbetsanhopningen, förnyade processer

Antalet anhängiga ärenden vid dataombudsmannens byrå ökade under en lång tid efter det att den allmänna dataskyddsförordningen trädde i kraft. Under de senaste åren har antalet
anhängiga ärenden stabiliserat sig till omkring 11 000. År 2022 anhängiggjordes sammanlagt
11 095 ärenden vid dataombudsmannens byrå. 774 fler ärenden avgjordes än vad som anhängiggjordes under året, sammanlagt 11 870 stycken.

​​​​​​​Sedan år 2020 har dataombudsmannens byrå systematiskt vidtagit åtgärder för att lösa arbetsanhopningen. Detta projekt fortsatte också under 2022. Det ursprungliga målet med projektet var att lösa den anhopning av oavgjorda ärenden som anhängiggjorts åren 2014–2018. Därefter har projektet utvidgats att gälla alla ärenden som anhängiggjorts vid byrån.

I slutet av år 2022 fanns det omkring 900 gamla ärenden som anhängiggjorts under åren 2018–2020 vid byrån. En betydande andel av dessa är ärenden som behandlas i ett gränsöverskridande samarbete vars handläggning beror på en annan tillsynsmyndighet inom EES-området.

Under verksamhetsåret utvecklade byrån sina interna förfaringssätt för att effektivisera behandlingen av ärenden. En ny gallringsprocess infördes på byrån för ärenden som handlar om den registrerades rättigheter. Gallringen testades i ärenden som förknippas med hälsovården, och byrån bedömer huruvida förfaringssättet ska kunna tillämpas även på andra sektorer.

Förfaringssättet för prioritering och sortering av ärenden infördes på byrån under 2021. Detta förfaringssätt samt gallringsprocessen för anmälningar om personuppgiftsincidenter etablerades vid byrån. Gallringsprocessen för anmälningar om personuppgiftsincidenter har konstaterats ha effektiverat behandlingen av anmälningarna markant. Under 2022 gällde nära hälften av alla anhängiggjorda ärenden vid byrån anmälningar om personuppgiftsincidenter.

Antalet personuppgiftsincidenter fortsätter öka

Anmälningar om personuppgiftsincidenter utgör den största enskilda gruppen av ärenden som anhängiggjorts vid dataombudsmannens byrå. En personuppgiftsincident ska anmälas till dataombudsmannens byrå, om incidenten kan medföra en risk för de drabbade personerna.

​​​​​​​Under året tog dataombudsmannens byrå emot 5 445 anmälningar om personuppgiftsincidenter, vilket var drygt 660 fler än året innan. Antalet anmälda personuppgiftsincidenter har ökat för varje år, och de utgjorde redan cirka 50 % av de anhängiggjorda ärendena. Flest anmälningar kommer från reglerade områden såsom social och hälsovården, finanssektorn och telekommunikationsbranschen.

Byrån fortsatte med den gallringsprocess för anmälningar om personuppgiftsincidenter som införts under 2021. Med gallringsprocessen har behandlingen och bedömningen av anmälningarna blivit mer effektivt och snabbare.

Under hösten gav biträdande dataombudsmannen en anmärkning till en aktör inom hälsovården för bristfälligt skydd av uppgifter. Hälsovårdsaktören anmälde en personuppgiftsincident till dataombudsmannens byrå. En datorväska med en bärbar dator, pappershandlingar och två externa hårddiskar hade blivit stulen. Datorn, hårddiskarna och pappershandlingarna innehåll bland annat klienters hälsouppgifter och uppgifter om försäkringar. Att skydda personuppgifter som sparats på den bärbara datorn enbart med ett lösenord var inte en tillräckligt bra skyddsmetod. Uppgifterna kunde ha skyddats till exempel med ett krypteringsprogram.

Att organisationer är beredda för personuppgiftsincidenter är en viktig del av förfarandena för informationssäkerheten och beredskapen för cyberstörningar. Cyberstörningar kan innebära en risk för allvarliga dataintrång eller dataläckage. Som en del av sin beredskap bör organisationerna kontrollera till exempel säkerheten av sina system och praxisen för anmälningar och dokumentering av personuppgiftsincidenter. Vad gäller säker behandling av personuppgifter vill dataombudsmannens byrå ur perspektivet för teknisk informationssäkerhet fästa uppmärksamhet bland annat vid att programmen är uppdaterade, åtkomsthantering, tillräcklig övervakning av datasystemen och tillräcklig loggdata.

Säker behandling av personuppgifter behandlades ofta inom den offentliga förvaltningen under året. Kriterier för bedömning av informationssäkerheten i den offentliga förvaltningen (Julkri) – Rekommendation och kriterier publicerades på våren 2022. Informationshanteringsnämnden upprättade rekommendationen i samarbete med dataombudsmannens byrå. Kriterierna innefattar för första gången ett separat avsnitt om dataskydd. Kriterierna stödjer organisationer i planeringen, genomförandet och bedömningen av datasäkerheten och skyddet av personuppgifter.

Handläggning av gränsöverskridande ärenden

Med gränsöverskridande handläggning avses behandling av personuppgifter som utförs vid verksamhetsställen i fler än en EU-medlemsstat och där den personuppgiftsansvarige eller personuppgiftsbiträdet har sin etableringsplats i fler än en medlemsstat eller utförs i EU vid ett enda verksamhetsställe för den personuppgiftsansvarige eller personuppgiftsbiträdet, men behandlingen i väsentlig grad påverkar registrerade som finns i fler än en medlemsstat.

När behandlingen av personuppgifter är gränsöverskridande, övervakar dataskyddsmyndigheterna behandlingen av personuppgifter i samarbete. För ett ärende som handläggs i samarbete fastställs en ledande tillsynsmyndighet som ska samarbeta med de tillsynsmyndigheter som deltar i handläggningen av ärendet. Syftet med samarbetsmekanismen är att uppnå gemensamma beslut som är bindande för den ledande tillsynsmyndigheten och de deltagande myndigheterna och att säkerställa att EU:s allmänna dataskyddsförordning tillämpas enhetligt i de olika EU-länderna. Europeiska dataskyddsstyrelsen publicerar ett register över dataskyddsmyndigheternas beslut som fattats i gränsöverskridande samarbete.

​​​​​​​Under året gav dataombudsmannens byrå två beslut i gränsöverskridande ärenden i egenskap av den ledande tillsynsmyndigheten. Viking Line-ärendet avgjordes i samarbete med tillsynsmyndigheterna i Sverige, Estland och Norge. Ärendet där ett företag hade behandlat hälsouppgifter utan adekvat samtycke behandlades i samarbete mellan EU-länderna, eftersom den tjänst som företaget erbjuder är tillgänglig i flera EU- och EES-länder. Företagets verksamhetsställe i Finland ansvarar för behandlingen av personuppgifterna, varmed dataombudsmannens byrå var den ledande tillsynsmyndigheten under utredningen. Ett av klagomålen hade anhängiggjorts i en annan medlemsstat.

I februari konstaterade de europeiska dataskyddsmyndigheterna att användningen av Google Analytics på webbplatser strider mot EU:s allmänna dataskyddsförordning. Beslutet meddelades av den franska tillsynsmyndigheten CNIL i egenskap av ledande tillsynsmyndighet. Enligt beslutet var de skyddsåtgärder som Google infört för överföring av personuppgifter via Google Analytics inte adekvata.

I ett beslut som meddelades av den belgiska tillsynsmyndigheten konstaterades Interactive Advertising Bureau Europe (IAB Europe) vara ansvarigt för försummelse av bestämmelserna i den allmänna dataskyddsförordningen. Beslutet fattades i ett samarbete mellan dataskyddsmyndigheterna. Enligt beslutet uppfyllde IAB Europes Transparency & Consent Framework (TCF) inte kraven i dataskyddsbestämmelserna.

Under året utvecklade dataombudsmannens byrå nya förfaringssätt för handläggning av gränsöverskridande ärenden. Med de nya processerna förtydligades bland annat vilka faktorer dataombudsmannens byrå som ledande tillsynsmyndighet i ett ärende ska beakta samt hur invändningar mot ett beslutsutkast ska beaktas i avgörandet. Förfarandet för invändningar mot andra tillsynsmyndigheters beslutsutkast utvecklades vidare.

Under året antog Europeiska dataskyddsstyrelsen flera tvistlösningsbeslut rörande Meta Platforms Ireland Limited. I september påförde den irländska dataskyddsmyndigheten på basis av dataskyddsstyrelsens tvistlösningsbeslut Meta en påföljdsavgift på 405 miljoner euro för överträdelser av dataskyddsförordningen vid behandling av personuppgifter av barn på Instagram. Dataskyddsstyrelsen ansåg att Meta behandlade barns personuppgifter lagstridigt utan någon tillämplig behandlingsgrund.

Dataskyddsstyrelsens beslut som meddelades i december handlade om behandling av personuppgifter på Facebook, Instagram och WhatsApp. Dataskyddsstyrelsen konstaterade att Meta inte har haft en laglig grund för behandlingen av personuppgifter för beteendebaserad reklam på Facebook och Instagram. Att använda användarvillkoren för Facebook och Instagram som rättslig grund för behandlingen av personuppgifter var inte befogat i och med att beteendebaserad reklam inte hör till Metas kärnverksamhet. Den irländska dataskyddsmyndigheten meddelade sitt beslut på basis av dataskyddsstyrelsen avgöranden och påförde Meta påföljdsavgifter på 390 miljoner euro. Besluten kommer att ha stor inverkan på användningen av personuppgifter i beteendebaserad reklam.

Vad gäller WhatsApp ansåg dataskyddsstyrelsen att användaravtalet inte kunde användas som rättslig grund för behandlingen av personuppgifter för att utveckla WhatsApp-tjänsten. På basis av tvistlösningsbeslutet påförde den irländska dataskyddsmyndigheten Meta en påföljdsavgift på 5,5 miljoner euro.

I mars antog Europeiska dataskyddsstyrelsen en ny riktlinje om tillämpningen av artikel 60 i den allmänna dataskyddsförordningen om samarbetet mellan den ledande tillsynsmyndigheten och de deltagande tillsynsmyndigheterna. Riktlinjen förankrades vid dataombudsmannens byrå bland annat med workshoppar för personalen.

Under 2022 fastställdes dataombudsmannens byrå som den ledande tillsynsmyndigheten i
18 ärenden och som deltagande tillsynsmyndighet i 112 ärenden.

Under året lämnade dataombudsmannens byrå sammanlagt tre invändningar om tillsynsmyndigheternas beslutsutkast i gränsöverskridande ärenden.

Projekt till stöd av registeransvariga

GDPR2DSM-projektet stödde dataskyddskompetensen hos små och medelstora företag

Dataombudsmannens byrås och TIEKE Utvecklingscentralen för Informationssamhälle rf:s tvååriga GDPR2DSM-projekt med EU-finansiering fortsatte under 2022. Projektet har gett stöd till mikroföretag samt små och medelstora företag i att uppfylla dataskyddskraven. Företagen har fått kunskap och ett verktyg med vilket företagare kan testa hur dataskyddskraven uppfylls av företaget.

Webbverktyget lanserades på den internationella dataskyddsdagen i januari. Med verktyget kan företagen testa hur kraven i dataskyddsförordningen uppfylls i verksamheten, kartlägga sin roll i behandlingen av personuppgifter och öka sin dataskyddskompetens. Utöver detta verktyg samlade man även övrig information om dataskydd till stöd av små och medelstora företag på webbplatsen tietosuojaapkyrityksille.fi/sv/. Dataskyddsverktygets källkod och innehåll har publicerats för att användas fritt för vidare utveckling.

​​​​​​​Inom projektet anordnades under våren fyra regionala dataskyddsseminarier i Uleåborg, Jyväskylä, Tammerfors och Åbo. Projektets serie av webbinarier fortsatte under våren och sommaren. Projektets slutseminarium anordnades i september i Helsingfors med temat utveckling av små och medelstora företagens kompetens i den föränderliga verksamhetsmiljön. Projektet finansierades av Europeiska unionens program för rättigheter, jämlikhet och medborgarskap.

Projektet GDPR4CHLDRN ökar dataskyddskompetens inom hobbyverksamheten för barn och unga

På sommaren 2022 beviljade Europeiska unionens program för rättigheter, jämlikhet och medborgarskap dataombudsmannens byrå och projektpartnern TIEKE rf finansiering för ett nytt projekt som främjar barn och ungas dataskydd.

GDPR4CHLDRN – Dataskydd inom hobbyverksamhet är ett tvåårigt projekt med syfte att öka dataskyddskompetensen av 13–17-åriga barn och unga, deras föräldrar samt föreningar som anordnar hobbyverksamhet. Inom projektet upprättas praktikorienterat skriftligt material och ikoner som förtydligar dataskyddsbegrepp för olika målgrupper. Inom ramen för projektet anordnas också webbinarier och utbildningar om dataskydd.

​​​​​​​Med projektet vill man främja skyddet för barn och ungas personuppgifter samt ge barn och unga information om de olika metoder med vilka de kan själva skydda och ha kontroll över sina egna personuppgifter. Målsättningen är att föreningarna framöver skulle kunna lösa frågor som hänför sig till efterlevnaden av dataskyddslagstiftningen mer självständigt i sin egen verksamhet samt att ge barn och unga och deras föräldrar ner kunskap om skyddet av personuppgifterna och dataskyddsrättigheterna.

Projektet inleddes i augusti 2022, och samarbetet med Finlands Scouter, Finlands Bollförbund och Finlands Olympiska kommitté samt föreningar under dessa takorganisationer inleddes i september. Det första öppna webbinariet anordnades i oktober och i månadsskiftet november-december genomfördes en enkät för att kartlägga barn och ungas, deras föräldrars och föreningars dataskyddskunskaper och tankar om behandlingen av personuppgifter inom hobbyverksamhet. Under 2023 fortsätter projektet med upprättandet av material och workshoppar för föreningarna. Projektet pågår till augusti 2024.

Internationella överföringar av uppgifter och användning av molntjänster

När personuppgifter överförs till områden utanför EES eller till en internationell organisation motsvarar nivån av skyddet för personuppgifter inte alltid nivån enligt EU:s allmänna dataskyddsförordning. Därför föreskrivs det i dataskyddsförordningen om olika grunder för överföring, med vilka personuppgifter kan överföras och en nivå på dataskyddet som motsvarar EU:s krav kan garanteras.

Under året genomfördes olika åtgärder för att övervaka dataöverföringar och molntjänster både nationellt och på europeisk nivå.

Dataombudsmannens byrå deltog tillsammans med 22 dataskyddsmyndigheter och Europeiska datatillsynsmannen i Europeiska dataskyddsstyrelsens första gemensamma, koordinerade åtgärd som utredde användningen av molntjänster inom den offentliga sektorns organisationer. Tillsynsmyndigheterna utredde utmaningar i efterlevnaden av dataskyddsförordningen vid användning av molntjänster. Åtgärden inleddes i februari med en gemensam enkät till organisationerna. Åtgärden riktades mot omkring 100 organisationer inom bland annat hälso- och sjukvård, finansiering, beskattning, utbildning och IT-tjänster. Dataombudsmannens byrå valde tre aktörer inom den offentliga sektorn som föremål för åtgärden.

Under 2022 meddelade dataombudsmannens byrå sina första avgöranden om internationella överföringar av uppgifter. I december tog biträdande dataombudsmannen ställning till användningen av uppföljningsteknologier på myndigheternas webbplatser i sitt beslut. Helsingfors, Esbo, Vanda och Grankulla fick en anmärkning på grund av att webbplatsen av huvudstadsregionens Helmet-bibliotek hade använt uppföljningsteknologier genom vilka uppgifter om böcker och annat material som användare har sökt har kunnat förmedlas till utomstående. Man hade inte definierat en adekvat grund för överföringarna av personuppgifter. Helmet-bibliotekens webbplats Helmet.fi hade använt till exempel analysverktyget Google Analytics och tjänsten Google Tag Manager.

Rättsregistercentralen lämnade en begäran om föregående samråd till dataombudsmannens byrå på grund av att Rättsregistercentralen inte i tillräcklig mån hade kunnat minska riskerna i samband med den planerade intranätslösningen för ämbetsverken. Dataombudsmannen varnade Rättsregistercentralen om att de planerade databehandlingsåtgärderna sannolikt strider mot dataskyddsförordningen. Riskerna förknippades bland annat med att uppgifter skulle överföras till myndigheter i tredjeländer på grund av myndigheternas rätt till information.

EU-domstolens så kallade Schrems II-avgörande (C-311/18) från juli 2020 preciserade de villkor under vilka personuppgifter lagligt kan överföras från ett EU- och EES-land till tredje land eller en internationell organisation. Innan personuppgifter kan överföras utanför EES-området ska den personuppgiftsansvariga eller personuppgiftsbiträdet kontrollera från fall till fall huruvida adekvat skyddsnivå för de personuppgifter som överförs kan garanteras.

I mars uppnådde EU-kommissionen och USA samförstånd om att skapa ett nytt ramverk för dataskydd mellan EU och USA. Det nya ramverket för dataskydd (”EU-U.S. Data Privacy Framework”) ska ersätta Privacy Shield som ogiltigförklarats med Schrems II-domen. Principbeslutet om ramverket för dataskydd verkställdes i USA:s lagstiftning genom en presidentorder i oktober och en kompletterande förordning om besvärsdomstolen. Därefter upprättade EU-kommissionen ett utkast till beslut om adekvat dataskyddsnivå i USA och lämnade utkastet till Europeiska dataskyddsstyrelsen för utlåtande. På basis av adekvansbeslutet kunde uppgifter överföras från EU-/EES-området till deltagande amerikanska företag i vissa sektorer utan separata skyddsåtgärder.

Riktlinjerna om internationella överföringar av uppgifter kompletterades under 2022 med Europeiska dataskyddsstyrelsens utkast till riktlinjer om certifiering som verktyg för internationell överföring av personuppgifter.

Personal och ekonomi

Under 2022 förblev dataombudsmannens byrås personalantal på samma nivå som året innan, omkring 50 personer. I slutet av året hade dataombudsmannens byrå 51 anställda. Justitie magister Annina Hautala som utnämndes till biträdande dataombudsman inledde sin tjänst i september 2022.

Under 2022 hade byrån tre kundtjänstgrupper av vilka en koncentrerade sig i huvudsak på ärenden som hänför sig till privata sektorn och gränsöverskridande ärenden, en på ärenden som hänför sig till offentliga sektorn och ärenden som behandlas nationellt och den tredje på ärenden som hänför sig till det nya dataskyddsdirektivet och dataskyddslagen. I gruppen Gemensamma funktioner ingick IT-specialsakkunniga, kommunikationer och dataskyddsombudet. Till förvaltningsenheten har man koncentrerat byråns förvaltnings-, rådgivnings- och registratorstjänsterna. I separata utvecklingsgrupper samordnas även vissa ärendehelheter, såsom praxis och projekt som hänför sig till personuppgiftsincidenter, den registrerades rättigheter och gränsöverskridande ärenden.

Under dataombudsmannens byrås strategiarbete identifierades behov som man har för avsikt att åtgärda med reformer av organisationsstrukturen och byråns arbetsordning. Reformarbetet inleddes under senare delen av år 2022 och fortsätter under 2023. Strukturen av den förnyade organisationen består av styrnings- och tillsynsenheten för privata sektorn, styrnings- och tillsynsenheten för offentliga sektorn, förvaltningsenheten och staben.

Som byråns centrala målsättning för de närmaste åren har man fastställt utveckling av den interna informationshanteringen. Under året inledde byrån projektet för införande av justitieförvaltningens ämbetsverks gemensamma ärendehanteringssystem.

Projektet för att lösa arbetsanhopningen syntes fortfarande i personalens arbetsuppgifter. Projektet inleddes i början av år 2020. Arbetsinsatserna har riktats mer till behandlingen av anhängiggjorda ärenden.

Tillbaka till toppen