Hoppa till innehåll

Verksamhetsberättelse 2023

Dataombudsmannens byrå tryggar rättigheter och friheter i behandlingen av personuppgifter

Dataombudsmannens byrå är en självständig och oberoende myndighet som övervakar efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter.

Under 2023 var Anu Talus dataombudsmannen och Heljä-Tuulia Pihamaa och Annina Hautala biträdande dataombudsmän. Dataombudsmannen och de biträdande dataombudsmännen är
självständiga och oberoende i sitt uppdrag.

Läs verksamhetsberättelsen: Verksamhetsberättelse 2023 Dataombudsmannens byrå (pdf)

Dataombudsmannen Anu Talus: Dataskyddsarbetet
i den föränderliga digitala miljön

Tietosuojavaltuutettu Anu Talus             Det gångna året var händelserikt: den digitala verksamhetsmiljön förändras hela tiden, organisationen vid dataombudsmannens byrå utvecklades och tillsynsmyndigheterna meddelade flera betydande beslut som formar den digitala marknaden.

Den allmänna dataskyddsförordningen fyllde fem år under det gångna året. Den digitala verksamhetsmiljön har blivit allt viktigare under de senaste fem åren och regleringen har mångdubblats. Jag blev vald till ordförande för Europeiska dataskyddsstyrelsen i maj 2023, vid en tidpunkt då många av de författningar som ingår i kommissionens regleringspaket om digitalisering och data redan finslipades i Bryssel eller nationellt började verkställas.

Den nya regleringen om digitalisering bygger på den allmänna dataskyddsförordningen. Fastän utgångspunkten kan verka enkel, finns det många överlappande regelverk. Samarbetet mellan myndigheterna är således viktigare än någonsin. Utöver nya projekt om digitalisering gav kommissionen även ett förslag till kompletterande bestämmelser till den allmänna dataskyddsförordningen, vilka syftar till att göra samarbetet mellan myndigheterna smidigare i gränsöverskridande ärenden inom EU.

Året präglades även nationellt av nya lagstiftningsprojekt. Dataskyddslagen reviderades genom att lägga till en bestämmelse om möjligheten att lämna ett klagomål om myndighetens passivitet. Om dataombudsmannens byrå inte inom tre månader meddelar att behandlingen av ett klagomål framskrider, kan personen överklaga hos förvaltningsdomstolen. Samtidigt infördes en bestämmelse i dataskyddslagen som gör det möjligt för föredragaren vid dataombudsmannens byrå att avgöra sådana ärenden, för vilka byrån redan har en etablerad linje. Lagändringarna trädde i kraft i början av 2024.

Antalet inledda fall började åter stiga efter att ha varit oförändrat under de senaste åren. Under året inleddes över 2 000 fler fall än under året innan, totalt 13 179 fall. Antalet avgjorda ärenden var nästan lika stort. Detta är ett bevis på våra experters outtröttliga arbete. Det är emellertid klart att de ökade uppgifterna som den nya lagstiftningen medför och det faktum att ärendena blir allt mer komplexa och svåra, kommer att kräva tilläggsresurser i skötseln av de lagstadgade uppgifterna.

Organisationsstrukturen vid dataombudsmannens byrå förnyades i april 2023. Ändringar gjordes bland annat vad gäller enheterna och ombudsmännens ansvarsområden. Byrån fick även nya chefsuppgifter och expertuppgifter som kräver lång erfarenhet. I en expertorganisation är det viktigt att identifiera betydelsen av en djupare och mer omfattande sakkunskap.

Vid byrån tog man också mycket framgångsrikt i bruk ett nytt ärendehanteringssystem. Det nya systemet effektiverar arbetet, främjar kunskapsledning och skapar nya slags möjligheter att ut veckla verksamheten utifrån allt noggrannare statistik.

Utöver tillägnandet av den nya lagstiftningen och utvecklandet av organisationen fokuserade verksamheten även på det dagliga dataskyddsoch tillsynsarbetet. Under det gångna året gav vi exempelvis 44 lagstiftningsutlåtanden. Under valåret kom regeringens lagstiftningsarbete igång med fart under hösten.

Under året meddelades också ett flertal betydande beslut. I en del av besluten ålades den registeransvariga en administrativ påföljdsavgift, medan andra registeransvariga ålades att korrigera sin verksamhet. Påföljdavgifter ålades tre registeransvariga under året. I två fall ålades en påföljdsavgift på grund av att den registeransvariga försummat att iaktta en tidigare förordnande.

Påföljdskollegiet vid dataombudsmannens byrå behandlade även andra betydande ärenden, t.ex. antogs ett beslut om taxitjänsten Yango i ett så kallat skyndsamt förfarande, med vilket överföringar av kundernas personuppgifter till Ryssland tillfälligt avbröts. Behandlingen av ärendet har därefter fortsatt i samarbete med tillsynsmyndigheterna i Nederländerna och Norge.

Förvaltningsdomstolen och högsta förvaltningsdomstolen gav under året flera beslut om data skydd, vilka stärkte dataombudsmannens linje vid tillämpandet av den allmänna dataskyddsförordningen.

Det europeiska samarbetet har blivit en del av myndigheternas lagstadgade uppgifter efter att den allmänna dataskyddsförordningen började tillämpas. Det viktigaste beslutet på EU-nivå under året torde vara kommissionens beslut om huruvida Förenta staterna har en tillräcklig dataskyddsnivå. Europeiska dataskyddsstyrelsen (EDPB) gav ett tämligen positivt utlåtande till Europeiska kommissionen om den nya dataskyddsramen mellan EU och Förenta staterna, fastän man även framförde några anledningar till bekymmer.

Dataombudsmannens byrå har även för egen del inverkat på Europeiska dataskyddsstyrelsens tvistlösningsbeslut. Som en följd av dataskyddsstyrelsens tvistlösningsbeslut förra året påfördes Meta en påföljdsavgift på 1,2 miljarder euro för överföringen av personuppgifter till Förenta staterna samt Tiktok en påföljdsavgift på 345 miljoner euro för överträdelse av bestämmelserna om barns dataskydd. Dataskyddsstyrelsen fattade även ett brådskande bindande beslut om Meta, där den ansåg att Meta utan behörig rättslig grund hade behandlat personuppgifter för inriktandet av marknadsföring till personer.

I mars inleddes även dataskyddsstyrelsens andra gemensamma koordinerade utredning som på initiativ av dataombudsmannens byrå hänförde sig till ställningen av dataskyddsombud i organisationen. På våren publicerade dataskyddsstyrelsen en guide för små och medelstora företag, som kommer att finnas översatt till finska under 2024. De små och medelstora företagens ställning kommer också att behandlas i dataskyddsstyrelsens följande strategi, vilken godkändes på våren 2024. Projektet GDPR4CHLDRN – Dataskydd inom hobbyverksamhet, som främjar barnens dataskydd och finansieras av kommissionen, framskred i samarbete med TIEKE rf. Projektet koordineras av dataombudsmannens byrå.

Diskussionen om artificiell intelligens fortsatte intensivt under det gångna året och står starkt i fokus även 2024. Europeiska dataskyddsstyrelsen tillsatte en arbetsgrupp om ChatGPT, och de nationella tillsynsmyndigheterna kan väntas ta beslut som rör artificiell intelligens under 2024. Det uppnåddes politiskt samförstånd om förordningen om artificiell intelligens och de nationella tillsynsmyndigheterna kommer att ha en betydande roll i tillämpandet av förordningen oberoende av vilken myndighet som i verkligheten övervakar förordningen.

Anu Talus

Dataombudsman

Biträdande dataombudsman Heljä-Tuulia Pihamaa: Bekräftade riktlinjer, preciseringar i användningen av personbeteckningar och anvisningar om dataskydd för barn

        Organisationsreformen på vår byrå medförde ändringar i enhetsfördelningen och samtidigt i ombudsmännens ansvarsområden. I början av april 2023 bytte jag ansvaret för kundtjänstgruppen för ärenden inom den offentliga sektorn till styrnings- och övervakningsenheten för privata sektorn.

Mätt i antalet ärenden var ärenden som gäller finanssektorn det största området inom den privata sektorn, i synnerhet anmälningar om personuppgiftsincidenter, granskningsrätten till sina egna uppgifter, begäranden om radering av uppgifter och ärenden som förknippas med anteckningar om betalningsstörningar.

Under 2023 meddelades ett beslut om påföljdsavgift i finanssektorn på grund av ogrundade anteckningar om betalningsstörningar som grundar sig på domar i tvistemål i kreditupplysningsregistret. Bolaget hade trots ett förordnande år 2021 inte raderat uppgifterna från kreditupplysningsregistret.

I den privata sektorn var en av dataombudsmannens viktigaste ställningstaganden ett beslut där lagligheten av lagringstiderna för inköpsuppgifterna bedömdes. Lagring av inköpsuppgifterna under hela stamkundsrelationen kunde inte anses följa dataskyddslagstiftningen när kundrelationen i praktiken pågår i flera decennier. Om behandling av personuppgifter ingår som en central del i ett företags affärsverksamhet ska företaget uppfylla alla krav för adekvat behandling av personuppgifter noggrant, till exempel minimering av uppgifterna och fastställande av lagringstiderna. I den dataintensiva ekonomin ökar betydelsen av detta kontinuerligt och kommer även framöver att framträda i dataombudsmannens byrås avgöranden.

Huvuddelen av dataombudsmannens byrås beslut förblev i kraft vid förvaltningsdomstolar. I september meddelade högsta förvaltningsdomstolen sitt beslut om en påföljdsavgift som påförts Posten under våren 2020. Detta var påföljdskollegiets första beslut som behandlades av högsta förvaltningsdomstolen. Högsta förvaltningsdomstolen satte i kraft den påföljdsavgift som påförts på grund av bristfällig information till personer som lämnat in en flyttanmälan. Det som var beaktansvärt i avgörandet var att högsta förvaltningsdomstolen bekräftade att en påföljdsavgift kunde påföras utan att tillsynsmyndigheten skulle först ha använt sina övriga korrigerande befogenheter såsom ett förordnande eller en anmärkning.

I december meddelade Östra Finlands förvaltningsdomstol sitt avgörande på basis av EU-domstolens förhandsavgörande i det så kallade logguppgiftsärendet. Förvaltningsdomstolens avgörande höll huvudsakligen i kraft biträdande dataombudsmannens beslut och samtidigt dataombudsmannens byrås etablerade tolkning om utlämnande av logguppgifter. Enligt förvaltningsdomstolens avgörande har en bank ingen skyldighet att lämna ut uppgifter om de bankanställda som har granskat kundens uppgifter. Banken ska ändå lämna ut uppgifterna om exakta tidpunkterna för granskning av kunduppgifter ur användarloggar. Detta beslut har överklagats och vi väntar på högsta förvaltningsdomstolens avgörande i ärendet.

Behandlingen av personbeteckningar preciserades med lagstiftning. Riksdagen godkände ändringar i dataskyddslagen och i dataskyddslagen avseende brottmål i december. I detta sammanhang preciserades och förtydligades också bestämmelserna om behandling av personbeteckningen. Syftet med lagändringen är att understryka det ursprungliga syftet av en personbeteckning som ett verktyg för specificering av personer, alltså ett verktyg med vilket man kan urskilja människor från varandra. Lagen preciserades med en skrivning som trädde i kraft i början av år 2024 enligt vilken enbart personbeteckningen eller en kombination av personbeteckningen och den registrerades namn inte får användas för utredning av den registrerades identitet. Ett problem med personbeteckningar har varit att i praktiken har personbeteckningen utöver dess användningsändamål, alltså entydig specificering av en person, även använts för identifiering av personen. Med lagändringen kommer situationen förhoppningsvis att bli klarare.

I juni meddelade högsta förvaltningsdomstolen sitt avgörande i ett ärende som handlade om behandling av personbeteckningar av barn. Högsta förvaltningsdomstolen höll i kraft biträdande dataombudsmannens beslut om att det inte fanns något behov för systematisk insamling av personbeteckningar av de minderåriga barnen av hyresgästerna eller bostadssökandena som skulle förutsättas av dataskyddsförordningen. Trots att personbeteckningar enligt lag kan behandlas inom uthyrningsverksamhet ska behandlingen alltid vara nödvändig.

Vår prioritet för verksamhetsåret, barnens dataskydd, syntes i verksamheten bland annat genom det pågående projektet GDPR4CHLDRN – Dataskydd inom hobbyverksamhet, dataombudsmannens byrås och TIEKE Utvecklingscentralen för Informationssamhälle rf:s tvååriga projekt med EU-finansiering. Projektets syfte är att på ett pragmatiskt sätt öka dataskyddskompetensen av 13–17-åriga barn och unga, deras föräldrar samt föreningar som anordnar hobbyverksamhet. Till föreningarnas stöd produceras bland annat en ”digital verktygslåda” som kan hjälpa dem lösa frågor som förknippas med efterlevnaden av dataskyddslagstiftningen. Avsikten är att färdigställa projektet under senare delen av år 2024.

Heljä-Tuulia Pihamaa

Biträdande dataombudsman

Biträdande dataombudsman Annina Hautala: Dataskydd angår hela samhället

År 2023 var mitt första helår som biträdande dataombudsman. Vad gäller dataskydd var 2023 återigen ett intressant och händelserikt år. Som jag konstaterar i rubriken, genomsyrar dataskydd hela samhället och har betydelse för var och en av oss. Man kan säga att betydelsen av dataskydd är till och med större inom den offentliga förvaltningen eftersom personen själv har ofta ingen möjlighet att påverka om aktörer inom den offentliga förvaltningen behandlar personens uppgifter. Inom den offentliga förvaltningen behandlas också personuppgifter som kräver särskilt skydd som till exempel hälsouppgifter.

Genom reformen av dataombudsmannens byrås organisation blev jag ansvarig för styrnings- och övervakningsenheten för offentliga sektorn i april 2023. Med organisationsreformen kombinerade vi den så kallade säkerhets- och justitieförvaltningssektorn med styrningen och övervakningen av dataskyddet inom den övriga offentliga förvaltningen. Reformen har gjort det möjligt att forma en mer omfattande bild av läget för dataskyddet inom den offentliga förvaltningen och var övervakningsåtgärderna bör riktas. Målsättningen är att rikta våra resurser så att övervakningen och styrningen har största möjliga effekt så att dataskyddet tillgodoses lagenligt för alla.

Som under tidigare år utgjorde ärenden som förknippas med social- och hälsovården den största branschen för dataombudsmannens byrå under 2023 mätt i antalet anhängiggjorda ärenden. Största delen av de anhängiggjorda ärendena både vad gäller social- och hälsovården och övrig offentlig förvaltning var anmälningar av personuppgiftsincidenter och frågor om användningen av den registrerades lagstadgade dataskyddsrättigheter såsom rätten att granska sina uppgifter och begäranden att radera uppgifter. I ärenden som förknippas med social- och hälsovården märks också inledningen av välfärdsområdenas verksamhet och den reviderade lagen om behandling av kunduppgifter inom social- och hälsovården. Lagen trädde i kraft i början av år 2024.

För att effektivera vår verksamhet har vi också utvecklat dataombudsmannens byrås förfaringssätt och processer. Till exempel behandlingen av ärenden som förknippas med social- och hälsovården effektiverades genom att införa ett gallringsförfarande för ärenden som handlar om de registrerades rättigheter. Dessutom riktades mer personresurser till övervakningsarbetet avseende social- och hälsovården.

Året präglades av reformer även vad gäller utbildningssektorn och småbarnspedagogiken. Dataombudsmannens byrå uppmärksammade flera gånger reformernas beredare och verkställare om dataskydd. Till exempel behandlingen av personuppgifter inom den grundläggande utbildningen och anordnandet av elevhälsa förnyades. Under 2023 inleddes också flera lagstiftningsprojekt som förknippas med säkerhetsmyndigheternas verksamhet där dataombudsmannens byrå gav stöd till beredningen ur ett dataskyddsperspektiv.

Även under 2023 riktade vi granskningar på personuppgiftsansvariga. Vid granskningar strävar vi efter att upptäcka områden som behöver utvecklas innan det har uppstått risker för personuppgifter. Samtidigt kan vi öka organisationernas medvetenhet och förståelse om dataskydd. Även vår byrå blev föremål för en inspektion som en del av utvärderingen av lagligheten av Schengen- ländernas verksamhet. Det var Finlands tur i fjol att granskas i denna regelbundet utförda utvärdering.

Det kan anses beaktansvärt att våra olika övervakningsåtgärder samt förundersökningsmyndigheters och åklagares begäranden om utlåtanden har avslöjat ett antal fall av så kallat snokande. I en del av fallen har snokandet varit omfattande och långvarigt. Förundersökningsmyndigheten och åklagare ska höra dataombudsmannen när de behandlar ett ärende som gäller ett dataskyddsbrott, sekretessbrott, dataintrång eller kränkningar av kommunikationshemlighet. Antalet dylika begäranden om utlåtande ökade till 54 under året, när år 2022 var antalet dylika begäranden 37.

De ovannämnda observationerna har lett till att övervakning av behandling av personuppgifter vid personuppgiftsansvarigas verksamhet togs med som ett specialtema i inspektionsplanen för 2024. Jag kan inte understryka nog vikten av att personuppgiftsansvariga utöver tryggandet av säkerheten av register och datasystem, hanteringen av behörigheter och anvisningen av användarna även aktivt övervakar sin behandling av personuppgifter.

Annina Hautala

Biträdande dataombudsman

Dataombudsmannens byrås år 2023 i siffror

Vår verksamhet i siffror

  • 13 179 anhängiggjorda ärenden
  • 13 059 behandlade ärenden
  • 6 894 anhängiggjorda anmälningar om personuppgiftsincidenter
  • 2 856 besvarade samtal vid telefonrådgivningen
  • 11 genomförda inspektioner
  • 44 utlåtanden om lagstiftningsprojekt
  • 54 utlåtanden till åklagare eller förundersökningsmyndigheter
  • 6 gränsöverskridande ärenden där dataombudsmannens byrå fastställdes som den ledande tillsynsmyndigheten
  • 147 gränsöverskridande ärenden där dataombudsmannens byrå fastställdes som deltagande tillsynsmyndighet

Under 2023 påförde dataombudsmannens byrå

  • 3 administrativa påföljdsavgifter för dataskyddsförseelser
  • 41 anmärkningar om behandlingsåtgärder i strid med dataskyddslagstiftningen
  • 20 förordnanden att ändra behandlingsåtgärderna för personuppgifter så att de motsvarar dataskyddsförordningen
  • 6 förordnanden att tillgodose 6 den registrerades rättigheter
  • 2 förordnanden att underrätta den registrerade 2 om en personuppgiftsincident

Organisationen förnyades

Dataombudsmannens byrås organisationsstruktur och arbetsordning förnyades i april 2023. Med reformen av organisationsstrukturen och arbetsordningen bemötte man de behov som identifierats i dataombudsmannens byrås strategiarbete året innan.

Reformen medförde ändringar i byråns enhetsfördelning och ombudsmännens ansvarsområden. Strukturen av den förnyade organisationen består av styrnings- och övervakningsenheten för privata sektorn (YKI), styrnings- och övervakningsenheten för offentliga sektorn (JUKI), förvaltningsenheten och staben. Till förvaltningsenheten har man koncentrerat byråns förvaltning och datahantering samt registratorstjänsterna. Till stabsenheten hör koordinationen av internationella ärenden, ICT-specialsakkunniga, kommunikation, en specialsakkunnig och en dataskyddsombudet.

De biträdande dataombudsmännen ansvarar för övervakningen av den privata och den offentliga sektorn. Dataombudsmannens ansvarsområde omfattar tillsynsmyndighetens allmänna riktlinjer, det europeiska gränsöverskridande samarbetet och Europeiska dataskyddsstyrelsen.

I samband med reformen av organisationsstrukturen infördes också nya uppgifter för gruppledarna av YKI- och JUKI-enheterna. Gruppledarna är överordnade för inspektörerna och de juridiska sakkunniga vid dataombudsmannens byrå.

Under verksamhetsåret förblev dataombudsmannens byrås personalantal på samma nivå som året innan. I slutet av året hade dataombudsmannens byrå 51 anställda.

Under de kommande åren förväntas uppgifterna av dataombudsmannens byrå öka till exempel på grund av de nya uppgifterna enligt EU:s rättsakter.

Antalet ärenden började öka igen

Antalet anhängiggjorda ärenden vid dataombudsmannens byrå ökade tydligt från de antal som stabiliserats under tidigare år. År 2023 anhängiggjordes sammanlagt 13 179 ärenden vid dataombudsmannens byrå, alltså cirka 2 000 fler än året innan. Antalet avgjorda ärenden var också högre än under de senaste åren, sammanlagt 13 059 stycken under 2023.

Den största ärendegruppen var anmälningar av personuppgiftsincidenter, vilka utgjorde 52 procent av alla anhängiggjorda ärenden. Antalet ärenden som överskrider EU-ländernas gränser ökade också.

Dataombudsmannens byrå har arbetat systematiskt för att lösa anhopningen av anhängiggjorda ärenden sedan år 2020. I slutet av år 2023 fanns det 880 över två år gamla ärenden som anhängiggjorts under åren 2018–2021 vid byrån. En betydande andel av äldre oavgjorda ärenden är ärenden som behandlas i ett gränsöverskridande samarbete där ett annat EES-lands tillsynsmyndighet ansvarar för förfarandet.

Tjänsterna och systemen utvecklades

Som byråns centrala målsättning för de närmaste åren har man fastställt utveckling av datahanteringen. Under hösten 2023 började dataombudsmannens byrå använda det gemensamma elektroniska ärendehanteringssystemet för justitieförvaltningens ämbetsverk, HILDA. Samtidigt reviderades anvisningarna för organisationens datahantering grundligt och byråns datahanteringsmodell utvecklades vidare. Det nya ärendehanteringssystemet effektiverar handläggningen av ärendena och den kunskapsbaserade ledningen.

Under senare delen av året började byrån använda Statens center för informations- och kommunikationsteknik Valtoris tjänst Turvalomake för sina blanketter. Med blanketterna kan organisationer anmäla personuppgiftsincidenter, anmäla kontaktuppgifterna till sitt dataskyddsombud och skicka begäranden om föregående samråd. Privatpersoner kan skicka begäranden om förordnanden som hänför sig till dataskyddsrättigheterna eller anmäla missförhållanden vid behandling av personuppgifter. Skickade blanketter kan sparas som pdf-filer. Även sekretessbelagda och känsliga uppgifter kan skickas till dataombudsmannens byrå med blanketterna.

Även byråns interna förfaranden utvecklades för att effektivera handläggningen av ärendena. Gallringsförfarandena för ärenden som handlar om den registrerades rättigheter och handläggningen av anmälningar om personuppgiftsincidenter etablerades och utvecklades vidare.

Gallringsprocessen för anmälningar om personuppgiftsincidenter infördes år 2022 och den har konstaterats att ha effektiverat behandlingen av anmälningarna markant. Vid gallringsprocessen bedömer man bland annat huruvida ärendet behöver utredas närmare med den personuppgiftsansvariga och huruvida incidenten kräver åtgärder från myndigheten.

Gallring av ärenden som förknippas med den registrerades rättigheter fortsatte i ärenden som handlar om social- och hälsovården. Byrån bedömer huruvida förfaringssättet ska kunna tilllämpas även på andra sektorer.

I december 2023 godkände riksdagen ändringar i dataskyddslagen och i dataskyddslagen avseende brottmål så att de motsvarar EU:s dataskyddslagstiftning. Från och med början av år 2024 ska dataombudsmannens byrå avgöra ett klagomålsärende eller meddela den som lämnat in klagomålet en uppskattad tidpunkt för ett avgörande inom tre månader från det att ärendet anhängiggjorts. Den klagande kan anföra besvär hos förvaltningsdomstolen om dataombudsmannen inte meddelar ett avgörande eller en uppskattad tidpunkt för behandling av ärendet inom denna tidsfrist.

Tillbaka till toppen