Verksamhetsberättelse 2025
Dataombudsmannens byrås verksamhetsberättelse beskriver årets viktigaste dataskyddshändelser, tillsynsåtgärder inom olika branscher samt verksamhetens nyckeltal.
Dataombudsmannens byrås verksamhetsberättelse 2025 (pdf)
På den här sidan kan du läsa huvudpunkterna i verksamhetsberättelsen:
- Dataombudsmannen Anu Talus: Omvälvningarna för verksamhetsmiljön i en ny riktning
- Biträdande dataombudsman Heljä-Tuulia Pihamaa: Dataskyddsåret präglades av artificiell intelligens och säker behandling av uppgifter
- Biträdande dataombudsman Annina Hautala: Övergripande säkerhet förutsätter starkt dataskydd
- Dataombudsmannens byrås år 2025 i siffror
- Översikt över statistiken och verksamhetsfältet
Dataombudsmannens byrå tryggar rättigheter och friheter i behandlingen av personuppgifter
Dataombudsmannens byrå är en självständig och oberoende myndighet som övervakar efterlevnaden av dataskyddslagstiftningen och andra lagar som gäller behandling av personuppgifter. Under 2025 var Anu Talus dataombudsmannen och Heljä-Tuulia Pihamaa och Annina Hautala biträdande dataombudsmän. Dataombudsmannen och de biträdande dataombudsmännen är självständiga och oberoende i sitt uppdrag.
Dataombudsmannen Anu Talus: Omvälvningarna för verksamhetsmiljön i en ny riktning
uppgiftsområde utvidgas också.
År 2025 beviljades dataombudsmannen tilläggsresurser för att sköta de lagstadgade uppgifterna. Under året färdigställde man en plan för en ny organisationsstruktur och utarbetade en rekryteringsplan i fyra steg. Vid byråns enheter för styrning
och övervakning av den privata och offentliga sektorn beslutade man att inrätta sammanlagt fem branschbaserade ansvarsområdesgrupper. Vid stabsenheten inrättade man en grupp för EU-frågor och internationella frågor samt en
grupp som fokuserar på IT-frågor. De nya grupperna leds av gruppcheferna. Samtidigt började man skapa strukturer för nya tillsynsuppgifter som dataombudsmannens byrå åläggs särskilt utifrån EU:s förordning om artificiell intelligens.
I diskussionen om dataskydd har de världspolitiska händelserna lyft digital suveränitet till ytan på ett nytt sätt. Frågan är vem som i sista hand kontrollerar informationen i en digital miljö och vem som har tillgång till data. Dessa är viktiga
frågor även i dataskyddsregleringen och vid internationella dataöverföringar.
Under året blev överföringar av personuppgifter i synnerhet till Kina ett hett samtalsämne. Dataombudsmannen inledde en utredning om dataöverföring från ett universitet till ett kinesiskt företag. Den irländska dataskyddsmyndigheten påförde i
sin tur TikTok en påföljdsavgift på 530 miljoner euro för olaglig överföring av personuppgifter till Kina. Beslutet fattades i ett samarbetsförfarande mellan de europeiska dataskyddsmyndigheterna, vilket dataombudsmannen deltog i. I detta förfarande
bereder man en gemensam lösning som är bindande för alla tillsynsmyndigheter.
Varje år deltar vi i behandlingen av cirka 500 gränsöverskridande ärenden. Den nya EU-förordningen, som förenhetligar och påskyndar dataskyddsmyndigheternas verksamhet i ärenden som är kopplade till flera medlemsstater, kommer att påverka behandlingen av klagomål från och med april 2027.
Utöver digital suveränitet har även EU:s konkurrenskraft stått i centrum för den offentliga debatten. Draghi-rapporten från 2024 utsåg svår, flerskiktad digital reglering som en faktor som försämrar konkurrenskraften. Europeiska kommissionen har föreslagit flera reformer som syftar till att förenkla regleringen. Ändringsförslagen som gäller den allmänna dataskyddsförordningen
tycks i huvudsak motsvara de europeiska dataskyddsmyndigheternas tolkningspraxis. Den definition av personuppgifter som föreslås i den så kallade digital omnibus-presentationen har dock väckt oro, eftersom den skulle skilja sig från EU-domstolens avgörandepraxis och skapa osäkerhet i tolkningen av begreppet personuppgifter.
Cheferna för de europeiska dataskyddsmyndigheterna samlades för Europeiska dataskyddsstyrelsens möte på hög nivå i Helsingfors i juli 2025. På mötet utfärdade man Helsingforsdeklarationen, där vi förband oss att ge konkret stöd till
organisationerna och säkerställa en så enhetlig tillämpningspraxis som möjligt inom EU. Huvudmålet är ”GDPR made easy”, att göra det lättare att följa lagstiftningen. Samtidigt kom man överens om att intensifiera samarbetet med myndigheter och intressentgrupper inom andra branscher.
En stark trend inom lagstiftningsprojekt både nationellt och i Europa har varit att utöka myndigheternas befogenheter, och under året lämnades flera begäranden om utlåtande in om de föreslagna ändringarna i myndigheternas rätt till information. Syftet med lagreformerna är att uppnå viktiga mål, som till exempel bekämpning av grå ekonomi och brott. Ändringarna måste dock vara proportionerliga och nödvändiga, och myndigheternas befogenheter måste begränsas noggrant. En av lagreformerna skulle utöka skattemyndighetens rätt till information om finländska kontotransaktioner. Riksdagens grundlagsutskott förutsatte ändringar i förslaget i sitt utlåtande.
Riksdagen behandlade också statsrådets ståndpunkt om EU:s CSAM-förordning, som syftar till att bekämpa sexuellt våld mot barn på nätet. Finland och flera andra medlemsländer motsatte sig obligatorisk brytning av säkra förbindelser i meddelandeappar. Förslag till ändringar i dataskyddslagstiftningen och påföljdssystemet var andra viktiga lagberedningsprojekt.
Då verksamhetsmiljön blir allt mer komplex krävs det mer samarbete mellan myndigheterna både nationellt och på europeisk nivå. Den snabba utvecklingen av tekniken och regleringsfältet kommer att öka behovet av att trygga människors grundläggande fri- och rättigheter ytterligare.
Anu Talus
Dataombudsman
Biträdande dataombudsman Heljä-Tuulia Pihamaa: Dataskyddsåret präglades av artificiell intelligens och säker behandling av uppgifter
dataombudsmannens byrå inledde vi förberedelserna för myndighetens nya uppgifter. Som en del av förberedelserna publicerade vi på våren anvisningar om hur dataskyddet ska beaktas i AI-system. Arbetet fortsätter aktivt under 2026.
Utvecklingen av hållbar och etisk artificiell intelligens förutsätter ett nära samarbete både nationellt och internationellt. Artificiell intelligens var huvudtemat också vid dataskyddsmyndigheternas årliga världsmöte, där man betonade dataskyddsregleringens och i synnerhet dataskyddsprincipernas betydelse i utvecklingen av artificiell intelligens samt behovet av myndighetssamarbete.
I Finland började man bygga upp samarbete mellan de 15 nationella myndigheter
som övervakar artificiell intelligens under samordning av Traficom.
Införandet av artificiell intelligens syntes också i anmälningarna om personuppgiftsincidenter. I flera fall hade riskerna i anslutning till behandlingen
av personuppgifter inte bedömts tillräckligt innan de nya verktygen togs i bruk. Detta framhäver de personuppgiftsansvarigas skyldighet att beakta dataskyddet redan i planeringsskedet.
Anmälningar om personuppgiftsincidenter var fortfarande byråns största ärendegrupp. Under verksamhetsåret fortsatte man med ett utvecklingsprojekt vars mål är att utnyttja automatisering vid behandlingen av anmälningarna. Målet är att införa automatisering i verksamheten under 2026.
År 2025 påförde påföljdskollegiet vid dataombudsmannens byrå tre administrativa påföljdsavgifter. Besluten förenades av temat säker behandling av personuppgifter inom branscher där behandlingen av personuppgifter hör till organisationens
kärnverksamhet och uppgifterna är känsliga. I besluten betonades omsorgsfull hantering av förändringsprocesserna och för handstestning av datasystemen. Många dataskyddsrisker är således fortfarande förknippade med brister i verksamhetssätten, inte enbart med tekniska problem. Betydelsen av planmässighet, omsorgsfullhet och proaktiv bedömning vid behandlingen av personuppgifter kan inte betonas för mycket.
Vi fick också flera betydande prejudikat från högsta förvaltningsdomstolen, särskilt inom försäkringsbranschen. I sina beslut gav högsta förvaltningsdomstolen riktlinjer om tolkningen av begreppet försäkrad samt om förutsättningarna för begäranden om uppgifter som försäkringsbolagen riktar till hälso- och sjukvården för att avgöra ersättningsärenden. I prejudikaten upphävdes
dataombudsmannens ståndpunkter. Samtidigt betonades det i dem att försäkringsbolagens begäranden om uppgifter ska vara motiverade, specificerade och nödvändiga. Vi har i olika sammanhang betonat att behandlingen också ska vara förutsägbar och transparent för kunden.
I juni gav högsta förvaltningsdomstolen ett betydande prejudikat om rätten att få användarlogguppgifter i det så kallade Bank S-ärendet. Kunden hade rätt att få veta syftena och tidpunkterna för behandlingen av sina personuppgifter, men inte identiteten hos de arbetstagare som behandlade uppgifterna. Rätten att få logguppgifter syntes också i rådgivningsfrågor som riktades till byrån.
På EU-nivå diskuterades tillsynen över förordningen om digitala tjänster (DSA), webbtjänsternas åldersgränsövervakning samt skyddet av barn på webbplattformar. Det intensiva tillsynssamarbetet kring förordningen om digitala tjänster fortsatte under ledning av Traficom, och i tillsynsärendena såg man också en ökning. I slutet av året fick man de första besluten om storbolag inom digitala tjänster från Europeiska kommissionen när den första påföljdsavgiften för brott mot transparensskyldigheten enligt DSA påfördes tjänsten X.
Frågor om registrerades rättigheter syntes liksom under tidigare år starkt i rådgivningen och tillsynen. Rätten att radera personuppgifter granskades när EU- och EES-ländernas dataskyddsmyndigheter utredde organisationernas praxis och utmaningar i tillgodoseendet av rätten. Det är allt viktigare att trygga starka dataskyddsrättigheter nu, när datainsamlingen i den digitala miljön ständigt förändras och ökar i och med ny teknik.
Heljä-Tuulia Pihamaa
Biträdande dataombudsman
Biträdande dataombudsman Annina Hautala: Övergripande säkerhet
förutsätter starkt dataskydd
behandlingen av personuppgifter har ökat ytterligare och tekniken, i synnerhet den artificiella intelligensen, har fortsatt att utvecklas och bli mer allmän.
Dataskyddet har en central betydelse för byggandet av demokrati, samhällsfred och säkerhet. Dataskyddet är således en viktig del av den övergripande säkerheten. Hur man förhåller sig till integritetsskyddet och dataskyddsrättigheterna har en direkt inverkan på hur demokratiskt och säkert samhället förblir. Aktörerna inom den offentliga sektorn har en central roll i detta. En central del av dataombudsmannens byrås arbete är därför att
styra och övervaka statens, kommunernas och välfärdsområdenas behandling av personuppgifter. Under året tog man till exempel ställning till om man inom utbildningssektorn kan behandla biometriska uppgifter om barn i ett visst syfte
och man inledde en utredning om överföring av genetiska data till ett kinesiskt företag.
Mitt i förändringen är det viktigt att organisationer och individer vet vilka personuppgifter som behandlas med teknologin, vad som görs med uppgifterna och att informationshanteringen och beslutanderätten inte utan avsikt ges till någon annan, såsom till stora teknologibolag. Man får inte glömma att de ramar som följer av dataskyddslagstiftningen gäller behandling av personuppgifter oberoende av vilken teknik som utnyttjas.
Liksom under tidigare år inleddes flest ärenden som gällde social- och hälsovårdssektorn. Cirka en fjärdedel av de inledda ärendena gällde denna sektor. En stor del av ärendena som gällde den offentliga förvaltningen handlade om personuppgiftsincidenter och användningen av individers dataskyddsrättigheter. Det allmänna rådet för registrerade är att om du vill använda dina dataskyddsrättigheter ska du först kontakta den organisation som behandlar dina personuppgifter.
Som vanligt berodde många personuppgiftsincidenter på ett mänskligt fel. Man kan också se att det bakom personuppgiftsincidenterna i flera fall har funnits gamla och ouppdaterade apparater och system samt andra brister i datasäkerheten. Jag vill betona att det med tanke på att minimera skadorna finns skäl att fästa uppmärksamhet vid god informationshantering och radering av onödiga uppgifter samt övervakning av behandlingen av uppgifter.
En viktig del av vårt arbete är att stödja lagberedningen. Under året fäste vi flera gånger lagstiftarens uppmärksamhet vid konsekvenserna av att myndigheternas rätt till information och behandling utvidgas, bristerna i bedömningen av dataskyddskonsekvenserna, ansvarens tydlighet samt balansen i anslutning till tillgodoseendet av de grundläggande fri- och rättigheterna. Under året uttalade vi oss till exempel om regeringens proposition om Skatteförvaltningens rätt till information
och om ett förslag vars mål är att utvidga möjligheten att i samband med brottsutredning utnyttja bland annat biometriska uppgifter som registrerats i polisens passregister. Under året lämnade vi dessutom flera utlåtanden om sektorn för småbarnspedagogik och undervisning samt social- och hälsovårdsområdet.
Under året lämnade vår byrå över hundra utlåtanden som stöd för den straffrättsliga åtalsprövningen. Det är värt att notera att en betydande del av dessa utlåtanden gällde misstankar om otillåten behandling av uppgifter. Även exceptionellt omfattande helheter med otillåten behandling har behandlats.
Föregripande styrning är en central uppgift för dataskyddsmyndigheten. När de skriftliga begärandena om handledning och rådgivning samt telefonrådgivningssamtalen räknas ihop når man nästan 4 000 handlednings- och rådgivningsbegäranden
som behandlats under året. I vårt dagliga arbete balanserar vi med hur detaljerad rådgivning vi kan ge på förhand i rollen som tillsynsmyndighet. Under året utfördes också flera inspektioner av personuppgiftsansvariga där det är möjligt att stödja organisationerna i deras dataskyddsarbete.
Under året samarbetade vi med intressentgrupper på många olika sätt. Vi deltog till exempel i Kommunförbundets projekt om grundanvisningar för kommunernas dataskydd samt i VAHTI-verksamheten som utvecklar cybersäkerheten och den digitala säkerheten.
Trots de omgivande förändringarna och brådskan har det varit ett nöje att följa med hur personalen på vår byrå även i år har arbetat ihärdigt och med stor yrkesskicklighet för bättre dataskydd. Utöver kompetent personal är tillsynsmyndighetens
oberoende, fungerande processer och tillräckliga resurser centrala förutsättningar för att vi ska lyckas i vårt arbete.
Annina Hautala
Biträdande dataombudsman
Dataombudsmannens byrås år 2025 i siffror
Vår verksamhet i siffror
- 15 408 anhängiggjorda ärenden
- 15 033 behandlade ärenden
- 7 355 anhängiggjorda anmälningar om personuppgiftsincidenter
- 2 579 besvarade samtal vid telefonrådgivningen
- 10 inledda och genomförda inspektioner
- 39 utlåtanden om lagstiftningsprojekt
- 100 utlåtanden till åklagare eller förundersökningsmyndigheter
- 7 gränsöverskridande ärenden där dataombudsmannens byrå fastställdes som den ledande tillsynsmyndigheten
- 252 gränsöverskridande ärenden där dataombudsmannens byrå fastställdes som deltagande tillsynsmyndighet
Under 2025 påförde dataombudsmannens byrå
- 3 administrativa påföljdsavgifter för dataskyddsförseelser
- 30 anmärkningar om behandlingsåtgärder i strid med dataskyddslagstiftningen
- 8 förordnanden att ändra behandlingsåtgärderna för personuppgifter så att de motsvarar dataskyddsförordningen
- 8 förordnanden att tillgodose den registrerades rättigheter
- 4 förordnanden att underrätta den registrerade om en personuppgiftsinciden
Översikt över statistiken och verksamhetsfältet
Antalet ärenden ökade betydligt
Antalet ärenden som inleddes och behandlades vid dataombudsmannens byrå ökade betydligt jämfört med året innan. År 2025 inleddes ett rekordstort antal ärenden, sammanlagt 15 408 ärenden. Ökningen jämfört med föregående år var 2 100 ärenden. Sammanlagt 15 033 ärenden behandlades, dvs. över 1 700 fler än året innan.
En betydande del av ökningen förklarades av det exceptionellt stora antalet anmälningar gällande dataskyddsombud. En av de lagstadgade uppgifterna för dataombudsmannens byrå är att upprätthålla en förteckning över organisationernas dataskyddsombud. Förteckningen uppdaterades under 2025 och därför togs det emot flera hundra anmälningar mer än vanligt, sammanlagt över 900 anmälningar.
Anmälningar om personuppgiftsincidenter är till antalet den största ärendegruppen vid dataombudsmannens byrå, och antalet ökar årligen. Under året anmäldes sammanlagt 7 355 personuppgiftsincidenter och antalet ökade med 200 anmälningar jämfört med året innan. Anmälningarnas relativa andel av de inledda ärendena började dock minska.
Andra viktiga ärendegrupper är i synnerhet uppgifter i anslutning till tillsyn, handledning och rådgivning, EU-samarbete samt klagomål och begäranden från privatpersoner.
Omvälvningar i verksamhetsfältet och regleringsmiljön
Omvälvningen i den digitala miljön och den globala dataekonomin formar dataombudsmannens byrås verksamhetsfält. De nya uppgifter som följer av regleringen av digitaliseringen och data utvidgar dataskyddsmyndighetens tillsynsansvar och antalet uppgifter förväntas öka ytterligare. Även den nationella lagstiftningen förnyas.
Beredningen av ändringarna i lagstiftningen inom justitieministeriets förvaltningsområde i anslutning till totalreformen av dataskyddslagstiftningen inleddes våren 2025. I reformen föreslås ändringar i dataskyddslagen och tio andra lagar. Dataombudsmannen gav ett utlåtande om utkastet till regeringens proposition i oktober. Lagändringarna gäller bland annat informationens rörlighet mellan myndigheter, behandlingen av känsliga personuppgifter samt elektroniska metoder för utlämning av uppgifter. Dessutom föreslås att certifieringsorganets ackrediteringsuppgift överförs från dataombudsmannen till ett nationellt ackrediteringsorgan (FINAS).
Lagarna om befogenheter för de nationella myndigheter som övervakar EU:s förordning om artificiell intelligens (AI Act) samt om förseelser mot lagstiftningen om artificiell intelligens godkändes i december 2025 och trädde i kraft den 1 januari 2026. Tillsynen i fråga om förordningen om artificiell intelligens har i Finland spridits mellan 15 olika myndigheter. Transport- och
kommunikationsverket Traficom fungerar som nationell kontaktpunkt. Under året förberedde man sig på inledandet av tillämpningen av förordningen om artificiell intelligens genom nära myndighetssamarbete. Samarbetet koordineras av Traficom.
Dataombudsmannen är en av marknadskontrollmyndigheterna för AI-system med hög risk som övervakar att systemen är lagenliga och att det inte på EU:s inre marknad finns farliga produkter eller produkter med bristfällig säkerhet. Dessutom
är dataombudsmannen ett anmält organ i fråga om vissa AI-system med hög risk. Ombudsmannen kontrollerar på begäran att AI-system som planerats för vissa säkerhetsmyndigheter överensstämmer med kraven innan de tas i bruk. Dataombudsmannen övervakar förbjuden praxis enligt förordningen om artificiell intelligens och fungerar som tillsynsmyndighet som övervakar
de grundläggande fri- och rättigheterna och som dataskyddsmyndighet. Förbuden mot de mest skadliga fallen av användning av AI började tillämpas i februari 2025.
Tillämpningen av EU:s dataförordning (Data Act, DA) inleddes till stor del den 12 september 2025 och den nationella lagstiftningen om förordningen trädde i kraft i december 2025. I förordningen föreskrivs om delning av data som genereras
av uppkopplade produkter och tjänster och om användarens rätt till dataåtkomst. Dataombudsmannen övervakar att förordningen följs i fråga om skyddet av personuppgifter. Om en myndighet eller någon annan offentlig aktör begär data
som innehåller personuppgifter av ett företag i en samhällelig undantagssituation, ska dataombudsmannen underrättas om saken.
EU:s förordning om digitala tjänster (Digital Services Act, DSA) ökar webbplattformarnas säkerhet och förbättrar ställningen för dem som använder digitala tjänster. I Finland är Traficom den huvudsakliga tillsynsmyndigheten i fråga om förordningen.
År 2025 ansvarade dataombudsmannen för övervakningen av den politiska reklamens identifierbarhet, transparensen i webbreklam och rekommendationssystem samt skyddet av minderåriga på webbplattformar. Från och med 2026 ändrades dataombudsmannens tillsynsroll när tillsynsuppgifterna i anslutning till transparensen i samhällelig och politisk reklam
överfördes till Statens revisionsverk genom en ändring av lagen om tillsyn över förmedlingstjänster på nätet (RP 57/2025). Dataombudsmannen övervakar även i fortsättningen reklam mellan näringsidkare. Det intensiva tillsynssamarbetet i anslutning till förordningen om digitala tjänster fortsatte under 2025. Tillsynsärendena hos de nationella tillsynsmyndigheterna ökade jämfört med föregående år. Dataombudsmannen tog emot sammanlagt sju klagomål. I december fattade Europeiska kommissionen de första besluten om iakttagandet av förordningen om digitala tjänster.
EU-förordningen (EU) 2024/900 om transparens och inriktning när det gäller politisk reklam började tillämpas i oktober 2025. Genom förordningen ökas transparensen i den politiska reklamen samt bekämpas desinformation och den utländsk valpåverkan. Samtidigt säkerställer man att skyddet av personuppgifter inte kränks vid inriktning av reklam. Dataombudsmannen övervakar inriktningen och visningen av politisk webbreklam när den omfattar behandling av personuppgifter. Den nationella lagstiftning som kompletterar förordningen trädde i kraft den 1 januari 2026.
I december 2025 godkände EU en ny förordning (EU) 2025/2518 om förfaranderegler som kompletterar dataskyddsförordningen och som börjar tillämpas i april 2027. Genom förordningen effektiviseras dataskyddsmyndigheternas
verksamhet i tillsynsärenden som är kopplade till flera länder inom Europeiska ekonomiska samarbetsområdet. I den föreskrivs bland annat om tidsfrister, utredningsskeden, informationsutbyte mellan myndigheter och parternas rättigheter. Dataombudsmannens byrå har inlett förberedelserna för skyldigheterna.
Europeiska kommissionen strävar efter att förenkla EU-regleringen med omnibus-lagstiftningsförslag. De så kallade digitala omnibusoch AI-omnibus-förslagen gavs i november 2025. Kommissionens mål är att underlätta efterlevnaden av bestämmelserna, stärka den europeiska konkurrenskraften och minska företagens administrativa börda.