Betänkande
FvUB
4
2019 rd
Förvaltningsutskottet
Verksamhetsberättelse 2018 Dataombudsmannens byrå
INLEDNING
Remiss
Verksamhetsberättelse 2018 Dataombudsmannens byrå (B 15/2019 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande. 
Sakkunniga
Utskottet har hört 
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
biträdande dataombudsman
Jari
Råman
dataombudsmannens byrå
biträdande dataombudsmän
Anu
Talus
dataombudsmannens byrå
enhetschef
Tia
Möller
justitieministeriet
specialsakkunnig
Mikko
Levämäki
inrikesministeriet
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
specialsakkunnig
Juha
Vehmaskoski
inrikesministeriet
regeringssekreterare
Outi
Äyräs-Blumberg
social- och hälsovårdsministeriet
chef för it-förvaltningen
Annina
Hautala
Polisstyrelsen
jurist
Erika
Leinonen
Transport- och kommunikationsverket
chefsjurist
Tarja
Krakau
​Finlands Kommunförbund
vice ordförande
Elias
Aarnio
Electronic Frontier Finland - Effi ry
jurist
Asko
Metsola
Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.
Skriftligt yttrande har lämnats av 
Konkurrens- och konsumentverket
Finlands näringsliv rf.
UTSKOTTETS ÖVERVÄGANDEN
Den föreliggande verksamhetsberättelsen från dataombudsmannens byrå är den första i sitt slag. Skyldigheten att upprätta en verksamhetsberättelse grundar sig på artikel 59 i Europeiska unionens allmänna dataskyddsförordningEuropaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Bestämmelser om detta finns också i 14 § i dataskyddslagen (1050/2018), enligt vilken dataombudsmannen årligen ska utarbeta en sådan verksamhetsberättelse som avses i artikel 59 i dataskyddsförordningen och som ska lämnas till riksdagen och statsrådet. Verksamhetsberättelsen ska hållas allmänt tillgänglig. Artikel 59 i dataskyddsförordningen förutsätter dessutom att verksamhetsberättelsen ska göras tillgänglig för kommissionen och Europeiska dataskyddsstyrelsen. 
Verksamhetsberättelsen för 2018 beskriver dels den period då man förberedde sig på att dataskyddsförordningen skulle börja tillämpas den 25 maj 2018, dels perioden därefter då dataskyddsförordningen redan tillämpades men den kompletterande nationella lagstiftningen fortfarande var under behandling i riksdagen (RP 9/2018 rdFvUB 13/2018 rd). Samtidigt behandlades lagstiftningen om det nationella genomförandet av dataskyddsdirektivet för brottsbekämpande myndigheterEuropaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (RP 31/2018 rdFvUB 14/2018 rd). Dataombudsmannens byrå har varit tvungen att arbeta i en mycket krävande situation, eftersom den nationella lagstiftning som kompletterar dataskyddsförordningen trädde i kraft först vid ingången av 2019. Vid ministerierna har det dessutom beretts omfattande lagstiftningsreformer som innehåller dataskyddsbestämmelser. Arbetet med att harmonisera den nationella speciallagstiftningen med EU:s dataskyddslagstiftning pågår till viss del fortfarande. Det enorma arbetet med att ändra regelverket och följderna av detta har i stor utsträckning präglat arbetet på dataombudsmannens byrå, vilket framgår mycket väl av verksamhetsberättelsen. 
Året 2018 innebar ett brytningsskede också på många andra sätt. I och med dataskyddsförordningen förbättrades de registrerades rättigheter väsentligt, de personuppgiftsansvariga fick nya skyldigheter och möjligheterna att bedriva verksamhet på den digitala inre marknaden förbättrades när regleringen inom EU-området harmoniserades. Förordningen utökade dataombudsmannens uppgifter och befogenheter. Under verksamhetsåret nästan tredubblades antalet ärenden vid dataombudsmannens byrå. Byrån registrerade 9 617 ärenden som anhängiggjorts 2018, medan 3 957 ärenden anhängiggjordes 2017. Nya ärendekategorier som baserar sig på dataskyddsförordningen är anmälningar av dataskyddsombud, anmälningar om personuppgiftsincidenter och ärenden som gäller flera EU-länder, så kallade gränsöverskridande ärenden. 
Det allmänna intresset för dataskydd har ökat och människor blir allt mer medvetna om sina dataskyddsrättigheter. Enligt utredning känner finländarna också bättre till sin egen dataskyddsmyndighet än i de övriga EU-länderna i genomsnitt. Dataskyddet kan i många avseenden ses som en framgångsfaktor. För enskilda personer är det fråga om bättre skydd för personuppgifter och möjlighet att hantera sina egna uppgifter. Det är en konkurrensfördel för företagen och även för den offentliga förvaltningen att dataskyddet sköts ansvarsfullt. 
I verksamhetsberättelsen presenteras byråns mål, beskrivs förändringarna i omvärlden, redogörs för vissa beslut av dataombudsmannen och avgöranden av högsta förvaltningsdomstolen samt behandlas prioriteringarna och resurserna i verksamheten vid dataombudsmannens byrå 2018. I berättelsen ingår bland annat en tabell över anhängiggjorda och behandlade ärenden 2017 och 2018 samt en förteckning över byråns utlåtanden om olika lagstiftningsprojekt 2018. Rapporten åtföljs också av ett utlåtande om utvärdering och bekräftelse gällande den interna kontrollen. 
Berättelsen ger en koncis och saklig översikt över byråns verksamhetsår 2018. Förvaltningsutskottet anser att byrån har klarat av ett exceptionellt krävande verksamhetsår på ett förtjänstfullt sätt. I det här betänkandet går utskottet närmare in på följande frågor som togs upp vid behandlingen av verksamhetsberättelsen. 
Handledning och rådgivning
Den nya dataskyddslagstiftningen har i stor utsträckning återspeglats i dataombudsmannens arbete, både på nationell nivå och på EU-nivå. Utöver handledning, rådgivning och information i allmänhet har experterna vid byrån hållit föreläsningar vid ett flertal seminarier och tillställningar. Dataombudsmannen har i regel också hörts av riksdagens utskott när de behandlat lagförslag som gäller dataskydd. 
Ett av de viktigaste syftena med den nya dataskyddslagstiftningen är att lagstiftningen och tillämpningen av den ska vara enhetliga inom Europeiska unionen. I dataskyddsförordningen finns bestämmelser om Europeiska dataskyddsstyrelsen, som har till uppgift att säkerställa att EU:s dataskyddsbestämmelser tillämpas samordnat. Europeiska dataskyddsstyrelsen är ett oberoende EU-organ som utgörs av medlemsländernas nationella dataskyddsmyndigheter och representanter för europeiska datatillsynsmannen. Utskottet har bland annat uppmärksamgjorts på att dataskyddsstyrelsens ståndpunkter kan vara dokument med mycket noggrann analys på abstrakt nivå. I praktiken tillämpas dock till exempel bestämmelserna om utlämnande av uppgifter ur personregister ofta av personer inom andra yrkesgrupper, som inte är dataskyddsexperter. Vid sidan av exakta analyser behövs därför samordnade, entydiga och tillräckligt enkla praktiska tillämpningsanvisningar. 
Enligt sakkunniga behövs det vägledning och rådgivning i många olika praktiska tillämpningssituationer. Till exempel företag har upplevt det som en utmaning att de inte alltid har fått hjälp med svåra tillämpningsfrågor eller brådskande svar på frågor eller anmälningar om personuppgiftsincidenter. Då har företaget fått sväva i ovisshet i en situation med stor risk för påföljder. Det är också viktigt att få besked om vilken behandlingsfas ett ärende befinner sig i. Olika myndigheter har särskilt betonat betydelsen av föregripande rådgivning och expertstöd. Även tillämpningen av de grundläggande begreppen, såsom personuppgifter och personuppgiftsansvarig, väcker tolkningsfrågor. 
Dataskyddsombuden har i likhet med andra aktörer stått inför en ny situation. Dataskyddsombudet är en intern expert på dataskydd inom organisationen, som följer upp behandlingen av personuppgifter och bistår och hjälper ledningen och personalen at följa dataskyddslagstiftningen. Dataskyddsombudet är kontaktperson för såväl dataombudsmannens byrå som registrerade i ärenden som gäller behandlingen av personuppgifter inom den egna organisationen. Dataombudsmannens byrå har börjat utveckla kontakten och kommunikationen med dataskyddsombuden. Utskottet anser att det är nödvändigt att utveckla samarbetet med dataskyddsombuden för att säkerställa fullföljandet av dataskyddet och en harmoniserad tillämpning av bestämmelserna. 
Den registrerades rättigheter och klagomål
Ärenden som gäller den registrerades rättigheter och klagomål är en av de viktigaste ärendekategorierna på dataombudsmannens byrå. Hit hör enskilda personers anmälningar om kränkningar av dataskyddsrättigheter eller misstankar om att en organisation eller person behandlar personuppgifter i strid med dataskyddsbestämmelserna. Ärendekategorin inbegriper också olika begäranden om rådgivning och tilläggsinformation. 
Enligt schemat i verksamhetsberättelsen inleddes 841 ärenden gällande registrerades rättigheter vid dataombudsmannens byrå 2018 och 562 avgjordes, medan 576 ärenden inleddes 2017 och 584 avgjordes (723 ärenden inledda 2016, 590 avgjorda). Ärenden som inleds av registrerade är enligt berättelsen vanligtvis mycket individuella, vilket påverkar deras behandling och tidsåtgången för behandlingen. Även eventuella ytterligare utredningar kan fördröja behandlingen. En förklaring till överbelastningen under verksamhetsåret är enligt utskottets uppfattning också att antalet ärenden ökat avsevärt. 
Utskottet välkomnar att dataombudsmannens byrå har börjat utveckla praxis för behandling av klagomål från registrerade. Utskottet anser att det är motiverat att byrån först har börjat prioritera de ärenden som har de största eller allvarligaste konsekvenserna för de registrerade samt de ärenden som har varit anhängiga länge. Utskottet understryker att stärkandet av den registrerades rättigheter har varit en av prioriteringarna i EU:s dataskyddsreform. Därför är det viktigt att se till att det utöver smidiga processer också finns tillräckliga resurser för behandlingen av dessa ärenden. 
Nationellt och internationellt samarbete
Dataskyddsfrågorna i dag kräver allt bredare samarbete. En nära samarbetspartner till dataombudsmannens byrå är Transport- och kommunikationsverket Traficom, till vars uppgifter det hör att utveckla och övervaka kommunikationsnätens och kommunikationstjänsternas funktionssäkerhet och säkerhet, övervaka dataskyddet vid elektronisk kommunikation, utveckla och övervaka säkerheten vid stark autentisering och betrodda elektroniska tjänster samt skapa en lägesbild av informationssäkerheten. De lagstadgade uppgifterna för dataombudsmannens byrå och Traficom stöder och kompletterar varandra. Därför är ett nära samarbete mellan Traficom och byrån ytterst viktigt och det är motiverat att vidareutveckla det. 
Konsumentombudsmannen och dataombudsmannens byrå har samarbetat kontinuerligt och myndighetsmöten har blivit en årlig praxis. I bägge myndigheternas verksamhet uppstår nya utmaningar som hänför sig till förändringarna i omvärlden och lämpligen bör diskuteras i myndighetssamarbetet. Konsumentombudsmannen och dataombudsmannen har kommit med gemensamma uttalanden och meddelanden samt ordnat seminarier. Också tillsynsexperterna samarbetar. Under 2018 och 2019 gällde ärendena i synnerhet kommersiella förfaranden som innefattar behandling av personuppgifter, till exempel telefonförsäljning, hemförsäljning, elektronisk direktmarknadsföring och begäran om marknadsföringstillstånd. Samarbetet har upplevts fungera och förhoppningen har varit att det ska intensifieras ytterligare. 
Dataombudsmannens byrå samarbetar också till exempel med polisen kring behandlingen av personuppgifter. Samarbetsförfarandena är etablerade, till exempel i fråga om utövandet av den indirekta rätten till insyn. Enligt utredning har samarbetet med dataombudsmannens byrå upplevts fungera bra och vara betydelsefullt. Polisen har särskilt betonat vikten av en föregripande dialog och rådgivning. Det kan i framtiden anses finnas ett ännu större behov av samarbete på grund av dataskyddslagstiftningen och den allt mer diversifierade omvärlden, de registrerades aktivitet och behovet av informationsutbyte och handräckning mellan dataombudsmannens byrå och polisen. 
I verksamhetsberättelsen nämns den största europeiska informationssäkerhetsövningen i november 2018, där över 200 organisationer inom den offentliga förvaltningen deltog. Övningen genomfördes i samarbete mellan finansministeriet, Befolkningsregistercentralen, Polisstyrelsen, dataombudsmannens byrå, Kommunikationsverkets Cybersäkerhetscenter och Statens informations - och kommunikationstekniska center Valtori. De sakkunniga som utskottet hört har ansett att övningen var ett lyckat exempel på myndighetssamarbete. 
Även det internationella samarbetet har ökat ytterligare. Som ett viktigt led i samarbetet deltar dataombudsmannen i Europeiska dataskyddsstyrelsens arbete. Dessutom förpliktar dataskyddsförordningen medlemsstaternas dataskyddsmyndigheter att samarbeta för att säkerställa en samordnad tillämpning av förordningen i fall som har en gränsöverskridande dimension. Det finns olika samarbetsförfaranden, såsom gemensamma insatser, ömsesidigt stöd och bistånd och ett särskilt samarbetsförfarande som följer principen om en lucka. Enligt verksamhetsberättelsen fanns det 2018 sammanlagt 591 gränsöverskridande ärenden. Finland var deltagande tillsynsmyndighet i 106 ärenden och ledande myndighet, alltså samordnande och förberedande myndighet, i fem ärenden. 
Anvisningar och utveckling av lagstiftningen
Dataskyddsstyrelsens och dataombudsmannens anvisningar och ståndpunkter påverkar också lagberedningen. Vid lagberedningen på EU-nivå och nationell nivå har tolkningen av dataskyddslagstiftningen ofta väckt frågor, och det väntas även härefter uppstå frågor om förenlighet med dataskyddslagstiftningen i olika sammanhang. 
Balansen mellan offentlighetslagstiftningen och dataskyddet i myndigheternas verksamhet är ett särskilt område där personuppgiftsansvariga inom den offentliga förvaltningen behöver stöd, menar sakkunniga. Med tanke på tillämpningen av lagen kan till exempel olika situationer där uppgifter begärs och lämnas ut vara svåra. Utöver utarbetandet av praktiska tillämpningsanvisningar är det enligt utskottet också nödvändigt att bedöma om lagstiftningen behöver förtydligas till denna del. 
Frågor om utlämnande av uppgifter har varit aktuella redan innan dataskyddsförordningen utfärdades. Exempelvis har riksdagen utifrån förvaltningsutskottets betänkande godkänt ett uttalande (RSv 268/2014 rdHE 333/2014 rd) med syfte att förbättra myndighetssamarbetet för att bedöma hot mot liv eller hälsa och förhindra hotande gärningar genom att effektivisera informationsflödet från social- och hälsovårdsmyndigheterna och undervisnings- och kulturväsendet till polisen. Den här frågan behandlas bland annat i utskottets utlåtanden FvUU 46/2018 rdEÄ 54/2018 rd och FvUU 6/2019 rdB 3/2019 rd. Enligt utredning bereder social- och hälsovårdsministeriet, inrikesministeriet och hälso- och sjukvårdssektorn nu i samråd en nationell handbok för informationsutbyte mellan hälso- och sjukvården och polisen. Utskottet anser att handboken är ytterst viktig och vill även i detta sammanhang påskynda slutförandet av den. Utskottet välkomnar att man samtidigt kartlägger eventuella behov av författningsändringar i sikte på ytterligare förbättringar i utlämnandet av uppgifter så att allas grundläggande fri - och rättigheter blir tillgodosedda. Det är också en befogad fråga när bestämmelserna gäller dels rätt att lämna ut uppgifter, dels skyldighet att lämna ut uppgifter. Det väsentliga är att informationsflödet mellan myndigheterna säkerställs. 
Organisation och resurser
Byrån är en självständig och oberoende myndighet med cirka 40 anställda experter. Dataombudsman Reijo Aarnio har innehaft sitt uppdrag sedan 1997. 
Enligt verksamhetsberättelsen har byrån under 2018 utvecklat kompetenshanteringen och sett över de processer som baserar sig på nya uppgifter. Byrån har inrättat processgrupper som ska säkerställa en enhetlig behandling av ärenden som hör till det egna ansvarsområdet och utveckla behandlingsprocessen. Exempel på grupper är processgrupperna för anmälningar om personuppgiftsincidenter och ärenden som gäller de registrerades rättigheter och klagomål. Under slutet av året stärktes byråns resurser genom rekrytering av nya experter. I årsverken syns denna ökning till större del dock först 2019. 
Genom dataskyddslagen, som trädde i kraft vid ingången av 2019, stärktes byråns organisation på författningsnivå. Enligt 9 § i dataskyddslagen ska dataombudsmannen ha en byrå med minst två biträdande ombudsmän, och enligt 16 § bestäms uppgiftsfördelningen i byråns arbetsordning. Våren 2019 utnämnde statsrådet två biträdande dataombudsmän till dataombudsmannens byrå. Enligt utredning är avsikten att en sakkunnignämnd enligt 12 § i dataskyddslagen ska tillsättas i år. Genom dataskyddslagen upphävdes lagen om datasekretessnämnden och dataombudsmannen (389/1994). När riksdagen antog den nya dataskyddslagen godkände den också ett uttalande om utveckling av organisationen för tillsynsmyndigheten för dataskyddet (RSv 108/2018 rdHE 9/2018 rd, FvUB 13/2018 rd). 
Justitieministeriet ansvarar för resultatstyrningen av dataombudsmannens byrå. Enligt en utredning som ministeriet lämnat har byråns resursläge och resursbehov för att verkställa dataskyddsförordningen och klara av de nya uppgifterna identifierats. Åren 2016–2019 fördubblades byråns anslag, huvudsakligen på grund av de nya uppgifterna (1 730 000 euro 2016, 3 494 000 euro 2019). Enligt utredning kommer anslagsnivån ytterligare att stiga något under ramperioden, 2020 och 2021. 
Förvaltningsutskottet noterar den positiva anslagsutvecklingen men framhåller fortfarande behovet av att se till att resurserna räcker till. Av den jämförelse som ingår i Europeiska dataskyddsstyrelsens rapportEuropeiska dataskyddsstyrelsens rapport 26.2.2019 till Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (Libe) framgår det att antalet anställda vid dataombudsmannens byrå trots ökningen av personalresurserna bara utgör cirka hälften av resurserna vid exempelvis motsvarande myndighet i Sverige. Utöver de uppgifter som hör till området för dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpande myndigheter sköter dataombudsmannen sina särskilda uppgifter enligt EU-lagstiftningen och den nationella lagstiftningen. De sakkunniga som utskottet har hört har varit bekymrade över byråns resurser. Rent konkret kan det vara fråga om att få tillräckliga anvisningar och rådgivning i rätt tid, hur lång tid behandlingen av inledda ärenden tar eller hur effektivt tillsynen kan genomföras. Utskottet kommer att gå in på frågorna om resurser de närmaste åren i samband med behandlingen av budgetpropositionen (RP 29/2019 rd) och planen för de offentliga finanserna (SRR 2/2019 rd). 
FÖRSLAG TILL BESLUT
Förvaltningsutskottets förslag till beslut:
Riksdagen godkänner ett ställningstagande med anledning av berättelse B 15/2019 rd. 
Utskottets förslag till ställningstagande
Riksdagen har ingenting att anmärka med anledning av berättelsen. 
Helsingfors 6.11.2019 
I den avgörande behandlingen deltog
ordförande
Riikka
Purra
saf
vice ordförande
Mari-Leena
Talvitie
saml
medlem
Jussi
Halla-aho
saf
medlem
Eveliina
Heinäluoma
sd
medlem
Hanna
Holopainen
gröna
medlem
Hanna
Huttunen
cent
medlem
Anna-Kaisa
Ikonen
saml
medlem
Mats
Löfström
sv
medlem
Mauri
Peltokangas
saf
medlem
Juha
Pylväs
cent
medlem
Piritta
Rantanen
sd
medlem
Matti
Semi
vänst
medlem
Heidi
Viljanen
sd
medlem
Ben
Zyskowicz
saml
ersättare
Mari
Rantanen
saf.
Sekreterare var
utskottsråd
Minna-Liisa
Rinne.
Senast publicerat 15.11.2019 15:00