Allmänt
Utarbetandet av dataombudsmannens verksamhetsberättelse grundar sig på artikel 59 i Europeiska unionens allmänna dataskyddsförordning (EU) 2016/679, och bestämmelser om den finns också i 14 § i dataskyddslagen (1050/2018). Verksamhetsberättelsen ska lämnas till riksdagen och statsrådet och hållas tillgänglig för allmänheten. Artikel 59 i dataskyddsförordningen förutsätter dessutom att verksamhetsberättelsen görs tillgänglig för kommissionen och Europeiska dataskyddsstyrelsen.
Förvaltningsutskottet noterar att verksamheten vid dataombudsmannens byrå under berättelseåret har sammanfattats väl i berättelsen, tillsammans med de viktigaste statistiska uppgifterna som gäller byrån. År 2022 anhängiggjordes sammanlagt 11 095 ärenden vid dataombudsmannens byrå. Antalet ärenden som avgjordes under året var dock 774 fler, det vill säga sammanlagt ungefär 11 870 ärenden. Under året gjordes 5 445 anmälningar om personuppgiftsincidenter till dataombudsmannens byrå. Det var drygt 660 fler anmälningar än året innan. Anmälningarna om personuppgiftsincidenter utgör nästan hälften av alla ärenden som anhängiggjordes vid byrån.
Mätt i antalet anhängiggjorda ärenden utgör hälso- och sjukvården det största området för dataombudsmannens byrå. Av de ärenden som anhängiggjordes 2022 berörde omkring 22 procent hälso- och sjukvårdssektorn. Utskottet anser att det är viktigt att se närmare på hur antalet anhängiggjorda ärenden granskas och hur de fördelas på vissa sektorer, och att utifrån de iakttagelser som görs bedöma hur lagstiftningen och andra åtgärder fungerar och om de är tillräckliga.
Handledning och utveckling av lagstiftningen
Enligt berättelsen tog dataombudsmannens byrå ställning till flera betydande dataskyddsärenden inom den privata och den offentliga sektorn, bland annat i ärenden som handlade om uppgiftsminimering, behandlingens lagenlighet, positionsdata och den registrerades granskningsrätt. Av berättelsen framgår också att byråns experter utöver att ha gett handledning, rådgivning och information i allmänhet, också har hållit föreläsningar vid ett flertal seminarier och tillställningar.
Utskottet betonar att det fortfarande i många varierande tillämpningssituationer finns ett behov av den sakkunniga handledning och föregripande rådgivning samt den utbildning och det stöd som dataombudsmannens byrå erbjuder. Dataskyddslagstiftningen är komplex och det är ofta utmanande för aktörerna att tolka lagstiftningen. Utskottet uttrycker särskild oro över tryggandet av barns och ungas välbefinnande i samband med olika tolkningar och praxis som dataskyddslagstiftningen föranleder. I praktiken tillämpas dataskyddslagstiftningen ofta av personer inom andra yrkesgrupper, som inte är dataskyddsexperter. Utskottet anser därför att det är viktigt att dataombudsmannens byrå har tillräcklig kompetens att ge enhetliga, entydiga och tillräckligt enkla praktiska tillämpningsanvisningar för dem som behöver dem i sitt arbete.
Utskottet framhåller också att även andra situationer fortfarande är utmanande för tillämpningen av dataskyddslagstiftningen, bland annat frågor som gäller utlämnande av myndighetsuppgifter och informationsutbyte, som ofta har behandlats i utskottet. Utskottet har bland annat i ett utlåtande (FvUU 24/2021 rd) fäst uppmärksamhet vid högsta förvaltningsdomstolens avgörande om polisens rätt att få tillgång till klientuppgifter inom socialvården (HFD 2021:13). Enligt avgörandet hade polisen inte rätt att på begäran få information från socialvården trots att det misstänktes att en person kunde komma att begå ett terroristiskt våldsdåd mot flera personer på allmän plats. Förvaltningsutskottet ansåg i sitt utlåtande att uppgifterna bör kunna lämnas ut på begäran av polisen. Om utlämnandet av uppgifter inte fungerar för att skydda centrala rättsobjekt, liv och hälsa, är det nödvändigt att genom att ändra lagstiftningen kunna ålägga myndigheterna att lämna ut uppgifterna. Riksdagen godkände utifrån ett betänkande av utskottet ett ställningstagande (SRR 4/2021 rd — RSk 11/2022 rd), där riksdagen förutsätter att regeringen gör en bedömning av bestämmelserna om utlämnande av uppgifter och utifrån bedömningen bereder en proposition om ändring av lagstiftningen så att myndigheterna inom social- och hälsovårdsministeriets och undervisnings- och kulturministeriets förvaltningsområde åläggs att lämna polisen åtminstone de i övrigt sekretessbelagda uppgifter som är nödvändiga för att bedöma hot mot liv eller hälsa eller förhindra en hotande gärning.
I sitt betänkande om redogörelsen för den inre säkerheten (FvUB 19/2021 rd, s. 45–48), som innehöll det ovan nämnda ställningstagandet, konstaterade utskottet också att polisens möjligheter att i större utsträckning än för närvarande på eget initiativ lämna andra myndigheter information om brottslighet bör utredas. I betänkandet fäste utskottet också i övrigt uppmärksamhet vid olika lagstiftningsbehov som gäller informationsflödet mellan myndigheterna med tanke på att de behöriga myndigheterna ska ha tillgång till all väsentlig information som behövs för att bereda sig på olika hot mot den inre säkerheten, förebygga hotsituationer och säkerställa ett smidigt myndighetssamarbete.
Utskottet har likaså i sitt utlåtande om regeringens proposition om utredning av kränkningar av informationssäkerheten (FvUU 35/2022 rd — RP 243/2022 rd) betonat att verksamhetsförutsättningarna och informationsutbytet i stället för enskilda paragrafer bör granskas på ett nytt sätt som en helhet så myndigheterna har metoder som är effektiva, snabbt tillgängliga och genomförbara för att de ska kunna agera vid allvarliga störningssituationer eller vid uppenbara hot om sådana. Likaså har utskottet i sitt betänkande om statsrådets redogörelse om behoven av att reformera integrationsfrämjandet (FvUB 10/2022 rd — SRR 6/2021 rd) bland annat lyft fram att också informationsgången mellan olika aktörer i anslutning till integrationen vid behov ska säkerställas genom lagstiftningsåtgärder.
Dessutom har det utifrån utskottets betänkanden godkänts bland annat två uttalanden om huruvida det är möjligt att göra sådana ändringar i lagstiftningen genom vilka biometriska uppgifter som redan samlats in om personer, till skillnad från det ursprungliga ändamålet kan användas för brottsbekämpning (RP 206/2020 rd — RSv 81/2021 rd) och för registreringar i anslutning till migrationsförvaltningen om återvändande och inreseförbud enligt SIS-förordningarna (RP 35/2021 rd — RSv 92/2022 rd).
Dataombudsmannen är en central aktör när riksdagens utskott behandlar lagförslag som gäller dataskydd. I samband med beredningen av dataombudsmannens riktlinjer och anvisningar för olika branscher och aktörer är det möjligt att samla in information om hur bestämmelserna fungerar och om de inte fungerar. Det är också viktigt att följa revideringen av EU:s dataskyddslagstiftning och de frågor som ligger till grund för Europeiska dataskyddsstyrelsens tillämpningspraxis och anvisningar. Utskottet anser att samtidigt som dataombudsmannens byrå får information i de sammanhang som avses ovan, är det viktigt att också lyfta fram eventuella behov av författningsändringar.
Resurser
I dataombudsmannens verksamhetsberättelse konstateras det att 2022 kan kallas för året då dataskyddet etablerades och att det första tecknet på att situationen har blivit stabilare är antalet anhängiggjorda ärenden vid dataombudsmannens byrå. Redan för tredje året i rad anhängiggjordes omkring 11 000 ärenden. Enligt en utredning till utskottet har dock cirka 2 000 fler ärenden anhängiggjorts 2023. Enligt inkommen utredning kommer byrån att få nya uppgifter, bland annat i anslutning till internationella gränsöverskridande ärenden. Vid utgången av år 2022 hade dataombudsmannens byrå 54 anställda. Utskottet anser det vara viktigt att säkerställa att dataombudsmannens byrå har tillräcklig kompetens och tillräckliga resurser.