1.1  Bakgrund

Efter ikraftträdandet av EU:s allmänna dataskyddsförordning ökade antalet ärendegrupper där tillsynsmyndigheten ska fatta ett överklagbart förvaltningsbeslut betydligt. Före det hade dataombudsmannen befogenheter att fatta överklagbara förvaltningsbeslut endast i ärenden som gällde rätt till insyn och rättelse av en uppgift (personuppgiftslagen, 523/1999). Exempelvis i ärenden som gällde förbud mot behandling av personuppgifter var datasekretessnämnden tidigare behörig att fatta beslut på ansökan av dataombudsmannen. 

Vid dataombudsmannens byrå inleds varje år cirka 11 000 ärenden. Denna siffra omfattar inte bara klagomål utan också andra ärenden, såsom anmälningar om personuppgiftsincidenter samt förfrågningar. Innan den allmänna dataskyddsförordningen började tillämpas inleddes årligen cirka 3200–3500 ärenden vid dataombudsmannens byrå. 

Var och en har rätt till garantier för god förvaltning, inklusive rätt att få motiverade beslut av myndigheter och rätt att söka ändring i dem hos domstol. Också behandling av ärenden utan ogrundat dröjsmål hör till god förvaltning. Grundlagen, Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, nedan Europakonventionen, inbegriper dessutom rätt till ett effektivt rättsmedel. Av dessa förutsätter artikel 47 i stadgan om de grundläggande rättigheterna uttryckligen domstolsförfarande för rättsmedlens del. Europeiska unionens dataskyddslagstiftning innehåller en hänvisning till artikel 47 i stadgan om de grundläggande rättigheterna. 

Allmänt tillämplig reglering om särskilda rättsmedel som gäller myndigheter i situationer där en myndighets behandling av ett ärende fördröjs eller är passiv bedömdes 2008 (Skyndsam behandling av ärenden inom förvaltningen och rättsmedel mot dröjsmål – Käsittelyn joutuisuus hallinnossa ja oikeussuojakeinot käsittelyn viivästyessä, presentationsblad på svenska, Arbetsgruppsbetänkande 2008:5). Till följd av den kritiska remissresponsen lämnades någon regeringsproposition om saken inte då. 

Den arbetsgrupp som beredde dataskyddslagen, som kompletterar den allmänna dataskyddsförordningen, föreslog i sitt betänkande att det ska föreskrivas om rättsmedel för situationer med passivitet från tillsynsmyndighetens sida (Betänkande av arbetsgruppen för genomförande av EU:s allmänna dataskyddsförordning (TATTI), presentationsblad på svenska, Justitieministeriets publikation 35/2017). Arbetsgruppens förslag togs dock inte med i den regeringsproposition som lämnades till riksdagen (RP 9/2018 rd). 

Kommissionen gav Finland en formell underrättelse den 6 april 2022 och ett motiverat yttrande den 27 januari 2023, i vilka den anser att Finlands lagstiftning inte till alla delar är förenlig med artikel 78.2 i förordning (EU) 2016/679 och artikel 53.2 i direktiv (EU) 2016/680. Kommissionen anser särskilt att de rättsmedel som är tillgängliga i Finland inte kan anses uppfylla kravet på ett effektivt rättsskydd inför domstol på det sätt som EU-rätten förutsätter. Enligt den ståndpunkt som Finland framfört till kommissionen har rättsmedlen enligt finsk lagstiftning som helhet utgjort ett sådant effektivt rättsmedel som avses i de aktuella bestämmelserna i dataskyddslagstiftningen. Finland har den 23 mars 2023 besvarat Europeiska kommissionens motiverade yttrande och meddelat att landet inlett beredningen av lagstiftningsändringar. 

1.2  Beredning

Beredningen av EU-rättsakten

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan den allmänna dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet, trädde i kraft den 5 maj 2016. Genom den allmänna dataskyddsförordningen upphävdes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Genom dataskyddsdirektivet upphävdes rådets rambeslut 2008/977/RIF, som gällde EU-medlemsstaternas gränsöverskridande behandling av personuppgifter i brottmål. 

Den allmänna dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018), som kompletterar den allmänna dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen avseende brottmål, som gäller genomförandet av dataskyddsdirektivet, trädde i kraft den 1 januari 2019. 

Beredningen av propositionen

Justitieministeriet tillsatte den 14 februari 2023 en arbetsgrupp för att bereda en ändring av dataskyddslagen och dataskyddslagen avseende brottmål. Utkastet till regeringsproposition var ute på remiss under tiden den 26 maj–7 juli 2023. Justitieministeriet begärde dessutom som en del av den fortsatta beredningen ett kompletterande utlåtande av några remissinstanser den 4 september–15 september 2023. Utlåtanden om utkastet och övriga beredningsdokument som gäller projektet finns på justitieministeriets webbplats och på statsrådets webbplats under numret OM016:00/2023. 

Vid den fortsatta beredningen fogades till denna proposition de lagändringar som gäller behandling av personbeteckningar och som ingick i regeringens proposition RP 132/2022 rd som förföll under den föregående valperioden. Dessutom har vissa preciseringar av teknisk natur gjorts i dataskyddslagen och dataskyddslagen avseende brottmål. De föreslagna ändringarna i 29 § i dataskyddslagen och 12 § i dataskyddslagen avseende brottmål var på remiss separat den 15 juni–13 juli 2022. Utlåtandena finns på justitieministeriets webbplats och på statsrådets webbplats under numret OM044:00/2022. 

4.1  De viktigaste förslagen

I propositionen föreslås det att 15 § i dataskyddslagen ändras. Enligt förslaget ska dataombudsmannen i ärenden i vilka praxis i fråga om lagens tillämpning är vedertagen kunna överföra beslutanderätten på tjänstemän som är föredragande. Syftet med förslaget är att göra det möjligt att snabbare avgöra juridiskt enkla ärenden som emellertid kräver ett förvaltningsbeslut och samtidigt frigöra dataombudsmannens och de biträdande dataombudsmännens resurser till avgörandet av ärenden som kräver större rättslig prövning. Samtidigt är syftet med ändringen att förbättra förutsättningarna för att tillgodose den registrerades rätt att få ett ärende behandlat utan dröjsmål. 

I propositionen föreslås det att 21 § i dataskyddslagen och 57 § i dataskyddslagen avseende brottmål ändras. Enligt propositionen ska den registrerade kunna anföra besvär hos förvaltningsdomstolen i en situation där dataombudsmannen inte har behandlat ett ärende inom tre månader eller inom denna tid har meddelat den registrerade en uppskattning om när ett beslut kommer att ges. Besvären anses då avse dataombudsmannens avslagsbeslut vid behandlingen av ärendet. Genom de föreslagna bestämmelserna säkerställs det att den registrerade i alla situationer som dataskyddslagstiftningen förutsätter har tillgång till ett sådant effektivt rättsmedel inför en domstol som avses i artikel 47 i stadgan om de grundläggande rättigheterna. 

I propositionen föreslås att den registrerade inte ska få identifieras uteslutande med personbeteckningen eller en kombination av personbeteckningen och den registrerades namn. Genom propositionen preciseras och förtydligas personbeteckningens ursprungliga syfte att fungera som redskap för entydig specificering av en person. Det har blivit ett problem när det gäller personbeteckningen att beteckningen utöver för sitt syfte, det vill säga en entydig specificering av personen, används för identifiering av en person. På grund av det ovanstående föreslås det i propositionen att användningen av personbeteckningen vid identifiering av registrerade ska begränsas. 

I propositionen föreslås att det i 7 och 24 § i dataskyddslagen och 13 § i dataskyddslagen avseende brottmål görs preciseringar av teknisk natur. I fråga om dataskyddslagen är det fråga om att ändra de termer som används i lagen så att de motsvarar rättelsen till den finska texten i dataskyddsförordningen, som publicerades i Europeiska unionens officiella tidning den 4 mars 2021, och i fråga om 7 § i lagen också rättelsen till den svenska texten i dataskyddsförordningen, som publicerades i Europeiska unionens officiella tidning den 23 maj 2018. Innehållet i 13 § i dataskyddslagen avseende brottmål preciseras så att kraven i dataskyddsdirektivet avseende automatiserat individuellt beslutsfattande framgår bättre av lagen. 

4.2  De huvudsakliga konsekvenserna

Samhälleliga konsekvenser

De registrerade har i nuläget möjlighet att anföra klagomål hos justitiekanslern i statsrådet eller riksdagens justitieombudsman om dataombudsmannen inte har svarat på den registrerades kontakt inom tre månader från mottagandet. Beslut av justitiekanslern och justitieombudsmannen respekteras och följs i allmänhet. Deras ställning och roll är så etablerad att medborgarna känner till hur de kan använda detta rättsmedel. Klagomål som anförs hos de högsta laglighetsövervakarna har också fördelar jämfört med ett domstolsförfarande, eftersom dessa klagomål är avgiftsfria och inte förenade med några särskilda formkrav. Laglighetkontrollen av myndigheterna kompletteras med straffrättsliga medel som står till den registrerades förfogande om det uppstår allvarliga dröjsmål i behandlingen av ärendet samt med skadeståndsrättsliga medel om dröjsmålen orsakar skada.  

De ovannämnda rättsmedlen gäller i större utsträckning än artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet också situationer där behandlingstiden har blivit oskäligt lång. De högsta laglighetsövervakarna har endast sällan behandlat ärenden som gäller sådana passivitetssituationer som avses i artiklarna i fråga. 

Den registrerade har för närvarande inte besvärsrätt hos domstol för att påskynda behandlingen av ett ärende i situationer med passivitet från dataombudsmannens sida. Det föreslagna rättsmedlet för situationer med passivitet från dataombudsmannens sida ersätter anförandet av klagomål hos laglighetsövervakaren i dessa situationer. I enlighet med bestämmelserna om behandling av klagomål i 3 § i lagen om riksdagens justitieombudsman (197/2002) och i 4 § i lagen om justitiekanslern i statsrådet (193/2000) leder ett klagomål inte till åtgärder exempelvis när ärendet inte hör till laglighetsövervakaren, möjligheten att anföra klagomål har preskriberats, ärendet är aktuellt i en behörig myndighet eller det finns möjlighet att överklaga genom ordinarie rättsmedel (se även GrUB 12/2010 rd). Den registrerade ska däremot ha tillgång till ett effektivt rättsmedel som uppfyller de krav som följer av Europakonventionens tolkningspraxis i en situation där behandlingen av den registrerades ärende vid dataombudsmannens byrå har fördröjts utan grund i en passivitetssituation. Genom bestämmelsen om tidsfristen och genom att besvären direkt anses avse ett avslagsbeslut som gäller behandlingen av ärendet säkerställs dessutom att rättsmedlet också de facto är tillgängligt. Även om det fortsättningsvis inte föreslås någon absolut tidsfrist för dataombudsmannen för avgörandet eller behandlingen av ärenden, utan dataombudsmannen vid behov i varje enskilt fall kan meddela en uppskattning om när ett beslut kommer att ges, rättar propositionen till situationen i förhållande till nuläget. Propositionen bedöms således ha en positiv inverkan på tillgodoseendet av den registrerades rättigheter och rättsskydd i de situationer där den registrerade inte har fått ett svar enligt artikel 78.2 i den allmänna dataskyddsförordningen eller artikel 53.2 i dataskyddsdirektivet. 

Det föreslagna rättsmedlet påverkar inte den registrerades rätt att söka ändring i ett beslut genom vilket dataombudsmannen har avgjort den registrerades klagomål. Det föreslagna rättsmedlet ändrar inte heller på det faktum att den registrerade i stället för att anföra besvär hos domstol alltid har möjlighet att hos dataombudsmannen göra en sådan förfrågan om avgörandet av ärendet eller om hur behandlingen framskrider som dataombudsmannen är skyldig att besvara i enlighet med förvaltningslagen. Den registrerade ska fortfarande ha rätt att anföra klagomål hos de högsta laglighetsövervakarna över sådana försummelser från dataombudsmannens sida i fråga om vilka besvär inte kan anföras hos förvaltningsdomstolen. Det kan till exempel vara fråga om försummelse av rådgivningsskyldigheten eller försummelse av skyldigheten att besvara förfrågningar i andra ärenden än de som avses i ovannämnda artiklar. 

Rättegångsavgiften inverkar i praktiken inte nämnvärt begränsande på tillgången till rättsmedlet. Rättegångsavgiften är i fråga om förvaltningsdomstolen 270 euro 2023. Enligt 7 § i lagen om domstolsavgifter (1455/2015) tas rättegångsavgift inte ut hos dem som med stöd av rättshjälpslagen är befriade från behandlingsavgifter eller i det fall att det är uppenbart oskäligt att en avgift tas ut. Enligt 9 § i lagen om domstolsavgifter tas rättegångsavgifter inte ut heller i det fall att förvaltningsdomstolen eller högsta förvaltningsdomstolen ändrar ett överklagbart beslut till förmån för ändringssökanden. Det kan antas att många ärenden som gäller passivitetsbesvär kommer att förfalla om dataombudsmannen hinner rätta till sin försummelse medan ärendet är anhängigt vid förvaltningsdomstolen. Enligt lagen om domstolsavgifter utgör det att ett ärende förfaller inte i sig en grund för avgiftsfrihet, men uttag av avgiften i situationer där ärendet förfaller leder till att rättegångsavgifter eventuellt tas ut i ärenden där domstolen sannolikt skulle ha ändrat ärendet till förmån för den som anfört besvär om ärendet inte hade förfallit. I en situation där behandlingen av besvären förfaller efter att myndigheten har rättat till sin försummelse, har förvaltningsdomstolen dock möjlighet att låta bli att ta ut rättegångsavgiften på den grunden att det är uppenbart oskäligt att ta ut avgiften. Denna tolkning stöds också av förarbetena till lagen om domstolsavgifter. I regeringens proposition med förslag till lag om domstolsavgifter (RP 29/2015 rd, s. 53) konstateras det att avgiften i fortsättningen ska tas ut till fullt belopp trots att saken förfaller eller lämnas utan prövning. Med stöd av 7 § 2 mom. i lagen ska den som påför avgiften dock kunna bestämma att ingen avgift ska tas ut i enskilda fall av oskälighet. Momentet kan bli tillämpligt till exempel i ett fall där myndigheten mitt under besvärsprocessen meddelar ett beslut, varvid behandlingen av besvären förfaller. 

Med tanke på den registrerade är det viktigt att dataombudsmannens verksamhet är effektiv och sker utan dröjsmål. Förslaget har positiva konsekvenser för medborgarnas förtroende, jämlikhet, jämställdhet och uppnående av resultat. Syftet med det föreslagna rättsmedlet är att främja en sådan förvaltningskultur där tillräcklig uppmärksamhet fästs vid behandlingstiderna och skyndsam behandling uppfattas som en central kvalitets- och rättsskyddsfaktor i verksamheten. Att rättsmedlet tas in i lagen påverkar dock inte i större utsträckning de strukturella problemen med att behandlingen fördröjs. Hur effektivt de registrerade kan utöva sina rättigheter och få rättsskydd påverkas framför allt av att det finns tillräckliga resurser för att uppnå rimliga behandlingstider. Också bestämmelsen i 22 § i grundlagen om det allmännas skyldighet att se till att de grundläggande fri- och rättigheterna och de mänskliga rättigheterna tillgodoses förutsätter detta. 

Ekonomiska konsekvenser och konsekvenser för myndigheter

De högsta laglighetsövervakarna 

År 2022 inleddes 2162 klagomål hos justitiekanslern, av vilka 1654 togs för närmare bedömning inom laglighetsövervakningen, och totala antalet klagomål har varit 2088–2844 åren 2018–2021. År 2022 registrerades det 12 klagomål som gällde dataombudsmannen, medan antalet varierade mellan 4 och 25 åren 2018–2021. Sammanlagt 5561–7651 klagomål anfördes hos riksdagens justitieombudsman 2018–2021. År 2022 inleddes sammanlagt 18 sådana klagomål där minst ett av föremålen för klagomålet var dataombudsmannen. Antalet sådana klagomål varierade mellan 5 och 23 åren 2018–2021. Antalet klagomål som de högsta laglighetsövervakarna behandlar inbegriper också andra ärenden än sådana som gäller dröjsmål i behandlingen eller behandlingstiden. Det har dock årligen anförts flera klagomål som gäller dröjsmål i behandlingen eller behandlingstiden, i synnerhet från och med 2020. 

Utifrån antalet inledda eller avgjorda klagomål kan det inte dras några säkra slutsatser om omfattningen av eventuella problem med dröjsmål i behandlingen eller om konsekvenserna av de föreslagna lagändringarna, eftersom alla registrerade inte anför klagomål om saken. På basis av statistiken kan man dock lägga fram riktgivande bedömningar, och som stöd för slutsatserna kan man använda en kvalitativ bedömning av avgörandena. Största delen av de klagomål som de högsta laglighetsövervakarna behandlat har i fråga om dataombudsmannen gällt behandlingstiden, medan de högsta laglighetsövervakarna endast sällan har behandlat sådana klagomål som gällt situationer där den registrerade inte har fått något svar alls av dataombudsmannen inom tre månader.  

Det föreslagna rättsmedlet har indirekta konsekvenser för de högsta laglighetsövervakarnas arbetsvolym. Domstolsbehandling ska i fortsättningen ersätta klagomål till den högsta laglighetsövervakaren i situationer med passivitet från dataombudsmannens sida. De högsta laglighetsövervakarna ska dock fortfarande behandla andra klagomål som gäller dataombudsmannens försummelser. I synnerhet i det inledande skedet av tillämpningen av de föreslagna bestämmelserna kan det uppstå behov av tolkningspraxis i fråga om hur behörigheten närmare fördelar sig mellan domstolarna och de högsta laglighetsövervakarna. Av de klagomål som gäller dataombudsmannen och som kommer in för behandling till de högsta laglighetsövervakarna faller åtminstone en del av de nuvarande uppskattningsvis 5–20 klagomålen bort. Även om endast ett fåtal av dessa klagomål har gällt passivitetssituationer, kan de föreslagna ändringarna ha en avgränsande inverkan också på behandlingen av andra klagomål som gäller behandlingstiden. De föreslagna ändringarna har dock inga personalkonsekvenser eller andra direkta ekonomiska konsekvenser för de högsta laglighetsövervakarna. Resurser kan också till de delar som frigörs riktas till andra laglighetsövervakningsuppgifter, såsom undersökning av egna initiativ och inspektionsverksamhet. Eftersom förslaget inte i större utsträckning gäller andra förvaltningsmyndigheter, blir konsekvenserna för de högsta laglighetsövervakarnas arbetsvolym som helhet betraktat små. 

Dataombudsmannen 

Syftet med de föreslagna bestämmelserna om ett nytt rättsmedel och ändringen av 15 § i dataskyddslagen är att allmänt främja behandlingen av ärenden inom skälig tid. De föreslagna bestämmelserna om en tidsfrist i dataskyddslagen och dataskyddslagen avseende brottmål medför för dataombudsmannen ett behov av att se över praxis för ärendehanteringen samt anvisningarna om det svar som ska ges till den registrerade. En översyn av praxis i fråga om ärendehanteringen kan också förutsätta en ändring av informationssystemen. De kostnader av engångsnatur som en sådan ändring av informationssystemen medför ska täckas med anslag enligt besluten om ramarna för statsfinanserna och enligt statsbudgeten. Av förslaget följer extra arbete som föranleds av meddelandena om den uppskattade tidpunkten för när ett beslut kommer att ges. Det extra arbetet följer av att med avvikelse från kravet i den gällande förvaltningslagen ska en uppskattning av behandlingstiden meddelas på eget initiativ utan någon begäran av den registrerade. Redan för närvarande ska den registrerade dock under de tre första månaderna informeras åtminstone om hur ärendet fortskrider, och en uppskattning av behandlingstiden betraktas som ett meddelande om hur ärendet fortskrider. Bestämmelserna inverkar dock inte direkt på behandlingstiderna, eftersom dataombudsmannen fortsättningsvis inte ska ha någon lagstadgad skyldighet att avgöra ärenden inom tre månader. Enligt en preliminär bedömning motsvarar det direkta permanenta tilläggsarbete som förslaget medför som helhet 1 årsverke, som ska täckas i budgeten för 2024 (moment 25.01.03). Uppskattningen är dock förenad med osäkerhet, eftersom en ökning i dataombudsmannens arbetsvolym har observerats 2023. Även andra lagändringar har lett till extra arbete. Det kan dock vara svårt att skilja mellan konsekvenser som beror på andra orsaker och konsekvenser som beror på de föreslagna lagändringarna. 

Den föreslagna ändringen av 15 § innebär dessutom att det frigörs resurser för dataombudsmannen och de biträdande dataombudsmännen, som på ett mer ändamålsenligt sätt än tidigare kan riktas till behandling och avgörande av ärenden som kräver större rättslig prövning. Samtidigt gör ändringen det möjligt för dataombudsmannen att organisera byråns arbete effektivare än vad som är fallet i dag. 

Vid dataombudsmannens byrå inleds varje år cirka 11 000 ärenden. Det totala antalet ärenden som inleds omfattar förutom klagomål också andra ärenden, såsom olika förfrågningar med anledning av vilka något förvaltningsbeslut inte behöver fattas. Ärenden där praxis i fråga om lagens tillämpning till vissa delar är vedertagen är till exempel inom hälso- och sjukvårdssektorn den registrerades begäranden om ändring av beskrivningar i patientjournaler eller läkarens diagnoser, samt anmälningar om personuppgiftsincidenter. Inom hälso- och sjukvårdssektorn har årligen inletts 1878–2450 ärenden 2018–2022. Anmälningarna om personuppgiftsincidenter utgör den största enskilda gruppen av ärenden som inleds vid dataombudsmannens byrå. Det har åren 2018–2022 årligen kommit in 2220–5446 anmälningar om personuppgiftsincidenter. Under 2019–2021 har processen för behandling av anmälningarna redan utvecklats och effektiviserats bland annat genom att det har tagits i bruk ett standardsvar för sådana personuppgiftsincidenter som sannolikt inte leder till fortsatta åtgärder. Till den del förvaltningsbeslut måste fattas med anledning av anmälningarna, är det förfarande som tillämpas dock ett föredragningsförfarande i enlighet med 15 § i dataskyddslagen. 

I ljuset av ovannämnda statistik har den föreslagna ändringen av 15 § betydande verkningar för dataombudsmannens byrå redan i fråga om anmälningarna om personuppgiftsincidenter, när förfarandet för sådana förvaltningsbeslut av återkommande natur som fattas med anledning av anmälningarna effektiviseras. Enligt en preliminär bedömning kan överföring av beslutanderätten enligt den föreslagna 15 § också tillämpas på flera tiotals procent av de inledda ärenden som gäller hälso- och sjukvårdssektorn. I den gällande arbetsordningen för dataombudsmannens byrå har föredragandena endast getts begränsad beslutanderätt. Eftersom det i arbetsordningen är fråga om ärenden i vilka det i allmänhet inte fattas något förvaltningsbeslut, påverkar de föreslagna lagändringarna inte ärendena i fråga. 

Eftersom ombudsmännens resurser inte behöver användas för behandling och avgörande av sådana ärenden där praxis i fråga om lagens tillämpning är vedertagen, bidrar lagändringen till att påskynda förfarandet och minska dröjsmålen i behandlingen i synnerhet i de ärendegrupper som ändringen gäller. Eftersom dessa till antalet är stort i förhållande till det totala antalet ärenden som inleds årligen, effektiviserar ändringarna också i större utsträckning dataombudsmannen arbete. 

Dataombudsmannens byrå har redan tidigare vidtagit flera åtgärder som syftar till att effektivisera ärendehanteringen och påskynda behandlingen av ärenden. Det bör således alltjämt som en helhet följas upp vilka konsekvenser ändringarna i lagstiftningen har för dataombudsmannens arbetsbörda. 

Förvaltningsdomstolarna 

De föreslagna ändringarna av dataskyddslagen och dataskyddslagen avseende brottmål medför merarbete för förvaltningsdomstolarna. Den föreslagna regleringen innehåller inga särskilda bestämmelser med stöd av vilka den registrerade till exempel först ska framställa en begäran om påskyndad behandling till dataombudsmannen eller yrka på att ärendet ska avgöras. Det kan dock förväntas att största delen av de registrerade i första hand kontaktar dataombudsmannen på samma sätt som för närvarande för att utreda hur behandlingen av ärendet fortskrider i stället för att föra ärendet direkt till förvaltningsdomstolen. Det är också möjligt att dataombudsmannen hinner rätta till sin försummelse under förvaltningsdomstolsbehandlingen, varvid den registrerade inte längre har behov av rättsskydd i fråga om passivitet. I en sådan situation kan det bli fråga om att ärendet förfaller i förvaltningsdomstolen. Dataskyddslagens 21 § 2 mom., enligt vilket dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol, begränsar inte dataombudsmannens möjlighet att rättat till en passivitetsbesvärssituation som dataombudsmannen observerat eller fått kännedom om. 

Mängden merarbete för förvaltningsdomstolarna är förenad med osäkerhet. För närvarande har det totala antalet klagomål som de högsta laglighetsövervakarna behandlat och som gällt dataombudsmannen dock varierat mellan några klagomål och drygt tjugo klagomål per år. Av dessa kan det inte dras några direkta slutsatser om hur många besvär som årligen kan komma att anföras hos förvaltningsdomstolarna i de situationer som avses i de föreslagna bestämmelserna. Besvären fördelas dock på alla regionala förvaltningsdomstolar. Dessutom kan en del besvärsärenden förfalla till följd av att dataombudsmannen har hunnit rätta till sin försummelse. Således bedöms det för en enskild förvaltningsdomstol inte föranledas merarbete i någon betydande grad i förhållande till det totala antalet besvärsärenden som behandlas årligen. De föreslagna lagändringarnas konsekvenser för förvaltningsdomstolarna bör dock följas under de första åren då de tillämpas. Det merarbete som föranleds för högsta förvaltningsdomstolen beror på i vilken mån besvärstillstånd söks för förvaltningsdomstolarnas beslut. Det merarbete som propositionen medför ska täckas med befintliga anslag enligt rambesluten för statsfinanserna och enligt statsbudgeten. 

Med tanke på en behörig behandling av förvaltningsärenden och ett ändamålsenligt system för ändringssökande bör endast ärenden som först har utretts tillräckligt av förvaltningsmyndigheten hänvisas till förvaltningsdomstolen för behandling. Utgångspunkten också för de föreslagna bestämmelserna ska fortsättningsvis vara att utredningen och avgörandet av förvaltningsärenden ska ske utan ogrundat dröjsmål hos förvaltningsmyndigheten. 

Övriga konsekvenser för myndigheterna och konsekvenser för näringslivet

Förslaget om behandling av personbeteckningar har konsekvenser även för andra myndigheter än de som nämns ovan och för näringslivet. Konsekvenserna beror på hurdana förfaranden för identifiering av den registrerade och för dokumentering organisationen för närvarande tillämpar. I en utredning som Myndigheten för digitalisering och befolkningsdata beställt (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021) kartlades hur personbeteckningen används för identifiering inom olika former av uträttande av ärenden. Utredningen gällde den offentliga, den privata och den tredje sektorn. I dessa ingick detaljhandeln gällande apoteks- och kemikalievaror, den offentliga förvaltningen, utbildningen, finansierings- och försäkringsverksamheten, social- och hälsovården samt försörjningen av el, gas, värme och kyla (energiindustrin). Utredningen omfattar dock inte alla samhällsområden. Enligt rapporten används personbeteckningen i stor utsträckning vid identifieringen av en person, men dock endast sällan ensam. I samband med e-tjänster är stark autentisering det mest allmänna sättet att identifiera en kund. Den allmännaste metoden för att identifiera en kund i samband med uträttande av ärenden över telefon är att be om personbeteckningen och andra preciserande uppgifter. I samband med besök är den mest allmänna metoden att identifiera kunden ett officiellt dokument, såsom pass eller identitetskort. Enligt rapporten framgick i samband med skötsel av ärenden över telefon vissa fall där kunden identifieras endast med hjälp av personbeteckningen, till exempel inom apoteksbranschen och social- och hälsovårdsbranschen. Som orsaker till användningen av personbeteckningen som enda metod för identifiering ses bland annat lättheten, de låga kostnaderna, upplevd tillförlitlighet, saknade tilläggsuppgifter eller bristande beredskap hos kunden att ta i bruk alternativa identifieringsmetoder. Dessutom krävs personbeteckningen till exempel inom apoteksbranschen och social- och hälsovårdsbranschen för tillgång till kundens uppgifter. Den föreslagna ändringen påverkar nämnda områden framför allt så, att anvisningarna för identifieringspraxis i samband med skötsel av ärenden över telefon bör preciseras.  

Vid konsekvensbedömningarna har man utöver den utredning som Myndigheten för digitalisering och befolkningsdata låtit göra utnyttjat de remissvar som justitieministeriet erhållit, som i större utsträckning omfattar sådana aktörer som inte deltagit i utredningen. Remissvaren stöder i huvudsak de bedömningar som framförts i utredningen, även om enskilda remissinstanser ansåg konsekvenserna vara mer omfattande. En del av remissinstanserna anser dock att bedömningen försvåras av att begreppen specificering och identifiering samt kontroll och verifiering av identiteten inte på ett täckande sätt definierats i lagstiftningen och av att de också används inkonsekvent i samhället. Vid bedömningen av lagändringarnas genomslag har man beaktat att dataskyddslagstiftningens bestämmelser endast gäller behandling av personbeteckningar och inte till exempel identifieringsförfaranden i en mer omfattande utsträckning.  

Konsekvenserna riktar sig framför allt till så kallade svaga autentiseringssituationer, där kundens identitet i allmänhet inte fastställs ur en källa som anses tillförlitlig, såsom en officiell handling som påvisar identiteten. Konsekvenserna antas vara mest betydande särskilt för mindre organisationer, om i deras kundregister inte finns stora mängder uppgifter om kunderna. Dessutom kunde förslaget påverka enskilda myndigheters eller andra organisationers behov att som personuppgiftsansvariga bedöma på vilket sätt man kunde påvisa att man vid behandling av personbeteckningar iakttagit kraven på behandling av personbeteckningar enligt dataskyddsförordningen och dataskyddslagen avseende brottmål. Detta kunde i vissa fall också medföra ett behov av att granska i artikel 30 i dataskyddsförordningen och 18 § i dataskyddslagen avseende brottmål avsedda register över behandling, också med beaktande av ändamålet för behandlingen av personbeteckningen. Eftersom förslaget dock inte ändrar på omfattningen av ansvarsskyldigheten och inte innebär en mer detaljerad dokumenteringsskyldighet än för närvarande, bedöms konsekvenserna bli små. Konsekvenserna kunde vara större i det fall att den personuppgiftsansvariga inte tillsett en med tanke på ansvarsskyldigheten tillräcklig dokumentation på det sätt som dataskyddslagstiftningen redan för närvarande förutsätter.  

Dataombudsmannen övervakar de personuppgiftsansvarigas och personuppgiftsbiträdenas behandling av personbeteckningar på basis av uppgifterna och behörigheterna i artikel 55–59 i dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål. Dataskyddsförordningen möjliggör till exempel utfärdande av reprimander till en personuppgiftsansvarig eller utfärdande av ett föreläggande för en personuppgiftsansvarig att göra behandlingen laglig. Dessutom möjliggör dataskyddslagstiftningen vad gäller personuppgiftsansvariga och personuppgiftsbiträden inom den privata sektorn påförande av en administrativ påföljdsavgift. Det förekommer endast få klagomål och andra kontakter till dataombudsmannens byrå om användningen av personbeteckningen som enda uppgift för identifiering av en person. Dataombudsmannens byrå tar årligen emot ett antal sådana kontakter. Framför allt i de situationer, där en personuppgiftsansvarig anser det vara nödvändigt att precisera registren över behandling eller i övrigt bedöma sin praxis, kan de nya bestämmelserna medföra vissa kontakter. Eftersom de föreslagna bestämmelserna motsvarar dataombudsmannens anvisningar, bedöms dock det eventuella merarbete som förslaget föranleder för dataombudsmannen bli relativt litet.  

Förslaget ökar inom vissa områden antalet identifieringsuppgifter som frågas i samband med skötsel av ärenden över telefon. Detta förlänger kundsamtalens längd i liten utsträckning. Eftersom personbeteckningen redan för närvarande endast sällan används ensam för identifiering av en registrerad bedöms förslaget inte ha några betydande konsekvenser för myndigheterna eller näringslivet. 

Konsekvenser för skyddet av de grundläggande fri- och rättigheterna och skyddet av personuppgifter

I dataskyddslagen och dataskyddslagen avseende brottmål finns inte någon sådan bestämmelse om rätt till rättsmedel inför domstol som förutsätts i den allmänna dataskyddsförordningen och dataskyddsdirektivet med tanke på en situation där dataombudsmannen inte tar upp ett klagomål till behandling eller ger den registrerade åtminstone ett meddelande om hur ärendet fortskrider. Syftet med de föreslagna lagändringarna är att till saknade delar genomföra bestämmelserna i den allmänna dataskyddsförordningen och dataskyddsdirektivet så att den registrerades rättigheter tillgodoses på det sätt som bestämmelserna förutsätter också i dessa situationer. Den registrerade ska ha tillgång till ett effektivt rättsmedel som tillsammans med den föreslagna bestämmelsen om tidsfrist har en positiv inverkan på skyddet för de grundläggande fri- och rättigheterna och personuppgifterna i situationer med passivitet från dataombudsmannens sida.  

Den föreslagna 15 § i dataskyddslagen bedöms främja rättssäkerheten och indirekt också skyddet av personuppgifter och den registrerades rättigheter. Detta beror på att beslutsförfarandet vid dataombudsmannens byrå blir snabbare i vissa ärendegrupper, vilket samtidigt frigör resurser för behandling av ärenden som kräver mer rättslig prövning. Ändringen stöder den rätt till behandling utan dröjsmål som tryggas i 21 § i grundlagen och i 23 § i förvaltningslagen. Behandling utan dröjsmål främjar samtidigt den registrerades möjligheter att effektivare utöva sina rättigheter enligt den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål. 

Förslaget om behandling av personbeteckningar har positiva konsekvenser för skyddet för personuppgifter och privatlivet och genom förslaget stärks de rättigheter som tryggas i 10 § i grundlagen och artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Användning av uteslutande personbeteckningen eller en kombination av personbeteckningen och den registrerades namn vid identifiering ska förbjudas. Förslaget minskar risken för att falla offer för identitetsstöld, eftersom man med personbeteckningen eller en kombination av personbeteckningen och namnet inte längre kan framföra påståenden om identiteten på samma sätt som med ett lösenord. Genom förslaget förbättras framför allt skyddet för personuppgifter som omfattas av tystnadsplikt genom att inhämtandet av sådana uppgifter otillbörligen försvåras. Genom förslaget avhjälps dock inte helt riskerna för identitetsstöld, utan i fråga om identitetsstölder är uppnåendet av målet beroende av att de övriga uppgifter utöver personbeteckning och namn som används i identifieringssyfte inte känns till eller kan utredas av andra personer. Med tanke på uppnåendet av målet är det också väsentligt, att en fysisk person i situationer med hög risk identifieras på ett annat, mer tillförlitligt sätt.  

Preciseringen av 13 § i dataskyddslagen avseende brottmål främjar skyddet för personuppgifter och i synnerhet den registrerades rättigheter, eftersom preciseringen framhäver den registrerades rätt att inte bli föremål för beslut som fattats enbart på basis av automatiserad profilering, om inte något annat föreskrivs i lag. 

Konsekvenser för jämlikheten

Den allmänna dataskyddsförordningen förutsätter att alla registrerade bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan om de grundläggande rättigheterna, om den registrerade anser att hans eller hennes rättigheter enligt förordningen har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. På motsvarande sätt ska den registrerade ha tillgång till rättsskydd enligt dataskyddsdirektivet oberoende av hemvistmedlemsstat. Genom regeringspropositionen föreslås ett sådant rättsmedel bli fogat till Finlands rättssystem som dataskyddslagstiftningen förutsätter och som för närvarande saknas. Förslaget innebär således att registrerade som är bosatta i Finland till denna del försätts i en jämlik ställning med registrerade som är bosatta i de EU-medlemsstater där rättsmedlet redan har genomförts. 

Grundlagens 6 § förutsätter att alla är lika inför lagen. Också enligt 6 § i förvaltningslagen ska de som uträttar ärenden hos förvaltningen bemötas jämlikt. Av myndigheterna förutsätts dessutom opartiskhet. Det föreslagna nya rättsmedlet ska på lika villkor vara tillgängligt för de registrerade. 

Utnyttjandet av e-tjänster har ökat och förslaget om behandling av personbeteckningar kunde i vissa fall uppmuntra till en utökad användning av e-tjänster och stark autentisering jämfört med nuläget, framför allt i situationer där till behandlingen av personuppgifter kan bedömas ansluta särskilda risker. I sådana situationer kunde den föreslagna lagändringen försvåra uträttandet av ärenden för sådana äldre personer, minderåriga och andra som inte använder digitala tjänster. Förslaget förutsätter dock inte en utökad användning av stark autentisering eller e-tjänster, och förhindrar inte heller användningen av personbeteckningen som en uppgift bland andra vid identifieringen av en person. Konsekvenserna bedöms därför bli små. 

Ekonomiska konsekvenser för de personuppgiftsansvariga

Bestämmelsen om begränsning av behandlingen av personbeteckningen bedöms inte förutsätta betydande ändringar i de personuppgiftsansvarigas informationssystem eller andra förfaranden, i vilka ingår behandling av personuppgifter. Avsikten med förslaget är att precisera och förtydliga lagens ursprungliga syfte. Förslaget motsvarar gällande anvisningar från dataombudsmannens byrå. Också i praktiken förekommer det sällan situationer där personbeteckningen är den enda uppgiften eller den enda uppgiften i kombination med personens namn som frågas i samband med identifiering av en person. Således bedöms förslaget om behandling av personbeteckningar inte ha några betydande ekonomiska konsekvenser. 

5.1  Handlingsalternativen och deras konsekvenser

Tillämpningsområdet för det nya rättsmedlet

Vid beredningen har man som ett handlingsalternativ bedömt sådan reglering om rättsmedel för dröjsmålssituationer som allmänt skulle tillämpas på myndigheter. Den av justitieministeriet tillsatta passivitetsarbetsgruppen, som arbetade 2007–2008, granskade i sitt betänkande rättsmedel för situationer där en förvaltningsmyndighet har försummat att fatta ett förvaltningsbeslut eller där beslutet har fördröjts (Skyndsam behandling av ärenden inom förvaltningen och rättsmedel mot dröjsmål (Käsittelyn joutuisuus hallinnossa ja oikeussuojakeinot käsittelyn viivästyessä), presentationsblad på svenska, Arbetsgruppsbetänkande 2008:5). I betänkandet föreslogs bland annat bestämmelser om sådana nya rättsmedel som skulle vara tillgängliga för en part när behandlingen av ett ärende som gäller hans eller hennes rätt, fördel eller skyldighet fördröjs inom förvaltningen (s.k. krav på skyndsam behandling och dröjsmålsbesvär). Det föreslagna tillämpningsområdet för rättsmedlen skulle i stor utsträckning ha omfattat oskäligt dröjsmål i behandlingen. 

I remissvaren om passivitetsarbetsgruppens betänkande (Justitieministeriets utlåtanden och utredningar 2009:8) förhöll sig remissinstanserna mest kritiska till förslaget om dröjsmålsbesvär som behandlas i förvaltningsdomstolen. I princip förhöll man sig rätt positiv till arbetsgruppens förslag om ett förvaltningsinternt krav på skyndsam behandling, även om en del av detaljerna i förslaget var föremål för kritik. En del av remissinstanserna upplevde att den helhet som skapas av rättsmedlen var motiverad och nödvändig, men en större del ansåg att förfarandet med dröjsmålsbesvär var för tungt och att det kan leda till ökad arbetsbörda för domstolarna. Dessutom misstänktes det att gränsen mellan förvaltning och rättskipning suddas ut. Det framfördes också kritiska anmärkningar om omfattningen och oenhetligheten i fråga om tillämpningsområdet för det nya rättsmedlet. 

Utifrån utlåtandena om passivitetsarbetsgruppens betänkande bereddes vid justitieministeriet våren 2012 ett nytt förslag till ett system för dröjsmålsbesvär med ett mer begränsat tillämpningsområde, som dock i större utsträckning skulle ha hänfört sig till behandlingstiderna i stället för till enbart passivitetssituationer. Även om remissinstanserna i sig understödde propositionens målsättningar, förhöll de sig fortsättningsvis rätt kritiskt till hur den föreslagna regleringen skulle fungera i praktiken och hur behövlig den skulle vara (se remissammandraget, Justitieministeriets betänkanden och utlåtanden 18/2013). På basis av remissvaren kom justitieministeriet till den slutsatsen att det i stället för att utvidga rättsmedelssystemet inom förvaltningen är mer ändamålsenligt att reglera behandling av förvaltningsärenden utan dröjsmål i förvaltningslagen, och att man ska sträva efter att lösa eventuella rättssäkerhetsproblem till följd av dröjsmål vid behandlingen i speciallagstiftning som beaktar förvaltningsärendenas materiella särdrag (se regeringens proposition till riksdagen med förslag till lag om ändring av förvaltningslagen, RP 50/2013 rd, s. 21). 

Ett allmänt rättsmedel mot dröjsmål eller passivitet i myndigheternas behandling är klagan hos den myndighet som övervakar verksamheten (8 a kap. i förvaltningslagen) eller klagomål till de högsta laglighetsövervakarna, det vill säga riksdagens justitieombudsman eller justitiekanslern i statsrådet. Om myndigheten försummar att fatta ett förvaltningsbeslut eller förvaltningsbeslutet dröjer, har en part vanligen inte möjlighet att föra ärendet till en domstol för behandling. Klagomål till de högsta laglighetsövervakarna har även med tanke på fortsättningen ansetts vara fungerande, ändamålsenligast och effektivast och därför motiverat att bevara i fråga om situationer med dröjsmål i behandlingen. 

I vårt nationella rättssystem vore det exceptionellt med ett sådant rättsmedel i förvaltningsdomstol som gäller situationer med dröjsmål eller passivitet från en myndighets sida. Exemplen på rättsmedel för situationer med dröjsmål från en myndighets sida i gällande lagstiftning hänför sig till situationer där det för myndigheten har föreskrivits en tidsfrist inom vilken ärenden ska avgöras. Bestämmelserna i den allmänna dataskyddsförordningen och dataskyddsdirektivet, som förutsätter att situationer med passivitet från en tillsynsmyndighets sida förs till domstol, avviker väsentligt från de ovannämnda exemplen. I dataskyddslagstiftningen anges det inte någon tidsfrist inom vilken ett ärende ska avgöras, utan förutsätts att den registrerade inom utsatt tid åtminstone informeras om hur ärendet fortskrider. Rättsmedlet ska också undantagsvis vara tillgängligt i domstol i en situation där de behandlingsåtgärder som åtminstone krävs av en myndighet saknas. De gällande regleringslösningarna för situationer med dröjsmål hos en myndighet lämpar sig således inte som sådana för sådana passivitetssituationer som avses i dataskyddslagstiftningen, utan dessa regleringslösningar behöver anpassas i bestämmelser som gäller dataombudsmannen. Av denna anledning och av ovan nämnda skäl anses det mest motiverade alternativet för genomförandet vara att rättsmedlet avgränsas till att gälla endast dataombudsmannen samt de situationer som avses i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet, det vill säga passivitetssituationer. 

Klagomål till de högsta laglighetsövervakarna ska fortfarande vara ett rättsmedel som står till den registrerades förfogande när det är fråga om ett sådant lagstridigt förfarande från en myndighets sida eller sådan underlåtenhet av en myndighet att fullgöra en skyldighet, där domstolen inte är behörig att behandla yrkandet. Exempelvis i dataskyddsdirektivet förutsätts det att det inom rimlig tid underrättas om hur kontrollen eller undersökningen fortskrider och om resultatet (artikel 46 i direktivet). Dessa krav har genomförts i 29 § och 57 § 1 mom. i dataskyddslagen avseende brottmål. 

Frågor som gäller behandlingen av ett dröjsmåls- eller passivitetsärende

Vid beredningen har det bedömts om det är nödvändigt att föreskriva att framställande av krav på skyndsam behandling eller annan förfrågan till dataombudsmannen ska vara en förutsättning för att ett ärende som gäller överskridande av den lagstadgade tidsfristen ska kunna föras till domstol för behandling. Behandlingen av ett passivitetsärende ska dock inte medföra onödigt merarbete för den registrerade, dataombudsmannen eller domstolarna. Eftersom förfarandet bör vara så klart som möjligt för alla parter, ansågs det inte ändamålsenligt med ett sådant mellanskede. Detta skulle också vara förenat med en risk för att bestämmelserna inte är förenliga med EU-rätten. Den registrerade kan kontakta dataombudsmannen för att höra hur behandlingen av hans eller hennes ärende fortskrider även utan någon lagstadgad skyldighet innan han eller hon kontaktar domstolen. Det är sannolikt att en eventuell försummelse som skett vid behandlingen av ett ärende eller något annat misstag eller någon annan försummelse kan lösas redan på basis av en sådan fritt formulerad kontakt, varvid det inget finns något behov av att inleda ett ärende vid domstol. 

I fråga om handläggningsordningen vid förvaltningsdomstolarna har det vid beredningen bedömts om en situation med passivitet från dataombudsmannens sida bör inledas som ett förvaltningstvistemål, ett ansökningsärende eller ett besvärsärende. Passivitetsarbetsgruppen föreslog att dröjsmålsbesvär skulle ha behandlats i samma ordning som förvaltningstvistemål. Användningsområdet för förvaltningstvisten är olika offentligrättsliga betalningsskyldigheter, ersättningar och gottgörelser eller andra meningsskiljaktigheter som gäller innehållet i, omfattningen av eller giltighetstiden för ett rättsförhållande (se t.ex. Mäenpää 2018, s. 960–964).  

Vid beredningen av lagen om rättegång i förvaltningsärenden har det ansetts att ett ärende inte kan behandlas som förvaltningstvistemål om myndigheten inte har meddelat ett sådant överklagbart förvaltningsbeslut som hör till dess behörighet eller om beslutet har fördröjts (RP 29/2018 rd, s. 92). Denna ståndpunkt har också i rättspraxis tagits i ärenden där det i det aktuella fallet kan fås ett avgörande av den behöriga myndigheten (t.ex. HFD 2016:85; HFD 2008:38; HFD 2007:22). Det föreslagna rättsmedlet kan användas i ett ärende där myndigheten ännu inte har träffat ett avgörande i huvudmålet, varvid det inte särskilt väl kan jämföras med de ärendegrupper som vanligtvis behandlas som förvaltningstvistemål. På dessa grunder har man i denna proposition kommit fram till att förvaltningstvister inte heller är ändamålsenliga med tanke på genomförandet av dataskyddslagstiftningen. Vid beredningen har det bedömts om det kunde komma i fråga att ett ärende som den registrerade inleder och som gäller en situation med passivitet från dataombudsmannens sida skulle kunna behandlas som ett ansökningsärende (annat förvaltningsprocessuellt ärende) eller som ett besvärsärende i stället för som ett förvaltningstvistemål. Andra förvaltningsprocessuella ärenden är exempelvis ansöknings- och underställningsärenden som behandlas i förvaltningsdomstol och om vilka det föreskrivs särskilt i speciallagstiftning. Det väsentliga syftet med det rättsmedel som dataskyddslagstiftningen förutsätter är att säkerställa att det går att få en ändring i en situation där tillsynsmyndigheten är passiv, det vill säga att myndigheten behandlar ärendet eller informerar den registrerade om hur ärendet fortskrider. I dataskyddslagstiftningen förutsätts också att tillsynsmyndigheten behandlar ärenden inom skälig tid. Med tanke på rättsmedlets effektivitet är det av betydelse att försummelsen kan avhjälpas genom det och att det de facto är tillgängligt för den registrerade. Dataskyddslagstiftningen förutsätter dessutom att den som behandlar rättsmedlet är en domstol. Det väsentliga är att utöver förvaltningsdomstolens förfarande också granska hur den föreslagna regleringen kan främja uppnåendet av det syfte som uppställts för den, det vill säga behandlingen av dataombudsmannens ärenden inom en skälig tid. 

Vid beredningen har man av konsekvensskäl stannat för att föreslå besvär som rättsmedel som ska tillämpas på situationer med passivitet från dataombudsmannens sida, eftersom besvär redan används i situationer med passivitet från en myndighets sida i ovannämnda speciallagar som baserar sig på annan EU-lagstiftning. Genom de föreslagna bestämmelserna skapas således inget helt nytt rättsmedel, även om kravet på rättsmedel enligt dataskyddslagstiftningen inte enbart avser beslutet utan också avsaknaden av behandling som föregår beslutet. På grund av detta krav i dataskyddslagstiftningen är det regleringsförslag som ingår i propositionen exceptionellt i Finlands rättssystem, och i de föreslagna bestämmelserna måste man också beakta det exceptionella innehållet i kraven i den allmänna dataskyddsförordningen och dataskyddsdirektivet. Det föreslagna rättsmedlet beaktar behörighetsfördelningen mellan domstolarna och de högsta laglighetsövervakarna. Besvär har också av hävd ansetts vara effektiva rättsmedel i den tolkningspraxis som gäller skyddet för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna och uppfyller kraven i den allmänna dataskyddsförordningen och dataskyddsdirektivet. På passivitetsbesvär tillämpas i förvaltningsdomstolarna samma bestämmelser som på övriga besvärsärenden.  

Enligt 6 § i lagen om rättegång i förvaltningsärenden får ett beslut genom vilket en myndighet har avgjort eller avvisat ett förvaltningsärende överklagas genom besvär. Ett beslut som endast gäller beredning eller verkställande av ett ärende får inte överklagas genom besvär. En förvaltningsintern order om att utföra ett uppdrag eller vidta någon annan åtgärd får inte heller överklagas genom besvär. I en situation med passivitet från en myndighets sida har det dock inte fattats något beslut. I tidigare bestämmelser om dröjsmålsbesvär som grundar sig på EU-rätten har avsaknaden av beslut i allmänhet jämställts med ett negativt beslut av en myndighet, såsom avslag på ansökan. 

För att besvär ska vara möjliga som rättsmedel enligt dataskyddslagstiftningen bör det i lagen preciseras vad besvären gäller. För dataombudsmannens behandling av ärenden ska det också sättas ut en tidsfrist, och besvärsrätten ska gälla försummelse av denna tidsfrist. Den föreslagna tidsfristen grundar sig på den tid som anges i dataskyddsförordningen, varefter rättsmedlet ska vara tillgängligt. I det föreslagna rättsmedlet är det dessutom skäl att beakta dataskyddslagstiftningens särdrag och dataombudsmannens roll som tillsynsmyndighet. Eftersom dataskyddslagstiftningen inte anger någon entydig tidsfrist för avgörandet av ärendet, kan dataombudsmannen inom denna tidsfrist antingen behandla ärendet eller alternativt informera den registrerade om hur ärendet fortskrider, det vill säga meddela en uppskattning om när ett beslut kommer att ges, med beaktande av ärendets art och omfattning. I en situation med passivitet från dataombudsmannens sida är det fråga om att ett avgörande eller annan behandling som förutsätts i dataskyddslagstiftningen saknas helt och hållet, med andra ord har ärendet inte tagits för behandling. Det föreslås att en sådan passivitetssituation ska jämställas med ett avslagsbeslut som gäller behandlingen av ärendet för att ett besvärsförfarande ska kunna inledas. 

Domstolens avgörande i dröjsmåls- eller passivitetsmål

Enligt 81 § i lagen om rättegång i förvaltningsärenden kan en förvaltningsdomstol bifalla eller avslå besvär eller helt eller delvis avvisa dem. I sitt beslut kan domstolen vidmakthålla eller upphäva det överklagade beslutet, återförvisa ärendet till ny behandling, ändra det överklagade beslutet eller överföra besvären till en behörig myndighet eller domstol. I 81 § 2 mom. i lagen om rättegång i förvaltningsärenden anges de situationer där förvaltningsdomstolen ska avvisa besvären. Enligt sista momentet i samma paragraf avskrivs ärendet om besvären återtas eller om det finns andra motsvarande skäl till det. Ett sådant annat motsvarande skäl kan vara till exempel en situation där dataombudsmannen medan besvären är anhängiga har rättat till passivitetssituationen genom att avgöra ärendet eller genom att meddela den registrerade en uppskattning om när ett beslut kommer att ges. 

I andra medlemsstater används metoder för att effektivisera domstolens föreläggande, oftast är det fråga om att sätta ut en tidsfrist eller påföra en administrativ sanktion, och i vissa medlemsstater är det möjligt att betala ersättning till den registrerade på grund av dröjsmål. På basis av en jämförelse av lagstiftningen i olika medlemsstater verkar det som om en tidsfrist direkt i lag för behandlingen av ett ärende eller för meddelandet till den registrerade är en mer fungerande regleringslösning än sådana metoder som effektiverar domstolens beslut. Besvärsrätten är då kopplad till försummelse av denna tidsfrist. Dataskyddsförordningen och dataskyddsdirektivet förutsätter dock inte att ärenden ska avgöras inom tre månader, även om några medlemsstater har kommit fram till en sådan regleringslösning. En absolut tidsfrist för avgörandet av ärendet kan också försvåra en tillräckligt grundlig utredning av ärendet. Däremot har det vid beredningen ansetts vara ändamålsenligare att främja en effektivare och skyndsammare behandling av ärenden vid dataombudsmannens byrå genom att ålägga en strängare skyldighet att bedöma de behandlingsåtgärder som varje ärende förutsätter än vad som är fallet enligt de nuvarande bestämmelserna i förvaltningslagen så att det i lagen föreskrivs om en skyldighet för dataombudsmannen att på eget initiativ inom tre månader meddela den registrerade åtminstone en uppskattning om när ett beslut kommer att ges. I förslaget har beaktats de synpunkter som framförts inom laglighetsövervakningen om vilket slags svar till den registrerade som kan anses vara tillräckligt. Med beaktande av den föreslagna tidsfristen för dataombudsmannens behandling anses det inte nödvändigt med tanke på det föreslagna rättsmedlet att domstolen skulle kunna sätta ut en ny tidsfrist för dataombudsmannen som ett sätt att effektivisera sitt beslut. 

Ett alternativ som har bedömts är också att domstolen skulle ha möjlighet att förena iakttagandet av sitt beslut eller den utsatta tidsfristen med vite. Detta föreslogs i passivitetsarbetsgruppens betänkande, i den därpå följande propositionen 2012 och i betänkandet av TATTI-arbetsgruppen som beredde dataskyddslagstiftningen (Justitieministeriets betänkanden och utlåtanden 35:2017). Det anses dock inte nödvändigt med vite, eftersom besvären redan som sådana är tillräckligt effektiva rättsmedel med tanke på de situationer som avses i dataskyddslagstiftningen. 

På motsvarande sätt har det bedömts att en möjlighet till gottgörelse inte är en lämplig beslutstyp för passivitetssituationer (jfr. t.ex. lagen om gottgörelse för dröjsmål vid rättegång). Det skulle i detta skede i praktiken vara mycket svårt att uppskatta beloppet av en rättvis gottgörelse, med beaktande av karaktären hos en sådan passivitetssituation som avses i dataskyddslagstiftningen. Exempelvis i lagstiftningen om obligatorisk socialförsäkring föreskrivs det om rätt till ekonomisk gottgörelse, om behandlingen av ärendet har fördröjts över den tidsfrist som anges i lagen. Så är fallet också i speciallagstiftningen om olycksfallsärenden (s.k. dröjsmålsförhöjning). Det är dock fråga om ärendegrupper av mycket annat slag, där lagstiftningen tryggar partens ekonomiska försörjning.  

I de högsta laglighetsövervakarnas avgörandepraxis har det av hävd ansetts vara möjligt att, om en kränkning som riktats mot en part förutsätter det, lägga fram framställningar om gottgörelse där myndigheten har rekommenderats gottgöra den skada som den orsakat. Gottgörelsen kan vara en immateriell åtgärd, såsom en ursäkt, eller en ekonomisk kompensation. Syftet med framställningar om gottgörelse har varit att gottgöra det fel som begåtts (t.ex. EOAK/1503/2022; EOAK/602/2021). Såsom det har konstaterats respekteras de högsta laglighetsövervakarnas avgöranden och myndigheterna följer dem. Även detta rättsmedel ska fortfarande vara tillgängligt för den registrerade för situationer som domstolen inte är behörig att avgöra. 

Begränsande av behandling av personbeteckningar vid identifiering av en registrerad

Som alternativ till förslaget om begränsning av behandlingen av personbeteckningar har man bedömt att bestämmelserna om behandling av personbeteckningen fortsättningsvis kunde vara avhängiga av nuvarande reglering. Bestämmelserna om behandling av personbeteckningar och förfarandena för att skydda beteckningen har dock lett till vissa icke-önskade följder. I praktiken har det förekommit vissa situationer där personbeteckningen har använts för identifiering av en person, antingen som ensam uppgift eller i kombination endast med personens namn. En omfattande användning av personbeteckningen i samhället är också förenad med risker för missbruk. Av dessa anledningar ska det anses vara behövligt att precisera lagen.  

Behandling av personbeteckningar i samband med identifiering av en registrerad kunde också förbjudas helt genom ovillkorlig förbudsreglering. Detta kan dock inte anses vara motiverat med beaktande av att personbeteckningen används i stor utsträckning som en del av identifieringen av kunder (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021 s. 42). Ett absolut förbud skulle sannolikt ha betydande och oförutsägbara ekonomiska konsekvenser. Ett absolut förbud mot behandling av personbeteckningar skulle också kunna leda till ett resultat som motsäger sitt syfte, såsom till exempel vid behandling med låg risk till att den registrerade i stället för med personbeteckningen identifieras med andra personuppgifter som kan fås ur offentliga informationskällor.  

Behandling av personbeteckningar vid identifiering av en registrerad kunde utöver en kombination av den registrerades namn och personbeteckning också begränsas när det gäller andra kombinationer av personuppgifter, såsom till exempel en kombination av personbeteckningen, den registrerades namn och den registrerades stadigvarande adress. I den allmänna lagstiftningen ska dock också beaktas de register som endast innehåller vissa personuppgifter och i fråga om vilka risknivån för behandlingen av personuppgifter är låg. Sådana kunde till exempel vara små föreningars medlemsregister. Således kunde en ytterligare begränsning av behandlingen genom olika kombinationer av personuppgifter som fås ur offentliga informationskällor i vissa fall leda till ett sådant rättsläge där den personuppgiftsansvariga blir tvungen att samla in fler personuppgifter i registret endast för identifiering av en registrerad. Sådan insamling av uppgifter kan inte anses vara kompatibel med dataskyddsförordningens princip om uppgiftsminimering. 

5.2  Handlingsmodeller som används eller planeras i andra medlemsstater

Lagstiftningen i EU-medlemsstaterna har förändrats och harmoniserats avsevärt i och med EU:s reviderade dataskyddslagstiftning. Kommissionen har också följt genomförandet av den allmänna dataskyddsförordningen och dataskyddsdirektivet i medlemsstaterna (Kommissionens meddelanden COM (2020) 264 final, COM (2022) 364 final). Med beaktande av målet med EU:s dataskyddslagstiftning att säkerställa en så enhetlig dataskyddsnivå som möjligt inom hela unionen, har man som en del av beredningen av de förslag som ingår i propositionen jämfört på vilket sätt de övriga medlemsstaterna har genomfört de effektiva rättsmedel som förutsätts i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet i en situation där den tillsynsmyndighet som är behörig underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts eller vilket beslut som har fattats med anledning av det. 

Ett flertal medlemsstater har satt i kraft de rättsmedel som förutsätts i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet i den lagstiftning som kompletterar den allmänna dataskyddsförordningen och i lagstiftningen om genomförande av dataskyddsdirektivet. I en del medlemsstater föreskrivs det om sådana rättsmedel förutom i dataskyddslagstiftningen även i lagstiftningen om offentlig förvaltning eller enbart i den sistnämnda lagstiftningen. I vissa medlemsstater grundar sig de rättsmedel som avses i artikel 78.2 i den allmänna dataskyddsförordningen direkt på bestämmelserna i den förordningen. I de flesta medlemsstaterna kan domstolen återförvisa ett ärende till dataskyddsmyndigheten för behandling och ålägga myndigheten att pröva ärendet och fatta beslut i ärendet. I vissa medlemsstater finns det dessutom metoder som effektiviserar domstolens beslut, särskilt en möjlighet att ålägga tillsynsmyndigheten att avgöra ärendet inom utsatt tid eller en möjlighet att påföra myndigheten ekonomiska påföljder. I vissa medlemsstater kan domstolen också avgöra målet i sak eller vidta åtgärder mot den personuppgiftsansvarige. Ibland kan domstolen samtidigt besluta om en ersättning som ska betalas till den registrerade på grund av dröjsmålen i behandlingen. Finlands förvaltningsprocessrätt har påverkats särskilt av systemen i Sverige, Tyskland och Frankrike. Inom alla dessa system finns separata förvaltningsdomstolar, medan till exempel det danska systemet avviker klart från dessa (RP 9/2018 rd). Även det norska systemet avviker i likhet med det danska systemet från det finländska. Nedan jämförs i korthet bestämmelserna i Tyskland, Österrike, Nederländerna, Frankrike, Irland och Danmark samt i fråga om staterna inom Europeiska ekonomiska samarbetsområdet Norges bestämmelser. 

I Tyskland regleras behandlingen av personuppgifter nationellt både på förbundsstatsnivå och på delstatsnivå. Artikel 78.2 i den allmänna dataskyddsförordningen har i Tyskland genomförts genom den federala dataskyddslagen (Bundesdatenschutzgesetz, nedan BDSG), enligt vilken den registrerade har rätt att inleda ett ärende mot dataskyddsmyndigheten vid en förvaltningsdomstol. Bestämmelserna omfattar både den federala dataskyddsmyndigheten (Aufsichtsbehörde des Bundes/Bundesbeauftragte) och delstaternas dataskyddsmyndigheter (Aufsichtsbehörden der Länder). Artikel 78.2 i den allmänna dataskyddsförordningen är direkt tillämplig, och dessutom tillämpas de allmänna bestämmelserna i förvaltningsprocesslagen (Verwaltungsgerichtsordnung). Om den registrerade i en passivitetssituation vill ha ett formellt förvaltningsbeslut (Vervaltungsakt) av dataskyddsmyndigheten, har denne möjlighet att anföra besvär hos förvaltningsdomstolen, som kan förplikta myndigheten att fatta beslutet (Verpflichtungsklage, 42 §, 75 §). I Tyskland är det också möjligt att domstolen endast ålägger myndigheten att behandla ärendet. Med stöd av 113.5 § i förvaltningsprocesslagen kan domstolen i de situationer där förvaltningsmyndigheten inte har behandlat ett ärende eller försummat att behandla ärendet och detta har lett till en kränkning av en parts rättigheter ålägga myndigheten att fatta ett förvaltningsbeslut, om ärendet är färdigt för avgörande, eller att informera parten om saken, med beaktande av domstolens uppfattning. I förvaltningsprocessen finns inga särskilda metoder för att effektivisera ett beslut, men i brådskande ärenden har den registrerade möjlighet att i enlighet med 123 § i förvaltningsprocesslagen få ett interimistiskt förordnande (Einstweilige Anordnung) av domstolen. Även artikel 53.2 i dataskyddsdirektivet har genomförts genom BDSG. Enligt lagens 61 § tillämpas bestämmelserna om ändringssökande uttryckligen också på situationer där dataskyddsmyndigheten (Bundesbeauftragte) inte har behandlat den registrerades klagomål eller informerat den registrerade inom tre månader om avgörandet av ärendet eller om hur ärendet fortskrider. 

I Österrike kompletteras den allmänna dataskyddsförordningen av en nationell lag (Gesamte Rechtsvorschrift für Datenschutzgesetz, Fassung vom 17.03.2023). Dataskyddsdirektivet har genomförts genom fyra olika författningar (Datenschutz-Anpassungsgesetz 2018, Datenschutz-Deregulierungs-Gesetz 2018, Materien-Datenschutz-Anpassungsgesetz 2018, Strafprozeßordnung 1975 (StPO) (Stammfassung in der derzeit geltenden Fassung; ändrad senast BGBl. I Nr. 70/2018). Enligt både den lagstiftning som kompletterar den allmänna dataskyddsförordningen och lagstiftningen om genomförande av dataskyddsdirektivet ska den österrikiska dataskyddsmyndigheten (Datenschutzbehörde) inom tre månader från det att klagomålet lämnades in informera den registrerade om hur det fortskrider med ärendet och vilket beslut som har fattats med anledning av det. Om dataskyddsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med klagomålet eller vilket beslut som har fattats med anledning av det, har den registrerade rätt att anföra besvär hos förbundsstatens förvaltningsdomstol (Bundesverwaltungsgericht). Besvären behandlas vid förbundsstatens förvaltningsdomstol i en särskild sammansättning (Senat). Dessa bestämmelser kompletteras av allmänt tillämpliga bestämmelser i grundlagen (Bundes-Verfassungsgesetz (B-VG, Art. 130 Abs. 1 Z 3)) och i lagen om rättegång i förvaltningsärenden (Bundesgesetz über das Verfahren der Verwaltungsgerichte (Verwaltungsgerichtsverfahrensgesetz – VwGVG), Art. 28 Abs. 7)). I likhet med Tyskland kan domstolen också i Österrike ålägga dataskyddsmyndigheten att behandla ett ärende, om det är fråga om en försummelse av myndighetens grundlagsfästa skyldighet att fatta beslut (Bundes-Verfassungsgesetz (B-VG), Artikel 130–133). 

I Nederländerna har det utfärdats vissa bestämmelser om rättsmedel som kompletterar den allmänna dataskyddsförordningen. I lagen i fråga jämställs dataskyddsmyndighetens beslut med ett beslut som avses i förvaltningslagen och i vilket ändring kan sökas (Uitvoeringswet Algemene verordening gegevensbescherming, Artikel 34). På de situationer som avses i artikel 78.2 i den allmänna dataskyddsförordningen är bestämmelserna i den allmänna dataskyddsförordningen direkt tillämpliga, och dessutom omfattas dessa situationer av de allmänt tillämpliga bestämmelserna om ändringssökande i förvaltningslagen (Algemene wet bestuursrecht, Hoofdstuk 6). Ändringssökandet föregås av ett rättelseyrkande hos dataskyddsmyndigheten. Med ett beslut som avses i förvaltningslagen jämställs också situationer där ett beslut inte meddelas eller beslutet inte meddelas inom utsatt tid (Artikel 6.2). I lagen föreskrivs det också om förfarandet med tanke på dessa situationer (Artikel 6.12). Dataskyddsdirektivet har genomförts genom två separata lagar, av vilka den ena gäller polisen (Wijzigingswet Wet politiegegevens, enz. (implementatie Europese regelgeving inzake verwerking van persoonsgegevens)). I lagen föreskrivs det om en tidsfrist på tre månader för dataskyddsmyndighetens beslut (Artikel 31a.5). På sökande av ändring och passivitetssituationer tillämpas ovannämnda bestämmelser i förvaltningslagen. Talan mot dataskyddsmyndigheten kan också väckas vid domstol (Artikel 31b). Motsvarande bestämmelser ingår i den andra genomförandelagen som gäller andra behöriga myndigheter i brottmål (Wet justitiële en strafvorderlijke gegevens, Artikel 26a.5, Artikel 26b). Liksom i de ovannämnda medlemsstaterna kan domstolen också i Nederländerna ålägga tillsynsmyndigheten att behandla och avgöra ett ärende, men domstolen har också möjlighet att själv avgöra ärendet. Den kan dessutom förena sitt beslut med en tidsfrist inom vilken ärendet ska avgöras samt med en ordningsavgift som tas ut för varje dag så länge tillsynsmyndigheten inte har iakttagit domstolens föreläggande. 

I Frankrike har det utfärdats en särskild lag om genomförande av den allmänna dataskyddsförordningen och dataskyddsdirektivet (Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles), som kompletteras av en lag om informationsteknik och skydd av personuppgifter som har stiftats 1978 (La loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Bestämmelser om sådana rättsmedel mot den nationella dataskyddsmyndigheten (La Commission nationale de l'informatique et des libertés, nedan CNIL) som avses i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet finns i en kombination av allmänna förvaltningslagar och specialbestämmelser. Lagen från 1978 innehåller bestämmelser om bland annat tillsynsmyndigheten samt en bestämmelse som förutsätter att den registrerade informeras om hur behandlingen av ärendet fortskrider inom en skälig tid. Dessutom ingår i en förordning som utfärdats med stöd av 1978 års lag bestämmelser om vissa tidsfrister för CNIL:s beslutsfattande samt en bestämmelse enligt vilken ett beslut anses ha meddelats om det inte har meddelats inom den tidsfrist som anges i förordningen. Efter tre månader anses ett beslut som saknas vara ett avslagsbeslut. (Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978, l’article 9, l’article 10). Bestämmelser om sökande av ändring i myndighetsbeslut finns i den allmänna lagstiftningen om förvaltningsmyndigheter (Code des relations entre le public et l'administration och Code de justice administrative). Eftersom ett beslut av tillsynsmyndigheten som saknas i Frankrike betraktas som ett avslagsbeslut, kan domstolen upphäva det om domstolen anser att avslagsbeslutet är lagstridigt. Domstolen kan också återförvisa ett ärende som avses i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet till CNIL för behandling samt ställa en tidsfrist och innehållsmässiga krav för avgörandet av ärendet. Domstolens beslut kan vara förenat med en påföljdsavgift som påförs CNIL. I Frankrike gäller rättsmedlet i praktiken förutom de situationer som avses i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet också dröjsmål i behandlingen i vidare bemärkelse. 

I Irland har den allmänna dataskyddsförordningen och dataskyddsdirektivet genomförts genom en och samma nationella dataskyddslag (Data Protection Act 2018). I lagen föreskrivs det om den registrerades rätt att väcka talan mot Irlands dataskyddsmyndighet (Data Protection Commissioner), om den inte behandlar den registrerades klagomål eller informerar den registrerade inom tre månader om hur det fortskrider med klagomålet eller om vad resultatet blir. Rätten att väcka talan har utvidgats till att gälla också andra tillsynsmyndigheter, om ärendet hör till deras befogenheter med stöd av annan lagstiftning. Enligt lagen har domstolen i dessa situationer möjlighet att ålägga Irlands dataskyddsmyndighet att iaktta den tillämpliga bestämmelsen.  

Enligt den lag i Danmark som preciserar den allmänna dataskyddsförordningen (Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (LOV nr 502 af 23/05/2018, databeskyttelsesloven)) kan tillsynsmyndighetens (Datatilsynet) beslut eller det faktum att den registrerades klagomål inte har behandlats eller att det inte har informerats om det i enlighet med artikel 78 i den allmänna dataskyddsförordningen föras till domstol. På motsvarande sätt föreskrivs det i lagen om genomförande av dataskyddsdirektivet (Lov om retshåndhævende myndigheders behandling af personoplysninger (LOV nr 410 af 27/04/2017, § 48 Stk. 2)) om den registrerades rätt att i domstol anföra besvär över tillsynsmyndighetens beslut eller över att tillsynsmyndigheten har underlåtit att behandla den registrerades klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med klagomålet eller vilket beslut som fattats med anledning av det. I Danmark betraktas behandlingen av ett förvaltningsärende i allmänhet som en civilprocess. Förutom att domstolen kan pröva om en åtgärd är laglig kan den också upphäva ett beslut, återkalla ett avtal som ingåtts av förvaltningsmyndigheten eller ålägga förvaltningsmyndigheten att vidta en viss åtgärd (t.ex. bevilja tillstånd). I regel ändrar domstolen dock inte själv besluten eller förvaltningsåtgärderna, utan återförvisar dem snarare till den behöriga myndigheten (hjemvisning). Det sistnämnda blir aktuellt också i sådana situationer som avses i artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet. Dessutom kan domstolen bestämma att det ska betalas skadestånd till en part som den förvaltande myndigheten genom sina åtgärder eller försummelser har orsakat skada. 

Utöver EU-medlemsstaterna har även Norge genomfört unionens dataskyddslagstiftning. I det norska förvaltningssystemet är förvaltningsklagan det primära rättsmedlet i förhållande till besvär som anförs hos domstol (Lov om behandlingsmåten i forvaltningssaker, 27 b §). I Norge grundar sig den registrerades rätt till effektiva rättsmedel i situationer med dröjsmål eller passivitet från en tillsynsmyndighets sida direkt på artikel 78.2 i den allmänna dataskyddsförordningen (Prop. 56 LS (2017–2018) punkt 29.5). Artikel 53.2 i dataskyddsdirektivet har genomförts genom en lag om behandling av uppgifter inom polisen och åklagarmyndigheten (Lov om behandling av opplysninger i politiet og påtalemyndigheten, 57.2 §). Enligt den bestämmelsen har den registrerade rätt att väcka talan vid domstol mot dataskyddsmyndigheten, om dataskyddsmyndigheten inte behandlar den registrerades klagomål inom tre månader eller lämnar uppgifter om hur ärendet fortskrider eller om slutresultatet inom tre månader. Liksom i Danmark behandlas ärendena vid de allmänna domstolarna (Lov om domstolene). Domstolen kan ålägga dataskyddsmyndigheten att behandla ett ärende. 

Av de ovan nämnda medlemsstaterna har Nederländerna och Frankrike särskilda metoder för att effektivisera domstolens beslut. Även om bägge medlemsstater har ett system med förvaltningsdomstolar, finns det också skillnader i deras lagstiftning jämfört med lagstiftningen i Finland. I bägge medlemsstater har det till exempel satts ut en tidsfrist för tillsynsmyndighetens behandling av ärenden, medan det i Finland i allmänhet inte har föreskrivits några tidsfrister för myndigheternas behandling. Det regleringsalternativ som föreslås i regeringens proposition motsvarar den regleringslösning som allmänt tillämpas i medlemsstaterna, där domstolen närmast konstaterar överträdelsen och ålägger tillsynsmyndigheten att behandla ärendet. I regeringspropositionen fastställs det också på motsvarande sätt som i Tysklands reglering att det nya rättsmedlet uttryckligen är kopplat till artikel 78.2 i den allmänna dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet. Därtill föreslås det att domstolen ska kunna sätta ut en ny tidsfrist för meddelandet till den registrerade. Detta innebär dock inte att ärendet ska avgöras inom den tid som sätts ut. 

I Sveriges nationella lag som preciserar den allmänna dataskyddsförordningen (Lag med kompletterande bestämmelser till EU:s dataskyddsförordning, SFS 2018:218) eller lag om genomförande av dataskyddsdirektivet (brottsdatalagen, 2018:1177) föreskrivs det tills vidare inte om den registrerades rätt att få ett ärende behandlat vid domstol i en situation där tillsynsmyndigheten har underlåtit att behandlat klagomålet eller att informera den registrerade inom tre månader. Enligt 11 § i Sveriges förvaltningslag är en myndighet i första instans skyldig underrätta parten i ett anhängigt ärende om avgörandet i ärendet kommer att bli väsentligt försenat. Enligt 12 § i den lagen får parten begära att myndigheten ska avgöra ärendet om det inte har avgjorts inom sex månader. Myndigheten ska inom fyra veckor antingen avgöra ärendet eller i ett särskilt beslut avslå begäran. Detta beslut får överklagas till den domstol eller förvaltningsmyndighet som är behörig. I Sverige finns det dock inte någon sådan möjlighet som avses i artikel 78.2 i den allmänna dataskyddsförordningen att föra en situation med passivitet från en myndighets sida till förvaltningsrätten för behandling. Bestämmelserna i förvaltningslagen kan bli tillämpliga vid dröjsmål med behandlingen av ett klagomål, men de förutsätter ett uttryckligt beslut som överklagas. Den registrerade ska i så fall också vara en sådan part som avses i förvaltningslagen. (Prop. 2017:18:105, s. 17) Liksom i Finland har den registrerade rätt att anföra klagomål hos de högsta laglighetsövervakarna. Kommissionen har också inlett ett överträdelseförfarande mot Sverige. 

7.1  Dataskyddslagen

7 §.Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. I paragrafens rubrik och 1 mom. föreslås tekniska preciseringar som baserar sig på EU:s allmänna dataskyddsförordning. I stället för termen ”överträdelser” används i paragrafen i fortsättningen uttrycket ”lagöverträdelser som innefattar brott”. Därigenom motsvarar paragrafen den ändrade formuleringen i artikel 10 i den allmänna dataskyddsförordningen, som det hänvisas till i paragrafen. 

15 §.Dataombudsmannens beslutsfattande. Det föreslås att det till paragrafen fogas ettnytt2 mom. enligt vilket dataombudsmannen får överföra beslutanderätten på tjänstemän som är föredragande när det är fråga om ärenden om vilka det bestäms närmare i arbetsordningen och i vilka praxis i fråga om lagens tillämpning är vedertagen och avgörandet av ärendet inte förutsätter föredragning för dataombudsmannen på grund av ärendets rättsliga natur eller innehåll. Den gällande paragrafen blir samtidigt 1 mom. Syftet med det föreslagna momentet är att göra det möjligt att överföra beslutanderätten i begränsade juridiskt enkla ärenden så att beslutsfattandet enligt 1 mom. kvarstår som huvudregel. Dataombudsmannen ska dock i enskilda fall ha rätt att överta avgörandet av ett ärende som annars skulle avgöras av en föredragande. 

Med ärenden i vilka praxis i fråga om lagens tillämpning är vedertagen avses ärenden i vilka dataombudsmannen eller biträdande dataombudsmannen redan tidigare har avgjort en juridisk fråga av återkommande karaktär. I arbetsordningen för dataombudsmannens byrå ska det anges närmare i vilka ärenden en tjänsteman som är föredragande är behörig att avgöra ett ärende samt vilka övriga förutsättningar det finns i anslutning till ärendet.  

För att ett ärende ska kunna avgöras vid dataombudsmannens byrå kan det krävas ett förvaltningsbeslut, även om den rättsliga frågan i anslutning till ärendet är klar. Till exempel inom hälso- och sjukvårdssektorn kräver den registrerade ofta ett förvaltningsbeslut i det egna ärendet också i juridiskt klara ärenden. Detta kan vara fallet till exempel i en situation där ett ärende som gäller rättelse av ett fel har inletts i form av ett klagomål till dataombudsmannens byrå och den registrerade till exempel begär att en beskrivning i patientjournalen eller läkarens diagnos ändras. Även anmälningar om personuppgiftsincidenter innehåller i regel ärenden där avgörandet förutsätter ett överklagbart förvaltningsbeslut, även om ärendet inte förutsätter någon rättslig prövning. Till sådana situationer hör till exempel ett föreläggande för den personuppgiftsansvarige att informera de registrerade om en personuppgiftsincident. Också i andra ärendegrupper finns det motsvarande juridiskt enkla ärenden som förutsätter ett förvaltningsbeslut för att kunna avgöras.  

Ändringen stöder den i 21 § i grundlagen och 23 § i förvaltningslagen tryggade rätten till behandling utan dröjsmål eftersom juridiskt enkla ärenden kan avgöras snabbare utan föredragningsförfarande. Ändringen frigör samtidigt resurser som gör att dataombudsmannen och biträdande dataombudsmännen, i stället för att behandla rutinmässiga ärenden, kan koncentrera sig på att behandla frågor där avgörandet förutsätter mer omfattande rättslig prövning. 

Enligt gällande 15 § avgör dataombudsmannen ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat. Denna bestämmelse samt bestämmelserna i 16 § om biträdande dataombudsmannens uppgifter och befogenheter avgränsar beslutanderätten till dataombudsmannen och biträdande dataombudsmännen. För att beslutanderätten ska kunna styras till en överinspektör eller någon annan tjänsteman som är föredragande vid dataombudsmannens byrå, behöver det i lagen uttryckligen föreskrivas om dataombudsmannens rätt att överföra beslutanderätten på någon annan tjänsteman. 

Enligt 26 § i arbetsordningen för dataombudsmannens byrå kan föredragandena för närvarande, inom ramen för deras befattning, utan föredragning avgöra ärenden som är uppenbart ogrundade och enligt etablerad tolkning inte omfattas av dataombudsmannens behörighet eller i vilka svaret utgörs av allmän rådgivning som tydligt följer gällande lagstiftning och den etablerade tolkningslinjen hos dataombudsmannens byrå. Det kan till exempel vara fråga om uppenbart ogrundade krav eller om att den personuppgiftsansvariges agerande, som den registrerade lyft fram, är uppenbart lagenligt direkt med stöd av lag eller utifrån dataombudsmannens tidigare ställningstagande. Det kan också vara fråga om ett ärende där en eventuell felaktighet i den personuppgiftsansvariges agerande och behovet av rättsskydd är ringa, och det bedöms att ärendet kan avgöras snabbare om den registrerade får rådet att sköta ärendet direkt med den personuppgiftsansvarige. I dessa situationer fattas för närvarande inget förvaltningsbeslut i den första fasen. Om den registrerade dock begär det, fattas ett överklagbart beslut i ärendet. I de fall som avses i de föreslagna bestämmelserna förutsätter avgörandet av ärendet däremot i regel ett överklagbart förvaltningsbeslut. 

Med stöd av de föreslagna bestämmelserna kommer de föredragande som utövar beslutanderätten samtidigt att utöva befogenheterna enligt den allmänna dataskyddsförordningen. Alla befogenheter som avses i artikel 58, i synnerhet de viktigaste korrigerande befogenheterna, såsom utfärdande av reprimander eller påförande av sanktioner, kommer dock inte i fråga. I dataskyddslagen finns det också särskilda bestämmelser om förfarandet vid bestämmande av påföljder. Avgörandena ska inte heller vara förenade med någon ny slags rättslig prövning. Artikel 58.6 i den allmänna dataskyddsförordningen gör det möjligt att i en medlemsstats nationella lagstiftning föreskriva också om andra befogenheter än de som avses i punkterna 1–3 i artikeln. Utövandet av andra befogenheter får inte påverka den effektiva tillämpningen av kapitel VII. De föreslagna bestämmelserna påverkar inte tillämpningen av kapitel VII i den allmänna dataskyddsförordningen på ett sätt som är förbjudet. 

Dataombudsmannen är den tillsynsmyndighet som avses i den allmänna dataskyddsförordningen och dataskyddsdirektivet. Enligt 8 § 2 mom. i dataskyddslagen är dataombudsmannen självständig och oberoende i sin verksamhet. Även i EU:s dataskyddslagstiftning är oberoende ett viktigt krav som ställs på de myndigheter som övervakar skyddet av personuppgifter. Enligt artikel 54 i den allmänna dataskyddsförordningen ska tillsynsmyndigheten vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter. Kravet på att den myndighet som övervakar skyddet av personuppgifter ska vara oberoende ingår också i artikel 8.3 i EU-stadgan om de grundläggande rättigheterna och i artikel 16.2 i EUF-fördraget. 

EU-domstolen har i sin avgörandepraxis bedömt om tillsynsmyndigheter är oberoende när det gäller skyddet av personuppgifter. Domstolen har ansett att det med tanke på säkerställandet av oberoendet är viktigt att tillsynsmyndigheternas beslut inte kan påverkas utifrån vare sig direkt eller indirekt. Däremot har domstolen inte ansett att det är tillräckligt att tillsynsmyndighetens ledamöter är oberoende i sin verksamhet. Övervakningen ska vara objektiv, effektiv och tillförlitlig, för att stärka rättsskyddet för dem som berörs av tillsynsmyndighetens beslut (C-518/07, C-614/10 och C-288/12). De föreslagna bestämmelserna effektiviserar övervakningen i de ärenden som berörs av ändringarna och inverkar således också positivt på rättsskyddet för dem som berörs av besluten. Det är dock viktigt att de föreslagna bestämmelserna inte äventyrar tilltron till att övervakningen är objektiv. Därför föreslås det att bestämmelserna avgränsas till ärenden i vilka praxis i fråga om lagens tillämpning är vedertagen. Eftersom bestämmelserna i väsentlig grad hör samman med tillämpningen av lagen är det också viktigt att dataombudsmannen alltjämt har rätt att besluta om i vilka ärenden tillämpningspraxis kan anses vara så pass vedertagen att det är möjligt att överföra beslutanderätten. De allmänna principerna för god förvaltning, såsom kravet i förvaltningslagen på opartiskhet i myndigheternas verksamhet, gäller alla tjänstemän. De föreslagna bestämmelserna inverkar inte heller på dataombudsmannens eller de biträdande dataombudsmännens oberoende. 

Med avseende på de nationella bestämmelserna om tillsynsmyndigheterna är artikel 54 i den allmänna dataskyddsförordningen av väsentlig betydelse. I den artikeln åläggs medlemsstaterna att föreskriva om regler för inrättandet av en tillsynsmyndighet. Varje medlemsstat ska föreskriva om tillsynsmyndighetens inrättande samt om de kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet. Dessutom ska medlemsstaterna föreskriva om regler och förfaranden för att utse tillsynsmyndighetens ledamot eller ledamöter samt om mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år. 

I förarbetena till dataskyddslagen har utöver dataombudsmannen också de biträdande dataombudsmännen ansetts vara ledamöter i tillsynsmyndigheten. (RP 9/2018 rd, s. 97). I dataskyddslagen föreskrivs det om behörighetsvillkoren för dessa, utnämningsgrunderna och mandatperioden i enlighet med artikel 54 i den allmänna dataskyddsförordningen. Dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet. Däremot utnämner dataombudsmannen tjänstemännen och anställer den övriga personalen vid byrån. De tjänstemän som är föredragande är antingen ordinarie anställda eller anställda för viss tid, och i enlighet med den lösning som man gått in för i förarbetena till dataskyddslagen är de inte sådana ledamöter som avses i artikel 54 i den allmänna dataskyddsförordningen, utan sådan personal som avses i artikeln. Artikeln förutsätter inte att det, med undantag för ledamöterna, föreskrivs om de kvalifikationer och de villkor för lämplighet som krävs av personalen, men ålägger en skyldighet att i lag fastställa vilka villkor som gäller för de skyldigheter som personalen har, förbud mot yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande. Dataskyddslagen innehåller emellertid en bestämmelse om utnämning av tjänstemän och ett i 9 § angivet krav på förtrogenhet med uppgiftsområdet. I 35 § i dataskyddslagen föreskrivs det dessutom om tystnadsplikt som gäller alla tjänstemän och annan personal vid dataombudsmannens byrå. Några särskilda bestämmelser om ett förbud mot handlingar som står i strid med uppdraget behövs inte, utan de allmänna bestämmelserna om tjänstemännens skyldigheter i 4 kap. i statstjänstemannalagen (750/1994), till exempel bestämmelserna om en ekonomisk eller någon annan förmån och om bisyssla, blir tillämpliga. 

Varje tjänsteman som är föredragande omfattas också av det tjänsteansvar som följer av 118 § i grundlagen. Föredragande som utövar beslutanderätt handlar under personligt tjänsteansvar. Tjänsteansvaret kan utmynna i ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar samt skadeståndsansvar. Det ska vara möjligt att söka ändring i förvaltningsbeslut som föredragandena ansvarar för i enlighet med lagen om rättegång i förvaltningsärenden. De tjänstemän som är anställda vid dataombudsmannens byrå är också föremål för laglighetskontroll. 

21 §.Rätt att föra ärenden till dataombudsmannen för behandling samt passivitetsbesvär. Paragrafens rubrik ändras för att i större utsträckning motsvarar innehållet i den paragraf som ändras. Detta görs så att en hänvisning till rättsmedlet i situationer med passivitet (passivitetsbesvär) läggs till i slutet av rubriken. Det föreslås att det till paragrafen fogas bestämmelser om ett nytt rättsmedel som de registrerade har tillgång till i situationer med passivitet från dataombudsmannens sida. Genom bestämmelserna genomförs det rättsmedel som förutsätts i artikel 78.2 i den allmänna dataskyddsförordningen. Artikeln förutsätter att varje registrerad person ska ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det. Den registrerade ska i dessa situationer ha rätt att anföra besvär hos förvaltningsdomstolen. 

Till paragrafen fogas ett nytt 3 mom. som är anpassat till artikel 78.2 i den allmänna dataskyddsförordningen så att det i lagen föreskrivs om tidsfristen för behandlingen av ett ärende. Enligt det föreslagna momentet ska dataombudsmannen behandla ett klagomål som blivit anhängigt med stöd av artikel 77 i den allmänna dataskyddsförordningen inom tre månader från det att klagomålet blev anhängigt eller, om ärendet inte kan behandlas inom denna tid, inom tre månader meddela den registrerade en uppskattning om när ett beslut kommer att ges. Momentet förutsätter inte entydigt att ett ärende ska behandlas inom tre månader, utan åtminstone att den registrerade blir informerad. Artikel 78.2 i den allmänna dataskyddsförordningen förutsätter inte heller att dataombudsmannen ska avgöra ett ärende inom tre månader, utan att den registrerade åtminstone informeras om hur ärendet fortskrider. I momentet ska det dock föreskrivas mer ingående än i den allmänna dataskyddsförordningen om vad som avses med information om hur ett ärende fortskrider. Meddelandet om när ett beslut kommer att ges ska betraktas som en behandlingsåtgärd genom vilken den registrerade informeras om hur ärendet fortskrider och när ett avgörande är att vänta. Eftersom de klagomål som behandlas av dataombudsmannen till sin art och omfattning är mycket olika, är det inte möjligt att i lagen sätta ut en sådan entydig tidsfrist inom vilken alla klagomål ska behandlas. Samtidigt behöver ett förvaltningsbeslut inte fattas i alla klagomålsärenden som behandlas av dataombudsmannen. Därför kan dataombudsmannen alternativt behandla ett ärende inom tre månader från det att det blev anhängigt eller, om detta inte är möjligt, meddela den registrerade en uppskattning av tidpunkten för beslutet utifrån ärendets art och omfattning. Långt ifrån alla ärenden kan avgöras inom tre månader, och även till exempel ärendets internationella natur eller komplexitet samt de utredningar som ärendet kräver inverkar väsentligt på tiden för behandlingen av ärendet som helhet. Även samarbetet med den personuppgiftsansvarige kan ibland ha en betydande inverkan på hur snabbt ett ärende kan avgöras. I ärenden som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål kan dessutom till exempel fasen i en eventuell förundersökning inverka på om det ännu är möjligt att avgöra ärendet. 

Det föreslagna kravet på behandling av ett ärende eller på information till den registrerade är en specialbestämmelse genom vilken de krav som för närvarande följer av förvaltningslagen effektiviseras tidsmässigt. Av förvaltningslagen följer ett krav på att ge en uppskattning av behandlingstiden på begäran av en part, medan de föreslagna bestämmelserna i dataskyddslagen innebär att en uppskattning ska ges utan begäran. Syftet med bestämmelserna är samtidigt att främja god förvaltningssed så att de åtgärder som behandlingen av ett ärende förutsätter bedöms och ärendet behandlas i den mån det är skäligt inom tre månader. 

Det har också mer allmänt ansetts höra till god förvaltning att ärenden behandlas inom en tid som är skälig med hänsyn till ärendets art och därmed jämförbara omständigheter. Den tid som behandlingen kräver kan variera kraftigt från fall till fall. (RP 72/2002 rd, s. 79–81) Vid laglighetsövervakningen har det i fråga om tolkningen av förvaltningslagen fästs avseende vid att det inte kan krävas att en uppskattning ska vara absolut tillförlitlig. Behandlingen av en ansökan kan fördröjas om ärendet är komplicerat eller om omständigheterna förändras under behandlingens gång. Om man blir tvungen att göra avkall på en framförd uppskattning av orsaker som kommer fram senare, kan parten be myndigheten ge en ny uppskattning om när beslutet kommer att ges. Samtidigt ska parten underrättas om orsaken till fördröjningen (till exempel OKV/1717/10/2022, OKV/3473/10/2021, OKV/340/10/2020, OKV/138/1/2016). När det gäller dataombudsmannen har det vid laglighetsövervakningen ansetts att uppskattningen av behandlingstiden ska vara en uppskattning i det enskilda ärendet och inte en uppgift om den genomsnittliga behandlingstiden för ärendegruppen i fråga. Även om uppskattningen kan vara riktgivande, ska den ändå basera sig på behandlingen av det enskilda ärendet i fråga och motsvara verkligheten (OKV/631/10/2021). 

I 4 mom. föreslås en bestämmelse om den registrerade rätt att anföra besvär hos förvaltningsdomstolen, om dataombudsmannen försummar att iaktta den tidsfrist på tre månader som avses i 3 mom. Besvären anses då avse ett avslagsbeslut som gäller behandlingen av ärendet. I klagomål som förts till dataombudsmannen för behandling är det inte nödvändigtvis fråga om behandling av en konkret begäran eller ett konkret yrkande från den registrerades sida. I dessa ärenden är det inte heller alltid möjligt att göra skillnad mellan ett negativt eller ett positivt beslut, och i den information som lämnas till den registrerade fattas det inte något särskilt beslut. I ett avslagsbeslut är det i praktiken fråga om att de behandlingsåtgärder som dataskyddslagstiftningen förutsätter saknas, det vill säga att klagomålsärendet ännu inte har tagits upp till behandling. Besvär kan alltså anföras, om dataombudsmannen inte har fattat ett överklagbart förvaltningsbeslut eller annars behandlat ett klagomålsärende inom tre månader från det att ärendet blev anhängigt eller inom denna tid åtminstone meddelat den registrerade en uppskattning om när ett beslut kommer att ges. Sådana besvär som avses i momentet ska anföras innan dataombudsmannen har behandlat ärendet eller meddelat en uppskattning om när ett beslut kommer att ges. Dataombudsmannen ska anses ha iakttagit tidsfristen när den registrerade har fått åtminstone en uppskattning av tidpunkten för beslutet. I sådana situationer där dataombudsmannen har fattat ett förvaltningsbeslut i den registrerades ärende ska den registrerade ha rätt att söka ändring i beslutet i enlighet med 25 § i dataskyddslagen. Rättsmedlet ska vara begränsat till de ärenden som förs till behandling med stöd av artikel 77 i den allmänna dataskyddsförordningen. Förfarandet ska inte tillämpas på andra situationer där behandlingen av ärenden som blivit anhängiga med stöd av 21 § 1 mom. i dataskyddslagen fördröjs och i vilka det vanligen är fråga om rådgivning eller besvarande av olika förfrågningar. 

Besvär ger som rättsmedel den registrerade ett effektivt rättsskydd i en situation som avses i artikel 77 i den allmänna dataskyddsförordningen. På behandlingen av besvärsärendet tillämpas samma bestämmelser som på behandlingen av andra besvärsärenden. Det säkerställs att besvär också de facto är tillgängligt för den registrerade genom att situationen med passivitet efter tre månader ska anses avse ett avslagsbeslut som gäller behandlingen av ärendet. 

24 §.Administrativa påföljdsavgifter. Det föreslås att den finska språkdräkten i 1 mom. ändras genom en teknisk precisering som baserar sig på den allmänna dataskyddsförordningen och genom vilken användningen av den finska termen ”hallinnollinen sakko” slopas. I enlighet med den ändrade formuleringen i artikel 83 i den allmänna dataskyddsförordningen ska i momentet användas endast den finska termen ”hallinnollinen seuraamusmaksu” om den administrativa sanktion som avses i momentet. Dessutom ligger preciseringen i linje med den regleringsprincip enligt vilken ett uttryck som kan hänvisa till ett straffrättsligt straff inte ska användas i fråga om administrativa sanktioner. 

29 §.Behandling av personbeteckningar. Det föreslås att 1 mom. ändras så att en definition av specificering tas in i momentets andra mening. I den gällande 29 § finns det inte några definitioner av identifiering och specificering av en person. Grundlagsutskottet anser att identifiering och specificering bör definieras tydligt i lagen (GrUU 87/2022 rd, punkt 4). En personbeteckning får behandlas, om det är viktigt att entydigt särskilja den registrerade och den registrerades personuppgifter från andra registrerade och deras personuppgifter (specificering) 1) för att utföra en i lag angiven uppgift, 2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller 3) för historisk eller vetenskaplig forskning eller för statistikföring. 

Det föreslås att paragrafens 2 mom. ska ändras så att dess avsikt att möjliggöra behandling av personbeteckningar för specificering av en registrerad framgår tydligare av lagen på samma sätt som i 1 mom. Momentet behöver preciseras för säkerställande av att bestämmelsens syfte är tydligt och motsvarar dess ursprungliga syfte. Den gällande paragrafens 2 mom. innehåller inte uttryckliga bestämmelser om beteckningens användningsändamål inom de branscher och de användningssituationer som nämns i momentet, utan användningen i specificeringssyfte framgår endast ur förarbetena till bestämmelsen. I förarbetena till den gällande lagen konstateras att i tillämpningspraxis har behandling av personbeteckningen i de funktioner som räknas upp i 2 mom. i allmänhet betraktats som behövlig för att en person entydigt ska kunna specificeras. I dessa fall är en tillförlitlig specificering av personen ofta nödvändig redan utifrån den registrerades rättssäkerhet (RP 9/2018 rd, s. 116). Momentet preciseras dessutom språkligt. 

I 4 mom. ersätts termen ”personregister” med termen ”register” för att förenhetliga bestämmelsen med motsvarande bestämmelse i dataskyddslagen avseende brottmål. Samtidigt kommer termen att motsvarar definitionen i artikel 4.6 i den allmänna dataskyddsförordningen. Momentets finska språkdräkt preciseras också språkligt. 

Det föreslås att det till paragrafen fogas ett nytt 5 mom., i vilket det föreskrivs om en begränsning av behandlingen av personbeteckningen i samband med identifiering av en registrerad. Enligt momentet ska det vara förbjudet att använda enbart personbeteckningen eller en kombination av personbeteckningen och den registrerades namn för utredning av den registrerades identitet med hjälp av uppgifter som den registrerade har uppgett eller lämnat eller med hjälp av handlingar som den registrerade har visat upp (identifiering). Avsikten är inte att genom bestämmelsen ändra på nuläget. Genom bestämmelsen preciseras och förtydligas personbeteckningens ursprungliga ändamål att fungera som metod för specificering av registrerade genom att begränsa behandlingen av personbeteckningar i samband med identifiering. Momentet innehåller också en definition av identifiering. 

Av förarbetena till den gällande 29 § i dataskyddslagen framgår att ändamålet med en personbeteckning uttryckligen är att specificera en person bland andra. I förarbetena konstateras att en personbeteckning är avsedd att särskilja en person från andra, men att det att en personbeteckning uppges eller visas upp inte nödvändigtvis garanterar att det är fråga om den person som personbeteckningen avser. Vidare konstateras i förarbetena att det grundläggande villkoret för behandling av en personbeteckning i samtliga fall som avses i 1 mom. är att det är viktigt att entydigt specificera den registrerade för utförande av den uppgift som anges i bestämmelsen. På grund av detta berättigar till exempel inte enbart det faktum att en lagstadgad uppgift skulle kunna utföras lättare eller snabbare med hjälp av personbeteckningen till behandling av personbeteckningen, utan behandlingen är tillåten endast när det är viktigt att entydigt specificera den registrerade för att utföra uppgiften (RP 9/2018 rd, s. 116). Vidare ger motiveringen till paragrafens 2 mom. i förarbetena uttryck för personbeteckningens ändamål för specificering av en person.  

Också i detaljmotiveringen till bestämmelserna om tilldelning av personbeteckning i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) tar man upp att det ska beaktas att en person aldrig får identifieras uteslutande med hjälp av beteckningen, utan för identifiering bör alltid också andra uppgifter och iakttagelser om personen användas (RP 89/2008 rd, s. 76).  

Det har blivit ett problem när det gäller personbeteckningen att beteckningen utöver för sitt syfte, en entydig specificering av personen, dessutom i vissa situationer används för identifiering av en person antingen som sådan eller tillsammans med personens namn. Användningen av personbeteckningen på samma sätt som ett lösenord grundar sig på antagandet att förmågan att ange beteckningen visar att kunden är den rättmätiga innehavaren till beteckningen i fråga. I praktiken grundar det sig också i stor utsträckning på att människor i allmänhet kommer ihåg sin egen personbeteckning, vartill man allmänt är av uppfattningen att det endast är den rättmätiga innehavaren till personbeteckningen som känner till den. I själva verket kan dock flera personer känna till personbeteckningen, varför det är möjligt att med en annan persons personbeteckning utge sig för att vara den personen. Till exempel inom hälso- och sjukvårdstjänsterna och framför allt inom telefontjänster är det möjligt att få andra personers sekretessbelagda hälsouppgifter genom att använda personens personbeteckning. Med personbeteckningen kan man också identifiera sig i vissa webbtjänster. I den gällande 29 § i dataskyddslagen förbjuds inte användning av personbeteckningen på ovan beskrivna sätt, även om detta varit lagens syfte. 

Enligt den utredning som beställts av Myndigheten för digitalisering och befolkningsdata (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti (Slutrapport från Myndigheten för digitalisering och befolkningsdata om användning av personbeteckningen vid identifiering) 18.6.2021 s. 12) har många organisationer svårt att skilja mellan specificering och identifiering. Med specificering av en person avses till exempel särskiljande av en kund och kundens uppgifter från andra uppgifter i samma register. Personbeteckningen används ofta för specificering av personer till exempel i kundregister. Med identifiering avses till exempel en situation där en funktionär identifierar kunden genom att jämföra de identifieringsuppgifter som kunden ger med uppgifterna i registret. Identifiering och specificering har olika syfte, varför åtgärderna för behandling alltid ska noteras som åtgärder som skiljer sig från varandra. 

Finlands lagstiftning innehåller inte definitioner på specificering eller identifiering av en fysisk person eller verifiering eller kontroll av identiteten som omfattar all verksamhet. Däremot innehåller penningtvättslagen definitioner på identifiering av en kund och kontroll av identiteten och i lagen föreskrivs också om förfarandena gällande dessa. Enligt 1 kap. 4 § 1 mom. 6 punkten i penningtvättslagen avses med identifiering utredning av en kunds identitet på grundval av uppgifter som kunden tillhandahållit. Enligt 7 punkten avses med kontroll av identiteten säkerställande av en kunds identitet utifrån handlingar och uppgifter från en tillförlitlig och oberoende källa. I praktiken betyder detta till exempel pass eller identitetskort. I det föreslagna 5 mom. ska utgångspunkten för definitionen av identifiering vara densamma som i penningtvättslagen.  

I dataskyddslagen ska det inte föreskrivas om hurudan identifieringspraxis den personuppgiftsansvarige ska använda eller om i vilka situationer identiteten utöver genom identifiering av en person ska kontrolleras till exempel med hjälp av ett identitetskort eller ett pass. Bestämmelserna i 29 § i dataskyddslagen gäller endast förutsättningarna för behandling av personbeteckningar. Vid identifiering av en kund stärker användningen av personbeteckningen som en identifieringsuppgift identifieringen i vissa situationer, men en säker och tillförlitlig identifiering av en fysisk person kan inte enbart grunda sig på personbeteckningen eller en kombination av personbeteckningen och namnet. Identifieringen är starkare, ju fler personuppgifter som används för ändamålet. 

Vid uträttande av ärenden per telefon kan det i en identifieringssituation av den registrerade ställas frågor till exempel om kundnummer, adress och personbeteckning eller säkerhetsfrågor. I samband med uträttande av ärenden på plats kan det i vissa situationer förutsättas att den registrerade visar upp en officiell handling som styrker identiteten. Andra typiska metoder för identifiering av en registrerad är bland annat stark autentisering enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009, nedan autentiseringslagen) eller inmatning av ett lösenord i systemet. Stark autentisering är den mest hållbara och säkraste lösningen när det gäller att ersätta användningen av personbeteckningen för identifiering i sådana behandlingssituationer som är förenade med särskilt höga risker. De personuppgiftsansvariga har tillgång till tjänster som fås av banker och mobiloperatörer. Syftet med alla dessa förfaranden är att säkerställa att den fysiska person som uträttar sina ärenden är den som han eller hon utger sig för att vara. 

Den personuppgiftsansvarige får för identifiering av en registrerad fortsättningsvis använda personbeteckningen som en uppgift bland andra. Den personuppgiftsansvarige får dock inte bygga sin identifieringspraxis uteslutande på att fråga om personbeteckningen och namnet. Den personuppgiftsansvarige ska till exempel bygga upp identifieringen i samband med uträttande av ärenden per telefon så att det av den som identifieras också frågas andra identifieringsuppgifter, såsom kundnummer eller andra för kundförhållandet typiska tilläggsuppgifter, som inte är lättillgängliga för alla. Till exempel uppgiften om hemkommun eller adress kan inte anses som tillräckliga tilläggsuppgifter vad gäller en säker och tillförlitlig identifiering av en person. Om tillfrågande av personbeteckningen anses som behövligt vid identifiering i samband med uträttande av ärenden på plats kunde en registrerad identifieras genom att utöver personbeteckningen till exempel tillfrågas om andra tilläggsuppgifter som ansluter till uträttandet av ärenden, såsom kundkort eller kundnummer. Den personuppgiftsansvarige ska dock bedöma lämpliga tilläggsuppgifter från fall till fall, med beaktande av riskerna i anslutning till behandlingssituationen. I en situation där en kund blivit föremål för ett dataintrång eller en identitetsstöld ger inte heller kundnumret ytterligare säkerhet vid identifiering, om det är sannolikt att en person utanför kundförhållandet på brottslig väg fått kännedom om det. God praxis kunde till exempel vara att kunden i samband med uträttande av ärenden per telefon utöver personbeteckningen tillfrågas om fler än en sak som har samband med kundens ärende inom tjänsten i fråga. Å andra sidan kan det i vissa fall med uträttande av ärenden per telefon vara fråga om enbart en tidsbokning för att få tillträde till en tjänst. Också i dessa situationer ska den personuppgiftsansvarige riskbaserat bedöma vilka uppgifter som förutsätts av den registrerade. Användning av personbeteckningen för identifiering av en person kan också grunda sig på en speciallag.  

När den personuppgiftsansvarige bygger sin identifieringspraxis ska det fästas särskild vikt vid om det är fråga om en så kallad första skedets identifiering till exempel för inledande av ett kundförhållande, där det beroende på ärendets natur kan finnas en högre risk för identitetsstölder än vid identifiering i samband med skötseln av ett befintligt kundförhållande eller där utnyttjandet av en annan persons identitet leder till särskild olägenhet eller skada, såsom ekonomiska förluster. Vid första skedets identifiering kan det ofta vara behövligt att identifiera personen genom att kontrollera identiteten till exempel från en handling som styrker identiteten eller genom att förutsätta stark autentisering. Den personuppgiftsansvarige ska också fästa vikt vid att det vid valet av identifieringspraxis och identifieringsmetoder ska beaktas det i EU:s allmänna dataskyddsförordning tillägnade riskbaserade tillvägagångssättet, som förutsätter att den personuppgiftsansvarige bedömer risknivån för behandlingen av personuppgifter, som särskilt påverkas av känsligheten för de personuppgifter som behandlas och av om de uppgifter som behandlas i samband med uträttandet av ärenden är sekretessbelagda. I behandlingssituationer med hög risk bör man i princip inte använda identifieringspraxis som grundar sig på att man frågar om personuppgifter. Å andra sidan kan den personuppgiftsansvarige också bli tvungen att bedöma, om det kan uppstå skada ifall man inte samtycker till en åtgärd som den registrerade begär med hjälp av en enkel identifiering som bygger på kontroll av personuppgifter. Användningen av metoden kunde således vara behövlig till exempel vid brådskande begäranden om passivering eller spärrning av en tjänst, och syftet med den föreslagna lagändringen är inte att begränsa den. Också i en sådan situation ska den personuppgiftsansvarige dock kunna bedöma vilka personuppgifter den anser vara tillräckliga. Förslaget begränsar inte heller sådana spärr- och passiveringstjänster, där personbeteckningen endast behandlas för specificering av den registrerade, och det inte är nödvändigt att identifiera användaren av tjänsten. 

Den föreslagna regleringen påverkar inte behandlingen av personbeteckningen till exempel i samband med tillhandahållande av tjänster för stark autentisering. Autentiseringslagen förutsätter att leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster ska kontrollera sökandens personbeteckning när de kontrollerar sökandens identitet. 

Det föreslagna 5 mom. motsvarar de gällande anvisningarna på dataombudsmannens byrås webbplats, enligt vilka en personuppgiftsansvarig inte får bygga upp sin identifieringspraxis uteslutande kring frågor om personbeteckningen och namnet. Vidare konstateras i anvisningarna att det dock är tillåtet att fråga om personbeteckningen som en uppgift bland andra, då en person ringer till exempel till ett företags kundbetjäning, en verksamhetsenhet inom hälso- och sjukvården eller till en myndighet. Det är dock möjligt att i speciallagstiftningen i närmare detalj föreskriva till exempel om förfarandet för igenkänning av kunden eller utredande av kundens identitet. I dataskyddslagstiftningen föreskrivs det endast om förutsättningarna för behandling av en personbeteckning, vilket är en annan sak än förfarandena för igenkänning eller identifiering av en kund, förfarandena för kontroll av identiteten eller befogenheterna och förfarandena för utredande av identiteten. Specialbestämmelser om förfarandena ingår till exempel i penningtvättslagen, polislagen (872/2011) och autentiseringslagen. 

7.2  Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

12 §.Behandling av personbeteckningar. Det föreslås att 1 mom. ändras på motsvarande sätt som 29 § 1 mom. i dataskyddslagen genom att en definition av specificering tas in i den andra meningen i momentet. 

Det föreslås att det till paragrafen fogas ett nytt 3 mom., i vilket det föreskrivs om en begränsning av behandlingen av personbeteckningen i samband med identifiering av en registrerad. Enligt momentet ska det vara förbjudet att använda enbart personbeteckningen eller en kombination av personbeteckningen och den registrerades namn för utredning av den registrerades identitet med hjälp av uppgifter som den registrerade har uppgett eller lämnat eller med hjälp av handlingar som den registrerade har visat upp (identifiering). Bestämmelsen ska tillämpas vid behandling av personbeteckningar som i stället för till tillämpningsområdet för EU:s allmänna dataskyddsförordning och dataskyddslagen hör till tillämpningsområdet för dataskyddslagen avseende brottmål. Momentet motsvarar till sitt innehåll det föreslagna 29 § 5 mom. i dataskyddslagen, vars detaljmotivering presenteras ovan, och innehåller på motsvarande sätt en definition av identifiering.  

Inte heller bestämmelserna i dataskyddslagen avseende brottmål påverkar de metoder som används för identifiering av en fysisk person eller kontroll eller utredande av identiteten, om vilka föreskrivs annanstans i lag. Till exempel i 2 kap. 1 § i polislagen föreskrivs om polisens behörighet för utredande av identitet. Bestämmelserna i 2 § 1 mom. i dataskyddslagen avseende brottmål möjliggör också avvikelser från lagen i speciallagstiftningen. I momentet föreskrivs att om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för denna lag. Till den del det är fråga om genomförandebestämmelser för direktiv (EU) 2016/680 är det dock inte möjligt att i speciallagstiftning avvika från den miniminivå för dataskyddet som direktivet förutsätter. Medlemsstaterna har dock möjlighet att föreskriva om en högre dataskyddsnivå. 

13 §.Automatiserat individuellt beslutsfattande. Det föreslås att 1 mom. preciseras så att profilering uttryckligen nämns som en form av automatiserad behandling av personuppgifter. Preciseringen grundar sig på kraven i artikel 11.1 i dataskyddsdirektivet. Enligt den föreslagna ändringen får, om inte något annat föreskrivs i lag, ett beslut inte fattas enbart på grundval av automatiserad behandling av personuppgifter, inbegripet profilering, om beslutet har negativa rättsverkningar för den registrerade eller beslutet annars är betydande för den registrerade. 

Det är fråga om en precisering av teknisk natur som inte syftar till att utvidga förbudet mot automatiserat individuellt beslutsfattande jämfört med nuläget. Den gällande paragrafen är dock förenad med en risk för att dess tillämpningsområde tolkas alltför snävt i förhållande till direktivets syfte. Av tydlighetsskäl är det således motiverat att profileringens ställning som en form av automatiserat beslutsfattande framgår av lagen. Också i artikel 22 i den allmänna dataskyddsförordningen nämns profilering separat i samband med automatiserat individuellt beslutsfattande. 

57 §.Behandlingen av en begäran om åtgärder samt passivitetsbesvär. Det föreslås att den gällande paragrafen ersätts med en ny paragraf. I paragrafens rubrik tas det in en hänvisning till passivitetsbesvär. Enligt paragrafens 1 mom. ska dataombudsmannen behandla ett ärende som inletts med stöd av 56 § inom tre månader från det att ärendet inleddes eller, om ärendet inte kan behandlas inom denna tid, inom tre månader meddela den registrerade en uppskattning om när ett beslut kommer att ges. Bestämmelserna motsvarar 21 § 3 mom. i dataskyddslagen och genom dem genomförs artikel 52.4 i dataskyddsdirektivet. Med avvikelse från artikeln i direktivet sätts det i 1 mom. ut en tidsfrist för behandlingen av ett ärende, medan direktivet förutsätter att ett ärende avgörs inom en skälig tid. Av artikel 53.2 i direktivet kan det dock härledas att tre månader kan anses som en skälig tid för avgörande av ett ärende eller åtminstone för ett meddelande om hur ärendet fortskrider. På samma sätt som enligt den allmänna dataskyddsförordningen förutsätter inte heller direktivet att ett ärende alltid ska avgöras inom tre månader. På motsvarande sätt som i dataskyddslagen beaktas detta så att dataombudsmannen alternativt kan meddela en uppskattning om när ett beslut kommer att ges. Dessutom ska dataombudsmannen på motsvarande sätt som i nuläget informera den som inlett ärendet om behandlingen av ärendet fördröjs på grund av att en ytterligare utredning behövs eller av något annat skäl. 

Den första meningen i den gällande paragrafen blir 2 mom. Dataombudsmannen kan på motsvarande sätt som i nuläget avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. 

Paragrafens 3 mom. motsvarar till innehållet 21 § 4 mom. i dataskyddslagen. Genom ändringarna genomförs artikel 53.2 i dataskyddsdirektivet. Den registrerade ska ha rätt att anföra besvär hos förvaltningsdomstolen om dataombudsmannen försummar att iaktta den tidsfrist på tre månader som avses i 1 mom. Besvären ska anföras innan dataombudsmannen har behandlat ärendet eller meddelat den registrerade en uppskattning om när ett beslut kommer att ges. Besvären anses då avse ett avslagsbeslut som gäller behandlingen av ärendet.  

I dataskyddslagen avseende brottmål frångås inte kraven i dataskyddsdirektivet, och passivitetsbesvär avses inte blir tillämpade på andra ärenden än sådana som inleds med stöd av 56 §. Dataombudsmannen behandlar framför allt ärenden som gäller utövande av så kallad indirekt rätt till insyn i enlighet med 29 § i dataskyddslagen avseende brottmål. I 2 mom. i den paragrafen föreskrivs det särskilt om dataombudsmannens skyldighet att informera den registrerade om vilka åtgärder som vidtagits och om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder. Direktivet förutsätter inte att den registrerade ska ha rätt att föra situationer med passivitet med sådant informerande till domstol. 

10.1  Förhållande till budgetpropositionen

Propositionen hänför sig till budgetpropositionen för 2024 och avses bli behandlad i samband med den.