Cirkulär 6/2018, 16.8.2018, Saija Haapalehto

Utnämning av dataskyddsombud samt ombudens uppgifter och ställning

Enligt EU:s allmänna dataskyddsförordning ska varje kommun utse ett dataskyddsombud.

Dataskyddsförordningen innehåller detaljerade bestämmelser om dataskyddsombudets ställning och uppgifter. Också EU:s expertgrupp WP 29 (Article 29 Working Party) har gett närmare anvisningar om dataskyddsombuden (länk i slutet av cirkuläret).

Detta cirkulär behandlar dataskyddsombudens uppgifter, rättigheter och skyldigheter samt den lagstiftning som gäller utnämningen av dataskyddsombud.

Närmare upplysningar

E-postservice: forvaltningsjuristerna@kommunforbundet.fi

Saija Haapalehto, jurist, tfn 050 567 0862

Ritva Liivala, arbetsmarknadsjurist, KT Kommunarbetsgivarna, tfn 050 357 4227

Tarja Krakau, jurist, tfn 050 571 0018

Riitta Myllymäki, ledande jurist, tfn 050 349 5460

Tuula Seppo, sakkunnig, tfn 050 428 8255 

Ida Sulin, ledande jurist, tfn 050 563 3023 

Utnämning av dataskyddsombud

Enligt den allmänna dataskyddsförordningen ska vissa personuppgiftsansvariga och personuppgiftsbiträden utnämna ett dataskyddsombud. Skyldigheten gäller alla myndigheter och offentliga organ. Det innebär att varje kommun och samkommun ska utnämna ett dataskyddsombud.

Skyldigheten att utnämna ett dataskyddsombud gäller i princip inte kommunens dottersammanslutningar, eftersom de inte är myndigheter såsom kommunen. Utöver aktörer inom den offentliga sektorn gäller skyldigheten att utnämna dataskyddsombud också andra aktörer. Det är fråga om aktörer vars kärnverksamhet består av sådan behandling av personuppgifter som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller vars kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter eller personuppgifter som rör fällande domar i brottmål och överträdelser. Om någon av dessa förutsättningar gäller kommunens dottersammanslutning är den enligt förordningen skyldig att utnämna ett dataskyddsombud.

Trots att dataskyddsförordningen inte uttryckligen kräver att ett dataskyddsombud utnämns, kan det ändå vara ändamålsenligt för organisationerna att frivilligt utnämna ett ombud. Om organisationen utnämner ett dataskyddsombud frivilligt tillämpas dataskyddsförordningens bestämmelser om utnämningen och om ombudets ställning och uppgifter på samma sätt som i en situation där utnämningen är obligatorisk.

Dataskyddsförordningen ger möjlighet till olika alternativ i utnämningen av dataskyddsombud. Dataskyddsombudet kan vara gemensamt för hela kommunkoncernen. Flera kommuner kan också utnämna ett gemensamt dataskyddsombud med beaktande av kommunernas organisationsstruktur och storlek. Den som är dataskyddsombud kan vara anställd inom organisationen eller sköta uppgifterna på grundval av ett tjänsteavtal. Varje verksamhetsställe ska dock lätt kunna kontakta dataskyddsombudet. Om ett dataskyddsombud verkar inom flera organisationer gäller det att se till att ombudet har faktiska möjligheter att sköta uppgiften inom alla organisationer. Kommunen kan också ha flera dataskyddsombud.

Dataskyddsombudet ska utnämnas på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis som gäller dataskydd. Det är en fördel om personen är insatt i organisationens administrativa regler och förfaranden. Förordningen ställer dock inga krav på dataskyddsombudets yrkesmässiga kvalifikationer.

Den personuppgiftsansvarige ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till dataombudsmannens byrå. Ombudets kontaktuppgifter (postadress, telefonnummer och/eller e-postadress) bör offentliggöras så att de registrerade och dataombudsmannens byrå lätt kan nå dataskyddsombudet. Vid behov kan också andra kommunikationskanaler användas för kommunikation med allmänheten. Det lönar sig att sprida dataskyddsombudets kontaktuppgifter också inom organisationen.

Dataskyddsombud inom social- och hälsovården

Inom social- och hälsovården har det funnits bestämmelser om dataskyddsansvariga (= dataskyddsombud) på lagnivå sedan år 2007. Lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007) och lagen om elektroniska recept (61/2017) förutsätter att varje aktör som tillhandahåller social- och hälsovårdstjänster samt apoteken och FPA utnämner ett dataskyddsombud. Den nationella lagstiftningen anger inte uttryckligen vilken utbildning eller yrkesbeteckning ett dataskyddsombud inom social- och hälsovården ska ha.

De ovan nämnda aktörerna ska också i fortsättningen ha egna dataskyddsombud. Också dataskyddsombuden inom social- och hälsovården omfattas av förordningens bestämmelser om dataskyddsombud.

Uppgifter

I enlighet med artikel 39.1 i förordningen ska dataskyddsombudet ge den registeransvarige och anställda som behandlar personuppgifter råd i dataskyddsfrågor. Dataskyddsombudet ska se till att förordningen iakttas och att det informeras och ges utbildning om dataskydd inom organisationen. Ombudet ska ge råd i samband med konsekvensbedömningarna och fungera som kontaktpunkt för tillsynsmyndigheten.

I artikel 39.1 finns det en förteckning över de uppgifter som dataskyddsombudet åtminstone ska ha. Den personuppgiftsansvarige kan ge dataskyddsombudet också andra uppgifter i anknytning till organisationens dataskyddsarbete, till exempel att föra ett register över all behandling av personuppgifter.

Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling av personuppgifter, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Dataskyddsombudets arbetsuppgifter ska anges i arbetsavtalet eller i tjänsteförordnandet, om det är fråga om en tjänst. Dessutom ska dataskyddsombudet beroende på anställningens art iaktta antingen de skyldigheter som föreskrivs för arbetstagare i arbetsavtalslagen eller för tjänsteinnehavare i lagen om kommunala tjänsteinnehavare.

Ställning

Dataskyddsombudet har en oberoende ställning och får inte ta emot instruktioner som gäller utförandet av uppgifterna enligt förordningen. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. Dataskyddsombudet har tystnadsplikt i sitt arbete i enlighet med EU-lagstiftningen eller den nationella lagstiftningen.

Dataskyddsombudet ska på ett adekvat sätt och i tillräckligt god tid involveras i behandlingen och utvecklingen av alla frågor som gäller skyddet av personuppgifter, till exempel när informationssystem planeras eller utvecklas. Enligt förordningen ska ombudet ges tillräckliga resurser samt tillgång till personuppgifter och behandlingsförfaranden. Ombudet behöver också få tillräcklig inskolning och utbildning för att upprätthålla sin sakkunskap.

Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter som dataskyddsombud. Sanktioner kan vara till exempel att dataskyddsombudet ges en varning eller går miste om en befordran eller att befordran fördröjs. Det kan också vara fråga om att ombudet hindras i sin karriärsutveckling eller går miste om förmåner som andra anställda får. Sanktionerna behöver inte realiseras. Det räcker med hot om sanktioner, förutsatt att de används som straff för att dataskyddsombudet utfört sina uppgifter.

Dataskyddsombudet kan avsättas om ledningen fattar ett sådant beslut i vanlig ordning, på de villkor som gäller alla andra anställda och uppdragstagare enligt lagstiftningen om anställningsförhållanden eller avtals- eller strafflagstiftningen.

Skötsel av andra arbetsuppgifter samt intressekonflikter

Dataskyddsombudet får vid sidan av sina dataskyddsuppgifter utföra också andra uppgifter och uppdrag, bara de inte leder till en intressekonflikt. Det betyder framför allt att dataskyddsombudet inte kan ha en sådan ställning i organisationen att ombudet ska fastställa ändamålen med och metoderna för behandlingen av personuppgifter. Eftersom varje organisation har en egen organisationsstruktur måste intressekonflikter granskas från fall till fall.

Allmänt taget kan man anse att till exempel ledande poster (t.ex. kommundirektör, förvaltningsdirektör, ekonomidirektör, ledande sakkunnigläkare, personaldirektör eller direktör för datateknisk avdelning) kan ge upphov till intressekonflikter i organisationen, men det samma gäller också uppgifter på lägre nivå i organisationsstrukturen, om det i uppgifterna ingår att fastställa ändamålen med och metoderna för behandlingen av uppgifter.

Ansvar

Dataskyddsombudet ansvarar inte personligen för att den allmänna dataskyddsförordningen inte iakttagits. Det är alltid den personuppgiftsansvarige och/eller personuppgiftsbiträdet som ansvarar för att bestämmelserna om dataskydd iakttas.

Om den personuppgiftsansvarige eller personuppgiftsbiträdet fattar beslut som inte är förenliga med den allmänna dataskyddsförordningen och dataskyddsombudets råd, är det önskvärt att dataskyddsombudet ges möjlighet att framföra sin avvikande åsikt till högsta ledningen och beslutsfattarna. Vid eventuella meningsskiljaktigheter lönar det sig att dokumentera orsakerna till att dataskyddsombudets råd inte följs.

Dataskyddsförordningen tar inte ställning till om en myndighets dataskyddsombud ska stå i tjänste- eller arbetsavtalsförhållande. En tidsbegränsad anställning ska enligt både arbetsavtalslagen och lagen om kommunala tjänsteinnehavare ha en grund som beror på arbetets art (t.ex. vikariat, skötsel av en vakant tjänst eller säsongsbetonat arbete). Eftersom dataskyddsombudets arbete är bestående till sin natur kan bara en tillsvidare gällande anställning komma i fråga.

I 12 kap. 1 § 3 mom. i arbetsavtalslagen sägs att en arbetstagare som uppsåtligen eller av oaktsamhet i sitt arbete orsakar arbetsgivaren skada ska ersätta skadan i enlighet med de grunder som anges i 4 kap. 1 § skadeståndslagen. Arbetstagarens skadeståndsskyldighet kan inte utvidgas genom arbets- eller kollektivavtal.

Bestämmelser om skadeståndsskyldigheten för tjänsteinnehavare finns i skadeståndslagen. Enligt 4 kap. 2 § i skadeståndslagen är en tjänsteman enligt de grunder som nämns i 4 kap. 1 § ansvarig för den skada som tjänstemannen i sin tjänst vållar genom fel eller försummelse.

WP29-gruppens anvisningar om dataskyddsombud (på finska):

https://tietosuoja.fi/euroopan-tietosuojaneuvoston-ohjeet

Dataombudsmannens sidor:

https://tietosuoja.fi/sv/

EU:s allmänna dataskyddsförordning:

https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=celex%3A32016R0679

Kommunförbundets webbsidor om dataskyddsförordningen:

https://www.kommunforbundet.fi/sakkunnigtjanster/juridik/offentlighet-och-dataskydd/dataskyddsforordning

FINLANDS KOMMUNFÖRBUND

Hanna Tainio                                                 

vice verkställande direktör                                            

Saija Haapalehto

jurist

Kommunförbundets sakkunniga som kan ge mer information

Läs mer om dessa teman