Vem gör vad i dataskyddsarbetet?
För att få dataskyddsarbetet att fungera på ett bra sätt finns alla roller och uppgifter i lagstiftningen.
Personuppgiftsansvarig
Myndigheter, sjukhus, skolor, barnomsorgen, byggnadsnämnder och så vidare är personuppgiftsansvariga. Det är också landskapsregeringens allmänna förvaltning, landskapsrevisorerna och lagtingets kansli. De ansvarar för sin behandling av enskilda människors personuppgifter. De ska kunna dokumentera och visa att de uppfyller alla skyldigheter i dataskyddslagstiftningen.
Dataskyddsombud
De personuppgiftsansvariga har egna dataskyddsombud. Dataskyddsombuden hjälper och vägleder de personuppgiftsansvariga i enskilda frågor, till exempel om logguppgifter ska lämnas ut eller när ett nytt planerat system behöver konsekvensbedömas från de registrerades (enskilda människors) synpunkt. Det är den personuppgiftsansvarige som ska rådfråga sitt dataskyddsombud. Dataskyddsombudet svarar på enskildas frågor och besvarar deras krav på rättelser och information. Dataskyddsombuden har en viktig roll som kontaktpunkt mellan enskilda människor och organisationen.
Dataskyddsombuden är också Datainspektionens kontaktpunkt, så att Datainspektionen kan sköta sitt arbete smidigt och effektivt.
Datainspektionen
Datainspektionens roll är att övervaka att den mänskliga rättigheten dataskydd förverkligas hos de personuppgiftsansvariga. De personuppgiftsansvariga är Datainspektionens tillsynsobjekt. Tillsynsobjekten och dataskyddsombuden är skyldiga att samarbeta med Datainspektionen. Vem som gör vad hos tillsynsobjekten är en intern fråga och ingenting Datainspektionen befattar sig med. Datainspektionen skickar uppmaningar och begäranden till mottagarens officiella adress och till organisationens dataskyddsombud. Om organisationen har en styrelse är den högst ansvarig för dataskyddet i organisationen. Den kan och ska vidarebefordra uppmaningen till rätt mottagare internt för utredning. Styrelsen önskar förstås att utredningen ges till den också som högst ansvarig för dataskyddet i organisationen.
Tillsyn och verkställighet är arbete som kräver strikt objektivitet och neutralitet. Datainspektionen jobbar noggrant så, att tillsynsmyndigheten inte blir jävig att behandla ett klagomål som lämnas in senare. Det är fastställt i dataskyddsförordningen att Datainspektionen inte får ges och inte får ta emot instruktioner och inte utsättas för direkt eller indirekt påverkan.
Tillsyn och verkställighet
Datainspektionen har två huvudgrupper i sitt arbete: 1) tillsyn och verkställighet och 2) policy och vägledning. De här grupperna blandas inte ihop. De hålls åtskilt eftersom Datainspektionen inte har fått personella resurser att ägna sig åt förebyggande tillsyn enligt en egen granskningsplan. Arbetet med tillsyn och verkställighet är därför reaktivt. När en person lämnar in ett klagomål, eller det finns någon annan anledning att inleda tillsyn, till exempel för att ett nytt system med patientdata ska införas, begär Datainspektionen in utredning.
Vägledning
Vägledning ger Datainspektionen till lagtinget när lagtinget behandlar lagförslag, i landskapsregeringens arbetsgrupper och på sin webbsida till myndigheter och enskilda. Vägledning ges till alla enskilda människor som behöver råd om sina rättigheter, om hur de ska yrka på att deras rättigheter tillgodoses och om skadeståndsanspråk. När en myndighet, till exempel en kommun, på eget initiativ kontaktar Datainspektionen och ber om vägledning i en bred fråga (till exempel kameraövervakning), så ger Datainspektionen också vägledning. Datainspektionens reaktiva verksamhet (tillsyn och verkställighet) går dock före gruppen policy och vägledning utom vad gäller rådgivningen till enskilda.
Tillsyn enligt granskningsplan
Datainspektionen väntar ännu på tillräckliga resurser för att kunna utföra tillsyn enligt en granskningsplan, till exempel besöka kommuner och syna deras behandling av personuppgifter och föra dialog. Dataskyddet är en demokratifråga, så det borde finnas resurser för det. Vi på Datainspektionen tror att alla skulle vinna på det.
Korrigerande påföljder
EU-domstolen reglerade i september 2024 hur långt Datainspektionen har prövningsrätt om korrigerande påföljder. Svaret är i princip att korrigerande påföljder ska dömas ut. Det finns noggrant avgränsade fall där Datainspektionen inte behöver göra det. Datainspektionens policy är att uppmuntra myndigheter att lämna in anmälningar om personuppgiftsincidenter. Om myndigheten har lämnat in en anmälan, och det inte är fråga om uppsåt eller grovt slarv, utan om mänskliga misstag, brukar Datainspektionen ge råd och vägledning. Är incidenten omfattande eller om det saknas rättslig grund för behandlingen, så följer korrigerande åtgärder. Det här är tumregler som håller sig inom den prövningsrätt som Datainspektionen har. Datainspektionen prövar varje enskilt fall skilt för sig.
Datainspektionens korrigerande befogenheter finns inskrivna i artikel 58.2 i dataskyddsförordningen. De finns också i Datainspektionens brevmall när Datainspektionen begär in utredning.