Datainspektionen på Åland, DI, fungerar inte, och anledningen är att arbetsbördan är oöverkomlig för en enpersonsmyndighet. Upprepade försök att äska om pengar för att anställa ny personal har fått avslag, och myndighetschef Lena Nordman säger att hennes försök att övertyga politiker om situationens allvar har misslyckats.
Resultatet blir att Åland bryter mot EU:s dataskyddslag GDPR – General Data Protection Regulation – på svenska känd som dataskyddsförordningen.
– Jag beklagar det. Det är förfärligt. Om en myndighet har en viktig roll och arbetsuppgifter ska den också ha verksamhetsförutsättningar, och vi har ett stort och viktigt jobb både med att skydda individers information och att trygga samhällets informationssystem. Men jag har kämpat med det här i två år nu, och det är som att ingen hör när jag påpekar det, säger hon.
Måste avstå granskningar
Lena Nordman ger exempel på två tillfällen när hon behövt neka till förfrågningar. Myndigheten skulle ha granskat både information för ett rättsfall och ÅHS tilltänkta nya informationshanteringssystem.
– Ett tilltänkt registersystem för kommunerna kom in som ett sista minuten-jobb och ställde tidtabellen på ända.
Hon säger att tidsramarna varit för snäva och att den stora mängden dagligt kontorsarbete som borde skötas av en kanslihandläggare gör det omöjligt att ägna sig åt granskningar. Också saker som att informera om beslut från dataombudsmannen i Finland eller om skrivelser från den europeiska dataskyddsstyrelsen, EDPB, faller ofta bort.
– I ett fall där landskapsåklagaren bad mig om ett ställningstagande i ett aktuellt rättsärende fick jag beskedet från dataombudsmannen att arbetet föll under Ålands behörighet. En granskning av den omfattningen hon rekommenderade hade tagit någon kanske två månaders heltidsjobb. Men i mina uppgifter ingår i dagsläget också att vara den som för in ärenden och beslut, att bereda och planera granskningar och att leda och utveckla myndigheten, samt att vara den som sköter om hemsidan, säger hon.
Hon säger att myndigheten håller på med flera större och mer långvariga projekt.
– Men samtidigt är den här verksamheten i grund och botten reaktiv, det vill säga att om det händer något ska vi på kort varsel kunna byta fokus till att granska det, eller släcka bränder. Och det har uppstått en hel del sådana bränder under de senaste två åren, säger hon.
Åland svagaste länken
Vid ett möte för nordiska dataskyddsmyndigheter i oktober framgick att alla de nationella myndigheterna har åtminstone fördubblat sin personalstyrka sedan GDPR instiftades 2018, på grund av att den nya lagstiftningen medfört ökade behov.
I och med den nya lagen blev dataskyddsmyndigheterna tillsynsmyndigheter med maktbefogenheter, efter att tidigare bara ha haft en rådgivande roll.
Även Färöarna, som inte är en del av EU och således inte lyder under GDPR, fördubblade sin personal mellan 2019 och 2022 för att säkerställa att ögruppens rättsskydd skulle vara likvärdigt med de övriga nordiska länderna.
Åland är det enda undantaget. DI har varit en enpersonsmyndighet sedan den grundades 2007, och har periodvis varit utan myndighetschef eller skötts av konsumentrådgivaren en dag i veckan, vid sidan av dennes ordinära arbetsuppgifter.
– Det pratas mycket om att vi ska satsa på digitalisering. Men det är som att man från politiskt håll fortfarande vill att Datainspektionen ska vara en rådgivande myndighet som man kan men inte måste lyssna på. Att man inte tycker om att myndigheterna nu också ska granskas. När vi alla är sammanlänkade i globala informationssystem går det inte längre att flyga under radarn och göra på vårt eget sätt, och det är en bra sak. Om vi är den svagaste länken i en kedja och det uppstår ett problem kan vi inte begränsa skadorna till Åland, utan då påverkas Finland och Sverige också. Jag undrar om vi faktiskt vill det, säger Lena Nordman.
Viktigt arbete försummas
Lena Nordman kritiserar att ett så viktigt arbete förväntas utföras av en enskild person.
– Det finns ingen statsförvaltningsrättslig förankring för enpersonsmyndigheter. Man ska få verksamhetsförutsättningar, men det har vi inte, och jag har fått höra att mina äskanden inte går igenom för att dataskydd och informationssäkerhet inte prioriteras, säger hon.
– Det är tydligt också för att myndigheten inte har fått nödvändiga resurser i takt med uppdragets utveckling. Inte ens när landskapet sagt det i sina lagförslag. Man har lagt mera börda på Datainspektionen utan att ge de resurser man själv konstaterat att måste till för att uppdraget ska kunna fullföras.
DI är även i lag skyldig att tillhandahålla sina beslut till den som frågar.
– De beslut som är av en sådan dignitet att de skulle publiceras på Finlex ska också vi publicera på vår hemsida. Min ambition är att allt som är av allmänt intresse ska finnas på hemsidan. Det ligger mig nära om hjärtat, men för att kunna lämna ut dokument och beslut behöver de gås igenom så att privat information kan censureras innan de offentliggörs. Och någon ska sköta hemsidan. Ofta när det kommer skrivelser eller beslut från Finland är de på finska, och då behöver de översättas.
Hon beskriver situationen, där ett arbete Åland är lagstadgat att utföra inte kan utföras för att förutsättningarna inte ges från politiskt håll, som absurd.
– Ett stort och viktigt arbete försummas för att jag som myndighetschef blir tvungen att jobba som någon sorts överbetald kanslist, säger hon.
