Att Datainspektionen på Åland bara har en anställd utgör en utmaning för att verksamheten ska uppfylla kraven i GDPR-lagstiftningen.
Det säger Finlands dataombudsman Anu Talus, som sedan tidigare är medveten om Lena Nordmans uppfattning om att myndigheten saknar tillräckliga förutsättningar.
– Enligt dataskyddslagen ska beslut fattas av myndighetschefen efter föredragning, det vill säga att någon annan tjänsteman har sammanställt ett ärende som jag i mitt fall sedan tar beslut om. Det effektiviserar mitt jobb och det säkerställer att åtminstone två personers åsikter finns representerade. Endast i enstaka fall ska man enligt lagen själv kunna besluta utan föredragning, säger hon.
Riskerar rättsprocess
Anu Talus säger att ansvaret för frågor där en myndighet inte kan uppfylla sitt lagstadgade uppdrag är delat.
– I första hand ligger det på myndighetschefen att anstränga sig för att göra verksamheten så effektiv och funktionell som möjligt, till exempel vad gäller ärendehantering. Det är något vi på vår byrå också gör. Men det finns gränser, och om det helt enkelt inte går, om resurserna för att klara den grundläggande verksamheten inte finns, då ligger ansvaret på den institution som tar beslut om de resurserna.
I dataskyddsförordningen står att en myndighet måste få tillräckligt med resurser för att fullfölja sitt uppdrag.
– Om de lagstadgade kraven inte uppfylls har EU-kommissionen hypotetiskt möjlighet att inleda en rättsprocess, som i vissa fall kan leda till finansiella konsekvenser. Men jag kan inte svara på hur hög deras tröskel för att inleda en sådan process är, säger Anu Talus.
Reella problem
Dataskyddsförordningen finns för att skydda EU-medborgares personliga information. Riskerna kan kännas abstrakta, men Anu Talus säger att osäker behandling av personuppgifter kan leda till stora reella problem för privatpersoner.
– Vi lever nu i ett databaserat samhälle, och huvudmålen med GDPR-lagstiftningen är att behandlingen av den informationen ska skötas på ett ansvarsfullt och tillräkneligt sätt. Om vi inte klarar av att göra det finns risk för många olika problem. Information som kommer fram via dataintrång kan användas på illvilliga sätt för att hitta ytterligare information i olika dataset, och det är precis det dataskyddsförordningen finns för att förhindra.
Det finska Cybersäkerhetscentret definierar ett dataintrång som olovlig intrång i eller användning av ett datasystem, en tjänst, en enhet eller en applikation. En datamiljö som någon gjort intrång i kan användas för att sprida skadligt material, och dess funktion kan lamslås med utpressningsprogram. Angriparen kan använda sig av miljön till överbelastningsangrepp eller sälja tillgång till andra.
Motivationen är ofta att tillskansa sig ekonomiska fördelar, och för både privatpersoner och organisationer kan dataintrång medföra både ekonomiska förluster och förluster av anseende, enligt Cybersäkerhetscentret.
