Gemensamt personuppgiftsansvar i domstolarnas informationssystem

Domstolsverkets lagstadgade uppgift är att förvalta och utveckla domstolarnas informationssystem (19 a kap. 2 § 2 mom. i domstolslagen (673/2016)). Sådana informationssystem är till exempel AIPA-informationssystemet som används av de allmänna domstolarna samt förvaltnings- och specialdomstolarnas HAIPA-informationssystem.

Domstolarna behandlar personuppgifter i sina informationssystem för att utföra rättskipningsuppgifter, såsom behandling av brottmål i domstol (den s.k. dataskyddslagen avseende brottmål (1054/2018) 1 § 1 mom.), behandling av tvistemål och ansökningsärenden samt behandling av förvaltningsrättskipningsärenden och förvaltningstvistemål och besvärsärenden (bl.a. artikel 6.1c i den allmänna dataskyddsförordningen (679/2016)). Till domstolarnas behandlingshelhet hänför sig också annan behandling av personuppgifter som allmänt gäller myndighetsverksamhet och administrativ verksamhet (bl.a. uppföljning av hur snabbt ett ärende behandlas, behandling i anslutning till verkställandet av begäranden om information och behandling i anslutning till utövandet av den registrerades rättigheter).

Domstolsverket har inte direkt tillgång till personuppgifter i domstolarnas informationssystem, men till exempel vid personuppgiftsincidenter kan det vara nödvändigt att behandla också personuppgifter som finns i domstolarnas informationssystem eller personuppgifter om användarna av informationssystemet. I fråga om behandlingen av personuppgifter säkerställs det alltid att det finns en lagstadgad grund för behandlingen av dem.

Ansvarsområden inom dataskyddet

Domstolsverket och domstolarna har i samarbete fastställt ansvarsområdena i samband med dataskyddsförpliktelserna i fråga om domstolarnas informationssystem. Domstolsverkets ansvar fokuserar på att beakta dataskyddet vid utvecklingen och genomförandet av informationssystemet, medan domstolarnas dataskyddsansvar fokuserar på tillgodoseendet av de registrerades dataskyddsrättigheter i fråga om de personuppgifter som förs in i informationssystemet samt på att utbilda och ge användarna av informationssystemen anvisningar om behandlingen enligt dataskyddsbestämmelserna.

Domstolsverkets och domstolarnas ansvar i anslutning till dataskyddsförpliktelserna i fråga om domstolarnas informationssystem

Domstolsverket svarar bland annat för att det inbyggda dataskyddet och dataskyddet som standard samt dataskyddsprinciperna genomförs effektivt i domstolarnas informationssystem. Domstolsverket gör också konsekvensbedömningar av dataskyddet i samband med planerings- och utvecklingsarbetet samt svarar vid behov för förhandssamrådet med tillsynsmyndigheten. Domstolsverket ingår avtal med dem som är personuppgiftsbiträden i informationssystemet (såsom Rättsregistercentralen), bedömer förutsättningarna för eventuella överföringar till tredjeländer och säkerställer att de gränssnitt som öppnas i informationssystemen motsvarar informationssystemets arkitektur.

Domstolarna fungerar i sin tur som kontaktpunkt för de registrerade i fråga om de rättigheter som hänför sig till dataskyddet och svarar för den registrerades

• rätt att få information om behandlingen av personuppgifter
• rätt att kontrollera uppgifter om sig själv
• rätt att rätta uppgifter om sig själv
• rätt att kräva att uppgifter raderas
• rätt att kräva att behandlingen av uppgifterna begränsas

Närmare information om domstolarnas behandling av personuppgifter finns på domstolarnas egna webbplatser . I praktiken kan största delen av den registrerades rättigheter tillgodoses av domstolen, eftersom endast domstolen har tillgång till uppgifter om den registrerade i dess informationssystem.

Den registrerade har dock rätt att utöva sina dataskyddsrättigheter på samma sätt i förhållande till de båda personuppgiftsansvariga. Vid behov organiserar de personuppgiftsansvariga i samarbete att dataskyddsrättigheterna tillgodoses på det sätt som dataskyddsregleringen förutsätter.

Domstolarna ansvarar för att instruera och utbilda användarna av informationssystemen i behandlingen i enlighet med dataskyddsbestämmelserna. Domstolarna kompletterar också de konsekvensbedömningar som gjorts av informationssystemen, om organisationsspecifika verksamhetssätt förutsätter det.

Båda de gemensamt personuppgiftsansvariga ansvarar för

• att informationen om fördelningen av ansvaret för dataskyddet är transparent
• att behandlingen ger upphov till dokumentation i enlighet med ansvarsskyldigheten i fråga om deras egna ansvar samt
• kontakter med tillsynsmyndigheterna

Vem behandlar personuppgifter som finns i domstolarnas informationssystem?

Rättsregistercentralen har i fråga om de informationssystemtjänster som hänför sig till domstolarnas informationssystem en roll som personuppgiftsbiträde för domstolarnas och Domstolsverkets räkning. Rättsregistercentralen har till uppgift att sörja för förvaltningen och utvecklandet av informationssystemen inom justitieministeriets förvaltningsområde i samarbete med ämbetsverken inom förvaltningsområdet på det sätt som överenskommits i tjänsteavtalen (1 § 1 mom. punkt 4 i lagen om Rättsregistercentralen (625/2012)). Domstolsverket ingår årligen ett nytt tjänsteavtal med Rättsregistercentralen och i detta avtal beaktas också de behandlingsvillkor som dataskyddsbestämmelserna förutsätter samt den personuppgiftsansvariges anvisningar till personuppgiftsbiträdet.

Rättsregistercentralen producerar de behövliga tjänsterna själv eller skaffar dem av andra tjänsteproducenter. Beroende på domstolens informationssystem i fråga kan det utöver Rättsregistercentralen finnas olika aktörer som producerar tjänster och är underpersonuppgiftsbiträden tjänster och de kan specificeras närmare per informationssystem. Mer information om personuppgiftsbiträdena får du av Domstolsverkets dataskyddsombud.