Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat den biträdande dataombudsmannens beslut, i vilket biträdande ombudsmannen beordrat Högsta domstolen att ytterligare bedöma allvaret och sannolikheten i det riskscenario som presenterats, efter Högsta domstolens behandling av den klagandes personnummer för faktureringsändamål.
Av beslutet framgår att den klagande begärt en kopia av handlingar från Högsta domstolen i ett brottmål enligt lagen om offentlighet i myndigheternas verksamhet (621/1999). I samband med att handlingarna skickades till den klagande begärde Högsta domstolen den klagandes personnummer och hemadress för faktureringsändamål.
Mot denna bakgrund önskade den klagande en utredning huruvida Högsta domstolen agerat i strid med dataskyddsförordningen (GDPR) när domstolen behandlade personnumret för fakturering. Den klagande önskade dessutom en utredning om Högsta domstolens tillvägagångssätt, att begära information på grundval av allmänhetens tillgång, är förenlig med dataskyddsförordningen och de nationella reglerna.
Efter en genomgång av ärendet konstaterade den biträdande ombudsmannen att Högsta domstolen haft en rättslig grund för att behandla personnumret enligt 29 § i dataskyddslagen (1050/2018). Dessutom konstaterade biträdande ombudsmannen att behandlingen av personuppgifterna i detta fall kan anses vara legitim på grundval av artikel 6.1 (c) GDPR, dvs. att behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse.
Den biträdande ombudsmannen beordrade dock Högsta domstolen att senast den 15 september 2022 bedöma allvaret och sannolikheten i det riskscenario som presenterats, till exempel genom att överväga om uppgifterna i faktureringssystemet kan användas för att identifiera de personer som begär en viss handling, vilket skulle kunna öka sannolikheten för att risken förverkligas, och, om risken anses vara hög, vidta åtgärder för att minska eller eliminera denna risk.