Lagförslag 14/2017-2018
|
|
| ||
|
| LAGFÖRSLAG nr 14/2017–2018 | ||
|
| Datum |
| |
|
| 2018-03-08 |
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| Till Ålands lagting |
| |
|
| |||
|
| |||
|
| |||
|
| |||
Dataskydd inom landskaps- och kommunalförvaltningen
Huvudsakligt innehåll
Inom Europeiska unionen fattades i april 2016 beslut om en dataskyddsreform. Dataskyddsförordningen innehåller allmänna regler om behandlingen av personuppgifter och förordningen ska också tillämpas på Åland från och med den 25 maj 2018. Dataskyddsförordningen är till största delen direkt tillämplig och bestämmelserna ska tillämpas som sådana på Åland. Till andra delar förutsätter eller möjliggör dataskyddsförordningen att det antas kompletterande landskapslagstiftning.
Enligt lagförslaget ska det allmänna skyddet av personuppgifter inom landskaps- och kommunalförvaltningen basera sig på dataskyddsförordningen och en landskapslag som kompletterar förordningens bestämmelser. Tillsynen över behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen ska fortsättningsvis skötas av Datainspektionen. Landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och landskapslagen om Datainspektionen ska upphävas. I lagförslaget föreslår landskapsregeringen också att vissa bestämmelser om skyddet av personuppgifter som ingår i enskilda landskapslagar ändras.
Eftersom de flesta av dataskyddsförordningens bestämmelser är direkt tillämpliga ska dessa bestämmelser tillämpas på Åland som sådana från och med den 25 maj 2018. Därför bör den föreslagna allmänna landskapslagen, som ska komplettera tillämpningen av dataskyddsförordningen inom landskaps- och kommunalförvaltningen, och annan föreslagen landskapslagstiftning om dataskydd också träda i kraft den 25 maj 2018. För det fall att detta inte är möjligt föreslår landskapsregeringen att landskapslagstiftningen träder i kraft så snart som möjligt.
Landskapsregeringen kommer senare under 2018 att överlämna till Ålands lagting ett lagförslag innehållande förslag till blankettlag som skulle göra rikets lagstiftning om skydd av personuppgifter gällande till den del landskapets behörighet utsträcks till behandling av personuppgifter som sker inom den privata sektorn och Ålands polismyndighet.
INNEHÅLL
2.4 Lagstiftning i Finland och Sverige
3.3 Dataskyddsreformen i Finland och Sverige
4.1 Behörighetsfördelningen och skyddet av personuppgifter
4.2 Grundlagen och skyddet av personuppgifter
4.3 Internationella förpliktelser och EU:s behörighet
5. Landskapsregeringens överväganden
5.2 En ändamålsenlig lagstiftningsmodell för dataskyddet på Åland
5.4 Utnyttjandet av handlingsutrymmet i dataskyddsförordningen
5.5 Dataskyddet och allmänna handlingars offentlighet
6. Landskapsregeringens förslag
7.2. Konsekvenser för enskilda
7.3. Konsekvenser för myndigheterna
7.4. Konsekvenser för tillsynsmyndigheten
7.5. Konsekvenser om den föreslagna lagstiftningen inte träder i kraft den 25 maj 2018
1. Landskapslag om dataskydd inom landskaps- och kommunalförvaltningen
2. Landskapslag om ändring av landskapslagen om allmänna handlingars offentlighet
3. Landskapslag om ändring av arkivlagen för landskapet Åland
4. Landskapslagen om ändring av statistiklagen för landskapet Åland
5. Landskapslag om ändring av 23a § landskapslagen om besiktning och registrering av fordon
6. Landskapslag om ändring av 34 och 67 §§ landskapslagen om gymnasieutbildning
7. Landskapslag om ändring av 19 § landskapslagen om energideklaration för byggnader
8. Landskapslag om ändring av 20 § landskapslagen om Ålands ombudsmannamyndighet
9. Landskapslag om ändring av 37 § förvaltningslagen för landskapet Åland
10. Landskapslag om ändring av 20 § landskapslagen om produktion av genetiskt modifierade växter
12. Landskapslag om ändring av 4 och 32 §§ landskapslagen om radio- och televisionsverksamhet
13. Landskapslag om ändring av 20 § landskapslagen om erkännande av yrkeskvalifikationer
14. Landskapslag om ändring av 14 § landskapslagen om finansiering av landsbygdsnäringar
15. Landskapslag om ändring av 5h § landskapslagen om lotterier
16. Landskapslag om ändring av 58 § körkortslagen för Åland
17. Landskapslag om ändring av 17 § landskapslagen om vattenfarkoster
L A N D S K A P S L A G om dataskydd inom landskaps- och kommunalförvaltningen
L A N D S K A P S L A G om ändring av landskapslagen om allmänna handlingars offentlighet
L A N D S K A P S L A G om ändring av arkivlagen för landskapet Åland
L A N D S K A P S L A G om ändring av statistiklagen för landskapet Åland
L A N D S K A P S L A G om ändring av 23a § landskapslagen om besiktning och registrering av fordon
L A N D S K A P S L A G om ändring av 34 och 67 §§ landskapslagen om gymnasieutbildning
L A N D S K A P S L A G om ändring av 19 § landskapslagen om energideklaration för byggnader
L A N D S K A P S L A G om ändring av 20 § landskapslagen om Ålands ombudsmannamyndighet
L A N D S K A P S L A G om ändring av 37 § förvaltningslagen för landskapet Åland
L A N D S K A P S L A G om ändring av 4 och 32 §§ landskapslagen om radio- och televisionsverksamhet
L A N D S K A P S L A G om ändring av 20 § landskapslagen om erkännande av yrkeskvalifikationer
L A N D S K A P S L A G om ändring av 14 § landskapslagen om finansiering av landsbygdsnäringar
L A N D S K A P S L A G om ändring av 5h § landskapslagen om lotterier
L A N D S K A P S L A G om ändring av 58 § körkortslagen för Åland
L A N D S K A P S L A G om ändring av 17 § landskapslagen om vattenfarkoster
Allmän motivering
1. Bakgrund och struktur
Bakgrunden till lagförslaget är dataskyddsreformen inom Europeiska unionen. Europeiska unionens råd antog på våren 2016 både Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, senare dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, senare 2016 års dataskyddsdirektiv.
Dataskyddsförordningen innehåller allmänna regler om behandlingen av personuppgifter medan 2016 års dataskyddsdirektiv innehåller regler för hur polisen och andra brottsbekämpande myndigheter ska behandla personuppgifter. Det huvudsakliga syftet med regelverket är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men många av förordningens bestämmelser förutsätter att det införs bestämmelser i medlemsstaternas lagstiftning. Andra bestämmelser är till sin natur sådana att de möjliggör en viss flexibilitet och tillåter undantag eller särreglering inom medlemsstaterna. Dataskyddsförordningen ska börja tillämpas inom unionen från och med den 25 maj 2018. Dataskyddsdirektivet ska genomföras i medlemsstaternas lagstiftning senast den 6 maj 2018.
I avsnitt 2.1 redogörs inledningsvis för gällande landskapslagstiftning om skyddet av personuppgifter, också benämnt dataskydd. Landskapets lagstiftningsbehörighet på detta område är inte enbart föremål för unionens lagstiftning utan det finns omfattande internationell reglering om skyddet av personuppgifter som bör beaktas. Avsnitt 2.2 innehåller en kort beskrivning av relevanta internationella konventioner och internationella normer om dataskydd. I avsnitt 2.3 beskrivs i korthet innehållet i den unionslagstiftning som gäller för tillfället och som huvudsakligen upphävs i maj 2018. Rikets lagstiftning om skyddet av personuppgifter är av stor betydelse för genomförandet av dataskyddsreformen på Åland, inte minst för att landskapet i dagsläget delvis har utnyttjat sin lagstiftningsbehörighet genom att anta lagstiftning om skyddet av personuppgifter som är av blankettnatur. Rikets och Sveriges gällande lagstiftning om skyddet av personuppgifter behandlas i avsnitt 2.4.
Avsnitt 3 innehåller en redogörelse för det huvudsakliga innehållet i dataskyddsförordningen. Dataskyddsförordningen består av en ingress med 173 skäl och 99 artiklar på 88 sidor. Fördelningen av lagstiftningsbehörigheten mellan landskapet och riket ger de rättsliga ramarna för hur dataskyddsreformen kan genomföras i landskapet. EU:s dataskyddsreform faller till övervägande delar inom landskapets behörighet. Även grundlagens bestämmelser om skyddet för privatliv och internationella förpliktelser om dataskydd är centrala vid beredningen av ny dataskyddslagstiftning. Dessa aspekter behandlas i avsnitt 4. Avsnitt 5 innehåller landskapsregeringens överväganden om hur dataskyddsreformen ska genomföras i landskapet. Dessa överväganden ligger till grund för landskapsregeringens förslag till lagstiftning som behandlas från och med avsnitt 6.
Landskapsregeringens ursprungliga avsikt var att samtliga lagstiftningsbehov som föranleds av EU:s dataskyddsreform samlas i ett enda lagförslag. Den övergripande lagstiftningsmodell som ligger till grund för hur dataskyddsreformen ska genomföras och beaktas i landskapslagstiftningen bygger på att blankettlagstiftning ska göra vissa rikslagar om skyddet av personuppgifter gällande på Åland, till den del landskapets behörighet omfattar behandling av personuppgifter inom Ålands polismyndighet och privat sektor. Beredningen av dessa rikslagar framskrider enligt varierande tidtabell i riket medan landskapsregeringens förslag till blankettlag måste omfatta samtliga relevanta rikslagar. Dataskyddsförordningen kommer att börja tillämpas redan från och med den 25 maj 2018, dvs. beredningen och ikraftträdandet av den landskapslagstiftning som ska komplettera dataskyddsförordningen måste fortskrida snabbare än beredningen av de rikslagar som föreslås bli gällande inom landskapets behörighet med stöd av blankettlag. Därför kommer landskapsregeringen att lämna ett lagförslag innehållande förslag till blankettlag till Ålands lagting först i ett senare skede. Det lagförslag som överlämnas nu inkluderar förslag till sådan landskapslagstiftning som ska komplettera dataskyddsförordningen och som inte är av blankettnatur.
2. Gällande lagstiftning
2.1 Lagstiftning i landskapet
2.1.1. Allmänt
Landskapet fick sin första lagstiftning om personregister för landskaps- och kommunalförvaltningen i början av 1990-talet. Då klargjordes också utgångspunkterna för hur lagstiftningsbehörigheten fördelas mellan landskapet och riket gällande skyddet av personuppgifter. I avsnitt 4 redogörs närmare för lagstiftningsbehörigheten inom detta område. På 1990-talet kom grundrättighetsreformen att inverka på hur skyddet av personuppgifter ska beaktas i lagstiftningen. Enligt 10 § i grundlagen ska närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.
Nuvarande landskapslagstiftning om skyddet av personuppgifter baserar sig i huvudsak på en större lagstiftningsreform som trädde i kraft år 2008. Bakgrunden till nuvarande landskapslagstiftning om personuppgifter är de förpliktelser som följer av inträdet i Europeiska unionen och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, senare 1995 års dataskyddsdirektiv.
Gällande lagstiftning på Åland om skyddet av personuppgifter är relativt komplex. Behörighetsfördelningen medför att både landskapets och rikets lagstiftning om skyddet av personuppgifter blir tillämplig på Åland. Inom landskapets behörighet har antagits en allmän landskapslag om skyddet av personuppgifter som till sitt innehåll avviker från rikets allmänna lag om personuppgifter. Däremot har landskapets behörighet gällande skyddet av personuppgifter inom den privata sektorn och vid Ålands polismyndighet utnyttjats så att en blankettlag har antagits.
2.1.2. Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
Landskapslagen (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen trädde i kraft den 1 mars 2008. Syftet med lagen är att säkerställa att människor skyddas mot att deras personuppgifter används på ett kränkande sätt genom en myndighets behandling av personuppgifter samt att främja en god informationshantering inom myndigheterna. Genom lagen genomfördes 1995 års dataskyddsdirektiv i förhållande till den behandling av personuppgifter som sker inom landskaps- och kommunalförvaltningen. Lagen följer till stor del text och struktur i 1995 års dataskyddsdirektiv. Om det i en annan lag finns bestämmelser som avviker från lagen ska de bestämmelserna gälla. Bestämmelser som gäller behandling av personuppgifter ingår också i andra lagar och dessa specialbestämmelser tillämpas då primärt i förhållande till lagen.
Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen tillämpas på sådan myndighetsbehandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter vid myndighet, om uppgifterna ingår i eller är avsedda att ingå i ett register med personuppgifter eller en del av ett sådant. Lagen omfattar landskapsmyndigheter och kommunala myndigheter samt andra till den del de sköter om uppgifter inom landskapsförvaltningen eller den kommunala självstyrelseförvaltningen. Således tillämpas lagen på andra då de sköter offentliga uppdrag, t.ex. jaktvårdsföreningarna. För Ålands polismyndighet finns särskilda bestämmelser. Landskapet har lagstiftningsbehörighet gällande skyddet för personuppgifter inom de rättsområden som hör till landskapets behörighet enligt 18 § i självstyrelselagen. Av detta följer att myndigheter som är föremål för landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ska följa rikets lagstiftning om personuppgifter till den del en myndighet behandlar personuppgifter som enligt självstyrelselagen hör till rikets lagstiftningsbehörighet.
De begrepp och definitioner som finns i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen grundar sig huvudsakligen på motsvarande definitioner i 1995 års dataskyddsdirektiv. Ett centralt begrepp i lagen är begreppet personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Med behandling av personuppgifter avses allt man gör med personuppgifter, vare sig det sker genom databehandling eller inte. Som exempel på behandling av personuppgifter kan nämnas insamling, registrering, lagring, bearbetning och utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter samt sammanställning och samkörning.
I 3 § i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen framgår grundläggande krav på behandlingen av personuppgifter, bl.a. får personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in och fler personuppgifter än nödvändigt får inte behandlas. Myndigheterna måste vidta alla rimliga åtgärder för att rätta, utplåna, blockera eller komplettera sådana personuppgifter som är felaktiga eller ofullständiga. Ett annat krav är att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt. Ur 4 § framgår villkor för behandling av personuppgifter. Lagen bygger i hög grad på samtycke av och information till den vars personuppgifter behandlas av en myndighet, dock räknas i lagen upp när personuppgifter kan behandlas utan registrerades samtycke. Känsliga personuppgifter har ett särskilt skydd enligt lagen.
Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen föreskriver om ett antal rättigheter riktade till de personer vars personuppgifter behandlas av en myndighet. Myndigheterna ska upprätta en registerbeskrivning över register med personuppgifter. En person har rätt att ansöka om ett registerutdrag hos den registeransvariga myndigheten. Myndighet som behandlar personuppgifter är skyldig att ge personen besked om dennes personuppgifter behandlas eller inte. Om personuppgifter behandlas ska skriftlig information utan onödigt dröjsmål lämnas om vilka personuppgifter som behandlas, varifrån uppgifterna är hämtade, ändamålen med behandlingen och till vilka mottagare uppgifterna lämnas ut. Genom rätten till information om personuppgifter har en person möjlighet att kontrollera om den är registrerad och om de registrerade uppgifterna är riktiga. En ansökan kan göras till den som hanterar personuppgifter och man har rätt att få informationen gratis en gång per år från den myndighet som hanterar personuppgifter. Lagen innehåller även regler om säkerhet och rättelse av felaktiga uppgifter. Alla myndigheter kan ha ett eller flera registerbiträden som självständigt kontrollerar att personuppgifter behandlas korrekt inom myndigheten.
2.1.3. Datainspektionen och landskapslagen om Datainspektionen
Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen och 1995 års dataskyddsdirektiv förutsätter att det ska finnas en tillsynsmyndighet. Enligt landskapslagen utövas den allmänna tillsynen över lagen och de bestämmelser som har utfärdats med stöd av den av Datainspektionen. Datainspektionen måste i vissa fall ge tillstånd före myndighet får behandla olika typer av personuppgifter. I vissa fall ska myndigheten enbart göra en anmälan till Datainspektionen innan personuppgifterna behandlas. Detta gäller särskilt behandling av personuppgifter som är helt eller delvis automatiserad och som genomförs i ett register. Till Datainspektionens befogenheter hör rätten att få tillgång till de personuppgifter som behandlas vid en myndighet samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Närmare bestämmelser om Datainspektionen finns i landskapslagen (2007:89) om Datainspektionen. Datainspektionen är en oberoende myndighet administrativt underställd landskapsregeringen. Datainspektionen leds av en myndighetschef som i dagsläget är den enda anställda vid myndigheten.
2.1.4. Landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister
För skyddet av personuppgifter inom den privata sektorn och Ålands polismyndighet har antagits landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter, senare blankettlagen. Valet av blankettlag för skyddet av personuppgifter inom den privata sektorn och polismyndigheten motiverades främst med att lagstiftningsbehörigheten inom dessa områden är delad mellan landskapet och riket. En blankettlag ansågs mer ändamålsenlig ur ett praktiskt perspektiv. Blankettlagen tillämpas inte på personregister som förs av övriga landskapsmyndigheter eller kommunala myndigheter på Åland eftersom sådan behandling är föremål för den ovan nämnda landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen.
Enligt blankettlagen ska personuppgiftslagen (FFS 523/1999) samt lagen om behandling av personuppgifter i polisens verksamhet (FFS 761/2003) äga tillämpning på Åland, om inte annat följer av blankettlagen eller särskilda bestämmelser. I blankettlagen finns bestämmelser om polismyndighetens rätt att få uppgifter ur vissa register i landskapet och om polismyndighetens rätt att lämna ut uppgifter till andra myndigheter. Tillsyn över tillämpningen av blankettlagen i fråga om angelägenheter som faller under landskapets behörighet utövas av landskapsregeringen.
2.1.5. Landskapslagen om polisens grundregister
Om Ålands polismyndighets grundregister föreskrivs i landskapslagen (1999:49) om polisens grundregister. Enligt lagen ska polismyndigheten med hjälp av automatiserad databehandling föra ett grundregister med uppgifter om brottsanmälningar, i anslutning till anmälan vidtagna åtgärder eller annat som polisen behöver för att fullgöra sina åligganden. Grundregistret ska föras för att förebygga, upptäcka och utreda brott samt främja den allmänna ordningen och säkerheten. För att sköta sina åligganden och föra ett grundregister har polismyndigheten rätt att få den information den behöver ur de register landskapsregeringen och under denna lydande myndigheter eller inrättningar för. Lagen om behandling av personuppgifter i polisens verksamhet (FFS 761/2003) och personuppgiftslagen (FFS 523/1999) ska i tillämpliga delar, med de avvikelser som anges i lagen, iakttas beträffande det grundregister polismyndigheten för, till den del bestämmelserna gäller personregister avsedda för en polisenhets bruk. Tillsynen över lagen utövas av landskapsregeringen.
2.1.6. Offentlighetslagstiftningen och skyddet av personuppgifter
Skyddet av personuppgifter ingår delvis i skyddet för privatlivet som tryggas enligt 10 § 1 mom. i grundlagen. Samtidigt anger 12 § 2 mom. i grundlagen att handlingar och upptagningar som innehas av myndigheterna är offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Enligt samma bestämmelse har var och en rätt att ta del av offentliga handlingar och upptagningar. Det finns en underliggande spänning mellan skyddet av personuppgifter och offentlighetsprincipen eftersom skyddet av personuppgifter syftar till att begränsa behandling och utlämnande av personuppgifter medan offentlighetsprincipen betonar öppenhet och tillgång till uppgifter, också om enskilda personer.
I landskapslagstiftningen har förhållandet mellan grundrättigheterna lösts så att landskapslagen (1977:72) om allmänna handlingars offentlighet tillämpas vid utlämnandet av handlingar medan lagstiftningen om personuppgifter tillämpas generellt på myndigheternas behandling av personuppgifter. Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen föreskriver inte om hur handlingar ska hemlighållas utan den riktar in sig på hur myndigheter ska behandla olika typer av personuppgifter. Dock kan det ingå personuppgifter i sådana handlingar som ska hemlighållas i enlighet med 9 § i landskapslagen om allmänna handlingars offentlighet.
I 3a kap. i landskapslagen om allmänna handlingars offentlighet finns särskilt föreskrivet hur personuppgifter som ingår i personregister ska behandlas vid tillämpningen av offentlighetslagstiftningen. Personuppgifter som ingår i personregister får lämnas ut i form av en kopia, en utskrift eller i elektronisk form om inte något annat är föreskrivet i lag och om mottagaren har rätt att registrera och använda sådana personuppgifter enligt bestämmelserna om behandling av personuppgifter. Dock föreskrivs särskilt i landskapslagen om allmänna handlingars offentlighet att personuppgifter får lämnas ut för direkt marknadsföring och för marknads- och opinionsundersökningar endast om så bestäms särskilt eller om den registrerade har samtyckt därtill. I enskilda landskapslagar finns särskilda bestämmelser om hemlighållandet och utlämnandet av uppgifter, t.ex. i statistiklagen (1994:42) för landskapet Åland bestäms om utlämnandet av uppgifter för vetenskapliga undersökningar och för statistiska ändamål.
2.1.7. Speciallagstiftning om personuppgifter
I ett fåtal fall har i enskilda landskapslagar förts in särskilda materiella bestämmelser om skyddet av personuppgifter. Ett exempel på detta är 6 kap. i landskapslagen (2011:95) om radio- och televisionsverksamhet som innehåller bestämmelser om televisionsinnehavarregister. I de flesta fall ingår i enskilda landskapslagar enbart allmänna hänvisningar till landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen och att personuppgifter behandlas i enlighet med den lagen. Exempel på detta ingår bl.a. i 34 och 67 §§ landskapslagen (2011:13) om gymnasieutbildning och 19 § landskapslagen (2014:31) om energideklaration för byggnader. I vissa fall ingår i enskilda landskapslagar hänvisningar till rikets personuppgiftslagstiftning, t.ex. i 17 § landskapslagen (2006:71) om studiestöd. I blankettlagar kan ingå bestämmelser om att hänvisningar till rikets personuppgiftslag ska avse hänvisning till motsvarande bestämmelse i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Ett sådant exempel finns i 3 § i landskapslagen (2012:36) om tillämpning i landskapet Åland av lagen om privat socialservice.
2.2 Internationell reglering
2.2.1. Allmänt
Rätten till skydd av en enskilds privata sfär mot intrång från andra, särskilt från staten, fastställdes i ett internationellt rättsligt instrument för första gången i artikel 12 i FN:s allmänna förklaring om de mänskliga rättigheterna från 1948. Enligt bestämmelsen får ingen utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Förklaringen bidrog till utvecklingen av andra instrument för mänskliga rättigheter, t.ex. i FN-konventionen om medborgerliga och politiska rättigheter från 1966 togs in bestämmelser till skydd för den personliga integriteten.
Senare har skyddet för personuppgifter särskilt utvecklats inom ramen för Europarådet och Europeiska unionen. Detta skydd har även kommit att omfatta Åland genom ikraftträdandet av internationella konventioner med specifik EU-lagstiftning om skyddet av personuppgifter. Särskilt Europeiska konventionen om skydd för de mänskliga rättigheterna från 1950 och de grundläggande friheterna och konventionen till skydd för enskilda vid automatisk databehandling av personuppgifter från 1981 har varit väsentliga för utvecklingen av skyddet för personuppgifter.
2.2.2. Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna
Artikel 8 i konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna, senare Europakonventionen, är av betydelse för skyddet för den personliga integriteten.[1] Där anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
I sin rättspraxis har Europadomstolen vid tillämpningen av Europakonventionen granskat många situationer där frågan om skydd av personuppgifter kommit upp, inte minst de som gäller avlyssning av kommunikation, olika former av övervakning och skydd mot offentliga myndigheters lagring av personuppgifter. Den har klargjort att artikel 8 i Europakonventionen inte endast innebär att staterna är skyldiga att avstå från alla åtgärder som kan innebära att rätten överträds, utan de har under vissa omständigheter också en positiv skyldighet att aktivt säkerställa effektiv respekt för privat- och familjeliv. Den grundläggande rätten till skydd av personuppgifter är emellertid inte någon absolut rättighet utan den måste förstås utifrån sin funktion i samhället och hur den förhåller sig till andra grundläggande rättigheter.
Europadomstolen har vid upprepade tillfällen slagit fast att rätten till skydd av personuppgifter måste vägas mot andra rättigheter när artikel 8 i Europakonventionen tillämpas och tolkas. Som ett exempel kan nämnas ett mål där Europadomstolen vägde rätten att få handlingar från en myndighet mot rätten till skydd av personuppgifter. En nationell domstol hade vägrat ge ut handlingar med hänvisning till skyddet av personuppgifter. Europadomstolen ansåg att hinder utformade för att förhindra tillgång till information av allmänt intresse kan hindra dem som arbetar inom media eller tillhörande områden från att utföra sin nödvändiga roll som ”offentlig vakthund”. Europadomstolen drog därför slutsatsen att artikel 10 i Europakonventionen som gäller yttrandefrihet hade överträtts.[2]
2.2.3. Europarådets konvention till skydd för enskilda vid automatisk databehandling av personuppgifter
Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter, senare dataskyddskonventionen.[3] Dataskyddskonventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.
Dataskyddskonventionen gäller för all databehandling som utförs av både den privata och offentliga sektorn, t.ex. databehandling som utförs av brottsbekämpande myndigheter. Den skyddar enskilda mot intrång, som kan ske i samband med insamling och behandling av personuppgifter, och försöker samtidigt reglera det gränsöverskridande flödet av personuppgifter. Vad gäller insamling och behandling av personuppgifter gäller principerna i konventionen framför allt rättvis och tillåten insamling och automatisk behandling av uppgifter, som lagras för angivna berättigade syften och inte för användning i syften som är oförenliga med dessa syften eller behålls längre än nödvändigt.
Dataskyddskonventionens principer gäller också kvaliteten på uppgifterna. De ska framför allt vara lämpliga, relevanta, proportionerliga samt korrekta. Utöver att konventionen erbjuder garantier för insamling och behandling av personuppgifter förbjuds där också, i avsaknad av lämpliga rättsliga garantier, behandling av ”känsliga” uppgifter, såsom en persons etnicitet, politik, hälsa, religion, sexliv eller kriminella bakgrund. Konventionen innehåller även enskildas rätt att veta att information lagras om honom eller henne och rätten att vid behov få den korrigerad. Restriktioner när det gäller rättigheterna i konventionen är endast möjliga när det handlar om ett överordnat intresse, såsom statens säkerhet eller försvar.
År 2001 antogs ett tilläggsprotokoll till dataskyddskonventionen. Genom det infördes bestämmelser om gränsöverskridande flöden av uppgifter till parter som inte omfattades av konventionen, s.k. tredjeländer, och om det obligatoriska inrättandet av nationella tillsynsmyndigheter för dataskydd. Dataskyddskonventionen håller på att moderniseras och huvudmålsättningarna med arbetet är att förstärka skyddet av privatlivet på det digitala området och stärka konventionens uppföljningsmekanism.
2.2.4. OECD-riktlinjer
En expertgrupp inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs ursprungligen år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer har godtagit rekommendationen och åtagit sig att följa denna. Riktlinjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. Riktlinjerna har uppdaterats år 2013.[4]
2.3 EU-lagstiftning
2.3.1. Allmänt
EU-lagstiftningen består av fördrag och sekundärlagstiftning. Fördraget om Europeiska unionen (EU-fördraget) och fördraget om Europeiska unionens funktionssätt (EUF-fördraget) har godkänts av EU:s samtliga medlemsstater. Sekundärlagstiftningen består främst av förordningar, direktiv och beslut som har antagits av EU:s institutioner med stöd av de befogenheter som dessa har fått i fördragen. Före EU:s dataskyddsreform har EU:s huvudsakliga rättsliga instrument om skydd av personuppgifter varit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, senare 1995 års dataskyddsdirektiv. Landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen har antagits med anledning av dataskyddsdirektivet.
2.3.2. Europeiska unionens stadga om de grundläggande rättigheterna
Europeiska gemenskapernas ursprungliga fördrag innehöll ingen hänvisning till mänskliga rättigheter eller skyddet av dessa. Inom EU proklamerades år 2000 stadgan om de grundläggande rättigheterna, senare stadgan. Stadgan innehåller alla civila, politiska, ekonomiska och sociala rättigheter för europeiska medborgare, och sammanfattar de konstitutionella traditionerna och internationella skyldigheterna som är gemensamma för medlemsstaterna. Stadgan innehåller även rättigheter som är relevanta för skyddet av personuppgifter. Stadgan blev juridiskt bindande inom EU i och med ikraftträdandet av Lissabonfördraget den 1 december 2009.
I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna, dvs. inklusive myndigheterna i landskapet, endast i de fall där de tillämpar EU-rätten.
Varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. Både Europadomstolen och EU-domstolen har vid upprepade tillfällen slagit fast att detta måste vägas mot andra rättigheter när artikel 8 i Europakonventionen och artikel 8 i stadgan tillämpas och tolkas. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som de som skyddas enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.
2.3.3. 1995 års dataskyddsdirektiv
Dataskyddsdirektivet antogs 1995, vid en tidpunkt när flera medlemsstater redan hade antagit nationell lagstiftning om skydd av personuppgifter. Fri rörlighet för varor, kapital, tjänster och personer inom den inre marknaden krävde fritt flöde av uppgifter, vilket inte kunde genomföras om inte medlemsstaterna kunde förlita sig på en enhetlig och hög nivå för skydd av personuppgifter. Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av dataskyddskonventionen. Medlemsstaterna har haft endast ett begränsat manöverutrymme vid införlivandet av 1995 års dataskyddsdirektiv och EU-domstolen har konstaterat att harmoniseringen inte inskränker sig till en minimiharmonisering, utan leder till en i princip fullständig harmonisering.[5]
Dataskyddsdirektivet handlar om fysiska personers skydd och skyddet för juridiska personer berörs inte. Direktivet omfattar inte bara helt eller delvis automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller s.k. ostrukturerade akter. Direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som faller utanför unionens behörighet. Direktivet gäller inte heller behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet inom straffrättens område. Enligt direktivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligen angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.
Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Till exempel får behandling också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse eller om behandlingen är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Vissa särskilda i direktivet angivna kategorier av uppgifter, s.k. känsliga personuppgifter, får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande.
Direktivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade.
Enligt 1995 års dataskyddsdirektiv ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter ska fullständigt oberoende utöva de uppgifter som åläggs dem. Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som ska behandlas och ändamålet med behandlingen. Landskapets nuvarande lagstiftning om skyddet av personuppgifter, särskilt landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen, baserar sig på 1995 års dataskyddsdirektiv (se avsnitt 2.1). Direktivets innehåll och hur detta innehåll har genomförts i gällande landskapslagstiftning framgår närmare ur förarbetena till landskapslagen (framst. nr 8/2003–2004).
2.3.4. Polisrambeslutet
Dataskyddsdirektivet från 1995 gäller inte på området för polissamarbete och straffrättsligt samarbete och inte heller på området för nationell säkerhet. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som gäller för polissamarbete och straffrättsligt samarbete, senare polisrambeslutet, utgör ett komplement till olika instrument om utvidgat polisiärt och rättsligt samarbete inom Europeiska unionen. Ett rambeslut är en typ av rättsakt som har stora likheter med EU-direktiv, dvs. rambesluten ska genomföras i nationell lagstiftning och är i regel inte direkt tillämpliga inom medlemsstaterna. Då Lissabonfördraget trädde i kraft ersattes rambesluten av direktiv men de redan existerande rambesluten fortsatte att gälla tills vidare.
Polisrambeslutet innehåller bestämmelser om bl.a. allmänna principer för behandlingen av personuppgifter, behandling av känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Polisrambeslutet ska säkerställa en hög skyddsnivå för fysiska personers fri- och rättigheter när det gäller behandling av personuppgifter i samband med polissamarbete och straffrättsligt samarbete. Härmed avses uppgifter som de behöriga myndigheterna samlar in eller behandlar för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Polisiärt eller rättsligt samarbete i annat syfte faller utanför tillämpningsområdet för polisrambeslutet.
2.3.5. EU-speciallagstiftning gällande personuppgifter
Eftersom 1995 års dataskyddsdirektiv endast gäller EU:s medlemsstater behövdes ett rättsligt instrument för dataskydd när EU:s institutioner och organ behandlar personuppgifter. Förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter har antagits i detta syfte. Det finns även särskild EU-lagstiftning som rör skyddet av personuppgifter. Behandlingen av personuppgifter rörande tillhandahållande av kommunikationstjänster på EU-nivå regleras i direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Tillämpningen av direktivet är begränsat till kommunikationstjänster i offentliga elektroniska nätverk. Direktivet ändrades år 2009 genom Europaparlamentets och rådets direktiv 2009/136/EG.
Ett annat exempel på speciallagstiftning om personuppgifter inom EU är förordning (EG) nr 223/2009 om europeisk statistik som innehåller grundläggande regler för skydd av personuppgifter i officiell statistik. Ytterligare ett exempel är direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG. Direktivet syftar till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.
2.4 Lagstiftning i Finland och Sverige
2.4.1. Rikslagstiftning
Om skyddet för medborgarnas privatliv och integritet föreskrevs i riket för första gången i personregisterlagen (FFS 471/1987). Personregisterlagen ersattes från den 1 juni 1999 av personuppgiftslagen (FFS 523/1999) som också genomförde bestämmelserna i 1995 års dataskyddsdirektiv. Rätten till skydd för privatlivet gjordes till en grundläggande rättighet genom grundrättighetsreformen år 1995. Med rikets personuppgiftslag fullgjordes också den av grundlagen förutsatta förpliktelsen att utfärda lag om skyddet för personuppgifter.
Rikets personuppgiftslag tillämpas på automatisk behandling av personuppgifter samt också på annan behandling av personuppgifter, när personuppgifterna bildar eller avses att bilda ett personregister eller en del av ett sådant. Lagen gäller inte behandling av personuppgifter som en fysisk person utför enbart för personliga eller med dem jämförbara privata ändamål, inte heller behandling av personuppgifter för redaktionella syften eller för syften som avser konstnärlig och litterär framställning. I rikets personuppgiftslag föreskrivs bl.a. om de allmänna grundläggande förutsättningarna för behandling av personuppgifter, om de allmänna förpliktelser som alltid bör iakttas vid all behandling av personuppgifter och om de registrerades rättigheter vid behandlingen av deras personuppgifter.
Verkställigheten av rikets personuppgiftslagstiftning styrs och övervakas av dataombudsmannen. Dataombudsmannen ska främja en god informationshantering och arbeta för att lagstridiga förfaranden inte fortgår. Vid behov ska dataombudsmannen hänskjuta ett ärende att behandlas av datasekretessnämnden eller anmäla det för åtal. Beslutsmakten i ärenden som gäller behandling av personuppgifter utövas av datasekretessnämnden. Datasekretessnämnden kan på framställning av dataombudsmannen förbjuda behandlingen av personuppgifter eller utfärda andra förbud i ärendet. Datasekretessnämnden kan dessutom i särskilt definierade situationer och under särskilda förutsättningar ge tillstånd till behandling av personuppgifter i sådana fall där lagen annars inte skulle medge detta.
I riket har EU:s polisrambeslut genomförts främst genom bestämmelser i lagen om behandling av personuppgifter i polisens verksamhet (FFS 761/2003) och lagen om behandling av personuppgifter vid gränsbevakningsväsendet (FFS 579/2005).[6] Andra rikslagar som har en nära anknytning till skyddet av personuppgifter är lagen om integritetsskydd i arbetslivet (FFS 759/2004) och informationssamhällsbalken (FFS 917/2014). I informationssamhällsbalken finns särskilda bestämmelser om integritetsskydd. Därtill finns ytterligare rikslagar som innehåller bestämmelser som inverkar på behandlingen av personuppgifter. Bestämmelserna i dylika speciallagar tillämpas framom bestämmelserna i personuppgiftslagen.
2.4.2. Svensk lagstiftning
I den svenska regeringsformen (SFS 2011:109) föreskrivs att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt regeringsformen får begränsningar av denna fri- och rättighet under vissa förutsättningar göras genom lag. Regleringen i regeringsformen innebär att viss behandling av personuppgifter måste fastställas i lag. Dataskyddsdirektivet från 1995 har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (SFS 1998:204). Bestämmelserna i den svenska personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftslagen följer i princip direktivets struktur och innehåller liksom direktivet bestämmelser om bl.a. personuppgiftsansvar, grundläggande krav för behandling av personuppgifter, information till den registrerade, skadestånd och straff. Personuppgiftslagen är tillämplig även utanför unionens behörighetsområde. Lagen gäller både för myndigheter och enskilda som behandlar personuppgifter.
Den svenska personuppgiftslagen är subsidiär och lagens bestämmelser ska inte tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana subsidiära bestämmelser i särskilda registerförfattningar som främst reglerar hur olika myndigheter får behandla personuppgifter, t.ex. i studiestödsdatalagen (SFS 2009:287) och polisdatalagen (SFS 2010:361). Det finns också sådana bestämmelser i lagar som primärt har andra syften än att reglera personuppgiftsbehandling. Detta är fallet med bl.a. vapenlagen (SFS 1996:67) och kreditupplysningslagen (SFS 1973:1173). Personuppgiftslagen kompletteras också av bestämmelser i personuppgiftsförordningen (SFS 1998:1191) som pekar ut Datainspektionen som tillsynsmyndighet enligt lagen. Datainspektionen bemyndigas i förordningen att meddela närmare föreskrifter bl.a. om i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den personuppgiftsansvarige. I Sverige har polisrambeslutet genomförts med lagen (SFS 2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen.
3. EU:s dataskyddsförordning
3.1 EU:s dataskyddsreform
I avsnitt 2.3 har i korthet redogjorts för EU-lagstiftningen om skyddet av personuppgifter före EU:s dataskyddsreform. Dataskyddsdirektivet från 1995 har utgjort den centrala rättsakten för skyddet av personuppgifter och direktivet har förutsatt att samtliga medlemsstater genomför direktivet i sin nationella lagstiftning. Den tekniska utvecklingen har varit mycket snabb de två senaste årtiondena. Detta har medfört nya utmaningar på dataskyddsområdet. Dataskyddsdirektivet är från tiden före internets genombrott då det varken fanns smarttelefoner eller surfplattor. Den tekniska utvecklingen har också medfört att det har skett en massiv tillväxt av utbyte och insamling av data. Enskilda gör i allt högre utsträckning personlig information tillgänglig för allmänheten. Den ekonomiska och sociala integrationen har också lett till att dataflödena över gränserna har ökat väsentligt. Jämfört med för två årtionden sedan används personuppgifter på ett mycket annorlunda sätt inom handel, särskilt i samband med handel över internet. Även tjänsterna inom den offentliga förvaltningen håller på att digitaliseras och myndigheterna samlar allt oftare in personuppgifter i en digital miljö. Samtidigt har teknologin introducerat nya företeelser som sociala media och molntjänster där skyddet av personuppgifter är relevant.
EU:s dataskyddsreform syftar till att beakta denna utveckling. Europeiska kommissionen föreslog i januari 2012 en totalreform av EU-lagstiftningen om dataskydd. Därefter pågick beredningen och förhandlingarna i nästan fyra år. Hela lagstiftningspaketet omfattar mer än 400 sidor. Reformen resulterade i dataskyddsförordningen och 2016 års dataskyddsdirektiv. Dataskyddsförordningen utgör en ny generell rättsakt om behandlingen av personuppgifter. I förordningen fastställs bl.a. den enskildes rättigheter och skyldigheterna för dem som behandlar och dem som ansvarar för behandlingen av personuppgifterna. Dataskyddsdirektivets syften är liknande men det gäller enbart vid behandling av personuppgifter som utförs av behöriga myndigheter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Dataskyddsförordningen trädde i kraft den 24 maj 2016 och kommer att tillämpas från och med den 25 maj 2018. Dataskyddsdirektivet från 2016 trädde i kraft den 5 maj 2016 och direktivet ska genomföras i medlemsstaternas lagstiftning senast den 6 maj 2018.
Inom EU har nyligen föreslagits ytterligare lagstiftning som delvis har en koppling till eller utgör en fortsättning av dataskyddsreformen. Kommissionen har i januari 2017 föreslagit en ny förordning om dataskyddet inom unionens institutioner.[7] Ett annat förslag från januari 2017 gäller en förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation.[8] Enligt det sistnämnda förslaget ska den föreslagna förordningen komplettera och precisera dataskyddsförordningen. Den föreslagna förordningen ska tillämpas på sådan behandling av data från elektronisk kommunikation som utförs i samband med tillhandahållandet och användningen av elektroniska kommunikationstjänster samt på information som rör slutanvändares terminalutrustning.
3.2 Dataskyddsförordningen
3.2.1. Förordning istället för direktiv
Till skillnad från 1995 års dataskyddsdirektiv kom lagstiftningsmodellen i samband med dataskyddsreformen att bygga på att unionens allmänna reglering om dataskydd ska ingå i en EU-förordning. EU-förordningar är direkt tillämpliga rättsakter, dvs. förordningarnas bestämmelser ska i regel tillämpas som sådana av myndigheterna i medlemsstaterna. EU-förordningarna förutsätter vanligtvis inte något särskilt genomförande i nationell lagstiftning. EU-direktiven är till sin natur sådana att de kräver ytterligare implementering eller genomförande i nationell lagstiftning. Den huvudsakliga avsikten med valet av förordning i stället för direktiv i samband med dataskyddsreformen torde ha varit en strävan efter ett mera likvärdigt skydd av personuppgifter inom medlemsstaterna. Då dataskyddsförordningen börjar tillämpas från och med den 25 maj 2018 upphör 1995 års dataskyddsdirektiv samtidigt att gälla.
3.2.2. Utrymme för lagstiftningsåtgärder i dataskyddsförordningen
De flesta av dataskyddsförordningens bestämmelser är direkt tillämpliga och tillämpas som sådana från och med den 25 maj 2018. Trots att dataskyddsförordningen är en EU-förordning lämnar den medlemsstaterna exceptionellt mycket nationellt handlingsutrymme. Dataskyddsförordningen innehåller tiotals enskilda bestämmelser som antingen tillåter eller förutsätter att medlemsstaterna antar kompletterande eller preciserande nationell lagstiftning. Till exempel finns det ett förhållandevis stort utrymme att behålla eller införa särregleringar för sådan personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning. I samband med vissa i förordningen föreskrivna möjligheter att anta undantag eller mera specifik lagstiftning anges att medlemsstaterna ska anmäla till kommissionen de bestämmelser den har antagit senast i maj 2018. Förekomsten av det nationella handlingsutrymmet betyder att det kan göras nationella finjusteringar, inte att det skulle vara möjligt att avvika inom medlemsstaterna från förordningens grundläggande lösningar.
3.2.3. Dataskyddsförordningens tillämpningsområde
Dataskyddsförordningen baserar sig till stor del på struktur och innehåll i 1995 års dataskyddsdirektiv. I förordningens inledande bestämmelser definieras dataskyddsförordningens materiella och territoriella tillämpningsområde. Enligt artikel 2.1 ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Skäl 15 i förordningen anger att skyddet för fysiska personer bör vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av förordningen. Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner. Således gäller förordningen både den offentliga och den privata sektorn.
Av artikel 2.2 framgår undantag gällande förordningens tillämpning med avseende på behandling av personuppgifter som utgör ett led i en verksamhet som
a) inte omfattas av unionsrätten,
b) utförs av medlemsstaterna när de utför aktiviteter som omfattas av den gemensamma utrikes- och säkerhetspolitiken,
c) utförs av en fysisk person som ett led i verksamhet av privat natur eller som har samband med dennes hushåll eller
d) utförs av behöriga myndigheter för ändamålen att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande skydd mot samt förebyggande av hot mot allmän säkerhet.
Dataskyddsförordningen gäller inte heller för behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer. Sådan behandling regleras i stället i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter. Kommissionen har i januari 2017 föreslagit en ny förordning om dataskyddet inom unionens institutioner. Dataskyddsförordningen tillämpas huvudsakligen på personuppgiftsansvariga som är etablerade inom EU. I vissa fall gäller den också för personuppgiftsansvariga som är etablerade utanför EU, främst då dessa behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer inom EU.
3.2.4. Dataskyddsförordningens centrala principer
Dataskyddsförordningen utgår från vissa centrala principer för behandlingen av personuppgifter. Enligt artikel 5 ska vid behandlingen av personuppgifter följande gälla:
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Den personuppgiftsansvarige, t.ex. en myndighet eller ett företag som behandlar personuppgifter, ska ansvara för och kunna visa att de ovan uppräknade villkoren för behandling av personuppgifter efterlevs (ansvarsskyldighet). Det bör hållas i minnet att man vid säkerställandet av att behandlingen av personuppgifter är förenlig med dataskyddsförordningen enligt de ovan nämnda grundläggande principerna i artikel 5 även måste beakta ytterligare krav i andra bestämmelser i dataskyddsförordningen. Särskilt artikel 6 om laglig behandling av personuppgifter är central i detta avseende. Artikel 5 innehåller grundläggande principer som är gemensamma för all behandling av personuppgifter som faller inom dataskyddsförordningens tillämpningsområde.
3.2.5. Laglig behandling av personuppgifter
Den främsta principen och förutsättningen för behandlingen av personuppgifter är att den är laglig. I förordningens artikel 6.1 föreskrivs hur och när behandlingen av personuppgifter är laglig. Åtminstone ett av följande villkor ska vara uppfyllt för att behandlingen ska vara laglig.
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Artikel 6.1 f gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. Artikel 6.1 c och e är särskilt relevanta inom offentlig sektor och i samband med myndigheters behandling av personuppgifter. När det gäller dessa grunder för behandling får medlemsstaterna behålla eller införa mer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Det måste finnas en uttrycklig rättslig grund för behandling enligt artikel 6.1 c och e, antingen i unionsrätten eller i en medlemsstats nationella rätt, som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan även innehålla särskilda bestämmelser om bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs och de enheter till vilka personuppgifterna får lämnas ut.
Det bör hållas i minnet att utöver kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Behandlingen av personuppgifter måste ske i förenlighet med de tidigare uppräknade grundläggande principerna i förordningens artikel 5. Beroende på typen av personuppgifter som behandlas kan ytterligare krav tillkomma, t.ex. känsliga personuppgifter och uppgifter om lagöverträdelser förknippas med särskilda krav.
3.2.6. Barns samtycke
Dataskyddsförordningen föreskriver att den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter, om behandlingen grundar sig på samtycke (artikel 7). De registrerade ska också ha rätt att när som helst återkalla sitt samtycke. Förordningen beaktar särskilt barns samtycke vid användandet av sociala media (artikel 8). Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Dock får medlemsstaterna i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.
3.2.7. Känsliga personuppgifter
I likhet med 1995 års dataskyddsdirektiv har vissa känsliga personuppgifter ett förstärkt skydd. Enligt huvudregeln ska behandling av känsliga personuppgifter vara förbjuden. Det rör sig då om personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, bio-metriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dock finns i förordningen en förteckning över särskilda undantag från denna huvudregel, t.ex. om den registrerade har uttryckligen lämnat sitt samtycke till behandlingen eller om behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
Enligt förordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
3.2.8. De registrerades rättigheter
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Rättigheterna innebär i korthet att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Därför har de bl.a. rätt att i vissa fall få sina uppgifter rättade, blockerade eller raderade, eller att få ut eller flytta sina uppgifter. I jämförelse med 1995 års dataskyddsdirektiv har de registrerades rättigheter utökats, förstärkts och specificerats i dataskyddsförordningen. Enligt förordningen har medlemsstaterna vissa möjligheter att begränsa de registrerades rättigheter i sin lagstiftning.
Bestämmelserna om de registrerades rättigheter finns i förordningens tredje kapitel. Förordningen föreskriver både om vad, när och hur den personuppgiftsansvarige ska lämna information till den registrerade både i anknytning till att personuppgifter samlas in från den registrerade (artikel 13) och när personuppgifterna inte har erhållits från den registrerade (artikel 14). Därtill ska den registrerade ha rätt att få bekräftelse på om personuppgifter som rör honom eller henne håller på att behandlas (artikel 15). Den registrerade ska ha rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Den registrerade ska också ha rätt att komplettera ofullständiga personuppgifter.
Enligt en dom från EU-domstolen i maj 2014 är det möjligt för personer att begära att sökmotorer som Google tar bort resultat för sökfrågor som innehåller deras namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga.[9] Detta kallas ibland "rätten att bli glömd" och har beaktats i förordningen (artikel 17). Den registrerade ska också ha en rätt att kräva att behandlingen av personuppgifter begränsas då villkoren i förordningen är uppfyllda (artikel 18). Den personuppgiftsansvarige ska också underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett, om inte detta visar sig vara omöjligt eller medför en oproportionell ansträngning (artikel 19).
Den registrerade har en rätt till dataportabilitet (artikel 20). Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade ska också ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta. Denna rätt till dataportabilitet förutsätter emellertid att behandlingen grundar sig på samtycke eller på ett avtal samt att behandlingen sker automatiserat. Vid utövandet av rätten till dataportabilitet ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, när detta är tekniskt möjligt.
Den registrerade ska ha en rätt att i vissa fall göra invändningar mot behandling av personuppgifter (artikel 21). Detta är särskilt relevant för myndigheter eftersom invändningar kan göras i samband med behandling som görs vid utförandet av en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Om det görs en invändning får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Rätten att göra invändningar innefattar ytterligare situationer, framförallt då det gäller personuppgifter som behandlas för direkt marknadsföring. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, förutsatt att något av de begränsade undantagen i artikel 22 inte är tillämpliga.
Det är möjligt att göra vissa undantag från de registrerades rättigheter enligt dataskyddsförordningen (artikel 23). Såväl unionsrätten som en medlemsstats nationella rätt får begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna mål som räknas upp i artikel 23. Till exempel kan begränsningar göras för att säkerställa den nationella säkerheten, försvaret eller den allmänna säkerheten.
3.2.9. Skyldigheter för dem som behandlar personuppgifter
3.2.9.1. Allmänna skyldigheter
Dataskyddsförordningen innehåller många skyldigheter för dem som behandlar personuppgifter (artikel 24–43). För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav i förhållande till 1995 års dataskyddsdirektiv. Personuppgiftsansvarig och personuppgiftsbiträde är centrala begrepp som förknippas med behandlingen av personuppgifter. Personuppgiftsansvarig definieras som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträdet är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen (artikel 24). Den personuppgiftsansvarige ska ha ett s.k. inbyggt dataskydd och dataskydd som standard (artikel 25). Detta innebär att det ska genomföras lämpliga tekniska och organisatoriska åtgärder så att kraven i förordningen uppfylls och den registrerades rättigheter skyddas. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga (artikel 26). En gemensam kontaktpunkt för de personuppgiftsansvariga får utses.
Personuppgiftsansvariga anlitar personuppgiftsbiträden för behandlingen av personuppgifter. Den personuppgiftsansvarige ska endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (artikel 27). Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Det finns detaljerade bestämmelser om innehållet i de avtal eller rättsakter som riktar sig till personuppgiftsbiträden.
Varje personuppgiftsansvarig och dennes företrädare ska föra ett register över behandling som utförts under dess ansvar (artikel 28). Detta register ska innehålla bl.a. namn och kontaktuppgifter för den personuppgiftsansvarige och en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter. Även varje personuppgiftsbiträde och dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning. Registret ska innehålla liknande uppgifter som det som den personuppgiftsansvarige och dennes företrädare ska föra. Dessa register ska upprättas skriftligen, inbegripet i elektronisk form. Skyldigheten att föra register gäller inte för ett företag eller en organisation som sysselsätter färre än 250 personer, men i vissa i förordningen angivna fall ska skyldigheten omfatta även dessa företag och organisationer. Den personuppgiftsansvarige och personuppgiftsbiträdet samt deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.
3.2.9.2. Säkerhet för personuppgifter
Dataskyddsförordningen förutsätter aktiva åtgärder för säkerställandet av en tillräcklig säkerhetsnivå hos den personuppgiftsansvarige och personuppgiftsbiträdet. Det kan bl.a. röra sig om s.k. pseudonymisering och kryptering av personuppgifter eller ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet (artikel 32). Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Vid en s.k. personuppgiftsincident ska den personuppgiftsansvarige anmäla personuppgiftsincidenten till tillsynsmyndighet (artikel 33). Det ska ske utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att man har fått vetskap om den. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska det ges en motivering till förseningen. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten (artikel 34). Dock finns vissa i förordningen angivna undantag från detta krav att informera den registrerade.
3.2.9.3. Konsekvensbedömning och förhandssamråd
Dataskyddsförordningen inför ett krav på bedömning av en planerad behandlings konsekvenser för dataskyddet (artikel 35). Detta krav gäller i samband med behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. En konsekvensbedömning ska särskilt krävas om det t.ex. handlar om behandling i stor omfattning av känsliga personuppgifter eller av personuppgifter som rör fällande domar i brottmål. Tillsynsmyndigheten ska upprätta och offentliggöra en förteckning över behandling som föranleder ovan nämnd konsekvensbedömning. Förordningen förutsätter också att den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om dylik behandling.
Om konsekvensbedömningar visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken ska den personuppgiftsansvarige samråda med tillsynsmyndigheten före behandlingen (artikel 36). Om tillsynsmyndigheten anser att den planerade behandlingen skulle strida mot förordningen ska tillsynsmyndigheten inom en period på högst åtta veckor ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt förordningen.
3.2.9.4. Dataskyddsombud
Dataskyddsförordningen förutsätter att den personuppgiftsansvarige och personuppgiftsbiträdet ska utnämna ett dataskyddsombud bl.a. om behandlingen genomförs av en myndighet eller ett offentligt organ, förutom när detta sker som en del av domstolarnas dömande verksamhet (artikel 37). Om den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet eller ett offentligt organ, får ett enda dataskyddsombud utnämnas för flera sådana myndigheter eller organ, med hänsyn till deras organisationsstruktur och storlek. Dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.
Det finns närmare bestämmelser i förordningen om dataskyddsombudets ställning, bl.a. ska dataskyddsombudet rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå (artikel 38). Dataskyddsombudet får fullgöra andra uppgifter och uppdrag men man ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt. Förordningen föreskriver vilka uppgifter dataskyddsombudet åtminstone ska ha (artikel 39). Bland annat ska dataskyddsombudet informera och ge råd om skyldigheterna enligt förordningen samt övervaka hur förordningen tillämpas. Dataskyddsombudet ska också fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling av personuppgifter.
3.2.9.5. Uppförandekoder och certifiering
Dataskyddsförordningen introducerar uppförandekoder och utarbetandet av sådana uppmuntras (artikel 40). Uppförandekoderna ska bidra till att förordningen genomförs korrekt. I förordningen räknas upp exempel på när sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta uppförandekoder. Övervakningen av dylika koder får utföras av ett organ som har en lämplig expertnivå. Förordningens bestämmelser om uppförandekoder tillämpas inte på behandling som utförs av offentliga myndigheter och organ. Enligt förordningen uppmuntras införandet av certifieringsmekanismer för dataskydd och sigill och märkningar för dataskydd som syftar till att visa att personuppgiftsansvarigas eller personuppgiftsbiträdens behandling är förenlig med förordningen (artikel 42). Certifieringarna utfärdas av särskilda certifieringsorgan.
3.2.10. Överföring av personuppgifter utanför EU
I dataskyddsförordningens femte kapitel finns särskilda bestämmelser om överföring av personuppgifter utanför EU. Avsikten med dessa bestämmelser är att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom förordningen inte undergrävs genom sådan överföring utanför EU. Utgångspunkten är att personuppgifter enbart får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att en adekvat skyddsnivå är säkerställd där. Bland annat ska kommissionen offentliggöra en förteckning över de tredjeländer och de territorier och specificerade sektorer i ett givet tredjeland samt de internationella organisationer för vilka den har fastställt att en adekvat skyddsnivå inte eller inte längre säkerställs. Om kommissionen inte har fattat ett beslut om adekvat skyddsnivå får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifterna utanför EU efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga. I förordningen föreskrivs vilka dessa lämpliga skyddsåtgärder är. Dock finns även i vissa fall möjlighet till undantag för överföring av personuppgifter utanför EU, trots att det inte finns beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
3.2.11. Oberoende tillsynsmyndigheter
Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av dataskyddsförordningen. Tillsynsmyndigheterna ska både samarbeta sinsemellan och med kommissionen. Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska företräda dessa myndigheter i Europeiska dataskyddsstyrelsen (artikel 51). Varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och vid utövandet av sina befogenheter. Bland annat ska varje tillsynsmyndighets ledamot eller ledamöter i utförandet av sina uppgifter och utövandet av sina befogenheter stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon. Dataskyddsförordningen förutsätter att varje medlemsstat ska säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och utöva sina befogenheter (artikel 52). Medlemsstaterna ska föreskriva att varje ledamot av deras tillsynsmyndigheter ska utnämnas genom ett genom öppet förfarande. En ledamot får avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor som krävs för att utföra uppdraget.
I dataskyddsförordningen förutsätts att medlemsstaterna fastställer regler för inrättandet av en tillsynsmyndighet i nationell lagstiftning. Bland annat ska det föreskrivas i lag om varje tillsynsmyndighets inrättande och om de kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet (artikel 54). Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt förordningen inom sin egen medlemsstats territorium, men tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Tillsynsmyndigheternas uppgifter fastställs i en förteckning som innehåller 22 olika typer av uppgifter (artikel 57). Bland uppgifterna kan nämnas att tillsynsmyndigheterna ska övervaka och verkställa tillämpningen av förordningen samt behandla klagomål från en registrerad eller från ett organ, en organisation eller en sammanslutning. Utförandet av alla tillsynsmyndigheters uppgifter ska vara avgiftsfritt för den registrerade och för dataskyddsombudet men tillsynsmyndigheten får ta ut en rimlig avgift om en begäran är uppenbart ogrundad eller orimlig.
Förordningen skiljer på tillsynsmyndighetens utredningsbefogenheter, korrigerande befogenheter samt befogenheter att utfärda tillstånd och att ge råd (artikel 58). Bland annat har tillsynsmyndigheten befogenhet att få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt. Tillsynsmyndigheten kan också bl.a. utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet och påföra administrativa sanktionsavgifter. Varje medlemsstat ska i lagstiftning fastställa att dess tillsynsmyndighet ska ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av förordningen och vid behov att inleda eller på övrigt vis delta i rättsliga förfaranden för att verkställa bestämmelserna i förordningen (artikel 58). Medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för mekanismen för enhetlighet.
3.2.12. Samarbete mellan myndigheter
I dataskyddsförordningens sjunde kapitel föreskrivs om samarbete mellan tillsynsmyndigheter inom EU. Till exempel får den ansvariga tillsynsmyndigheten när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd (artikel 61) och de får genomföra gemensamma insatser (artikel 62). En ansvarig tillsynsmyndighet ska också meddela andra berörda tillsynsmyndigheter den relevanta informationen i ett aktuellt ärende. Det ömsesidiga biståndet mellan tillsynsmyndigheterna ska särskilt omfatta begäran om information och tillsynsåtgärder. Varje tillsynsmyndighet ska vidta lämpliga åtgärder som krävs för att besvara en begäran från en annan tillsynsmyndighet utan onödigt dröjsmål och inte senare än en månad efter det att den tagit emot begäran. Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, bl.a. gemensamma utredningar och gemensamma verkställighetsåtgärder.
3.2.13. Enhetlig tillämpning inom EU
Dataskyddsförordningen introducerar en mekanism för enhetlighet som ska bidra till en enhetlig tillämpning av förordningen i hela unionen. När en tillsynsmyndighet avser att anta någon av de i förordningen angivna åtgärderna ska tillsynsmyndigheten skicka utkastet till beslut till Europeiska dataskyddsstyrelsen (artikel 64). Varje tillsynsmyndighet, styrelsens ordförande eller kommissionen ska också kunna begära att Europeiska dataskyddsstyrelsen granskar en fråga med allmän räckvidd eller som har följder i mer än en medlemsstat. Yttranden ska antas med enkel majoritet av styrelsens ledamöter inom åtta veckor. Tillsynsmyndigheterna ska ta största möjliga hänsyn till styrelsens yttranden. I vissa fall ska styrelsen anta ett bindande beslut för att säkerställa en korrekt och enhetlig tillämpning av förordningen. Detta gäller särskilt i samband med tvistlösning mellan olika tillsynsmyndigheter.
3.2.14. Europeiska dataskyddsstyrelsen
Europeiska dataskyddsstyrelsen är ett unionsorgan som har ställning som juridisk person (artikel 68). Styrelsen består av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare. Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av förordningen ska en gemensam företrädare utses i enlighet med den medlemsstatens nationella rätt. Kommissionen har rätt att delta i styrelsens verksamhet och möten utan rösträtt. Till styrelsens uppgifter hör bl.a. att utfärda riktlinjer, rekommendationer och bästa praxis beträffande förfaranden för att radera länkar, kopior eller reproduktioner av personuppgifter från allmänt tillgängliga kommunikationstjänster (artikel 70). Ett annat exempel är möjlighet att på eget initiativ eller på begäran av en av sina ledamöter eller av kommissionen behandla frågor om tillämpningen av förordningen och utfärda riktlinjer, rekommendationer och bästa praxis i syfte att främja en enhetlig tillämpning av förordningen. Styrelsen fattar beslut med enkel majoritet av dess ledamöter.
3.2.15. Rättsmedel och sanktioner
Dataskyddsförordningens åttonde kapitel innehåller bestämmelser om rättsmedel, ansvar och sanktioner. Varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot förordningen ska ha en rätt att lämna in ett klagomål till en tillsynsmyndighet (artikel 77). Förordningen förutsätter också att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som meddelats av en tillsynsmyndighet (artikel 78). Det ska också finnas ett effektivt rättsmedel om en tillsynsmyndighet som är behörig underlåter att behandla ett klagomål. Talan mot en tillsynsmyndighet ska väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.
Registrerade personer ska även ha en mera generell rätt till ett effektivt rättsmedel i samband med att personens rättigheter enligt förordningen har åsidosatts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen. Talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad (artikel 79). Alternativt får sådan talan väckas vid domstolarna i den medlemsstat där den registrerade har sin hemvist, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en myndighet i en medlemsstat som agerar inom ramen för sin myndighetsutövning. I förordningen förutsätts att varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan (artikel 82). Ett personuppgiftsbiträde ska ansvara för skada endast i den utsträckning denne inte har fullgjort de skyldigheter i förordningen som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
Tillsynsmyndigheten har möjlighet att påföra administrativa sanktionsavgifter och i förordningen anges närmare när och utgående från vilka principer sådana sanktionsavgifter ska påföras (artikel 83). Bland annat ska tillsynsmyndigheten beakta överträdelsens karaktär, svårighetsgrad och varaktighet. I samband med vissa överträdelser ska det påföras administrativa sanktionsavgifter på upp till 10 000 000 EUR eller, om det gäller ett företag, på upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. För vissa allvarligare överträdelser ska det påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter kan sanktionsavgifter påföras direkt med stöd av förordningens bestämmelser. Då inleds förfarandet av den behöriga tillsynsmyndigheten och sanktionsavgifterna utdöms sedan av behörig nationell domstol. Medlemsstaterna ska anmäla till kommissionen de bestämmelser i lagstiftning om sanktionsavgifter som de antar. Det bör noteras att varje medlemsstat får fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.
3.2.16. Dataskyddsförordningens förhållande till offentlighetslagstiftningen
Förhållandet mellan dataskyddsförordningen och medlemsstaternas offentlighetslagstiftning var under beredningen av förordningen en central fråga för de nordiska medlemsstaterna. Frågan om detta förhållande blev huvudsakligen hänvisat till närmare reglering i unionsrätten eller medlemsstaternas lagstiftning. Förordningen anger att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av (artikel 86). Således kan medlemsstaterna anta lagstiftning för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter enligt förordningen. Förordningens hänvisning i artikel 86 till offentliga myndigheter och organ avser samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar.
3.2.17. Dataskyddsförordningens ställning i andra centrala frågor
Medlemsstaterna ska i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande (artikel 85). När det gäller behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande ska medlemsstaterna fastställa undantag eller avvikelser från förordningens bestämmelser om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Medlemsstaterna får närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas (artikel 87). Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt förordningen.
Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden (artikel 88). Den här möjligheten gäller särskilt rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom. Mer specifika regler kan också antas när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter.
Det är möjligt med skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 89). Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Tillsynsmyndigheternas rätt att från personuppgiftsansvariga eller personuppgiftsbiträden få tillgång till personuppgifter och tillträde till lokaler kan komma i konflikt med regler för att skydda yrkesmässig eller annan motsvarande tystnadsplikt. Medlemsstaterna kan anta lagstiftning för att jämka samman rätten till skydd av personuppgifter med tystnadsplikten (artikel 90).
3.3 Dataskyddsreformen i Finland och Sverige
3.3.1. Finland
Justitieministeriet tillsatte i februari 2016 en arbetsgrupp för att bereda förslag i fråga om utnyttjandet av det nationella handlingsutrymmet samt för att i allmänhet se till att lagstiftningen överensstämmer med dataskyddsförordningen. Arbetsgruppen skulle bereda ett förslag till sådan allmän lagstiftning som eventuellt behövs i stället för rikets personuppgiftslag som upphävs. Arbetsgruppen skulle även bereda ett förslag om den nationella tillsynsmyndigheten samt fastställa riktlinjer för hur det nationella handlingsutrymmet i dataskyddsförordningen kan utnyttjas på ett ändamålsenligt sätt. Slutligen skulle arbetsgruppen samordna och bistå vid det lagberedningsarbete som utförs för att se över speciallagstiftningen om behandlingen om personuppgifter.
Arbetsgruppens betänkande offentliggjordes den 21 juni 2017.[10] Arbetsgruppen föreslår att rikets personuppgiftslag upphävs och att det stiftas en ny allmän lag om skydd för personuppgifter, dataskyddslagen, som preciserar och kompletterar dataskyddsförordningen. Dessutom föreslår arbetsgruppen vissa ändringar i strafflagen och lagen om verkställighet av böter. Dataskyddslagen och de andra lagändringarna föreslås träda i kraft den 25 maj 2018. Arbetsgruppen föreslår att bestämmelserna i dataskyddsförordningen ska tillämpas på ett heltäckande sätt också på sådan behandling av personuppgifter som inte faller under förordningens tillämpningsområde, om inte något annat föreskrivs i lag. När det gäller tillsynsmyndigheten föreslår arbetsgruppen att dataombudsmannen och dataombudsmannens byrå utvidgas till en dataskyddsmyndighet. Den nuvarande datasekretessnämnden dras in. I stället föreslår arbetsgruppen att dataskyddsmyndigheten ska ha en särskild påföljdsnämnd som fattar beslut i de viktigaste påföljdsärendena. Påföljdsnämnden skulle fatta beslut om att påföra administrativa sanktionsavgifter samt om att begränsa eller förbjuda behandlingen av personuppgifter. Arbetsgruppen konstaterar att det är viktigt att dataskyddsmyndigheten får tillräckliga resurser. Arbetsgruppen föreslår att straffrättsliga påföljder ska vara aktuella endast när administrativa sanktionsavgifter inte kan användas.
Arbetsgruppen har inte kunnat enas i vissa centrala frågor. Detta var fallet i fråga om dataskyddsmyndigheten ska kunna påföra offentliga myndigheter administrativa sanktionsavgifter. Arbetsgruppen lade inte heller fram ett enigt förslag om hur dataskydds- och offentlighetslagstiftningen ska samordnas. Till betänkandet har fogats vissa medlemmars förslag till ändring av lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999). När det gäller frågan om bestämmande av åldersgränsen för barn vid användandet av informationssamhällets tjänster har arbetsgruppen stannat för att invänta lösningar i andra medlemsstater. Arbetsgruppens förslag till proposition har anknytningar till reformarbete som pågår på olika områden. Till exempel bestäms inte i utkastet till dataskyddslag hur lagen förhåller sig till behandling av personuppgifter för arkivändamål av allmänt intresse. Denna fråga har hänvisats till beredning i en annan arbetsgrupp. Arbetsgruppen tar inte heller ställning till om och hur det stora antal specialbestämmelser om behandling av personuppgifter ska ändras. Enligt utredningar finns det omkring 600–700 riksförfattningar eller bestämmelser som på ett eller annat sätt gäller behandling av personuppgifter. Arbetsgruppen har i sitt betänkande angett riktlinjer för en revidering av dessa författningar. Till arbetsgruppens uppgifter hör att samordna detta arbete under gruppens mandatperiod som pågår till den 16 februari 2018.
Rikets regering lämnade den 1 mars 2018 en proposition till riksdagen innehållande förslag till dataskyddslag och lag om ändring av 38 kap. 9 § och 10 § i strafflagen (RP 9/2018 rd). Propositionen skiljer sig på vissa punkter väsentligen från det förslag som lades fram av arbetsgruppen. En av de största skillnaderna är att propositionen inte innehåller ett förslag till inrättande av en dataskyddsmyndighet utan dataombudsmannen och dataombudsmannens byrå ska kvarstå. I propositionen föreslås att administrativa sanktionsavgifter inte ska kunna påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli. Rikets regering föreslår att ett barn ska vara minst 13 år när informationssamhällets tjänster erbjuds direkt till barn, dvs. en åldersgräns som motsvarar förslaget i Sverige. Propositionen innehåller inte något detaljerat förslag till hur dataskydds- och offentlighetslagstiftningen ska samordnas, utan de gällande bestämmelserna i lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) kvarstår. Det bestämdes att behovet av ändring av rikets offentlighetslagstiftning bedöms separat.
I riket har beredningen av förslag till lagstiftning om skyddet av personuppgifter inom vissa sektorer framskridit fortare än ovan nämnda allmänna dataskyddslagstiftning som ska komplettera dataskyddsförordningen. I oktober 2017 har lämnats en proposition till riksdagen med förslag till lag om sekundär användning av personuppgifter inom social- och hälsovården (RP 159/2017). Syftet med propositionen är att skapa tidsenliga och enhetliga förutsättningar för att de kunduppgifter på personnivå som uppkommer i samband med serviceverksamheten inom social- och hälsovården samt andra personuppgifter som gäller hälsa och välfärd ska kunna användas för statistikföring, forskning, utvecklings- och innovationsverksamhet, undervisning, informationsledning, myndighetsstyrning och myndighetstillsyn samt för myndigheternas planerings- och utredningsuppgifter. Slutligen bör noteras att det i riket också pågår en beredning av rikslagstiftning för implementering av 2016 års dataskyddsdirektiv. Det ska stiftas en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt en ny lag om behandling av personuppgifter vid polismyndigheterna. Arbetsgrupper tillsattes i riket för att beredningen av dessa rikslagar. Landskapsregeringens avsikt är att i ett separat lagförslag föreslå att dessa rikslagar ska gälla inom landskapets behörighet med stöd av en blankettlag.
3.4.2. Sverige
I Sverige påbörjades ett omfattande utredningsarbete med anledning av dataskyddsreformen. Dataskyddsutredningen (Ju 2016:04) utgör den huvudsakliga utredningen och betänkandet från denna utredning offentliggjordes den 12 maj 2017 (SOU 2017:39). I betänkandet föreslås att personuppgiftslagen (SFS 1998:204) och personuppgiftsförordningen (SFS 1998:1191) ska upphävas och att de kompletterande bestämmelser som är av generell karaktär samlas i en ny övergripande lag och förordning om dataskydd. Den övergripande lagen skulle benämnas lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen skulle vara av subsidiär natur, dvs. särskilda bestämmelser i annan lagstiftning skulle ha företräde.
Bland förslagen i betänkandet kan följande lyftas fram. Det föreslås att dataskyddsförordningen ska gälla även i verksamhet som inte omfattas av unionsrätten, dvs. i princip samma lösning som föreslås i riket. När det gäller offentlighetslagstiftningens ställning föreslås en upplysningsbestämmelse som tydliggör att bestämmelserna i dataskyddsförordningen och i den föreslagna övergripande dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Förslaget skulle innebära att tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar kan fortsätta att tillämpas, även när det gäller allmänna handlingar som innehåller personuppgifter.
Den svenska utredningens förslag är att sänka åldersgränsen till 13 år för när ett barn själv ska kunna samtycka till behandling av personuppgifter vid erbjudandet av informationssamhällets tjänster, t.ex. sociala medier, söktjänster och s.k. appar för smarta enheter. För barn yngre än så krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne. Utredningen föreslår att Datainspektionen ska vara den myndighet som ska utöva tillsyn och övervaka att bestämmelserna i dataskyddsförordningen och den övergripande dataskyddslagen efterlevs. Det föreslås att Datainspektionen även ska kunna ta ut en administrativ sanktionsavgift av myndighet som bryter mot dataskyddsregleringen. Sanktionsavgifterna ska tillfalla staten. Regeringen i Sverige överlämnade den 15 februari 2018 förslaget till ny dataskyddslagstiftning som huvudsakligen motsvarar dataskyddsutredningens betänkande (prop. 2017/18:105). Regeringen föreslår att personuppgiftslagen upphävs och att en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning införs. Vidare föreslås att vissa bestämmelser i offentlighets- och sekretesslagen ändras.
När det gäller implementeringen i Sverige av 2016 års dataskyddsdirektiv så tillsattes en särskild utredning för att ta fram förslag till ny lagstiftning för polisens och andra brottsbekämpande myndigheters personuppgiftsbehandling. Den 5 april 2017 överlämnade utredningen ett delbetänkande (SOU 2017:29). Utredningen föreslår att direktivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen. Lagen skulle vara generellt tillämplig inom det område som direktivet reglerar och lagen skulle även vara subsidiär. De myndigheter som bedriver verksamhet inom lagens tillämpningsområde har i allmänhet särskilda registerförfattningar som reglerar personuppgiftsbehandlingen, dvs. dessa registerförfattningar skulle ha företräde. Bland de specifika förslagen kan nämnas att överträdelser av bestämmelserna om personuppgiftsbehandling i ramlagen inte ska straffsanktioneras. Det ska i stället införas en ny administrativ sanktion i form av sanktionsavgift som motsvarar vad som gäller vid överträdelse av bestämmelserna i dataskyddsförordningen. Tillsynsmyndigheten ska besluta om sanktionsavgift och sanktionsavgiften ska tillfalla staten.
Det har tillsatts många utredningar i Sverige som anknyter till dataskyddsreformen. Till exempel integritetskommittén (Ju 2014:09) ska kartlägga integritetsrisker som kan uppkomma vid användning av informationsteknik och behovet av att inrätta ett integritetsskyddsråd. En annan utredning (Ju 2016:G) ska analysera vilka författningsändringar som behövs i domstolsdatalagen och domstolsdataförordningen med anledning av dataskyddsförordningen. Ett annat exempel är utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03) ska bl.a. undersöka vilken reglering av personuppgiftsbehandling inom utbildningsområdet som är möjlig och kan behövas utöver dataskyddsförordningen.
4. Lagstiftningsbehörighet
4.1 Behörighetsfördelningen och skyddet av personuppgifter
Lagstiftningsbehörigheten i fråga om behandling av personuppgifter prövades i samband med att landskapet fick sin första lagstiftning om personregister för landskaps- och kommunalförvaltningen. Varken personregister eller dataskydd fanns angivet som ett särskilt lagstiftningsområde i den då gällande självstyrelselagen, vilket även är fallet i den gällande självstyrelselagen. Högsta domstolens prövning vid lagstiftningskontrollen gjordes i förhållande till ett landstingsbeslut enligt vilket i riket gällande personregisterlag och personregisterförordning skulle gälla i landskapet, dock enbart i förhållande till rättsområden inom den privata sektorn där landskapet hade lagstiftningsbehörighet. Högsta domstolen konstaterade i sitt beslut från den 27 juni 1991 att då personregisterlagen innehåller allmänna stadganden om personregister kommer den att beröra ett stort antal rättsområden. Högsta domstolen nämnde arbetsavtal, arbets- och bostadsförmedling samt, med vissa begränsningar, näringsrätten som exempel på områden inom landstingets behörighet som skulle komma att beröras av dessa allmänna stadganden om personregister. Landskapsregeringen tolkar högsta domstolens utlåtande så att landskapet har behörighet gällande skyddet av personuppgifter inom de rättsområden som landskapet annars också har behörighet inom enligt självstyrelselagen.
Omfattningen av landskapets behörighet gällande skyddet av personuppgifter bör även bedömas mot bakgrund av att skyddet av personuppgifter inom landskaps- och kommunalförvaltningen anses höra till de allmänna förvaltningsbestämmelserna i landskapslagstiftningen. Högsta domstolen har uttalat att det av landskapets autonoma ställning följer att rikets allmänna förvaltningsrättsliga procedurbestämmelser kan tillämpas på verksamhet hos landskapets myndigheter endast när de sköter förvaltningsuppgifter som hör till rikets behörighet (31.1.2003, OH 2002/107). I jämförelse med behörigheten gällande skyddet av personuppgifter inom landskaps- och kommunalförvaltningen är landskapets behörighet gällande skyddet av personuppgifter inom privat sektor mera begränsad. Men även i förhållande till privat sektor på Åland har landskapet behörighet att anta särbestämmelser om skyddet av personuppgifter, t.ex. inom ramen för landskapets behörighet över näringsverksamhet enligt 18 § 22 punkten i självstyrelselagen.
Högsta domstolens utlåtanden har också rört frågan hur konstitutionella bestämmelser begränsar landskapets behörighet gällande skyddet av personuppgifter. I sitt utlåtande av den 22 juni 1999 om landskapslagen om polisens grundregister konstaterade domstolen att i den mån det är fråga om det skydd för personuppgifter som avsågs i 8 § 1 mom. i regeringsformen hör lagstiftningsbehörigheten till riket. Landskapsregeringen tolkar utlåtandet så att landskapets behörighet på området för skydd av personuppgifter begränsas av konstitutionella bestämmelser, framförallt bestämmelserna om de grundläggande fri- och rättigheter som ingår i 2 kap. i grundlagen. Det i regeringsformen ingående skyddet för personuppgifter överfördes till 10 § 1 mom. i grundlagen.
I samband med lagstiftningskontrollen av gällande landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ansåg Ålandsdelegationen att landskapslagens 7 kap. om överföring av personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet i sin helhet faller inom rikets behörighetsområde med anledning av att 27 § 4 punkten i självstyrelselagen anger att förhållandet till utländska makter utgör riksbehörighet. Med anledning av senare utlåtanden från högsta domstolen kan denna kategoriska slutsats ifrågasättas.[11] Landskapsregeringen anser att överföring av personuppgifter till utlandet inte per definition kan anses utgöra förhållande till utländska makter enligt 27 § 4 punkten i självstyrelselagen. Landskapsregeringen anser att behörigheten enligt 27 § 4 punkten i självstyrelselagen främst ska avgränsas till mera formella och diplomatiska kontakter mellan stater.
4.2 Grundlagen och skyddet av personuppgifter
4.2.1. Skyddet av personuppgifter enligt grundlagen
Riket har enligt 27 § 1 punkten i självstyrelselagen lagstiftningsbehörighet i fråga om stiftande, ändring och upphävande av grundlag samt avvikelse från grundlag. Bestämmelsen har ansetts innefatta möjligheten för rikets grundlagsstiftare, utan medverkan av lagtinget, att begränsa den rättsordning som gäller och tillämpas i landskapet. Av dessa begränsningar är främst de grundläggande fri- och rättigheter som ingår i kapitel 2 i grundlagen betydelsefulla. Till exempel föreskriver 10 § 1 mom. i grundlagen att vars och ens privatliv, heder och hemfrid är tryggade. De grundläggande fri- och rättigheterna begränsar även den åländska lagstiftarens handlingsutrymme och i vissa fall förutsätter grundlagens bestämmelser om fri- och rättigheterna aktiva lagstiftningsåtgärder från lagstiftarens sida. Enligt 22 § i grundlagen ska det allmänna dessutom se till att de grundläggande fri- och rättigheterna och de mänskliga rättigheterna tillgodoses.
Grundlagens 10 § 1 mom. föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottets tolkningspraxis har baserat sig på att lagstiftarens handlingsutrymme begränsas både av den här bestämmelsen och av att skyddet för personuppgifter ingår i skyddet för privatlivet som tryggas i samma moment. Grundlagsutskottet har ansett att det är viktigt att reglera i lag åtminstone syftet med registrering av personuppgifter, innehållet i uppgifterna, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Regleringen på lagnivå ska dessutom vara täckande och detaljerad. Dessa synpunkter är överlag tillämpliga på regleringen av hur personuppgifter används (se främst GrUU 14/2009 rd, s. 2, GrUU 11/2008 rd, s. 3 och GrUU 51/2002 rd, s. 1).
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Exempelvis föranleder registreringen av biometriska kännetecken som anses utgöra känsliga uppgifter ett särskilt behov att se till att de personuppgifter som sparas i systemet blir skyddade mot risker för missbruk och mot alla slag av olaglig åtkomst och användning (GrUU 13/2017 rd, GrUU 29/2016 rd). Utskottet har särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 13/2017 rd och GrUU 3/2017 rd). När det gäller lagringen av personuppgifter har grundlagsutskottet ansett att varaktig lagring av uppgifter inte är förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 18/2016 rd, GrUU 54/2010 rd och GrUU 3/2009 rd). Information som delvis är oförändrad eller ändras långsamt och som inte uppdateras bara för att tiden gått och som behövs för att uppgifter ska kunna skötas kan enligt utskottets uppfattning lagras varaktigt (GrUU 54/2010 rd). Utskottet har framhållit att framför allt lagringstiden för känsliga uppgifter ska vara begränsad på så sätt att uppgifterna bara får finnas lagrade så länge det är nödvändigt för att fullfölja det syfte för vilket uppgifterna har registrerats (se t.ex. GrUU 13/2017 rd).
Grundlagsutskottet har konstaterat att grundlagsbestämmelsen om privatlivet och skyddet för personuppgifter bygger på antagandet att juridiska personer inte hör till bestämmelsens räckvidd (GrUU 4/2014 rd, s. 3). Dock har grundlagsutskottet i sin praxis hänvisat till att EU-domstolen har ansett att juridiska personer kan göra gällande rätten till skydd enligt artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna mot offentliggörande av sitt namn på en webbplats endast om angivandet av den juridiska personens firma medför att en eller flera fysiska personer identifieras.[12]
4.2.2. Grundlagen och dataskyddsförordningen
Grundlagsutskottet har ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (se GrUU 5/2017 rd, GrUU 38/2016 rd, GrUU 54/2010 rd). Grundlagsutskottet har nyligen uttalat sig mera allmänt om grundlagens förhållande till dataskyddsförordningen (GrUU 31/2017 rd). Utskottet hänvisade till att dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. Den är dock inte tillämplig i vissa undantagsfall som definieras särskilt och inte heller på sådan behandling av personuppgifter som utförs i anknytning till verksamhet som inte omfattas av EU-lagstiftningens räckvidd. I EU-domstolens vedertagna rättspraxis har EU-lagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se även GrUU 51/2014 rd).
Grundlagsutskottet hänvisade till att dataskyddsförordningen föreskriver om nationellt handlingsutrymme i vissa frågor. Det ingår inte i grundlagsutskottets konstitutionella uppdrag att bedöma regleringen av den nationella verkställigheten med avseende på den materiella EU-rätten. Enligt grundlagsutskottet är det ändå viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har framhållit att det därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, GrUU 2/2017 rd, GrUU 44/2016 rd).
4.2.3. Grundlagens skydd av personuppgifter och handlingars offentlighet
Artikel 86 i dataskyddsförordningen förutsätter att allmänhetens rätt att få tillgång till allmänna handlingar jämkas samman med rätten till skydd av personuppgifter i enlighet med denna förordning. Grundlagens bestämmelser begränsar och påverkar hur detta sammanjämkande kan ske i landskapets lagstiftning. Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Enligt förarbetena är tryggandet av en tillräcklig offentlighet en förutsättning för individens möjlighet att inverka på och delta i den samhälleliga verksamheten. Offentligheten är också en förutsättning för kritik och övervakning av maktutövningen och myndigheternas verksamhet (RP 309/1993, s. 62). Handlingars offentlighet är huvudregeln enligt 12 § 2 mom. i grundlagen. Å andra sidan är det uppenbart att man ibland måste avvika från offentlighet på grund av olika viktiga intressen. Skydd för privatlivet kan vara ett sådant viktigt intresse. Därför finns det ett lagförbehåll i bestämmelsen, som innebär att sekretessbestämmelser om handlingar och andra dokumenterade uppgifter som innehas av en myndighet uttryckligen ska ingå i en lag. De viktigaste sekretessbestämmelserna, som även personuppgifter kan omfattas av, finns i 9 § i landskapslagen om allmänna handlingars offentlighet.
Sekretess begränsar utlämnandet av uppgifter från en myndighet på ett tämligen kategoriskt sätt i förhållande till allmänheten. Myndigheternas utlämnande av personuppgifter som ingår i personregister kan emellertid vara föremål för andra begränsningar än sekretess. Dessa begränsningar ska enbart förhindra att personuppgifter till följd av den större offentligheten börjar registreras eller utsättas för annan datahantering i strid med bestämmelserna om skydd för personuppgifter. Dylika bestämmelser ingår i 15a § i landskapslagen om allmänna handlingars offentlighet. Motsvarande riksbestämmelse ingår i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999). Bestämmelserna utgår från att personuppgifter som ingår i personregister får lämnas ut ur en myndighets personregister om mottagaren har rätt att registrera och använda sådana personuppgifter enligt personuppgiftslagstiftningen. Sammanjämkandet av offentlighetsprincipen och skyddet av personuppgifter baserar sig främst på dessa bestämmelser, men de är av subsidiär natur och andra lagar kan innehålla specifika bestämmelser om utlämnandet av uppgifter ur myndigheternas personregister.
Grundlagsutskottet har prövat hur enskilda lagbestämmelser som ger myndighet rätt att få sekretessbelagd information av en annan myndighet förhåller sig till grundlagen. Prövningen har då gjorts i förhållande till skyddet för privatliv och personuppgifter enligt 10 § 1 mom. i grundlagen. Då rätten att få uppgifter går före sekretessbestämmelserna har utskottet brukat anse att det i sista hand är fråga om att den myndighet som har rätt till uppgifter genom sina egna behov åsidosätter de grunder och intressen som skyddas med den sekretess som gäller myndigheten som innehar uppgifterna (GrUU 14/2002 rd, se också GrUU 7/2000 rd och GrUU 7a/2000 rd). Ju mer generella lagbestämmelserna om en myndighets rätt till information är, desto större är risken att sådana intressen som sekretessen ska skydda kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till materiella villkor, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran mot de lagliga villkoren för utlämnandet. Om det i lagen inte finns en uttömmande förteckning över vilka sekretessbelagda uppgifter som kan ges till en annan myndighet, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (GrUU 14/2002 rd och GrUU 19/2008 rd). Å andra sidan har grundlagsutskottet ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, låt vara att den är knuten till nödvändighetskriteriet (GrUU 59/2010 rd).
4.3 Internationella förpliktelser och EU:s behörighet
4.3.1. Internationella konventioner
Enligt 27 § 4 punkten i självstyrelselagen har riket lagstiftningsbehörighet i fråga om förhållandet till utländska makter med beaktande av bestämmelserna i 9 och 9 a kap. I 9 kap. finns bestämmelser om internationella förpliktelser. I 59 § i självstyrelselagen föreskrivs om hur internationella förpliktelser träder i kraft i landskapet, både då den internationella bestämmelsen faller inom landskapets behörighet och då bestämmelsen står i strid med självstyrelselagen. Lagtinget har gett sitt bifall till att ett antal internationella bestämmelser som är relevanta i detta sammanhang träder i kraft i landskapet. Internationella förpliktelser som sattes i kraft inomstatligt före gällande självstyrelselag trädde i kraft blev gällande i landskapet i enlighet med bestämmelserna i tidigare självstyrelselagar.
I avsnitt 2.2 har redogjorts för de internationella konventioner och normer som har eller kan ha en inverkan på hur EU:s dataskyddsreform ska genomföras i landskapet. De förpliktelser som följer av denna internationella reglering begränsar hur landskapets behörighet kan utnyttjas vid genomförandet. Ålands landsting gav den 27 april 1990 sitt bifall till Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Lagtinget har gett sitt bifall till konventionen till skydd för enskilda vid automatisk databehandling av personuppgifter. Detta skedde den 25 september 1991. Lagtinget har också den 4 juni 2012 gett sitt bifall gällande tilläggsprotokollet om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter till konventionen.
4.3.2. EU-rätten
EU-rätten innefattar förpliktelser som är särskilt djupgående inom den åländska rättsordningen. EU-rätten baserar sig i sista hand på de internationella fördrag och förpliktelser som satts i kraft i landskapet enligt 59 § i självstyrelselagen. I samband med inträdet i EU erhöll Åland vissa undantag från EU-rätten och dessa ingår i det s.k. Ålandsprotokollet som har fogats till Finlands anslutningsfördrag. Lissabonfördraget är det senaste av EU:s grundläggande fördrag och Ålands lagting gav den 25 november 2009 sitt bifall till att fördraget träder i kraft på Åland. Lissabonfördraget ändrade i fördraget om Europeiska unionen (EU-fördraget) och fördraget om upprättandet av Europeiska gemenskapen (EG-fördraget). När Lissabonfördraget trädde i kraft bytte EG-fördraget namn till fördraget om unionens funktionssätt (EUF-fördraget).
EU:s institutioner kan anta bindande rättsakter med stöd av de grundläggande fördragen. Särskilt EUF-fördraget innehåller behörighet för EU:s institutioner att anta EU-rättsakter som är förpliktande för medlemsstaterna. Både 1995 års dataskyddsdirektiv, dataskyddsförordningen och 2016 års dataskyddsdirektiv utgör sådana rättsakter gällande personuppgifter som antagits med stöd av behörighet som medlemsstaterna överfört åt EU:s institutioner. Både dataskyddsförordningen och 2016 års dataskyddsdirektiv antogs med stöd av artikel 16 i EUF-fördraget. Principen om EU-rättens företräde innebär att medlemsstaternas domstolar och myndigheter är förhindrade att tolka en bestämmelse som har beslutats på EU-nivå på ett sätt som ändrar dess innehåll eller effekt och att de är bundna av EU-domstolens tolkning av EU-rätten.
5. Landskapsregeringens överväganden
5.1 Rättsliga utgångspunkter
Landskapsregeringens överväganden om hur EU:s dataskyddsreform ska genomföras på Åland utgår från landskapets lagstiftningsbehörighet. Fördelningen av behörigheten påverkar bedömningen av hur landskapets behörighet ska utnyttjas på ett ändamålsenligt sätt. Landskapet har lagstiftningsbehörighet gällande skyddet för personuppgifter inom de rättsområden som landskapet annars också har behörighet över enligt 18 § i självstyrelselagen, dvs. behörigheten att skydda personuppgifter följer landskapets materiella lagstiftningsbehörighet (se avsnitt 4.1). Handlingsutrymmet vid utnyttjandet av lagstiftningsbehörigheten begränsas också av relevanta bestämmelser i grundlagen, särskilt de grundläggande fri- och rättigheterna, och de internationella förpliktelser som gäller skyddet av personuppgifter (se avsnitt 4.2 och 4.3). En väsentlig förändring vid genomförandet av EU:s dataskyddsreform i landskapslagslagstiftningen är att dataskyddsförordningen är direkt tillämplig, dvs. till skillnad från 1995 års dataskyddsdirektiv ska de flesta bestämmelser i förordningen tillämpas som sådana i landskapet. I en kartläggning som har fogats till betänkandet från rikets arbetsgrupp om dataskyddsförordningen har följande artiklar i dataskyddsförordningen ansetts vara direkt tillämpliga i sin helhet: artiklarna 1, 2, 5, 7, 11, 13, 20, 24, 25, 27, 30, 31, 33, 39–42, 44, 45, 47, 48, 50–53, 55, 56, 60–76, 77, 81, 82 och 92–99.
Även om dataskyddsförordningen är direkt tillämplig på Åland förutsätter en fullständig tillämpning av förordningen att det antas ytterligare landskapslagstiftning. En grundläggande förutsättning för tillämpningen av dataskyddsförordningen är att det i landskapslagstiftning föreskrivs om inrättandet på Åland av den tillsynsmyndighet som det föreskrivs om i artikel 54 i dataskyddsförordningen. Ett sådant krav på landskapslagstiftning följer också av 2 § 3 mom. i grundlagen som föreskriver att all utövning av offentlig makt ska bygga på lag. Grundlagsutskottet har särskilt i samband med bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna ansett det nödvändigt att den behöriga myndigheten entydigt framgår av lagen eller annars exakt eller att åtminstone principerna för myndigheternas behörighetsförhållanden och villkoren för delegering av behörighet framgår tillräckligt exakt av lagen (t.ex. GrUU 9/2014 rd, s. 3, GrUU 3/2014 rd, s. 4, GrUU 32/2012 rd, s. 6 och GrUU 2/2012 rd, s. 3).
Dataskyddsförordningen innehåller enskilda bestämmelser som direkt eller indirekt förutsätter antagandet av landskapslagstiftning. I den kartläggning som fogats till betänkandet från rikets arbetsgrupp om dataskyddsförordningen har följande artiklar i dataskyddsförordningen ansetts innehålla förpliktelser att anta nationell lagstiftning: artiklarna 38, 43, 51, 52, 53, 54, 58, 78, 79, 80, 83, 84 och 85. I de fall då dylika skyldigheter att anta nationell lagstiftning faller inom landskapets behörighet ska i landskapslagstiftning föreskrivas om sådant som förordningen förpliktar medlemsstaterna att införa i sin lagstiftning. Dataskyddsförordningen innehåller också ett omfattande handlingsutrymme för hur undantag från enskilda bestämmelser i förordningen ska förverkligas eller hur förordningens bestämmelser ska preciseras i lagstiftning. Dataskyddsförordningen innehåller tiotals sådana möjligheter för medlemsstaterna att utnyttja undantag från eller preciseringar av förordningens förpliktelser. Till den del dessa faller inom ramen för landskapets behörighet ska bedömas om detta handlingsutrymme ska utnyttjas i landskapet och i så fall hur specifika bestämmelser i landskapslag ska utformas. I den kartläggning som fogats till betänkandet från rikets arbetsgrupp har följande artiklar i dataskyddsförordningen ansetts innehålla befogenhet att anta kompletterande nationell lagstiftning: artiklarna 4, 6, 8, 9, 10, 12–23, 26, 28, 29, 32, 34–37, 46, 49, 57–59, 80, 83 och 86–91.
Till skillnad från dataskyddsförordningen är 2016 års dataskyddsdirektiv ett traditionellt EU-direktiv. Detta innebär att dataskyddet i samband med brottsbekämpande myndigheters behandling av personuppgifter ska förverkligas genom antagandet av lagstiftning inom medlemsstaterna. Dataskyddsdirektivet från 2016 berör främst Ålands polismyndighet och i dagsläget har skyddet av personuppgifter vid myndigheten förverkligats genom blankettlagstiftning. Landskapsregeringens ursprungliga avsikt var att samtliga lagstiftningsbehov som föranleds av EU:s dataskyddsreform samlas i ett enda lagförslag. Främst på grund av tidtabellerna för beredningen av rikslagstiftning kommer landskapsregeringen att i ett senare skede överlämna till Ålands lagting ett lagförslag innehållande förslag till blankettlagstiftning. Dock bedöms redan i detta sammanhang vilken allmän lagstiftningsmodell som ska användas vid genomförandet av EU:s dataskyddsreform i sin helhet.
5.2 En ändamålsenlig lagstiftningsmodell för dataskyddet på Åland
Till grund för förslaget till ny åländsk dataskyddslagstiftning bör ligga en övergripande lagstiftningsmodell som ska bilda en både praktiskt och teoretiskt fungerande rättslig ram för skyddet av personuppgifter i landskapet. Nuvarande lagstiftningsmodell består i huvudsak av en allmän landskapslag om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och en blankettlag om behandlingen av personuppgifter inom Ålands polismyndighet och övriga områden inom landskapets behörighet. Därtill finns bestämmelser om behandlingen av personuppgifter i enskilda landskapslagar. Datainspektionen ansvarar för tillsynen i förhållande till landskaps- och kommunalförvaltningen medan landskapsregeringen är tillsynsmyndighet enligt blankettlagen. Orsakerna till nuvarande lagstiftningsmodell är flera.
Om skyddet av personuppgifter inom landskaps- och kommunalförvaltningen föreskrivs genom lagstiftning som är självständig till sitt materiella innehåll, dvs. det handlar inte om en blankettlag som gör rikets personuppgiftslag gällande vid behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Orsaken till denna lösning verkar ändå inte ha varit ett särskilt framträdande behov av att landskapet i ett materiellt avseende ska ha självständiga bestämmelser. Det kan också noteras att 1995 års dataskyddsdirektiv inte har medgivit ett särdeles stort handlingsutrymme vid implementeringen inom medlemsstaterna. Den huvudsakliga orsaken till nuvarande lagstiftningsmodell inom landskaps- och kommunalförvaltningen verkar ha varit att det på principiella och självstyrelsepolitiska grunder inte ansågs motiverat att befogenheterna för riksmyndigheter skulle utsträckas till självstyrelsens och kommunernas förvaltningsorgan (framst. nr 8/2003–2004). En annan bidragande orsak kan ha varit att personuppgiftsreglerna är en del av landskapets allmänna förvaltningsbestämmelser som traditionellt inte har varit av blankettnatur. Landskapets lagstiftning om personuppgifter har varit särskilt nära förknippad med offentlighetslagstiftningen. All väsentlig landskapslagstiftning om personuppgifter som gällde före 2008 fanns i landskapslagen om allmänna handlingars offentlighet.
Diskussionen då förslaget till nuvarande landskapslagstiftning om skyddet av personuppgifter behandlades gällde också om landskapets myndigheter i förlängningen skulle överlåta tillsynen av personuppgiftslagstiftningen åt rikets tillsynsmyndighet. Svaret på denna fråga var nekande. I samband med lagtingsbehandlingen av förslaget till gällande landskapslagstiftning hänvisade lagutskottet visserligen till att lagutskottet i slutet av 1990-talet ansett att riksmyndigheterna, dataombudsmannen och datasekretessnämnden, genom bestämmelse i överenskommelseförordning skulle kunna utöva tillsynen över personuppgiftslagstiftningen även till de delar som lyder under landskapets behörighet. Lagutskottet gjorde ändå bedömningen att en särskild tillsynsmyndighet bör inrättas i landskapet, men ansåg att det fanns orsak att granska vilka möjligheter den planerade åländska myndigheten hade att samarbeta med motsvarande myndigheter utanför landskapet (lagutskottets betänkande nr 10/2006–2007).
Blankettlagstiftning kan vara ändamålsenlig om behörigheten inom ett rättsområde är delad eller om det rör sig om teknisk reglering där mervärdet av egna bestämmelser är marginell. Blankettlagstiftning har använts vid antagandet av landskapslagstiftning om skyddet av personuppgifter vid Ålands polismyndighet. Den polisiära verksamheten är av en särskild natur och behörigheten är delad inom rättsområdet. Rikslagstiftningen, inklusive riksbestämmelser om skyddet av personuppgifter, är tillämplig vid polismyndigheten i en mycket stor omfattning. Därför var det ändamålsenligt att skyddet av personuppgifter gjordes enhetligt vid polismyndigheten så att lagen om behandling av personuppgifter i polisens verksamhet (FFS 761/2003) även gäller för områden inom landskapets behörighet. Ett liknande resonemang torde ha legat till grund för att blankettlag också utnyttjades i samband med implementering av 1995 års dataskyddsdirektiv inom de av landskapets behörighetsområden som varken rör skyddet av personuppgifter inom polismyndigheten eller landskaps- och kommunalförvaltningen. Landskapets behörighet gällande skyddet av personuppgifter inom den privat sektorn och i förhållande till privata aktörer är inte särdeles omfattande i dagsläget. Dock är det inte ändamålsenligt eller rättssäkert att skyddet av personuppgifter varierar då privata aktörer behandlar personuppgifter, beroende på om landskapets eller rikets behörighetsområden berörs.
Grundläggande förändringar i EU-lagstiftningen om dataskydd kan ge upphov till ett behov av att avvika från den allmänna struktur som nuvarande landskapslagstiftning om skyddet av personuppgifter bygger på. Till sin substans delas EU-lagstiftningen om dataskydd fortsättningsvis upp i ett allmänt regelverk om skyddet av personuppgifter och särskilda regler i ett direktiv riktat till brottsbekämpande myndigheter. EU:s dataskyddsreform medför den principiella förändringen att en direkt tillämplig dataskyddsförordning tas i bruk. Dataskyddsförordningen är inte en traditionell EU-förordning eftersom den förpliktar eller tillåter medlemsstaterna att anta kompletterande lagstiftning i en stor omfattning. Detta är särskilt framträdande i samband med bestämmelser i dataskyddsförordningen som riktar sig till den offentliga sektorn. Tillämpningen av dataskyddsförordningen inom landskapets behörighet förutsätter att det antas kompletterande landskapslagstiftning. Således är förändringarna inom EU-lagstiftningen om dataskydd trots allt inte av grundläggande karaktär. Dock utvidgas EU-regleringen om dataskydd märkbart.
Landskapsregeringen anser att det inte finns orsak att avvika från den allmänna struktur som nuvarande landskapslagstiftning om skyddet av personuppgifter bygger på. Landskapsregeringen anser att landskapslagstiftningen om skyddet av personuppgifter ska bestå av följande tre huvudsakliga delar:
a) En allmän landskapslag som kompletterar dataskyddsförordningens bestämmelser och som tillämpas inom landskaps- och kommunalförvaltningen.
b) Skyddet av personuppgifter utanför landskaps- och kommunalförvaltningen samt inom Ålands polismyndighet bör fortsättningsvis vara enhetligt och rikslagstiftning bör också tillämpas inom landskapets behörighet med stöd av blankettlagstiftning.
c) I dagens läge finns bestämmelser om skyddet av personuppgifter i landskapets speciallagstiftning. Dessa bestämmelser bör ses över så att de är förenliga med dataskyddsförordningen och annan dataskyddslagstiftning.
En särskild fråga som uppstår vid tillämpningen av dataskyddsförordningen är hur det rättsliga skyddet för personuppgifter ska ordnas till den del behandlingen av personuppgifter faller utanför dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen gäller enbart inom unionens behörighet. Av 10 § 1 mom. i grundlagen följer emellertid en allmän skyldighet för lagstiftaren att utfärda närmare bestämmelser om skydd för personuppgifter genom lag, också utanför unionens behörighet. Det är inte alltid uppenbart eller klart när en viss verksamhet omfattas av EU-rätten. Detta talar för att det inte ska finnas olika standarder för skyddet av personuppgifter beroende på om behandlingen av personuppgifter faller inom eller utanför unionens behörighet. Med beaktande av detta anser landskapsregeringen att landskapslagstiftningen bör utformas så att skyddet för personuppgifter inom landskapets behörighet men utanför unionens behörighet ska motsvara eller i stor grad samordnas med skyddet av personuppgifter enligt dataskyddsförordningen.
5.3 Tillsynsfunktionen
Tillsynsfunktionen är en mycket central del av dataskyddslagstiftningen. En förutsättning för att skyddet av personuppgifter tryggas i praktiken är att tillsynsfunktionen har organiserats på ett ändamålsenligt sätt. Självstyrelsesystemet utgår från att förvaltningsbehörigheten följer lagstiftningsbehörigheten. Detta betyder att landskapet ansvarar för den tillsyn som EU-lagstiftningen föreskriver inom landskapets behörighet. I dagens läge ansvarar Datainspektionen för tillsynen i förhållande till landskaps- och kommunalförvaltningen medan landskapsregeringen är tillsynsmyndighet enligt blankettlagen. I dagsläget finns en tjänsteman vid Datainspektionen. Dataskyddsförordningen innebär flertalet nya uppgifter för tillsynsmyndigheten. Till exempel upprättar dataskyddsförordningen ett obligatoriskt samarbete mellan tillsynsmyndigheterna inom EU samt nya krav på konsekvensbedömningar.
Enligt slutsatserna i avsnitt 5.2 finns inte vägande orsaker att avvika från den allmänna struktur som nuvarande landskapslagstiftning om skyddet av personuppgifter bygger på. Landskapsregeringen anser att tillsynen gällande dataskyddet inom landskaps- och kommunalförvaltningen även i fortsättningen bör skötas av en oberoende landskapsmyndighet. Detta skulle innebära att Datainspektionen utses att vara ansvarig för tillsynen över dataskyddet inom landskaps- och kommunalförvaltningen. Artikel 54 i dataskyddsförordningen förutsätter att det fastställs regler i lag för inrättandet av en tillsynsmyndighet. Landskapsregeringens förslag utgår från att i sak till stor del behålla nuvarande bestämmelser om Datainspektionen, dock så att bestämmelserna anpassas till de krav som följer av dataskyddsförordningen. Dataskyddsförordningen medför vissa förändringar, t.ex. så att anställda som utövar tillsynsmyndighetens befogenheter får utnämnas enbart för viss tid. Bestämmelserna om Datainspektionen ska inte mera ingå i en särskild landskapslag utan bestämmelserna förs in i ett särskilt tredje kapitel i den allmänna landskapslag som ska komplettera dataskyddsförordningen. Detta motiveras med att den allmänna landskapslagen till sin struktur och sitt innehåll bör följa dataskyddsförordningens struktur. Det måste också säkerställas att Datainspektionen har tillräckliga resurser för att klara av de uppgifter som följer av dataskyddsförordningen.
I dagsläget har tillsynen inom ramen för den blankettlag som gäller behandlingen av personuppgifter vid Ålands polismyndighet och utanför landskaps- och kommunalförvaltningen organiserats så att den ska skötas av landskapsregeringen. Landskapsregeringen anser att det finns orsak att ändra på hur tillsynen är organiserad. Den främsta orsaken till denna slutsats är att både dataskyddsförordningen och 2016 års dataskyddsdirektiv ställer krav på fullständigt oberoende vid utförandet av myndighetens uppgifter. Landskapsregeringens roll som tillsynsmyndighet torde inte vara förenlig med hur EU-domstolen har tolkat begreppet fullständigt oberoende i 1995 års dataskyddsdirektiv.[13] Tillsynsmyndigheten får varken begära eller ta emot instruktioner av någon. Tillsynen kunde antingen överföras på en fullständigt oberoende tillsynsmyndighet i landskapet, dvs. i praktiken Datainspektionen, eller på den riksmyndighet som utövar tillsyn över dataskyddslagstiftningen. Landskapsregeringen anser att det senare alternativet är att föredra eftersom Datainspektionens övertagande av tillsyn inom privat sektor och inom polismyndigheten skulle medföra oskäliga krav på resurser och kompetens inom Datainspektionen. Överlåtandet av tillsynsbefogenheter till riksmyndighet förutsätter antagandet av en överenskommelseförordning. Landskapsregeringen har fört förberedande diskussioner med justitieministeriet om ett sådant överlåtande av tillsynsfunktionen.
5.4 Utnyttjandet av handlingsutrymmet i dataskyddsförordningen
Enligt övervägandena i avsnitt 5.2 föreslår landskapsregeringen att 2016 års dataskyddsdirektiv genomförs inom landskapets behörighet så att rikets lagstiftning om skyddet av personuppgifter görs tillämplig med stöd av blankettlag. Syftet med det separata lagförslag som kommer att lämnas i ett senare skede är att skyddet av personuppgifter inom Ålands polismyndighet ska vara enhetligt, oberoende av om sakfrågan faller inom landskapets eller rikets behörighet. Därför är frågan om hur handlingsutrymmet i direktivet ska utnyttjas i enskilda sakfrågor av mindre betydelse. Samma strävan efter ett enhetligt skydd av personuppgifter ligger till grund för att blankettlag ska göra rikslagstiftningen om dataskydd gällande till den del landskapet har behörighet över behandling av personuppgifter inom den privata sektorn. I blankettlagen behöver främst ingå anpassande bestämmelser som är nödvändiga för den ändamålsenliga tillämpningen av rikslagstiftningen i landskapet.
Det förhåller sig annorlunda vid utformandet av den landskapslagstiftning som ska komplettera dataskyddsförordningen och som ska tillämpas i samband med behandling av personuppgifter inom landskaps- och kommunalförvaltningen. I avsnitt 5.1 har framkommit att ett stort antal bestämmelser i dataskyddsförordningen förutsätter eller möjliggör lagstiftningsåtgärder inom medlemsstaterna. Merparten av bestämmelserna som tillåter ett sådant handlingsutrymme gäller behandlingen av personuppgifter inom offentlig sektor, endast ett fåtal bestämmelser gäller behandlingen av personuppgifter inom privat sektor. Endast vissa av dataskyddsförordningens bestämmelser som innehåller ett handlingsutrymme faller inom rikets behörighet, t.ex. artiklarna 78 och 79 i dataskyddsförordningen om rätten till effektiva rättsmedel. De flesta bestämmelser i dataskyddsförordningen gäller behandling av personuppgifter inom landskapets behörighet.
Här redogörs enbart för hur dataskyddsförordningens centrala handlingsutrymme som rör behandlingen av personuppgifter inom landskapets behörighet föreslås bli utnyttjat i landskapslagstiftningen. Ur detaljmotiveringen framgår mera specifikt hur de enskilda förslagen förhåller sig till relevant artikel i dataskyddsförordningen. Dataskyddsförordningens andra kapitel (artiklarna 5–11) innehåller bestämmelser om principer. Artikel 5 föreskriver om grundläggande principer för behandlingen av personuppgifter. Bestämmelsen är central för all behandling av personuppgifter, men den är direkt tillämplig och ska tillämpas som sådan. Den första förutsättningen enligt artikel 5.1 a för behandling av personuppgifter är att personuppgifterna ska behandlas på ett lagligt sätt. I det andra kapitlets senare bestämmelser, särskilt artiklarna 6 och 9, föreskrivs när en behandling är laglig. I anslutning till dessa bestämmelser finns ett handlingsutrymme som möjliggör att det definieras i nationell rätt när en behandling av personuppgifter är laglig. Lagförslaget utgår från att den allmänna landskapslag som ska komplettera dataskyddsförordningen ska innehålla ett särskilt andra kapitel om hur detta handlingsutrymme utnyttjas i samband med behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Därtill kan det vid behov föreskrivas om särskilda grunder för behandling av personuppgifter i speciallagstiftning som kompletterar dataskyddsförordningens bestämmelser.
Artikel 6.1 a-f i dataskyddsförordningen innehåller grunder för laglig behandling. Flera grunder kan vara tillämpliga med avseende på en och samma behandling och de flesta grunder är direkt tillämpliga. Den omständigheten att behandlingen är laglig enligt någon av grunderna i artikel 6.1 i dataskyddsförordningen innebär inte att behandlingen kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, t.ex. de grundläggande principer som ingår i artikel 5. Tillämpningen av den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. Landskapsregeringen föreslår en särskild bestämmelse om tillämpningen av artikel 6.1 c och e i den allmänna landskapslag som ska komplettera dataskyddsförordningen. Artikel 6.1 e är alldeles central för behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen eftersom den tillämpas då behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Landskapsregeringen anser att bestämmelsen bör tolkas så att myndigheterna inom landskaps- och kommunalförvaltningen kan med stöd av artikel 6.1 e behandla personuppgifter under förutsättning att uppgifterna som behandlingen ansluter sig till grundar sig på lag.
Även dataskyddsförordningens bestämmelser gällande behandlingen av s.k. känsliga personuppgifter är förknippade med möjligheter till lagstiftningsåtgärder inom medlemsstaterna. Enligt artikel 9.1 i dataskyddsförordningen är behandlingen av känsliga personuppgifter i princip förbjuden. Men detta förbud ska inte tillämpas om någon av grunderna i artikel 9.2 a-j är tillämplig. Tillämpningen av vissa grunder förutsätter att det antas kompletterande landskapslagstiftning, bl.a. om lämpliga skyddsåtgärder. I detta syfte föreslår landskapsregeringen specifika bestämmelser i den allmänna landskapslag som kompletterar dataskyddsförordningen. Dessa ska gälla behandlingen av känsliga personuppgifter som avser arbetsrätten och social trygghet, ett viktigt allmänt intresse, hälso- och sjukvård, social omsorg samt vetenskaplig och historisk forskning. Enligt förslaget ska bestämmelserna om utnyttjandet av undantagen gällande behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse och för statistiska ändamål ingå i arkivlagen för landskapet Åland respektive statistiklagen för landskapet Åland.
När det gäller utnyttjandet av det handlingsutrymme som ingår i dataskyddsförordningens åttonde kapitel om rättsmedel, ansvar och sanktioner är de administrativa sanktionsavgifterna av särskilt intresse. Dataskyddsförordningen föreskriver att tillsynsmyndigheten kan besluta att ett företag som bryter mot reglerna i förordningen ska påföras en administrativ sanktionsavgift. Artikel 83.7 i dataskyddsförordningen anger att varje medlemsstat får fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Landskapsregeringen anser att myndigheter inom landskaps- och kommunalförvaltningen bör undantas från möjligheten att bli föremål för sanktionsavgifter. Tillsynsmyndighetens övriga befogenheter att vidta åtgärder enligt dataskyddsförordningen vid misstänkt olaglig behandling är tillräckliga. Olaglig behandling av personuppgifter inom landskapsregeringen ska fortsättningsvis kunna aktualisera ett straffrättsligt ansvar och till denna del föreslår landskapsregeringen en särskild bestämmelse om dataskyddsbrott. Därtill kan konstateras att myndigheternas skadeståndsansvar enligt skadeståndslagen kan bli aktuellt. Myndigheternas behandling av personuppgifter kan även bli föremål för justitiekanslerns och justitieombudsmannens allmänna laglighetsövervakning. Landskapsregeringen föreslår att det fjärde kapitlet i den allmänna landskapslag som ska komplettera dataskyddsförordningen ska innehålla bestämmelser om rättsmedel, ansvar och sanktioner.
Det finns även ett omfattande handlingsutrymme i dataskyddsförordningens nionde kapitel om särskilda behandlingssituationer. Vissa av bestämmelserna möjliggör undantag från enbart specifikt uppräknade artiklar i dataskyddsförordningen medan andra bestämmelser möjliggör undantag för ett mera generellt syfte. Landskapsregeringens förslag bygger på att handlingsutrymmet ska utnyttjas i så stor utsträckning som möjligt. Enligt förslaget ska det femte kapitlet i den allmänna landskapslag som kompletterar dataskyddsförordningen innehålla bestämmelser om behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål (artikel 85 i dataskyddsförordningen), behandling av personbeteckning (artikel 87) samt undantag och skyddsåtgärder som gäller behandling för vetenskaplig och historisk forskning (artikel 89). När det gäller de undantag som möjliggörs gällande behandling för arkivändamål av allmänt intresse och statistikföring (artikel 89) föreslår landskapsregeringen bestämmelser i arkivlagen för landskapet Åland och statistiklagen för landskapet Åland. Om sammanjämkandet av allmänhetens rätt att få tillgång till allmänna handlingar och rätten till skydd av personuppgifter föreslår landskapsregeringen bestämmelser i landskapslagen om allmänna handlingars offentlighet (se avsnitt 5.5 nedan).
Dataskyddsförordningen innehåller ett handlingsutrymme då s.k. informationssamhällets tjänster erbjuds till barn. Artikel 8.1 i dataskyddsförordningen tillåter att en lägre åldersgräns än 16 år, dock inte lägre än 13 år, föreskrivs i medlemsstaternas nationella rätt. Det bör noteras att det nationella handlingsutrymmet begränsas till tillämpningen av artikel 6.1 a i dataskyddsförordningen, dvs. då behandlingen av personuppgifter stöder sig på samtycke från den registrerade. Behandlingen av barns personuppgifter hos personuppgiftsansvariga kan också stöda sig på andra bestämmelser i dataskyddsförordningen, t.ex. artikel 6.1 e som anknyter till uppgifter som utförs i allmänt intresse eller i samband med myndighetsutövning. Enligt artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 utgör informationssamhällets tjänster sådana tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Det torde vara avsevärt mera vanligt att kommersiella aktörer erbjuder dylika informationssamhällets tjänster på internet, men det kan inte uteslutas att också myndigheter erbjuder tjänster som omfattas av definitionen.
Å ena sidan har barn ett behov av skydd då ovan nämnda tjänster erbjuds på internet. Till exempel föreskriver 11 § i förvaltningslagen att en minderårig som har fyllt femton år och hans eller hennes vårdnadshavare eller någon annan laglig företrädare har rätt att var för sig föra talan i ett ärende som gäller den minderårigas person eller personliga fördel eller rätt. Detta kunde tala för en åldersgräns på 15 år. Å andra sidan har barn också ett behov av att informera sig och yttra sig. Ju äldre barnet blir, desto mindre blir dess behov av skydd och desto större tyngd ska tillmätas rätten till yttrande- och informationsfrihet. Det bör också noteras att studier visat att långt över majoriteten av barn mellan 13 och 16 år redan har ett konto på sociala media. Ytterligare bör det beaktas att åldersgränsen i riket och Sverige föreslås vara 13 år. Landskapets behörighet att fastställa den åldersgräns som avses i artikel 8 i dataskyddsförordningen omfattar i praktiken endast sådana eventuella tjänster som myndigheter inom landskaps- och kommunalförvaltningen erbjuder barn. Sammantaget föreslår landskapsregeringen att informationssamhällets tjänster som personuppgiftsansvariga, dvs. i detta fall myndigheter inom landskaps- och kommunalförvaltningen, erbjuder barn enligt artikel 6.1 a i dataskyddsförordningen ska vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten vid tillämpningen av artikel 6.1 a i dataskyddsförordningen endast om och i den mån samtycke eller fullmakt ges av den person som har föräldraansvar för barnet.
Landskapsregeringens förslag till landskapslagstiftning som kompletterar dataskyddsförordningen utgår från att den bestämmelse i landskapslagstiftningen som föreskriver om utnyttjandet av ett visst handlingsutrymme enligt dataskyddsförordningen ska hänvisa till relevant bestämmelse i dataskyddsförordningen. Detta är nödvändigt så att den som tillämpar eller läser dataskyddsförordningens bestämmelser vet vilken eller vilka av landskapslagens bestämmelser som kompletterar eller preciserar en viss bestämmelse i dataskyddsförordningen. Vissa av de föreslagna bestämmelserna i landskapslag hänvisar också till dataskyddsförordningens direkt tillämpliga bestämmelser. I skäl 8 till dataskyddsförordningen framgår att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. Slutligen kan konstateras att vissa av bestämmelserna i dataskyddsförordningen inte är entydiga, t.ex. blir det i viss mån oklart med vilken grad av tydlighet uppgifter av allmänt intresse eller myndighetsutövning behöver framgå ur landskapslagstiftningen. Tillämpnings- och tillsynspraxis som utformas efter att dataskyddsförordningen börjar tillämpas torde klargöra denna typ av frågeställningar. EU-domstolen är den slutliga uttolkaren av dataskyddsförordningens bestämmelser.
5.5 Dataskyddet och allmänna handlingars offentlighet
Under beredningen av dataskyddsförordningen har tryggandet av offentlighetsprincipen varit en central fråga i de nordiska medlemsstaterna. Enligt artikel 86 i dataskyddsförordningen ska allmänhetens rätt att få tillgång till allmänna handlingar jämkas samman med rätten till skydd av personuppgifter i enlighet med förordningen. I dagsläget behandlas frågan om förhållandet mellan offentlighetslagstiftningen och lagstiftningen om personuppgifter i kapitel 3a i landskapslagen om allmänna handlingars offentlighet. Enligt landskapslagens 15a § 1 mom. får personuppgifter som ingår i personregister lämnas ut i form av en kopia, en utskrift eller i elektronisk form om inte något annat är föreskrivet i lag och om mottagaren har rätt att registrera och använda sådana personuppgifter enligt bestämmelserna om behandling av personuppgifter. Bestämmelsen är av subsidiär karaktär och i enskilda landskapslagar finns bestämmelser om lämnande av uppgifter ur register som får företräde, t.ex. i 67 § i körkortslagen (2015:88) för Åland.
Landskapsregeringen anser att den grundregel som framgår ur 15 § 1 mom. i landskapslagen om allmänna handlingars offentlighet även i fortsättningen ska vara utgångspunkten för hur rätten att få tillgång till allmänna handlingar jämkas samman med rätten till skydd av personuppgifter. Landskapsregeringen föreslår att paragrafen justeras för att beakta dataskyddsreformen och utvecklingen i övrigt. Den centrala begränsningen vid utlämnandet av personuppgifter som ingår i allmänna handlingar ska fortsättningsvis vara att mottagaren av personuppgifterna har en rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. Syftet med denna begränsning är att förhindra att personuppgifter begärs ut med stöd av offentlighetslagstiftningen för att sedan bli föremål för behandling som står i strid med dataskyddslagstiftningen. Framförallt dataskyddsförordningen föreskriver vem som har rätt att behandla personuppgifter och för vilka syften. Tillämpningen av kravet kan förutsätta att myndigheten utreder i vilket syfte de personuppgifter som är föremål för begäran om utlämnande ska användas.
Om mottagaren inte har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen ska den allmänna handlingen eller uppgifter i denna lämnas ut till den del detta kan göras utan att personuppgifter ingår. I vissa fall kan avlägsnandet av personuppgifterna vara tekniskt omöjligt eller förutsätta oproportionella arbetsinsatser eller investeringar från myndighetens sida. Slutligen bör noteras att varken allmänna handlingar eller personuppgifter som ingår i dessa kan lämnas ut om detta skulle strida mot sekretessbestämmelser, t.ex. 9 § i landskapslagen om allmänna handlingars offentlighet. Nuvarande reglering om att personuppgifter för direkt marknadsföring och för marknads- och opinionsundersökningar endast kan lämnas ut om så bestäms särskilt eller om den registrerade har samtyckt bör kvarstå.
6. Landskapsregeringens förslag
EU:s dataskyddsreform medför att dataskyddsförordningen och 2016 års dataskyddsdirektiv ska genomföras och beaktas i landskapslagstiftningen. Dataskyddsförordningen kommer att tillämpas från och med den 25 maj 2018 medan dataskyddsdirektivet ska genomföras i medlemsstaternas lagstiftning senast den 6 maj 2018. Även om dataskyddsförordningen är direkt tillämplig på Åland möjliggör och, i vissa fall, förutsätter förordningen att det antas kompletterande landskapslagstiftning. Tillämpningen av dataskyddsförordningen medför ett behov av relativt omfattande lagstiftningsåtgärder. Landskapsregeringen anser att det inte finns orsak att avvika från den allmänna struktur som nuvarande landskapslagstiftning om skyddet av personuppgifter bygger på.
Landskapsregeringen föreslår att skyddet av personuppgifter inom landskaps- och kommunalförvaltningen huvudsakligen ska basera sig på dataskyddsförordningen och en allmän landskapslag som kompletterar förordningens bestämmelser. Landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen ska upphävas. Landskapsregeringen föreslår också vissa ändringar i och tillägg till arkivlagen för landskapet Åland och statistiklagen för landskapet Åland. Enligt förslaget ska kapitel 3a i landskapslagen om allmänna handlingars offentlighet uppdateras så att bestämmelserna på ett tydligare sätt jämkar samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Därtill föreslår landskapsregeringen vissa ändringar i bestämmelserna om skyddet av personuppgifter i enskilda landskapslagar. Syftet med dessa ändringar är att i första hand uppdatera hänvisningar till relevant lagstiftning om dataskydd.
Landskapsregeringen föreslår att Datainspektionen ska inneha uppgiften som tillsynsmyndighet enligt dataskyddsförordningen, dvs. tillsynen över behandlingen av personuppgifter vid landskaps- och kommunalförvaltningen ska fortsättningsvis skötas av Datainspektionen. Enligt förslaget ska den allmänna landskapslag som kompletterar dataskyddsförordningen innehålla bestämmelser om Datainspektionen medan landskapslagen om Datainspektionen ska upphävas. Dataskyddsförordningen börjar tillämpas den 25 maj 2018. Eftersom de flesta av bestämmelserna i dataskyddsförordningen är direkt tillämpliga ska dessa bestämmelser också tillämpas som sådana inom landskapets behörighet från och med den 25 maj 2018. Den föreslagna allmänna landskapslag som ska precisera och komplettera tillämpningen på Åland av dataskyddsförordningen bör träda i kraft samtidigt. Om detta inte är möjligt föreslår landskapsregeringen att den allmänna landskapslagen sätts i kraft så snart som möjligt. Avsikten är att också de övriga föreslagna landskapslagarna ska träda i kraft samtidigt.
Vid behandlingen av lagförslaget bör det särskilt noteras att förslaget till vissa delar är motsvarar förslag till rikets dataskyddslagstiftning. Den allmänna landskapslag som föreslås komplettera dataskyddsförordningen följer i vissa avseenden förslaget till dataskyddslag i riket. Detta är fallet med förslag till 13 § om lämpliga skyddsåtgärder i samband med behandling av känsliga personuppgifter, 28 § om dataskyddsbrott, 30 § om behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål och 31 § om behandling av personbeteckning. Under behandlingen av lagförslaget i lagtinget bör man vara uppmärksam på behandlingen i riksdagen av förslaget till dataskyddslag (RP 9/2018 rd), särskilt om det sker justeringar med anledning av förhållandet till grundlagens krav. Landskapsregeringen kommer att följa den fortsatta lagstiftningsprocessen i riket och förse lagtinget och dess utskott med nödvändig information.
Till den del landskapets lagstiftningsbehörighet omfattar behandling av personuppgifter som sker vid Ålands polismyndighet och inom privat sektor kommer landskapsregeringen i ett senare skede att lämna ett särskilt lagförslag. Den föreslagna lagstiftningen ska samtidigt genomföra 2016 års dataskyddsdirektiv inom landskapets behörighet. Lagstiftningen kommer att följa den allmänna struktur och lagstiftningsmodell för skyddet av personuppgifter som redogörs för i avsnitt 5.2. Nuvarande blankettlag ska upphävas och ersättas med en ny blankettlag. Lagförslaget kommer att lämnas så snart beredningen av relevant rikslagstiftning har framskridit tillräckligt långt. Landskapsregeringen behöver också återkomma i ett senare lagförslag med förslag till ändringar av sådana enskilda bestämmelser om skyddet av personuppgifter i särskilda landskapslagar som det inte är möjligt att ändra ännu.
7. Förslagets verkningar
7.1. Allmänna synpunkter
Lagförslaget syftar till en anpassning av landskapslagstiftningen om skyddet av personuppgifter till EU:s dataskyddsförordning. Dataskyddsförordningens bestämmelser får konsekvenser både för enskilda och myndigheter på Åland. Dataskyddsförordningen förväntas öka kostnaderna för myndigheter och enskilda som är personuppgiftsansvariga eller personuppgiftsbiträden. Det handlar då främst om ökad administration och ökade kostnader för anpassning av befintliga it-system. Samtidigt ökar behovet av utbildningsinsatser och eventuella nyrekryteringar som dataskyddsombud både inom offentlig och privat sektor. Nedan begränsas bedömningen av konsekvenserna främst till när det finns ett handlingsutrymme i dataskyddsförordningen som föranleder förslag till landskapslagstiftning.
Konsekvenserna av dataskyddsförordningens direkt tillämpliga bestämmelser ska inte bedömas i detta lagförslag då dessa bestämmelser gäller som sådana och ska tillämpas från och med den 25 maj 2018. Landskapsregeringen bedömer inte heller i detta sammanhang konsekvenserna av 2016 års dataskyddsdirektiv. Till skillnad från dataskyddsförordningen utgör direktivet inte en direkt tillämplig rättsakt. Direktivet ska också genomföras inom landskapets behörighet och i praktiken riktar sig direktivet endast till Ålands polismyndighet. Det lagförslaget kommer att lämnas i ett senare skede, efter att beredningen av relevant rikslagstiftning har framskridit tillräckligt långt. För den föreslagna lagstiftningens verkningar redogörs i det senare lagförslaget.
7.2. Konsekvenser för enskilda
På ett allmänt plan innebär dataskyddsförordningen att antalet bestämmelser om skyddet av personuppgifter utökas och att de registrerade kommer att ha förstärkta rättigheter vid behandlingen av personuppgifter. Sammantaget ska också lagförslaget innebära en förstärkning av skyddet för enskildas personliga integritet. De flesta konsekvenserna för enskilda följer av dataskyddsförordningens direkt tillämpliga bestämmelser, dvs. detta lagförslag påverkar inte tillämpningen av dessa bestämmelser. Det är emellertid mycket sannolikt att dataskyddsförordningen medför ökade kostnader för enskilda som är personuppgiftsansvariga eller personuppgiftsbiträden. Dessa kostnader följer huvudsakligen av dataskyddsförordningens direkt tillämpliga bestämmelser.
I detta sammanhang bör det påminnas om det s.k. hushållsundantaget, dvs. dataskyddsförordningen ska inte påverka privatpersoners behandling av personuppgifter endast i privat syfte eller inom hushållet. I dataskyddsförordningen finns också ett antal bestämmelser som öppnar upp för möjligheten att föreskriva om undantag och preciseringar i landskapslagstiftningen. Bland annat möjliggör dataskyddsförordningen att det görs omfattande undantag från tillämpningen av dataskyddsförordningens bestämmelser för att trygga yttrande- och informationsfriheten. Landskapsregeringens utgångspunkt vid utformandet av lagförslaget har varit att utnyttja dylika undantag i en relativt vid omfattning.
De undantag och preciseringar som landskapsregeringen föreslår att ska ingå i landskapslag berör till stor del också enskilda, direkt eller indirekt. Till exempel föreslår landskapsregeringen att det i den allmänna landskapslag som kompletterar dataskyddsförordningen ska föreskrivas närmare om rättsliga grunder för behandling av personuppgifter enligt artiklarna 6 och 9 i dataskyddsförordningen. Enligt förslaget ska landskapslag också ligga till grund för utnyttjandet av de undantag som möjliggörs i dataskyddsförordningens nionde kapitel som innehåller bestämmelser om särskilda behandlingssituationer. Landskapsregeringen föreslår att rättsliga grunder för behandling och undantag från dataskyddsförordningens bestämmelser ska ingå främst i det andra och femte kapitlet i den allmänna landskapslag som ska komplettera dataskyddsförordningen. Dessa bestämmelser berör enskilda eftersom de anger närmare på vilka grunder myndigheter inom landskaps- och kommunalförvaltningen kan behandla enskilda personers personuppgifter.
7.3. Konsekvenser för myndigheterna
Även merparten av dataskyddsreformens effekter för myndigheterna inom landskaps- och kommunalförvaltningen följer av dataskyddsförordningens direkt tillämpliga bestämmelser. Dataskyddsförordningens bestämmelser innebär ett stort antal skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden. Vissa av dessa skyldigheter är nya i förhållande till nuvarande landskapslagstiftning om personuppgifter. Det framstår som sannolikt att kostnaderna ökar för myndigheter som är personuppgiftsansvariga eller personuppgiftsbiträden. Den slutliga kostnadseffekten är delvis beroende av i vilken omfattning myndigheterna har redan i ett tidigare skede anpassat sig till de skyldigheter som följer av gällande lagstiftning om skyddet av personuppgifter.
En av de nya skyldigheterna i dataskyddsförordningen är att personuppgiftsansvariga och personuppgiftsbiträden ska utnämna dataskyddsombud. Detta medför kostnader för anlitandet av sådant dataskyddsombud. Även myndigheterna inom landskaps- och kommunalförvaltningen måste utnämna dataskyddsombud eftersom de fungerar som personuppgiftsansvariga. Dock får myndigheterna utnämna ett enda dataskyddsombud för flera myndigheter, med hänsyn till deras organisationsstruktur och storlek. Dataskyddsförordningen medför även skyldigheter att anpassa tekniska system inom landskaps- och kommunalförvaltningen. Dataskyddsförordningen inför ett krav på inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default). Inbyggt dataskydd innebär att man tar hänsyn till integritetsskyddsreglerna redan it-system och rutiner utformas. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard innebär att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan t.ex. handla om att de förvalda inställningarna i en webbtjänst är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.
Dataskyddsförordningen ställer krav på att den som behandlar personuppgifter har en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Genom dataskyddsförordningen införs också en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident, dvs. en säkerhetsincident som oavsiktligt påverkar behandlingen av personuppgifter. Det införs krav på konsekvensanalyser om en viss behandling sannolikt kommer att leda till hög risk för enskildas rättigheter eller skyldigheter. Dessa skyldigheter följer av dataskyddsförordningens direkt tillämpliga bestämmelser och myndigheterna bör beakta att uppfyllandet av dessa krav, t.ex. vid upphandling av it-system och digitala tjänster, kan medföra tilläggskostnader.
De undantag från och preciseringar till dataskyddsförordningen som landskapsregeringen föreslår att ska ingå i landskapslag berör särskilt myndigheterna inom landskaps- och kommunalförvaltningen. De bestämmelser som landskapsregeringen föreslår att ska ingå i det andra och femte kapitlet till den allmänna landskapslag som kompletterar dataskyddsförordningen kommer att ligga till grund för en stor del av den behandling av personuppgifter som sker inom landskaps- och kommunalförvaltningen. Artikel 6.1 e i dataskyddsförordningen och föreslagen 5 § i den kompletterande landskapslagen kommer att utgöra centrala rättsliga grunder vid myndigheternas behandling av personuppgifter då dessa utför sina på lag grundade uppgifter. Landskapsregeringen föreslår att myndigheterna inom landskaps- och kommunalförvaltningen ska undantas från möjligheten att bli föremål för administrativa sanktionsavgifter. Detta betyder inte att myndigheter eller tjänstemän inom landskaps- och kommunalförvaltningen undantas från annat ansvar. Behandling av personuppgifter i strid med dataskyddslagstiftningen kan bl.a. ge upphov till straff-, tjänstemanna- eller skadeståndsrättsligt ansvar.
7.4. Konsekvenser för tillsynsmyndigheten
Enligt lagförslaget ska Datainspektionen sköta om tillsynsuppgifterna enligt dataskyddsförordningen. Dataskyddsförordningens bestämmelser om tillsynsmyndigheterna medför vissa förändringar i förhållande till gällande lagstiftning om Datainspektionen. Dessa förändringar beaktas i lagförslaget. En av förändringarna är att anställda som utövar tillsynsmyndighetens befogenheter får utnämnas enbart för viss tid. Till denna del föreslår landskapsregeringen ett övergångsarrangemang för att inte försämra anställningstryggheten för den som i dagsläget ansvarar för skötseln av chefen för Datainspektionens uppgifter. I övrigt utgår landskapsregeringens förslag till stor del från att nuvarande bestämmelser om Datainspektionen överförs till ett särskilt tredje kapitel i den allmänna landskapslag som ska komplettera dataskyddsförordningen. Överlag medför dataskyddsförordningen en utökning av tillsynsmyndigheternas uppgifter men dessa uppgifter baserar sig på direkt tillämpliga bestämmelser i dataskyddsförordningen.
Det måste säkerställas att Datainspektionen har tillräckliga resurser för att klara av de uppgifter som följer av dataskyddsförordningen. Lagförslaget kan inte påverka det resursbehov som följer av dataskyddsförordningens direkt tillämpliga bestämmelser. I dagsläget finns en heltidstjänst vid Datainspektionen och nuvarande årliga anslag för myndigheten är 140 000 euro. Ekonomiska konsekvenser för och resursbehov vid Datainspektionen med anledning av kraven i dataskyddsförordningen ska övervägas närmare i samband med beredning av landskapets budget. Enligt landskapets budget för år 2018 finns ett anslag om 150 000 euro. Enligt motiveringen till anslaget ska det täcka inköp av experttjänster och landskapsregeringen kan återkomma till frågan i en tilläggsbudget om så bedöms ändamålsenligt.
Behovet av resurser för Datainspektionen ökar om myndigheten även ska ansvara för tillsynen över sådan behandling av personuppgifter vid Ålands polismyndighet och inom privat sektor som faller inom landskapets behörighet. Frågan om organiserandet av tillsynen inom detta område ska vara föremål för ett senare lagförslag. Dock är den preliminära utgångspunkten vid beredningen att endast rikets tillsynsmyndighet ska utöva tillsyn över behandlingen av personuppgifter inom detta område. Förverkligandet av detta alternativ är beroende av en överenskommelseförordning och kostnaderna för att riksmyndighet till denna del sköter om tillsynen torde klargöras i samband med beredningen av denna. Om tillsynen även till denna del skulle kvarstå hos Datainspektionen måste behovet av ökade resurser bedömas i samband med beredning av landskapets budget eller tilläggsbudget.
7.5. Konsekvenser om den föreslagna lagstiftningen inte träder i kraft den 25 maj 2018
Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Avsikten är att den kompletterande landskapslagslagstiftning som landskapsregeringen föreslår ska träda i kraft samtidigt. Tidtabellen är ansträngd och det finns en risk för att denna målsättning inte uppnås. Från och med den 25 maj 2018 ska dataskyddsförordningens direkt tillämpliga bestämmelser tillämpas som sådana både av myndigheterna och företagen på Åland. Därefter har också enskilda personer de rättigheter som dataskyddsförordningen föreskriver i förhållande till dessa myndigheter och företag. Om landskapslagstiftningen om utnyttjandet av handlingsutrymmet inte träder i kraft den 25 maj 2018 måste dataskyddsförordningens direkt tillämpliga bestämmelser tillämpas som sådana, även om tillämpningen blir oändamålsenlig p.g.a. att landskapslagstiftningen om utnyttjandet av handlingsutrymmet inte har trätt i kraft.
Genom lagförslaget ska den gällande landskapslagstiftningen om skyddet av personuppgifter till stora delar upphävas eller ändras. Om den föreslagna kompletterande landskapslagstiftningen inte kan träda i kraft den 25 maj 2018 ska den gällande landskapslagstiftningen om skyddet av personuppgifter tillämpas. Vid konflikter mellan dataskyddsförordningens direkt tillämpliga bestämmelser och den gällande landskapslagstiftningen om skyddet av personuppgifter gäller EU-rättens företräde. Enligt EU-domstolens etablerade rättspraxis har unionens lagstiftning företräde framom nationell rätt i enlighet med de förutsättningar som definierats i denna rättspraxis.
Om den kompletterande landskapslagstiftningen inte kan träda i kraft redan den 25 maj 2018 kan detta leda till att myndigheterna inom landskaps- och kommunalförvaltningen är tvungna att åsidosätta med dataskyddsförordningen oförenliga bestämmelser i gällande landskapslagstiftning. Detta förhållande gäller tills den landskapslagstiftning som ska komplettera dataskyddsförordningen träder i kraft. Till den del landskapet har behörighet över behandlingen av personuppgifter inom Ålands polismyndighet och privat sektor kommer denna tillfälliga brist att avhjälpas i sin helhet först i och med att den blankettlagstiftning som senare kommer att föreslås träder i kraft. Dataskyddsförordningen förutsätter att det föreskrivs i lag om inrättandet av behörig tillsynsmyndighet. Datainspektionen har inte de befogenheter som dataskyddsförordningen tilldelar tillsynsmyndigheterna före bestämmelser i landskapslag som utpekar Datainspektionen som den i dataskyddsförordningen avsedda ansvariga tillsynsmyndigheten träder i kraft.
7.6. Övriga konsekvenser
Landskapsregeringen bedömer att lagförslaget inte får nämnvärda följder för jämställdheten mellan kvinnor och män. Syftet med lagstiftningen är att stärka integritetsskyddet för alla fysiska personer, inklusive kvinnor, män och barn. Förslagets miljökonsekvenser bedöms vara relativt små. När det gäller konsekvenserna för barn bör nämnas att landskapsregeringen föreslår att handlingsutrymmet enligt artikel 8 i dataskyddsförordningen ska utnyttjas så att åldersgränsen för samtycke när informationssamhällets tjänster erbjuds direkt till ett barn ska vara 13 år. Även i riket och Sverige har föreslagits att åldersgränsen ska vara 13 år.
8. Ärendets beredning
Efter sedvanlig beredning vid lagberedningen skickades lagförslaget på remiss till 53 stycken remissinstanser. Lagförslaget skickades till avdelningarna vid landskapsregeringens allmänna förvaltning, Brändö kommun, Datainspektionen, Dataombudsmannens byrå, Eckerö kommun, Finströms kommun, Föglö kommun, Geta kommun, Hammarlands kommun, Högskolan på Åland, Inrikesministeriet, Jomala kommun, Justitieministeriet, Kumlinge kommun, Kökars kommun, Landskapsrevisionen, Lemlands kommun, Lotteriinspektionen, Lumparlands kommun, Mariehamns stad, Motorfordonsbyrån, Norra Ålands högstadiedistrikt (NÅHD), Oasen boende- och vårdcenter, Saltviks kommun, Sottunga kommun, Statens ämbetsverk på Åland, Sunds kommun, Södra Ålands högstadiedistrikt (SÅHD), Vårdö kommun, Åda Ab, Ålands arbetsmarknads- och studieservicemyndighet, Ålands energimyndighet, Ålands folkhögskola, Ålands förvaltningsdomstol, Ålands gymnasium, Ålands hälso- och sjukvård, Ålands kommunförbund, Ålands kulturdelegation, Ålands lagtings kansli, Ålands miljö- och hälsoskyddsmyndighet, Ålands miljöservice (MISE), Ålands musikinstitut, Ålands näringsliv, Ålands ombudsmannamyndighet, Ålands omsorgsförbund, Ålands polismyndighet, Ålands sjösäkerhetscentrum och Ålands statistik- och utredningsbyrå.
Följande instanser kom in med utlåtanden: Datainspektionen, Finströms kommun, Föglö kommun, Geta kommun, Högsta förvaltningsdomstolen, Inrikesministeriet, Jomala kommun, Justitieministeriet, Lemlands kommun, Lumparlands kommun, Saltviks kommun, social- och miljöavdelningen vid Ålands landskapsregering, Statens ämbetsverk på Åland, Vårdö kommun, Ålands arbetsmarknads- och studieservicemyndighet, Ålands gymnasium, Ålands hälso- och sjukvård, Ålands kommunförbund, Ålands miljöservice (MISE), Ålands omsorgsförbund, Ålands polismyndighet, Ålands statistik- och utredningsbyrå.
Detaljmotivering
1. Landskapslag om dataskydd inom landskaps- och kommunalförvaltningen
1 kap. Allmänna bestämmelser
1 § Lagens syfte. Enligt 1 mom. ska lagen precisera och komplettera tillämpningen av dataskyddsförordningen på Åland. Eftersom dataskyddsförordningen är direkt tillämplig inom medlemsstaterna kan lagen enbart komplettera dataskyddsförordningens bestämmelser då dessa bestämmelser tillåter eller förutsätter detta. Lagens syfte sammanfaller därmed med dataskyddsförordningens syfte som framgår ur artikel 1. Enligt artikel 1.1 fastställs i förordningen bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.
Av 2 mom. framgår att de termer och uttryck som används i lagen ska förstås på samma sätt som i dataskyddsförordningen. Det innebär bl.a. att definitionerna i artikel 4 i dataskyddsförordningen även gäller vid tillämpningen av motsvarande termer och uttryck i lagen.
2 § Tillämpningsområde. I paragrafen föreskrivs om lagens tillämpningsområde. Enligt 1 mom. ska lagen tillämpas på behandling av personuppgifter vid landskapets myndigheter, kommunala myndigheter och till Ålands lagting ansluten förvaltning. Lagen ska också tillämpas vid landskapets affärsverk då de sköter offentliga förvaltningsuppgifter samt på andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter. Tillämpningsområdet motsvarar förvaltningslagens tillämpningsområde enligt 1 § 2 mom. i förvaltningslagen. Lagen ska inte tillämpas vid Ålands polismyndighet. Polismyndigheten är föremål för rikets lagstiftningsbehörighet i en mycket vid omfattning och behandlar personuppgifter inom register som rikets myndigheter upprätthåller. Därför föreslår landskapsregeringen att polismyndigheten fortsättningsvis ska vara föremål för rikets dataskyddslagstiftning med stöd av en blankettlag. Det lagförslaget lämnas i ett senare skede. Förslag till tillämpningsområde motsvarar huvudsakligen det som gäller i dagsläget enligt 1 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen.
I 2 mom. anges att lagen tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Enligt artikel 2.1 ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Enligt skäl 15 till dataskyddsförordningen bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register. Ur skäl 15 framgår också att akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, inte bör omfattas av dataskyddsförordningen.
Definitionerna gällande personuppgift och behandling är vida. Enligt artikel 4 i dataskyddsförordningen utgör personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. I samma artikel definieras behandling som en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Ur artikel 2.2 i dataskyddsförordningen framgår vilken behandling av personuppgifter som förordningen inte tillämpas på. Enligt artikel 2.2 a tillämpas förordningen inte på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Unionens behörighet är begränsad till de områden som överförts till unionens institutioner i de grundläggande fördragen. Enligt artikel 2.2 b tillämpas förordningen inte på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Detta hänvisar till behandling av personuppgifter inom ramen för unionens gemensamma utrikes- och säkerhetspolitik. Inte heller behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll är föremål för dataskyddsförordningens bestämmelser. Detta framgår ur artikel 2.2 c. Enligt artikel 2.2 d tillämpas förordningen inte på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Sådan behandling är föremål för 2016 års dataskyddsdirektiv som ska implementeras genom den blankettlag som förslag till 3 § 1 mom. i denna lag senare hänvisar till.
Med hänvisning till övervägandena i avsnitt 5.2 föreslår landskapsregeringen att tillämpningen av dataskyddsförordningens bestämmelser ska utsträckas till områden utanför unionens behörighet. Den andra meningen i 2 mom. utgör en blankettbestämmelse om att dataskyddsförordningen även ska tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och behandling inom ramen för unionens gemensamma utrikes- och säkerhetspolitik. Detta medför att bestämmelserna om registrerades rättigheter och personuppgiftsansvarigas skyldigheter i dataskyddsförordningen utvidgas till att gälla även då myndigheter inom landskaps- och kommunalförvaltningen behandlar personuppgifter utanför unionens behörighet. Det är inte rättsligt eller praktiskt möjligt att tillämpa vissa bestämmelser i dataskyddsförordningen utanför unionens behörighet. Till exempel kan lagstiftaren i ett medlemsland inte ensidigt bestämma att mekanismen för enhetlighet som upprättar ett samarbete mellan tillsynsmyndigheterna inom unionen även ska gälla utanför unionens behörighet. Därför undantas artikel 56 och det sjunde kapitlet i dataskyddsförordningen från den föreslagna utvidgningen av förordningens tillämpning. Förslaget motsvarar till denna del tillämpningsområdet för den i riket föreslagna dataskyddslagen (se 2 § 1 mom. i RP 9/2018 rd). Den avslutande meningen i momentet klargör att bestämmelserna i landskapslagen ska tillämpas parallellt med dataskyddsförordningens bestämmelser i samband med den utvidgning av dataskyddsförordningens tillämpning som föreslås i momentet.
3 § Annan lagstiftning om dataskydd. Enligt 1 mom. är lagen subsidiär i förhållande till andra lagar vilket främst avser speciallagar inom olika rättsområden. Dessa specialbestämmelser måste finnas på lagnivå. I speciallagstiftning kan finnas särskilda bestämmelser som ger uttryck för andra eller mer preciserade lösningar än den föreslagna landskapslagen, t.ex. grunder för behandling av personuppgifter som kompletterar dataskyddsförordningens bestämmelser. I dessa fall får enskilda bestämmelser i denna föreslagna allmänna landskapslag användas i den utsträckning inte annat följer av de specialbestämmelser som reglerar behandlingen av personuppgifter. Den föreslagna allmänna landskapslagen är således av generell karaktär och är avsedd att användas i kompletterande syfte även när speciallagstiftningen reglerar behandlingen av personuppgifter. Därtill ska hållas i minnet att både denna allmänna landskapslag och eventuella specialbestämmelser om behandlingen av personuppgifter kompletterar och preciserar bestämmelserna i dataskyddsförordningen som är direkt tillämplig inom landskaps- och kommunalförvaltningen.
I 2 mom. finns en hänvisning till den blankettlagstiftning som gör riksförfattningar om skyddet av personuppgifter tillämpliga inom vissa områden. Detta hänvisar särskilt till landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter. Enligt de allmänna motiveringarna i avsnitt 5.2 bör skyddet av personuppgifter utanför landskaps- och kommunalförvaltningen samt inom Ålands polismyndighet fortsättningsvis vara enhetligt och rikslagstiftning bör tillämpas inom landskapets behörighet med stöd av blankettlagstiftning. Landskapsregeringen kommer att i ett senare lagförslag föreslå ny blankettlagstiftning inom dessa områden, efter att beredningen av samtliga de riksförfattningar som den nya blankettlagstiftningen ska göra gällande inom landskapets behörighet har fortskridit tillräckligt långt i riket.
I 3 mom. framgår att rikslagstiftningen tillämpas på sådan behandling av personuppgifter som hör till rikets lagstiftningsbehörighet. Ur gällande 1 § 2 mom. i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen framgår att på sådan myndighetsbehandling som enligt 27 § i självstyrelselagen hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen. I detaljmotiveringen har behandlingen av personuppgifter inom det rättsområde som faller under begreppet "priset på lantbruks- och fiskeriprodukter samt främjande av export av lantbruksprodukter" nämnts som ett exempel på en sådan behandling inom rikets behörighetsområde (framst. nr 8/2003–2004). I avsnitt 4.1 har närmare redogjorts för fördelningen av lagstiftningsbehörighet gällande skyddet av personuppgifter.
4 § Bestämmelser om offentlighet, sekretess och tystnadsplikt. Paragrafen innehåller bestämmelser om offentlighet, sekretess och tystnadsplikt som ska beaktas i samband med att myndigheterna behandlar personuppgifter. Enligt 1 mom. får personuppgifter som ingår i allmänna handlingar lämnas ut i enlighet med landskapslagen om allmänna handlingars offentlighet, om inte annat föreskrivs i lag. Momentet är av informativ karaktär. I 3a kap. i landskapslagen om allmänna handlingars offentlighet finns bestämmelser om allmänna handlingar som utgör personregister. Enligt förslaget ska dessa bestämmelser ändras och uppdateras så att de tillämpas då myndigheten lämnar ut personuppgifter som ingår i en allmän handling. I annan lagstiftning kan finnas särskilda bestämmelser om hur myndigheter får lämna ut personuppgifter, t.ex. 17 § i landskapslagen (2017:29) om vattenfarkoster innehåller särskilda bestämmelser om utlämnandet av personuppgifter ur Ålands vattenfarkostregister.
I informativt syfte framgår det ur 1 mom. att utlämnandet av personuppgifterna ska vara förenligt med bestämmelser om sekretess och tystnadsplikt. I 2 kap. i landskapslagen om allmänna handlingars offentlighet föreskrivs om grunder för hemlighållande av allmänna handlingar och om myndighetens förfarande vid sådant hemlighållande. Sekretess som följer av 9 § i landskapslagen gäller också de personuppgifter som behandlas inom myndigheten och som uppfyller dessa grunder för hemlighållande. Av 12 § 2 mom. i landskapslagen om allmänna handlingars offentlighet följer också tystnadsplikt till den del en handling är hemlig. I annan lagstiftning kan finnas särskilda bestämmelser om sekretess och tystnadsplikt, t.ex. 14 § i landskapslagen (2013:25) om Landskapsrevisionen och 13 § i barnomsorgslagen (2011:86) för landskapet innehåller sådana bestämmelser. Enligt 17 § i tjänstemannalagen (1987:61) för landskapet Åland får tjänsteman inte utnyttja eller olovligen yppa sådan omständighet som kommit till hans kännedom i tjänsten och som enligt särskilda bestämmelser ska hemlighållas eller som gäller annans hälsotillstånd eller som på grund av sakens beskaffenhet annars uppenbarligen inte får yppas. Därtill framgår ur 60a § i självstyrelselagen att rikslagstiftningen gäller för sekretess och handlingars offentlighet i de frågor som avses i 9 kap. och 9a kap. i självstyrelselagen. Dessa kapitel avser internationella förpliktelser och ärenden som gäller Europeiska unionen.
I 2 mom. föreskrivs om en specifik tystnadsplikt vid behandling av personuppgifter. Förslaget motsvarar delvis det som redan gäller enligt 20 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Enligt förslaget får den som vid behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller affärs- eller yrkeshemlighet inte röja dessa uppgifter för tredje part eller utnyttja dem till egen eller annans fördel. Hänvisningen till tredje part sammanfaller med definitionen enligt artikel 4.10 i dataskyddsförordningen. Tredje part definieras som en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna. Till bestämmelsen har lagts till affärs- eller yrkeshemlighet. Enligt momentet ska tystnadsplikten gälla om inte annat föreskrivs i lag. Tystnadsplikten har kvalificerats på detta sätt för att beakta att särskilda bestämmelser i lag kan tillåta överlåtelse åt annan myndighet av uppgifter som är föremål för tystnadsplikt. Ett sådant exempel finns föreskrivet i 14 § i landskapslagen (2016:29) om finansiering av landsbygdsnäringar som anger att i lagen angivna sekretessbelagda uppgifter kan lämnas till en behörig riksmyndighet för vidarebefordran till berörd institution inom den Europeiska unionen. Artikel 38.5 och artikel 54.2 i dataskyddsförordningen förutsätter tystnadsplikt och sekretess både för de dataskyddsombud som myndigheter ska utnämna och tillsynsmyndighetens personal. Tillämpningen av landskapets allmänna förvaltningsrättsliga reglering utsträcks också till dataskyddsombud som myndigheter utnämner och tjänstemän vid Datainspektionen. Således ska dessa också vara föremål för bestämmelserna om sekretess och tystnadsplikt, t.ex. i den föreslagna landskapslagen och landskapslagen om allmänna handlingars offentlighet. Dock bör noteras att artikel 37.6 i dataskyddsförordningen möjliggör att dataskyddsombudets uppgifter får utföras på grundval av ett tjänsteavtal. Enligt artikel 124 § i grundlagen kan offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Möjligheten att ingå tjänsteavtal baserar sig direkt på artikel 37.6 som är direkt tillämplig. Om myndigheterna inom landskaps- och kommunalförvaltningen ingår ett i dataskyddsförordningen avsett tjänsteavtal om dataskyddsombudet ska i tjänsteavtalet klargöras att dataskyddsombudet omfattas av samma sekretess och tystnadsplikt som inom myndigheterna.
Enligt 3 mom. får upplysningar lämnas till Datainspektionen för utförande av uppgifter enligt dataskyddsförordningen och denna lag, till åklagar- och polismyndigheter för utredande av brott och till en myndighet som behandlar en ändringsansökan i ett ärende enligt dataskyddsförordningen och denna lag. Motsvarande reglering finns i gällande 20 § 2 mom. i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. I artikel 58.1 e i dataskyddsförordningen föreskrivs också om tillsynsmyndighetens befogenhet att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.
Förslag till 4 mom. anknyter till och föranleds av artikel 54.2 i dataskyddsförordningen som gäller tillsynsmyndighetens tystnadsplikt i samband med rapportering från fysiska personer om överträdelser av dataskyddsförordningen. Momentet skulle således utgöra en specialreglering som syftar till skyddet av anmälarens identitet. Tystnadsplikten är enbart tillämplig vid Datainspektionen och i förhållande till myndighetens personal. I övrigt är Datainspektionen och dess personal föremål för den offentlighetslagstiftning och de bestämmelser om tystnadsplikt som annars också gäller i förhållande till myndigheter inom landskapsförvaltningen och dess tjänstemän. Även 4 § 2 mom. om tystnadsplikt ska gälla i förhållande till Datainspektionen.
Enligt förslag till moment ska anmälarens identitet hemlighållas, om det på grund av omständigheterna kan antas vålla olägenheter för anmälaren att hans eller hennes identitet avslöjas, när en fysisk person har gjort anmälan till Datainspektionen om en misstänkt överträdelse av bestämmelser som myndigheten övervakar. Avsikten med bestämmelsen är att skydda anmälaren i samband med anmälningar, men kravet på hemlighållande ska inte vara absolut utan beroende av att röjandet av anmälarens identitet kan antas vålla olägenheter för anmälaren. Sådana olägenheter kan vållas om anmälaren har ett särskilt förhållande till den personuppgiftsansvarige eller den som behandlar personuppgifter. Till exempel ett anställningsförhållande utgör ett sådant särskilt förhållande mellan anmälaren och den som behandlar personuppgifterna.
2 kap. Rättslig grund för behandlingen i vissa fall
Dataskyddsförordningens andra kapitel innehåller bestämmelser om grundläggande principer för behandlingen av personuppgifter och villkor för behandlingen av särskilda kategorier av personuppgifter. Detta kapitel i landskapslagen anknyter till och kompletterar bestämmelser i dataskyddsförordningens andra kapitel, närmare bestämt artiklarna 6, 9 och 10 som föreskriver om rättsliga grunder för behandling av personuppgifter.
5 § Laglig behandling av personuppgifter. Paragrafen anknyter till artikel 6 i dataskyddsförordningen som föreskriver om när behandling av personuppgifter är laglig. I 1 mom. finns en informativ hänvisning till artikel 6.1 i dataskyddsförordningen. I artikel 6.1 a-f finns uppräknat villkor för att behandlingen ska vara laglig. Uppräkningen i artikel 6.1 i dataskyddsförordningen är uttömmande. Om ingen av dessa punkter är tillämplig är behandlingen inte laglig och får därmed inte utföras. De olika punkterna är i viss mån överlappande, dvs. flera punkter kan vara tillämpliga avseende en och samma behandling. Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, dvs. att det finns en tillämplig rättslig grund, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, särskilt principerna enligt artikel 5, och i bestämmelser som kompletterar förordningen.
Förslag till 2 mom. anknyter till tillämpningen av artikel 6.1 c. Artikel 6.1 c är direkt tillämplig men tillämpningen är bunden vid att ytterligare lagstiftning antas. Enligt artikel 6.1 c är behandlingen laglig om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, i detta fall myndigheterna inom landskaps- och kommunalförvaltningen. Bestämmelsen torde i första hand avse myndigheternas offentligrättsliga åligganden eftersom privaträttsliga förpliktelser som följer av avtal bör bedömas i enlighet med den särskilda rättsliga grunden i artikel 6.1 b i dataskyddsförordningen. Den föreslagna landskapslagen ska rikta sig till personuppgiftsansvariga myndigheter inom landskaps- och kommunalförvaltningen. Artikel 6.1 e är tillämplig i samband med den personuppgiftsansvariges myndighetsutövning och då den personuppgiftsansvarige utför en uppgift av allmänt intresse, dvs. verksamhet som är karaktäristisk för myndigheter och som baserar sig på lagstiftning. Därför överlappar artikel 6.1 c och e delvis då förordningen tillämpas inom landskaps- och kommunalförvaltningen.
Artikel 6.3 anger att den grund för behandlingen som avses i artikel 6.1 c ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den rättsliga förpliktelsen som ligger till grund för behandlingen av personuppgifter får inte vara alltför svepande och ge den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas. Artikel 6.3 förutsätter att syftet med behandlingen av personuppgifter ska fastställas i den rättsliga grund som den personuppgiftsansvarige, i detta fall myndigheten inom landskaps- och kommunalförvaltningen, stöder sin behandling på. En ytterligare fråga vid tillämpningen av artikel 6.3 är vad begreppet nationell rätt hänvisar till eftersom grunden för behandlingen enligt artikel 6.1 c ska fastställas i enlighet med den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. I skäl 44 till dataskyddsförordningen framgår att förordningen inte medför något krav på en särskild lag för varje enskild behandling samtidigt som skäl 41 anger att förordningens hänvisningar till en rättslig grund eller lagstiftningsåtgärd inte nödvändigtvis innebär en lagstiftningsakt antagen av ett parlament. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt.
Med hänvisning till detta innehåller 2 mom. en allmän hänvisning till att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som grundar sig på lag. Innehållet i momentet ska huvudsakligen vara av informativ natur eftersom momentet i sig inte skulle innehålla den rättsliga förpliktelse som kan ligga till grund för behandlingen av personuppgifter. I momentet preciseras att den rättsliga förpliktelsen ska grunda sig på lag. Detta betyder inte nödvändigtvis att de rättsliga förpliktelserna uteslutande måste finnas i en lag men det rättsliga stödet för förpliktelserna måste i sista hand kunna härledas från en lag. Rättsliga förpliktelser som ligger till grund för behandling av personuppgifter inom landskaps- och kommunalförvaltningen kan även ingå i t.ex. allmänt bindande kollektivavtal eller förvaltningsbeslut som har meddelats med stöd av lag. Om dessa rättsliga förpliktelser har antagits i laga ordning och i förenlighet med rättsordningen i övrigt kan de ligga till grund för behandling enligt artikel 6.1 c.
Förslag till 3 mom. anknyter till artikel 6.1 e i dataskyddsförordningen som föreskriver att behandlingen av personuppgifter är laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Skäl 45 till dataskyddsförordningen anger att unionsrätten eller medlemsstaternas nationella rätt bör reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning eller, om detta motiveras av allmänintresset, vilket inbegriper hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, av civilrättslig lagstiftning, exempelvis en yrkesorganisation. Artikel 6.3 anger att grunden för behandlingen som avses i artikel 6.1 e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
När det gäller begreppet myndighetsutövning bör utgångspunkten vara att begreppet innefattar den offentliga maktutövning som 2 § 3 mom. i grundlagen hänvisar till. Enligt grundlagens bestämmelse ska all utövning av offentlig makt bygga på lag och lag ska iakttas noggrant i all offentlig verksamhet. Myndigheter kan inte ha behörighet att utöva offentlig makt som saknar uttryckligt stöd i rättsordningen. Artikel 6.1 e är särskilt relevant eftersom tillämpningen av denna landskapslag föreslås gälla personuppgiftsansvariga myndigheter inom landskaps- och kommunalförvaltningen. Enligt förarbetena till grundlagen utövar också bl.a. landskapet Åland och kommunerna i egenskap av självstyrelsesamfund en betydande offentlig makt. Utövande av offentlig makt omfattar för det första sådana ensidiga normgivnings-, rättskipnings- och förvaltningsbeslut vilkas verkningar sträcker sig till privata rättssubjekt. Området för offentlig maktutövning kan emellertid inte definieras på ett uttömmande sätt, utan det kan vid behov genom lagstiftning utvidgas eller inskränkas inom grundlagens gränser.[14]
Begreppet allmänt intresse är ett EU-rättsligt begrepp som inte är särskilt enkelt att avgränsa eller definiera. Begreppet definieras inte i dataskyddsförordningen och dess innebörd har ännu inte heller utvecklats av EU-domstolen. Begreppet finns i gällande 4 § 2 mom. 1 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. I detaljmotiveringarna till den bestämmelsen nämns som exempel på arbetsuppgifter av allmänt intresse arkivering, forskning, framställning av statistik och undersökningar avseende aktuella samhällsfrågor. Enligt de svenska och norska motiven till motsvarande bestämmelse utesluter förhållandet att någon kan tjäna pengar på att utföra arbetsuppgiften inte att uppgiften kan vara av allmänt intresse. Enligt punkt 32 i ingressen till 1995 års dataskyddsdirektiv kan arbetsuppgiften utföras av en myndighet eller något enskilt subjekt (framst. nr 8/2003–2004).
Det bör antas att begreppet uppgift av allmänt intresse avser något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse. Av skäl 45 till förordningen framgår att åtminstone hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, ingår i begreppet allmänintresse. I de svenska förarbetena är utgångspunkten den att alla uppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. På motsvarande sätt utgår man från att de obligatoriska uppgifter som utförs av kommuner och landsting, till följd av deras åligganden enligt lag eller förordning, är av allmänt intresse i dataskyddsförordningens mening. Även kommuners frivilliga åtaganden anses vara uppgifter av allmänt intresse, till exempel tillhandahållande av bostäder och fritids- och idrottsanläggningar. Enligt de svenska förarbetena ska även uppgifter som inte utförs i myndighetens egen regi men som utförs i syfte att utföra ett uttryckligt uppdrag eller till följd av ett åliggande inkluderas i definitionen.[15] Det är ändamålsenligt att ett liknande synsätt anammas vid tolkningen av vad som utgör uppgift av allmänt intresse inom landskaps- och kommunalförvaltningen.
I likhet med tillämpningen av artikel 6.1 c förutsätter artikel 6.3 att det vid tillämpningen av artikel 6.1 e finns en grund för behandlingen som har fastställts i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Därmed räcker det inte att en behandling av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Uppgiften måste också vara fastställd i enlighet med gällande rätt. Dataskyddsförordningen medför ändå inte något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för flera behandlingar. Till skillnad mot vad som gäller avseende grunden rättslig förpliktelse behöver ändamålet inte framgå av gällande rätt, men ändamålet med varje enskild behandling måste vara nödvändigt för att utföra den i rättsordningen fastställda uppgiften. Som ett exempel på behandling av personuppgifter enligt artikel 6.1 e (liksom artikel 6.1 c) kan tas skyldigheten för kommunerna att upprätthålla allmänna bibliotek enligt landskapslagen (1997:82) om allmänna bibliotek. För att utföra denna uppgift är det nödvändigt att samla in personuppgifter från de personer som lånar böcker. Den rättsliga grunden för den behandling som sker inom kommunerna finns då i landskapslagen om allmänna bibliotek.
Med hänvisning till det ovan nämnda innehåller 3 mom. en bestämmelse huvudsakligen av informativ karaktär om att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen grundar sig på lag och är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I likhet med förslaget till 2 mom. gällande tillämpningen av artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse föreslås en precisering om att det allmänna intresse och den myndighetsutövning som kan ligga till grund för behandlingen måste stöda sig på lag. Det rättsliga stödet för det allmänna intresse och den myndighetsutövning som kan ligga till grund för behandlingen måste i sista hand kunna härledas från lag.
Bestämmelsen informerar om att myndigheterna inom landskaps- och kommunalförvaltningen får behandla personuppgifter om det är nödvändigt för att en myndighet ska kunna utföra verksamhet som stöder sig på lag. Myndighetens uppgift av allmänt intresse och myndighetsutövningen som behandlingen anknyter till ska stöda sig på lag, dvs. den föreslagna bestämmelsen utgör inte en självständig grund för behandlingen av personuppgifter inom myndigheten. Behandlingen förutsätter också att någon begränsning inte följer av andra bestämmelser, t.ex. i dataskyddsförordningens och denna landskapslags bestämmelser om känsliga personuppgifter. Det bör uppmärksammas att behandling av personuppgifter som har en laglig grund även ska vara förenlig med de principer för behandling av personuppgifter som följer av artikel 5 i dataskyddsförordningen.
Det bör noteras att hänvisningarna i 2 och 3 mom. till rättsliga förpliktelser, allmänt intresse och myndighetsutövning som grundar sig på lag även omfattar rättsliga förpliktelser, allmänt intresse och myndighetsutövning som följer av direkt tillämplig EU-rätt, eftersom dylika EU-rättsakter gäller som sådana på Åland och i förhållande till myndigheter inom landskaps- och kommunalförvaltningen.
6 § Åldersgräns för informationssamhällets tjänster. För att samtycke ska utgöra en rättslig grund för personuppgiftsbehandling vid erbjudande av vissa typer av tjänster direkt till barn under 16 år krävs enligt artikel 8.1 i dataskyddsförordningen vårdnadshavarens samtycke eller dennes godkännande av barnets samtycke. Förordningen tillåter att en lägre åldersgräns föreskrivs i medlemsstaternas nationella rätt. I dataskyddsförordningen är definitionen av informationssamhällets tjänster bundet vid artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535. Enligt denna bestämmelse definieras informationssamhällets tjänster som tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Begreppet innefattar bl.a. olika sociala medier, t.ex. bloggar, internetforum, webbplatser för videoklipp, chattprogram och sociala nätverk. Det torde vara avsevärt mera vanligt att kommersiella aktörer erbjuder dylika informationssamhällets tjänster på internet, men det blir vanligare att också myndigheter erbjuder tjänster som kan komma att omfattas av definitionen.
På de grunder som redogörs i avsnitt 5.4 föreslår landskapsregeringen att informationssamhällets tjänster som personuppgiftsansvariga, dvs. i detta fall myndigheter inom landskaps- och kommunalförvaltningen, erbjuder barn ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke eller fullmakt ges av den person som har föräldraansvar för barnet. Åldersgränsen i riket och Sverige föreslås vara 13 år. Det bör noteras att paragrafen endast ska tillämpas i anslutning till artikel 6.1 a i dataskyddsförordningen och det samtycke som behandlingen av personuppgifter kan stöda sig på enligt bestämmelsen. Behandlingen av barns personuppgifter hos personuppgiftsansvariga myndigheter stöder sig i vanliga fall på någon annan grund, t.ex. artikel 6.1 e som gäller behandling i samband med uppgifter som utförs i allmänt intresse eller i samband med myndighetsutövning.
7 § Behandling av känsliga personuppgifter. I artikel 9 i dataskyddsförordningen föreskrivs om behandlingen av s.k. känsliga personuppgifter. Artikel 9.1 anger att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. I artikel 10 i dataskyddsförordningen föreskrivs om behandlingen av känsliga personuppgifter gällande fällande domar i brottmål samt överträdelser. Den föreslagna paragrafen är av informativ karaktär och hänvisar till de bestämmelser i landskapslagen som ska komplettera dataskyddsförordningens bestämmelser om känsliga personuppgifter.
I artikel 9.2 a-j räknas upp när det i artikel 9.1 ingående förbudet mot behandling av känsliga personuppgifter inte ska tillämpas. I 1 mom. ingår en informativ hänvisning till att sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen endast får behandlas om någon av förutsättningarna i artikel 9.2 är uppfylld. Gällande 7 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen föreskriver om förbud mot behandling av känsliga personuppgifter medan gällande 8 § innehåller undantag från förbudet att behandla känsliga personuppgifter.
Av 2 mom. framgår att om behandlingen av i artikel 9.2 b, g, h och j avsedda känsliga personuppgifter föreskrivs i 8–11 §§ och 13 §. Vissa av de förutsättningar som ingår i artikel 9.2 är direkt tillämpliga, dvs. tillämpningen förutsätter inte några ytterligare lagstiftningsåtgärder inom medlemsstaterna. Dylika bestämmelser finns i artikel 9.2 a (samtycke), 9.2 c (den registrerades eller annans grundläggande intressen), 9.2 d (ideella organisationer), 9.2 e (offentliggörande) och 9.2 f (rättsliga anspråk och dömande verksamhet). Däremot förutsätter tillämpningen av undantagen enligt artikel 9.2 b, g, h, i och j i dataskyddsförordningen närmare lagstiftningsåtgärder inom medlemsstaterna. Det bör noteras att förslag till 11 § enbart gäller behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning medan artikel 9.2 j inkluderar också annan behandling. När det gäller behandling av känsliga personuppgifter som är nödvändig av skäl av allmänt intresse på folkhälsoområdet enligt artikel 9.2 j föreslås inte en särskild bestämmelse i landskapslagstiftningen. Landskapsregeringen bedömer att denna typ av behandling hos myndigheterna också kan definieras som sådan behandling av känsliga personuppgifter för ett viktigt allmänt intresse som är möjlig enligt artikel 9.2 g i dataskyddsförordningen och förslag till 9 § i denna landskapslag.
I 3 mom. hänvisas till det som föreskrivs i 12 § om behandlingen av sådana i artikel 10 i dataskyddsförordningen avsedda känsliga personuppgifter som rör fällande domar i brottmål samt överträdelser. I 4 mom. ingår en hänvisning till arkivlagen för landskapet Åland och statistiklagen för landskapet Åland. Regleringen blir koncentrerad på ett mera ändamålsenligt sätt om även reglerna gällande behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse och för statistiska ändamål fogas in i den sektorspecifika landskapslagen.
8 § Behandling av känsliga personuppgifter gällande arbetsrätt och social trygghet. Paragrafen gäller behandling av känsliga personuppgifter enligt artikel 9.2 b i dataskyddsförordningen. Känsliga personuppgifter kan behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.
Enligt 1 mom. 1 punkten får känsliga personuppgifter behandlas med stöd av artikel 9.2 b i dataskyddsförordningen om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten. Förslaget baserar sig delvis på gällande 8 § 1 mom. 3 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Det bör noteras att lagen om integritetsskydd i arbetslivet (FFS 759/2004) är tillämplig hos myndigheterna inom landskaps- och kommunalförvaltningen till den del lagen faller inom rikets behörighet eller till den del rikslagen gjorts gällande inom landskapets behörighet. Rikslagen har gjorts gällande inom tillämpningsområdet för landskapslagen (2006:8) om arbetsmarknadspolitisk verksamhet.
Enligt 1 mom. 2 punkten får känsliga personuppgifter behandlas med stöd av artikel 9.2 b i dataskyddsförordningen om behandlingen gäller den registrerades behov av socialvård eller de socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade. Bestämmelsen motsvarar gällande 8 § 1 mom. 7 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Enligt detaljmotiveringarna till den bestämmelsen kan uppgifter som är nödvändiga för den registrerades omvårdnad till exempel avse uppgifter som gäller funktionshinder eller motsvarande uppgifter som vårdbehovet och -innehållet bygger på (framst. nr 8/2003–2004).
Artikel 9.2 b i dataskyddsförordningen förutsätter att det i medlemsstaternas nationella rätt fastställs lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen. I 2 mom. föreskrivs att de känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. I förslag till 13 § finns en förteckning över olika typer av lämpliga skyddsåtgärder som vidtas för att säkerställa den registrerades grundläggande rättigheter och intressen.
9 § Behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Paragrafen gäller tillämpningen av undantaget enligt artikel 9.2 g i dataskyddsförordningen. Känsliga personuppgifter kan behandlas med stöd av bestämmelsen om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Enligt 1 mom. ska en myndighet kunna behandla känsliga personuppgifter om behandlingen är nödvändig för att utföra en uppgift av hänsyn till ett viktigt allmänt intresse och som grundar sig på lag. Formuleringen liknar förslag till 5 § 3 mom., som gäller tillämpningen av artikel 6.1 e i dataskyddsförordningen. Detta förslag gäller emellertid känsliga personuppgifter och utförandet av en uppgift av hänsyn till ett viktigt allmänt intresse, inte enbart ett allmänt intresse. I kommissionens ursprungliga förordningsförslag föreslogs att begreppet allmänt intresse skulle användas i artikel 9, i stället för viktigt allmänt intresse. Ordet ”viktigt” fördes in i bestämmelsen under förhandlingarna i rådet vilket talar för att begreppet i artikel 9.2 g är något snävare än begreppet i artikel 6.1 e.
Artikel 9.2 g förutsätter att behandlingen ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Detta krav i dataskyddsförordningen på skyddsåtgärder förklaras inte närmare i förordningstext eller skäl. I 1 mom. har förts in ett krav på att behandlingen inte får innebära ett oproportionellt intrång i den registrerades personliga integritet. Vid bedömningen av om behandling utgör ett oproportionellt intrång ska vikt läggas vid sådana aspekter som uppgifternas känslighet, den inställning de registrerade kan antas ha till att uppgiften behandlas, den spridning uppgiften skulle komma att få och risken för vidarebehandling för andra ändamål än insamlingsändamålet.
Eftersom artikel 9.2 g i dataskyddsförordningen även förutsätter att det ska finnas bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen föreslås att det i 2 mom. föreskrivs att de känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. I förslag till 13 § finns en förteckning över olika typer av lämpliga skyddsåtgärder som kan vidtas för att säkerställa den registrerades grundläggande rättigheter och intressen.
10 § Behandling av känsliga personuppgifter gällande hälso- och sjukvård och social omsorg. Paragrafen gäller tillämpningen av undantaget enligt artikel 9.2 h i dataskyddsförordningen. Känsliga personuppgifter kan behandlas med stöd av artikel 9.2 h om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda. Enligt artikel 9.3 får känsliga personuppgifter behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
I 1 mom. räknas i punkterna 1–6 upp de ändamål för vilka behandling av känsliga personuppgifter får ske. Begreppen motsvarar de som anges i artikel 9.2 h och ska ges en EU-rättslig innebörd. Bestämmelsen motsvarar delvis gällande 8 § 1 mom. 6 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och artikel 8.3 i 1995 års dataskyddsdirektiv. Vissa begrepp har justerats, t.ex. begreppet vård har ersatts med tillhandahållande av hälso- och sjukvård och begreppet administration av hälso- och sjukvård har ersatts med förvaltning av hälso- och sjukvårdstjänster och deras system. Av dataskyddsförordningens skäl 53 framgår att avsikten är att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bl.a. inbegripa behandling som utförs av centrala nationella hälsovårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg.
I 2 mom. hänvisas till att behandling enligt 1 mom. får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt. Artikel 9.3 är direkt tillämplig och i bestämmelsen framgår att behandling av känsliga personuppgifter som avses i artikel 9.2 h får utföras av, eller under ansvar av, personer som omfattas av tystnadsplikt enligt unionsrätten, medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ. I artikeln tydliggörs också att sådan behandling ska ske för de ändamål som nämns i artikel 9.2 h. Förordningens reglering innebär att all behandling enligt artikel 9.2 h förutsätter såväl tystnadsplikt som att behandlingen sker för de särskilt angivna hälso- och sjukvårdsrelaterade ändamålen. Tystnadsplikt följer också av annan lagstiftning, framförallt 9 § 1 mom. punkt e i kombination med 12 § i landskapslagen om allmänna handlingars offentlighet.
11 § Behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning. Paragrafen gäller tillämpningen av artikel 9.2 j i dataskyddsförordningen. Känsliga personuppgifter kan behandlas med stöd av artikel 9.2 j om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Bestämmelsen avgränsas till att gälla enbart behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning eftersom regleringen av behandling för de övriga ändamål som framgår ur bestämmelsen hänvisas till arkivlagen och statistiklagen. Forskning som kan definieras som vetenskaplig eller historisk torde vara relativt ovanlig inom landskaps- och kommunalförvaltningen.
Enligt 1 mom. får känsliga personuppgifter med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för den vetenskapliga eller historiska forskningen och samhällsintresset av forskningen där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Myndigheten ska således göra en avvägning i det enskilda fallet om den vetenskapliga eller historiska forskningen är förknippad med behandling av känsliga personuppgifter. Bestämmelsen motsvarar gällande 8 § 1 mom. 8 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen.
I 2 mom. finns villkor som ska säkerställa den registrerades grundläggande rättigheter och intressen. Med beaktande av att artikel 9.2 j i dataskyddsförordningen förutsätter att det ska finnas bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandlingen av personuppgifter som är nödvändig för den vetenskapliga och historiska forskningen föreslås att det i 2 mom. föreskrivs att de känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. I förslag till 13 § finns en förteckning över olika typer av lämpliga skyddsåtgärder som kan vidtas för att säkerställa den registrerades grundläggande rättigheter och intressen. I momentet föreskrivs också mera specifikt att forskningen ska bedrivas så att den grundar sig på en forskningsplan, det finns en ansvarig person eller en grupp som ansvarar för forskningen samt att uppgifter om bestämda personer inte röjs för utomstående.
I artikel 89 i dataskyddsförordningen finns bestämmelser om skyddsåtgärder och undantag gällande behandling för bl.a. vetenskapliga eller historiska forskningsändamål. Med stöd av bestämmelsen är det möjligt att i medlemsstaternas lagstiftning göra undantag gällande behandling för vetenskapliga eller historiska forskningsändamål från artiklarna 15, 16, 18 och 21 i dataskyddsförordningen. Eftersom denna kompletterande landskapslag ska följa dataskyddsförordningens struktur placeras bestämmelserna om utnyttjandet av det i artikel 89.2 möjliggjorda undantaget i 32 §.
12 § Behandling som rör fällande domar i brottmål samt överträdelser. Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Det kan konstateras att tillämpningsområdet begränsats till enbart fällande brottmålsdomar. Begreppet ”under kontroll av myndighet” definieras inte i dataskyddsförordningen.
I paragrafen föreslås en bestämmelse om när myndigheter får behandla personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Enligt 1 mom. 1 punkten får dessa personuppgifter behandlas om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Bestämmelsen motsvarar gällande 8 § 1 mom. 5 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och artikel 8.2 e andra ledet i 1995 års dataskyddsdirektiv. Att en person har en sådan egenskap som faller inom ramen för definitionen av känsliga personuppgifter kan vara en förutsättning för att denne ska ha rätt till en förmån eller ha en rättslig skyldighet gentemot en annan. Till exempel kan sjukdom ha betydelse för rätten att få en ersättning (framst. nr 8/2003–2004).
Enligt 1 mom. 2 punkten får personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas om behandlingen av sådana uppgifter är reglerad i lag. Bestämmelsen motsvarar gällande 8 § 1 mom. 2 punkten i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen som baserar sig på artikel 8.4 i 1995 års dataskyddsdirektiv.
Med hänvisning till artikel 10 och att det rör sig om känsliga personuppgifter föreslås att det i 2 mom. anges att de känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. I förslag till 13 § finns en förteckning över olika typer av lämpliga skyddsåtgärder som kan vidtas för att säkerställa den registrerades grundläggande rättigheter och intressen.
13 §. Åtgärder för att skydda den registrerade. I paragrafen föreskrivs om sådana lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som förutsätts i dataskyddsförordningens bestämmelser om känsliga personuppgifter samt i landskapslagens 8, 9, 11 och 12 §§. I paragrafen finns en förteckning över sådana lämpliga och särskilda åtgärder. Den personuppgiftsansvarige ska i första skedet pröva hurdana skyddsåtgärder de risker som är förknippade med behandling av personuppgifter förutsätter. Förteckningen är inte uttömmande och det kan också finnas behov av någon annan eller mera specifik åtgärd då de känsliga personuppgifterna ska skyddas. Paragrafen innebär inte att samtliga de åtgärder som räknas upp i förteckningen behöver vara lämpliga eller ändamålsenliga för att skydda vissa känsliga personuppgifter. Den som behandlar de känsliga personuppgifterna ska bedöma vilken typ av åtgärder som är ändamålsenliga med tanke på riskerna i samband med behandlingen. Till dessa åtgärder hör bl.a. åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifterna. Förteckningen motsvarar den förteckning som finns i förslag till 6 § 2 mom. i rikets dataskyddslag (se RP 9/2018 rd). Av ansvarsskyldigheten i artikel 5.2 i dataskyddsförordningen följer att den personuppgiftsansvarige ska kunna visa att de skyddsåtgärder som valts är lämpliga och proportionella.
3 kap. Tillsynsmyndighet
Enligt förslaget ska landskapslagen om Datainspektionen upphävas och bestämmelserna om tillsynsmyndigheten ska ingå i den föreslagna landskapslagen. Avsikten är att denna allmänna landskapslag ska innehålla de allmänna bestämmelserna om skyddet av personuppgifter inom landskaps- och kommunalförvaltningen som kompletterar och preciserar dataskyddsförordningen. Innehållet i denna landskapslag föreslås följa strukturen i dataskyddsförordningen och bestämmelserna i detta kapitel om tillsynsmyndigheten kompletterar dataskyddsförordningens sjätte kapitel.
14 § Datainspektionen. Artikel 54.1 a i dataskyddsförordningen föreskriver att varje medlemsstat ska fastställa i lag varje tillsynsmyndighets inrättande. Enligt 1 mom. fungerar Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen och denna lag. Genom att Datainspektionen utses till tillsynsmyndighet enligt dataskyddsförordningen kommer Datainspektionen vara behörig att övervaka tillämpningen av dataskyddsförordningens bestämmelser och myndigheten har de befogenheter som dataskyddsförordningen ger åt tillsynsmyndigheterna. I momentet anges också att Datainspektionen fungerar som tillsynsmyndighet enligt denna lag. Detta görs för att denna landskapslag ska komplettera och precisera dataskyddsförordningen samt innehålla de bestämmelser i lag om tillsynsmyndigheten som artikel 54 i dataskyddsförordningen förutsätter.
Datainspektionens behörighet att övervaka tillämpningen av dataskyddsförordningen och denna landskapslag ska följa förordningens och landskapslagens tillämpningsområde. Detta innebär att Datainspektionen är behörig att övervaka sådan behandling av personuppgifter som är föremål för dataskyddsförordningens materiella tillämpningsområde enligt artikel 2 och landskapslagens tillämpningsområde enligt 2 §. Bestämmelsen i 2 § i denna landskapslag medför att Datainspektionen också är behörig att utöva tillsyn på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen. Detta innebär att Datainspektionen också kan utöva tillsyn då en myndighet inom landskaps- och kommunalförvaltningen behandlar personuppgifter i en verksamhet som inte omfattas av unionsrätten.
I 2 mom. anges att Datainspektionen är en oberoende myndighet administrativt underställd landskapsregeringen. Motsvarande hänvisning finns i dagsläget i 1 § 1 mom. i landskapslagen om Datainspektionen. Även av artikel 52.1 i dataskyddsförordningen följer att varje tillsynsmyndighet ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med dataskyddsförordningen. I 3 mom. anges att Datainspektionen beslutar om sin organisation och kan vid behov utfärda en arbetsordning, om inte annat föreskrivs i denna lag. Bestämmelsen motsvarar huvudsakligen gällande 2 § 6 mom. i landskapslagen om Datainspektionen och möjligheten att utfärda arbetsordning avgränsas till Datainspektionens interna verksamhetsstruktur.
Enligt 4 mom. ska Datainspektionen ha en elektronisk anslagstavla på sin webbplats. Nyligen har förvaltningslagens bestämmelser om offentlig delgivning ändrats så att myndigheterna inom landskaps- och kommunalförvaltningen förutsätts ha en elektronisk anslagstavla på sina webbplatser. Ett meddelande om att en offentligt delgiven handling finns tillgänglig på myndighetens webbplats ska publiceras på myndighetens elektroniska anslagstavla. Denna tidigare ändring av flera landskapslagar träder i kraft den 1 juni 2018. Vid tillkännagivandet på den elektroniska anslagstavlan ska bestämmelserna om offentlig delgivning i förvaltningslagen iakttas i tillämpliga delar. Den elektroniska anslagstavlan ska vara lättillgänglig och kunna särskiljas från övrigt innehåll på webbplatsen. Datainspektionen ska i sina lokaler eller på någon annan plats ge allmänheten möjlighet att ta del av innehållet på den elektroniska anslagstavlan.
15 § Personal. Enligt förslaget ska paragrafen innehålla grundläggande bestämmelser om personalen vid Datainspektionen. Vid Datainspektionen ska finnas en tjänst som myndighetschef till vars uppgifter hör att leda myndigheten. Vid myndigheten kan ändå finnas ytterligare anställda i offentligrättsligt eller privaträttsligt anställningsförhållande. I vissa centrala personal- och tjänstemannarättsliga frågor ska landskapsregeringen fortsättningsvis fatta beslut om. Paragrafen baserar sig huvudsakligen på gällande reglering i 2 § i landskapslagen om Datainspektionen.
16 § Behörighets- och utnämningsvillkor. Artikel 54 i dataskyddsförordningen förutsätter att det ska fastställas bestämmelser i lag om ett antal förhållanden som gäller de personer som sköter tillsynsmyndighetens uppgifter. Enligt artikel 54.1 b i dataskyddsförordningen ska det finnas bestämmelser i lag om de kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet. I 1 mom. ingår behörighetsvillkor för myndighetschefen. Behörig för tjänsten som myndighetschef är den som vid universitet eller därmed jämförbar högskola, som är erkänd av en nationell utbildningsmyndighet, avlagt en examen som motsvarar minst fyra års heltidsstudier och innehåller en lämplig ämneskombination. Med tanke på att Datainspektionen ansvarar för tillsynen av dataskyddslagstiftning inom offentlig förvaltning är särskilt utbildning om dataskydd och offentlig förvaltning ändamålsenlig. Eftersom det handlar om en tjänst är den allmänna tjänstemannarättsliga regleringen tillämplig i samband med rekrytering och utnämning av myndighetschefen. Med detta avses framförallt tjänstemannalagen för landskapet Åland samt 125 § i grundlagen.
I momentet anges att utnämning till myndighetschef sker för sex år åt gången och samma person kan utnämnas till tjänsten sammanlagt högst 18 år. Bakgrunden till detta förslag är artikel 54 d och e i dataskyddsförordningen. Varje medlemsstat ska i lag fastställa mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år. I lag ska även fastställas huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder. Det föreslås att en övergångsbestämmelse tillämpas som tillåter att nuvarande innehavare av tjänsten som myndighetschef vid Datainspektionen överförs till tjänsten som myndighetschef. Därtill föreslås att övergångsbestämmelse tillåter att de i 1 mom. ingående begränsningarna gällande perioder och sammanlagd tid för utnämning till tjänst tillämpas först när en ny myndighetschef anställs.
Bestämmelsen i 2 mom. anger att vad som bestäms i 1 mom. tillämpas också om det till ansvarsområdet för en tjänst som inrättas ingår att sköta om sådana uppgifter som ankommer på tillsynsmyndigheternas ledamöter enligt dataskyddsförordningen. Bakgrunden till detta förslag är ovan nämnda krav i dataskyddsförordningen om att de personer som sköter tillsynsmyndighetens uppgifter ska vara utnämnda för viss tid. Enligt 3 mom. ska behörighetskrav i samband med övriga anställningsförhållanden vid Datainspektionen än de som anges i 1 och 2 mom. bestämmas av Datainspektionen. Liknande bestämmelse finns i gällande 2 § 4 mom. i landskapslagen om Datainspektionen.
17 § Inrättande och indragning av tjänster. I paragrafen ingår reglering om inrättande och indragning av tjänster vid Datainspektionen. Enligt 1 mom. inrättas och indras andra tjänster än tjänsten som myndighetschef av Datainspektionen efter att landskapsregeringens utlåtande inhämtats. Ur 15 § 4 mom. framgår att landskapsregeringen fattar beslut i fråga om tjänsten som myndighetschef. I 2 och 3 mom. föreskrivs om förfarandet vid sådant eventuellt inrättande av andra tjänster än tjänsten som myndighetschef. Regleringen motsvarar den som finns i landskapslagar om andra myndighet som lyder under landskapsregeringen, t.ex. 9 § 2 mom. i landskapslagen (2014:33) om Ålands ombudsmannamyndighet.
18 § Förbud mot att bedriva oförenlig verksamhet. Bakgrunden till paragrafen är artikel 54.1 f i dataskyddsförordningen som förutsätter att det i lag fastställs vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande. Till denna del kan konstateras att gällande landskapslagstiftning redan innehåller bestämmelser som är relevanta i förhållande till artikel 54.1 f, bl.a. bestämmelserna om tjänstemännens allmänna rättigheter och skyldigheter i tjänstemannalagen för landskapet Åland. Även jävsbestämmelserna i förvaltningslagen, som ska förhindra intressekonflikter, är tillämpliga i sammanhanget.
Paragrafen är av informativ karaktär och ska upplysa om att Datainspektionens personal inte får bedriva verksamhet som står i strid med myndighetens uppgifter. I 1 mom. hänvisas till artikel 52.3 i dataskyddsförordningen där det finns bestämmelser om förbud för Datainspektionens personal att utöva ett yrke eller ha en befattning som står i strid med myndighetens uppgifter. Dataskyddsförordningens bestämmelse är direkt tillämplig och gäller som sådan i förhållande till Datainspektionens personal. I 2 mom. finns en hänvisning till tjänstemans allmänna rättigheter och skyldigheter enligt tjänstemannalagen. Hänvisningen är relevant med tanke på att särskilt 15, 17 och 18 §§ i tjänstemannalagen kan anses genomföra i landskapslagstiftning artikel 54.1 f i dataskyddsförordningen om att det i lag ska fastställas bestämmelser om vilka villkor som gäller för de skyldigheter som Datainspektionens personal har, förbud mot handlingar samt yrkesverksamhet och förmåner som står i strid därmed.
19 § Datainspektionens uppgifter och befogenheter. I gällande lagstiftning finns bestämmelserna om Datainspektionens befogenheter huvudsakligen i 8 kap. i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Dataskyddsförordningens tillämpning medför att bestämmelserna om tillsynsmyndighetens befogenheter och uppgifter i förordningen ska tillämpas istället. I 1 mom. hänvisas i informativt syfte till artiklarna 55–59 i dataskyddsförordningen och att i dessa bestämmelser föreskrivs om Datainspektionens uppgifter och befogenheter. Dessa bestämmelser i dataskyddsförordningen är direkt tillämpliga. I informativt syfte anges i momentet att Datainspektionen kan ha andra uppgifter och befogenheter i anslutning till skyddet av personuppgifter på det sätt som föreskrivs i lag.
Bestämmelsen i 2 mom. gäller hur Datainspektionen företräds i Europeiska dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen är ett unionsorgan som inrättas enligt dataskyddsförordningen. Enligt artikel 68.3 i dataskyddsförordningen består styrelsen av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare. Artikel 68.4 föreskriver att en gemensam företrädare ska utses i enlighet med den medlemsstatens nationella rätt om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för att övervaka tillämpningen av bestämmelserna i förordningen.
Enligt förslaget ska den gemensamma företrädaren för landskapets och rikets tillsynsmyndigheter utses i Europeiska dataskyddsstyrelsen i enlighet med 59b § i självstyrelselagen för Åland. Självstyrelselagens 59b § 2 mom. föreskriver att landskapsmyndigheterna och riksmyndigheterna ska samråda, om de åtgärder de kommer att vidta är beroende av varandra. Om endast en åtgärd kan vidtas i medlemsstaten i ett förvaltningsärende där både landskapet och riket har behörighet enligt självstyrelselagen, fattas beslutet om åtgärden av riksmyndigheten. Beslutet ska fattas efter samråd med landskapsmyndigheten så att samförstånd eftersträvas och landskapsmyndighetens ståndpunkter så långt som möjligt blir beaktade. Är landskapsmyndigheten och riksmyndigheten inte överens om vilka åtgärder som bör vidtas i en fråga som avses i 59b § 2 mom., kan en rekommendation till avgörande begäras av Ålandsdelegationen. Utnämningen av en gemensam företrädare i dataskyddsstyrelsen utgör en åtgärd där endast en åtgärd kan vidtas i medlemsstaten, men både landskapet och riket har behörighet enligt självstyrelselagen eftersom de har varsin tillsynsmyndighet. Momentet är av informativ karaktär och hänvisar till vad som föreskrivs i 59b § 2 mom. i självstyrelselagen.
Enligt 3 mom. ska Datainspektionen årligen överlämna den verksamhetsberättelse som avses i artikel 59 i dataskyddsförordningen till Ålands lagting och landskapsregeringen. Verksamhetsberättelsen ska hållas allmänt tillgänglig. Enligt artikel 59 ska varje tillsynsmyndighet upprätta en årlig rapport om sin verksamhet, vilken kan omfatta en förteckning över typer av anmälda överträdelser och typer av åtgärder som vidtagits i enlighet med artikel 58.2. Rapporterna ska översändas till det nationella parlamentet, regeringen och andra myndigheter som utsetts genom medlemsstatens nationella rätt. De ska göras tillgängliga för allmänheten, kommissionen och Europeiska dataskyddsstyrelsen.
20 § Behandling av ärenden. Paragrafen gäller behandlingen av ärenden vid Datainspektionen och motsvarar gällande 3 § i landskapslagen om Datainspektionen. Enligt 1 mom. avgör myndighetschefen de ärenden i vilka beslut fattas av Datainspektionen. I dagsläget finns enbart en anställd vid Datainspektionen. Om det i framtiden inrättas ytterligare tjänster framgår det ur momentet att myndighetschefen kan i arbetsordning överföra beslutanderätten till sådan annan tjänsteman.
Enligt 2 mom. kan landskapsregeringen utfärda närmare bestämmelser om Datainspektionens ekonomiförvaltning och om vissa ärenden som hänför sig till tjänstekollektivavtalen samt till vilken del landskapsregeringen handhar skötseln av dessa uppgifter. Med vissa ärenden som hänför sig till tjänstekollektivavtalen avses ärenden som kräver särskilda specialkunskaper, såsom ansökningar om ålders-, års- och andra lönetillägg. Motsvarande bestämmelse finns i dagsläget i 3 § 2 mom. i landskapslagen om Datainspektionen. Landskapsregeringens befogenheter att utfärda närmare bestämmelser får inte försvaga Datainspektionens självständiga och fullständigt oberoende ställning enligt dataskyddsförordningen.
21 § Information och rätt att utöva tillsyn. Artikel 58.1 a–f i dataskyddsförordningen föreskriver om de utredningsbefogenheter som tillsynsmyndigheterna har. I 1 mom. hänvisas till dessa befogenheter och bestämmelsen är av informativ karaktär. Bland annat kan tillsynsmyndigheten beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter. Enligt samma moment ska Datainspektionen trots sekretessbestämmelserna ha rätt att avgiftsfritt få de uppgifter som behövs för skötseln av myndighetens uppgifter. De sekretessbestämmelser som avses är särskilt de som ingår i 2 kap. i landskapslagen om allmänna handlingars offentlighet. Det framgår även ur förslag till 4 § 3 mom. i denna lag att uppgifter som är föremål för tystnadsplikt får lämnas till tillsynsmyndigheten för utförande av uppgifter enligt dataskyddsförordningen.
Bestämmelsen i 2 mom. anknyter till Datainspektionens befogenheter att utföra inspektion och artikel 58.1 f om att tillsynsmyndigheten ska få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt. I gällande 27 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen finns bestämmelser om tillsynsmyndighetens tillträde till lokaler. Enligt förslaget får inspektion utföras i utrymmen som används för boende av permanent natur endast om det är nödvändigt för att utreda omständigheter som är föremål för inspektion och om det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter så att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen. Förslaget motsvarar förslaget till 18 § 2 mom. i rikets dataskyddslag (RP 9/2018 rd).
Enligt 10 § 3 mom. i grundlagen kan genom lag bestämmas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna ska kunna tryggas eller för att brott ska kunna utredas. Grundlagens bestämmelse om hemfriden omfattar i princip alla slag av rum som används för varaktigt boende (se t.ex. GrUU 2/1996 rd och GrUU 12/1998 rd). I sin utlåtandepraxis har grundlagsutskottet ansett att ett ingrepp i hemfriden är godtagbart "för att brott skall kunna utredas", om åtgärden i bestämmelsen binds vid förekomsten av en konkret och specificerad orsak att misstänka att brott mot lagen har skett eller kommer att ske (se t.ex. GrUU 20/2001 rd, s. 3). För att lagförslag ska kunna behandlas i vanlig lagstiftningsordning har grundlagsutskottet förutsatt att bestämmelser om inspektionsrätt anger att en bostad bara kan inspekteras om det är nödvändigt för att utreda omständigheter som gäller föremålet för inspektionen (GrUU 46/2001 rd).
22 § Anlitande av sakkunniga. Enligt 1 mom. har Datainspektionen rätt att anlita och höra sakkunniga samt att inbegära utlåtanden från dem. Bestämmelsen motsvarar gällande 4 § i landskapslagen om Datainspektionen. Sakkunniga kan besitta sakkunskap som Datainspektionens personal inte har men som är av betydelse för skötseln av Datainspektionens uppgifter. Till exempel kan behovet av sakkunniga uppstå i samband med att myndigheten ska bedöma riskerna vid sådan behandling av personuppgifter som är föremål för förhandssamråd enligt artikel 36 i dataskyddsförordningen. I 2 mom. anges att Datainspektionen får anlita sakkunniga som hjälp när myndigheten utför en inspektion. På den sakkunniga tillämpas bestämmelserna om straffrättsligt ansvar när den sakkunniga hjälper Datainspektionen vid en sådan inspektion.
23 § Handräckning. I paragrafen föreskrivs om handräckning som polisen vid behov ska vara skyldig att ge Datainspektionen. Behovet av handräckning skulle främst kunna komma i fråga i samband med utförandet av inspektioner då Datainspektionen kan behöva polisens handräckning för att få tillträde till lokaler som är föremål för inspektion.
4 kap. Rättsmedel, ansvar och sanktioner
24 § Klagomål till Datainspektionen. Enligt förslag till paragraf har varje registrerad som anser att dennes personuppgifter behandlas lagstridigt rätt att lämna in klagomål till Datainspektionen. Av artikel 77 i dataskyddsförordningen följer att varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. Dataskyddsförordningens bestämmelse är direkt tillämplig men den avgränsar sig enbart till behandling av personuppgifter som strider mot förordningen. Därför föreslås i paragrafen att varje registrerad ska ha rätt att klaga hos Datainspektionen då den registrerade anser att behandlingen av dennes personuppgifter är lagstridig. Det vidare begreppet lagstridig omfattar också den landskapslagstiftning som kompletterar dataskyddsförordningen. Till exempel omfattar rätten att lämna in klagomål enligt den föreslagna paragrafen behandling som anses ske i strid med den föreslagna landskapslagen.
25 § Vite. Enligt förslaget ska paragrafen innehålla befogenhet för Datainspektionen att förelägga vite. I dagsläget finns bestämmelser om vite i 27 § 3 mom. i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Enligt 1 mom. ska Datainspektionen kunna förena förena beslut enligt artikel 58.2 c-g och j i dataskyddsförordningen med vite. Med stöd av dessa bestämmelser har Datainspektionen befogenhet bl.a. att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling av personuppgifter. Det föreslagna momentet innebär att Datainspektionen kan förstärka dessa befogenheter i dataskyddsförordningen med vitesförelägganden. I 21 § 1 mom. i denna lag föreskrivs om Datainspektionens rätt att, trots sekretessbestämmelser, avgiftsfritt få de uppgifter som behövs för skötseln av myndighetens uppgifter. Datainspektionen föreslås ha en rätt att förelägga vite om den uppgiftsskyldige inte efter begäran får tillgång till dessa alla personuppgifter och all information enligt 21 § 1 mom., dock med beaktande av den i 2 mom. ingående begränsningen.
I 2 mom. hänvisas till vitesförelägganden enligt 1 mom. i anslutning till rätten för Datainspektionen att få uppgifter enligt 21 § 1 mom. i denna lag. Enligt 2 mom. får sådant vite inte föreläggas en fysisk person som det finns anledning att misstänka för brott, om uppgifterna gäller en omständighet som har samband med brottsmisstanken. Bestämmelsen behövs för att tillförsäkra en sådan person skydd mot självinkriminering. I 3 mom. finns en hänvisning till att närmare bestämmelser om vite finns i landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen. Allmänna bestämmelser om vite finns i viteslagen (FFS 1113/1990) som med stöd av landskapslagen om tillämpning i landskapet Åland av viteslagen tillämpas på landskapets myndigheter samt kommunala myndigheter och andra myndigheter till den del de handhar uppgifter inom landskapsförvaltningen eller den kommunala självstyrelseförvaltningen.
26 § Ändringssökande. Enligt 1 mom. får ändring i Datainspektionens beslut sökas hos Ålands förvaltningsdomstol genom besvär på det sätt som föreskrivs i förvaltningsprocesslagen (FFS 586/1996). Förslaget följer av 25 § 1 mom. i självstyrelselagen som föreskriver att besvär över beslut som har fattats av myndigheter under landskapsregeringen anförs hos Ålands förvaltningsdomstol. I 2 mom. föreskrivs att ändring i förvaltningsdomstolens beslut får sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även Datainspektionen får söka ändring i förvaltningsdomstolens beslut. Förvaltningsrättskipning faller inom rikets behörighet. Enligt 3 mom. kan det i Datainspektionens beslut bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
27 § Administrativa sanktionsavgifter. Administrativa sanktionsavgifter är en nyhet i dataskyddsförordningen som inte finns i 1995 års dataskyddsdirektiv eller i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Sanktionsavgifterna införs enligt skäl 148 i dataskyddsförordningen för att stärka verkställigheten av förordningen. Enligt artikel 83.7 i dataskyddsförordningen får varje medlemsstat reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter mot offentliga myndigheter och organ i den medlemsstaten. Enligt 1 mom. ska bestämmelserna om administrativa sanktionsavgifter i dataskyddsförordningen varken tillämpas i förhållande till myndighet inom landskaps- och kommunalförvaltningen eller i förhållande till Ålands lagting ansluten förvaltning. Förslaget innebär att Datainspektionen inte kan påföra myndigheterna sådana administrativa sanktionsavgifter som avses i dataskyddsförordningen.
Enligt 2 mom. ska bestämmelserna om administrativa sanktionsavgifter inte heller tillämpas i förhållande landskapets affärsverk då dessa sköter offentliga förvaltningsuppgifter eller i förhållande till andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter. Avsikten med förslaget är således att undantaget från bestämmelserna om administrativa sanktionsavgifter ska sammanfalla med förslaget till tillämpningsområde enligt 2 § 1 mom. i denna lag. I artikel 83.7 i dataskyddsförordningen anges att medlemsstaterna kan bestämma om offentliga myndigheter och organ som är inrättade i medlemsstaten ska kunna påföras sanktionsavgifter. Det är emellertid möjligt att andra än offentliga myndigheter genom lag eller med stöd av lag anförtros sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen. Landskapsregeringen anser att artikel 83.7 bör ges en ändamålsbunden tolkning som utgår från om personuppgifterna behandlas i anslutning till offentlig maktutövning eller utförandet av offentliga förvaltningsuppgifter. Därför föreslås att samtliga de juridiska och fysiska personer som denna landskapslag tillämpas på ska vara undantagna från de administrativa sanktionsavgifterna, dock endast till den del verksamheten hos dessa juridiska och fysiska personer är föremål för denna lag.
Den föreslagna bestämmelsen innebär inte undantag från övriga former av sanktionering. Datainspektionens övriga befogenheter enligt dataskyddsförordningen kvarstår, bl.a. kan Datainspektionen införa en tillfällig eller definitiv begränsning av personuppgifters behandling. Behandling av personuppgifter i strid med dataskyddsförordningen kan också leda till straffrättsligt ansvar för tjänsteman. Klagomål till den personuppgiftsansvariga myndigheten eller granskningar på myndighetens eget initiativ kan aktualisera tjänstemans disciplinära ansvar. Fortsättningsvis är det möjligt att rikta klagomål till de allmänna laglighetsövervakarna, justitiekansler och justitieombudsman, över bristfällig behandling av personuppgifter inom myndigheten. Behandling av personuppgifter i strid med dataskyddslagstiftningen kan även föranleda skadeståndsansvar för offentligt samfund eller tjänsteman enligt skadeståndslagen (FFS 412/1974).
28 § Dataskyddsbrott. I 9 kap. i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen ingår straffbestämmelser som gäller behandlingen av personuppgifter. Enligt förarbetena följer bestämmelserna i kapitlet om straffbestämmelser i huvudsak motsvarande bestämmelser i den finländska, norska och danska personuppgiftslagstiftningen (framst. nr 8/2003–2004). I 29 och 30 §§ i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen finns bestämmelser om personregisterförseelse och personregisterbrott. Personregisterförseelse omfattar situationer när det är fråga om sådana lindriga lagstridiga gärningar som räknas upp i 29 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. Den som begår en i paragrafen avsedd gärning kan dömas till böter. I 30 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen föreskrivs om personregisterbrott som omfattar sådan gärning som nämns i förteckningen i paragrafen. Den som begår en i paragrafen avsedd gärning kan dömas till böter eller fängelse i högst ett år. I 31 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen ingår bestämmelse om brott mot tystnadsplikt och i 32 § föreskrivs om straff för dataintrång.
I riket har i anslutning till förslaget om ny dataskyddslag också föreslagits en ändring av 38 kap. 9 § i strafflagen om personregisterbrott så att paragrafen rubriceras dataskyddsbrott. Samtidigt inskränks kriminaliseringen så att ett straffrättsligt ansvar enbart kan komma i fråga då den lagstridiga behandlingen av personuppgifter inte kan vara föremål för administrativa sanktionsavgifter. Enligt förslag till 27 § i denna landskapslag ska bestämmelserna om administrativa sanktionsavgifter i dataskyddsförordningen inte tillämpas i förhållande till myndighet inom landskaps- och kommunalförvaltningen. Landskapsregeringen föreslår antagandet av en straffbestämmelse som i huvudsak motsvarar förslaget till ändring av 38 kap. 9 § i strafflagen (se RP 9/2018 rd).
Enligt 1 mom. ska den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter på ett sätt som inte är förenligt med ändamålet med dem, lämnar ut personuppgifter eller översänder personuppgifter i strid med en bestämmelse om personuppgifternas ändamålsbundenhet, utlämnande eller översändande av personuppgifter i dataskyddsförordningen, denna lag eller någon annan landskapslag som gäller behandling av personuppgifter och därmed gör intrång i den registrerades integritetsskydd eller åsamkar honom eller henne annan skada eller betydande men, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år. Till skillnad från rikets förslag omfattar kriminaliseringen också fysiska personer när dessa behandlar personuppgifter i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Kriminaliseringen ska inte omfatta juridisk person. Momentet bygger huvudsakligen på motsvarande förslag till bestämmelse i 38 kap. 9 § 1 mom. i strafflagen.
Ett exempel på en straffbar handling är behandling av personuppgifter som sker utan rättslig grund och enbart av nyfikenhet. Denna typ av olaglig behandling har visat sig vara relativt vanlig. Till exempel en anställd inom myndighet kan ha givits användarrättigheter som ger tillgång till personuppgifter om patienter i vars vård den anställda deltar. På basen av användarrättigheterna kan den anställda då ha rätt att i vårdsyfte behandla patientens personuppgifter. Däremot skulle behandling av uppgifter enbart av nyfikenhet stå i strid med bestämmelse om personuppgifternas ändamålsbundenhet och falla inom ramen för den föreslagna kriminaliseringen enligt bestämmelsen. Rätten att behandla personuppgifter kan stöda sig på bestämmelser i många olika lagar. Det samma gäller bestämmelser om personuppgifternas ändamålsbundenhet. I paragrafen hänvisas till dataskyddsförordningen, denna lag eller någon annan landskapslag som gäller behandling av personuppgifter. Rätten att behandla personuppgifter kan basera sig på särskilda bestämmelser i annan landskapslag än denna allmänna landskapslag som kompletterar och preciserar dataskyddsförordningen, t.ex. föreslår landskapsregeringen att det ska ingå särskilda bestämmelser om behandlingen av personuppgifter i arkivlagen och statistiklagen.
Enligt 2 mom. ska för dataskyddsbrott dömas också den som handlar i strid med det som i en bestämmelse som avses i 1 mom. 1–3 punkten bestäms om säker behandling av personuppgifter. I artikel 32 i dataskyddsförordningen finns bestämmelse om säkerhet i samband med behandlingen av personuppgifter. I landskapslag kan finnas särskilda bestämmelser om säkerheten vid behandling av personuppgifter, till exempel om förstörandet av känsliga personuppgifter. Momentet kan bli tillämpligt om en person som står i anställningsförhållande till personuppgiftsansvarig förstör personuppgifterna i strid med dessa särskilda bestämmelser i landskapslag. Förslaget baserar sig på motsvarande förslag i riket gällande 38 kap. 9 § 2 mom. i strafflagen.
Det kan noteras att gällande 32 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen hänvisar till sådant dataintrång som det föreskrivs om i 38 kap. 8 § i strafflagen. Det föreslås inte ingå några sådana hänvisningar i den föreslagna landskapslagen. Orsaken till detta är att det numera finns ett stort antal straffbestämmelser som är av riksnatur och som kan knyta nära an till behandlingen av personuppgifter. De mest centrala finns emellertid i 38 kap. i strafflagen om informations- och kommunikationsbrott, bl.a. kränkning av kommunikationshemlighet (3 §), systemstörning (7a §) och dataintrång (8 §).
29 § Brott mot tystnadsplikt. Enligt paragrafen ska den som bryter mot den tystnadsplikt som avses i denna lags 4 § 2 och 4 mom. dömas för brott mot tystnadsplikt enligt landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen till böter eller fängelse högst ett år, om inte strängare straff för gärningen bestäms i någon annan lag. Paragrafen motsvarar gällande 31 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen, dock så att tillämpningsområdet också omfattar den särskilda tystnadsplikt och sekretess som föreslås följa av 4 § 4 mom. och som gäller i samband med att en fysisk person gör en anmälan till Datainspektionen.
5 kap. Särskilda behandlingssituationer
30 § Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål. I paragrafen ska föreskrivas om de artiklar i dataskyddsförordningen som inte tillämpas i samband med behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dessa undantag som möjliggörs genom artikel 85 i dataskyddsförordningen skiljer sig inte i någon stor utsträckning från vad som gäller enligt 1995 års dataskyddsdirektiv. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.
Begreppet akademiskt skapande är nytt och definieras inte närmare i dataskyddsförordningens skäl eller artikeltext. Innebörden av begreppet är delvis oklar och dess närmare betydelse får utvecklas i praxis. De delar av förordningen som inte räknas upp i artikel 85.2, från vilka undantag alltså inte får göras, är det första kapitlet om tillämpningsområde och definitioner, det åttonde kapitlet om rättsmedel, ansvar och sanktioner samt det tionde och elfte kapitlet som innehåller genomförande- och slutbestämmelser. Förordningens reglering av förhållandet till yttrande- och informationsfriheten innebär inte några inskränkningar utan ger till sin ordalydelse ett något större utrymme för undantag än 1995 års dataskyddsdirektiv, bl.a. på det sättet att det inte längre föreskrivs att behandling ska ske ”uteslutande” för journalistiska ändamål för att undantag ska kunna göras.
Vid myndigheterna inom landskaps- och kommunalförvaltningen torde behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål vara relativt ovanlig och merparten av behandlingen sker inom ramen för myndighetsutövning. Med beaktande av detta och då det inte finns några särskilda skäl att avvika från bedömningarna i riket om vilka undantag som är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten föreslår landskapsregeringen att paragraf ska motsvara innehållet i förslag till 27 § i rikets dataskyddslag. För de närmare motiveringarna hänvisas till propositionen i riket (RP 9/2018 rd).
31 § Behandling av personbeteckning. Artikel 87 i dataskyddsförordningen föreskriver att medlemsstaterna får bestämma närmare på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen. I gällande 10 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen ingår bestämmelse om behandling av personbeteckning. Enligt detaljmotiveringen följer bestämmelsen i huvudsak den finländska implementeringen av artikeln (framst. nr 8/2003–2004). Folkbokföring hör till rikets lagstiftningsbehörighet enligt 29 § 1 mom. 1 punkten i självstyrelselagen. Den föreslagna paragrafen motsvarar förslag till 29 § i rikets dataskyddslag som i sin tur baserar sig på gällande riksbestämmelser. Förslaget till paragraf i denna landskapslag motsvarar det förslaget och innehållet är väsentligen det samma som i gällande 10 § i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen. För de närmare motiveringarna hänvisas till propositionen i riket (RP 9/2018 rd).
32 § Undantag och skyddsåtgärder som gäller behandling för vetenskaplig och historisk forskning. De undantag för vetenskapliga eller historiska forskningsändamål som paragrafen gäller baserar sig på artikel 89.2 i dataskyddsförordningen. Den bestämmelsen möjliggör att det föreskrivs undantag i medlemsstaternas nationella rätt från de rättigheter som avses i artiklarna 15, 16, 18 och 21 i dataskyddsförordningen. Utnyttjandet av undantaget enligt artikel 89.2 förutsätter också att rättigheterna i artiklarna 15, 16, 18 och 21 sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de vetenskapliga eller historiska forskningsändamålen, och att sådana undantag krävs för att uppnå dessa ändamål. Artikel 15 handlar om den registrerades rätt att få information om personuppgifter som behandlas och som rör honom eller henne. Artikel 16 gäller den registrerades rätt till rättelse och artikel 18 gäller den registrerades rätt till begränsning av behandling. Artikel 21 föreskriver om den registrerades rätt att göra invändningar.
Enligt 1 mom. ska det vara möjligt att avvika från de rättigheter som avses i artiklarna 15, 16, 18 och 21 när personuppgifter behandlas för vetenskaplig eller historisk forskning. Momentet förutsätter att avvikelse från rättigheterna kan göras om tre krav är uppfyllda. Forskningen ska grunda sig på en forskningsplan, det ska finnas en ansvarig person eller en grupp som ansvarar för forskningen och uppgifter om bestämda personer får inte röjas för utomstående. Det bör noteras att artikel 89.2 i dataskyddsförordningen anger att avvikelse kan göras enbart om det annars sannolikt skulle vara omöjligt eller mycket svårare att uppfylla forskningsändamålen, och sådana undantag krävs för att uppnå dessa ändamål. Det bör noteras att de krav som uppställs för avvikelse från de rättigheter som föreskrivs i artiklarna 15, 16, 18 och 21 i dataskyddsförordningen är de samma som förutsätts i samband med behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning enligt förslag till 11 §. Dock så att behandlingen av känsliga personuppgifter för dessa ändamål enligt 11 § också förutsätter att lämpliga skyddsåtgärder har vidtagits i enlighet med förslag till 13 §.
Förslag till 2 mom. gäller behandlingen för vetenskaplig eller historisk forskning av sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Momentet hänvisar till 11 § som kompletterar artikel 9.2 j i dataskyddskyddsförordningen och föreskriver om på vilka grunder sådana känsliga personuppgifter kan behandlas för vetenskaplig eller historisk forskning.
33 § Undantag och skyddsåtgärder som avser behandling för arkivändamål av allmänt intresse och statistikföring. Enligt förslaget ska bestämmelserna i landskapslagstiftning om hur de i artikel 89 i dataskyddsförordningen ingående möjligheterna till undantag och krav på skyddsåtgärder gällande behandling för arkivändamål av allmänt intresse och statistikföring föras in i arkivlagen för landskapet Åland och statistiklagen för landskapet Åland. På ett motsvarande sätt följer av förslag till 7 § 4 mom. att bestämmelserna om behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse och för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen förs in i arkivlagen och statistiklagen.
34 § Begränsningar i informationsplikten. Artikel 23.1 i dataskyddsförordningen föreskriver om möjlighet att i en medlemsstats nationella rätt, som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av, införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34. Därtill är det möjligt att införa begränsningar i förhållande till artikel 5. Alla dessa begränsningar ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa de syften som räknas upp i artikel 23.1. Artikel 23.2 innehåller en förteckning över vilken typ av specifika bestämmelser som de i artikel 23.1 avsedda lagstiftningsåtgärderna ska, när så är relevant, innehålla.
Artikel 23 i dataskyddsförordningen anknyter till vissa gällande bestämmelser i landskapslagen om behandling av personuppgifter inom landskaps- och kommunförvaltningen. Särskilt i 4 kap. i landskapslagen föreskrivs om vissa sådana rättigheter som den registrerade har och som det föreskrivs om i de enskilda artiklar i dataskyddsförordningen som artikel 23 ger rätt att avvika från genom lagstiftningsåtgärder. I 11 och 12 §§ i landskapslagen föreskrivs om den registeransvariges informationsplikt i förhållande till den registrerade. På det sätt som föreskrivs i bestämmelserna ska den registeransvarige ges angiven information både då personuppgifter samlas in från den registrerade och när personuppgifter samlas in från någon annan än den registrerade. I 11 och 12 §§ föreskrivs om undantag från denna informationsplikt. I bestämmelserna nämnd information behöver inte lämnas med hänsyn bl.a. till den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott.
Artikel 13 i dataskyddsförordningen gäller information som ska tillhandahållas om personuppgifterna samlas in från den registrerade medan artikel 14 gäller information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Enligt förslaget behövs det fortsättningsvis vissa undantag i landskapslag från den informationsplikt som numera ingår i artiklarna 13 och 14 i dataskyddsförordningen. Enligt 1 mom. kan undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla uppgifter till den registrerade göras, om det är nödvändigt med hänsyn till den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott. I 2 mom. möjliggörs undantag från artiklarna 14.1–4 i dataskyddsförordningen om tillhandahållandet av informationen orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade. Med stöd av denna bestämmelse ska myndigheten i undantagsfall inte behöva lämna information åt den registrerade. En begränsning enligt bestämmelsen kan komma i fråga exempelvis när det kan antas att uppgifterna om hälsotillståndet kan vara ägnade att skada den registrerades mentala hälsa.
35 § Begränsningar i rätten till information. Artikel 23 i dataskyddsförordningen möjliggör också undantag från tillämpningen av artikel 15 om den registrerades rätt till tillgång. Enligt artikel 15 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och den information som räknas upp i bestämmelsen. I gällande 13 § i landskapslagen om behandling av personuppgifter inom landskaps- och kommunförvaltningen föreskrivs om en motsvarande rätt till information och i 15 § föreskrivs om begränsningar i fråga om den registrerades rätt till information.
I 1 mom. anges när en registrerad inte ska ha i artikel 15 i dataskyddsförordningen avsedd rätt att bekanta sig med uppgifter som samlats in om honom eller henne. Enligt 1 punkten ska den registrerade inte ha en rätt att få information om informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott. Bestämmelsen motsvarar 15 § 1 mom. 1 punkten i landskapslagen om behandling av personuppgifter inom landskaps- och kommunförvaltningen. Enligt 2 punkten ska rätten till information inte heller gälla om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter. Bestämmelsen motsvarar 15 § 1 mom. 2 punkten i landskapslagen om behandling av personuppgifter inom landskaps- och kommunförvaltningen. Ur 3 punkten framgår att rätten till information inte ska gälla om de personuppgifter som ingår i registret används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen.
Enligt 2 mom. har den registrerade rätt att få veta vilka övriga uppgifter som rör honom eller henne, om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i den allmänna dataskyddsförordningen. Bestämmelsen har sin motsvarighet i 15 § 2 mom. i landskapslagen om behandling av personuppgifter inom landskaps- och kommunförvaltningen. I 3 mom. anges att den registrerade måste underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Momentet motiveras av artikel 23.2 h i dataskyddsförordningen av vilken följer att lagstiftningsåtgärderna gällande begränsningar i artikel 15 ska innehålla bestämmelser om de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
6 kap. Ikraftträdande- och övergångsbestämmelser
36 § Ikraftträdande. Landskapslagen ska precisera och komplettera tillämpningen på Åland av dataskyddsförordningen. Dataskyddsförordningen ska tillämpas från och med den 25 maj 2018. Eftersom de flesta av bestämmelserna i dataskyddsförordningen är direkt tillämpliga ska dessa bestämmelser också tillämpas som sådana inom landskapets behörighet från och med den 25 maj 2018. På grund av tidsbrist är det osäkert om landskapslagen kan träda i kraft redan vid denna tidpunkt. Enligt 1 mom. lämnas datum för ikraftträdande därför öppet för landskapsregeringen att fatta beslut om i enlighet med 20 § 2 mom. i självstyrelselagen. Avsikten är att landskapslagen ska träda i kraft den 25 maj 2018 eller, om detta inte är möjligt, så snart som möjligt.
Enligt 2 mom. ska landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och landskapslagen om Datainspektionen upphävas. Syftet med bestämmelserna i landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen har varit att implementera 1995 års dataskyddsdirektiv. Dataskyddsförordningen upphäver och ersätter det direktivet. Eftersom de bestämmelser som kompletterar och preciserar dataskyddsförordningen ska ingå i den föreslagna landskapslagen upphävs landskapslagen om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen i sin helhet. Enligt förslaget ska landskapslagen om Datainspektionen upphävas och bestämmelserna om Datainspektionen föras in i denna föreslagna allmänna landskapslag. Fördelen med denna lösning är att samtliga allmänna bestämmelser som kompletterar dataskyddsförordningen samlas i en landskapslag vars disposition följer strukturen i dataskyddsförordningen.
Om den föreslagna landskapslagen inte kan träda i kraft den 25 maj 2018 kan det uppstå en konflikt mellan gällande landskapslagstiftning och dataskyddsförordningens direkt tillämpliga bestämmelser. Enligt EU-domstolens etablerade rättspraxis har EU-lagstiftningen företräde framom nationell rätt i enlighet med de förutsättningar som definierats i denna rättspraxis (se även förklaring nr 17 om principen om EU-rättens företräde som ingår i slutakten för regeringskonferensen om Lissabonfördraget). Bestämmelserna om tillsynsmyndigheternas befogenheter är inte direkt tillämpliga eftersom det förutsätts att tillsynsmyndigheterna inrättas genom lag.
37 § Övergångsbestämmelser. Enligt gällande 4 § 2 mom. och 9 § i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen förutsätts tillstånd av Datainspektionen för viss behandling av personuppgifter. I 1 mom. föreslås att de tillstånd som Datainspektionen beviljat med stöd av bestämmelser som gällde före ikraftträdandet av denna lag ska upphöra att gälla när lagen träder i kraft. Enligt samma moment ska en ansökan om sådana tillstånd avskrivas om ansökan är anhängig när lagen träder i kraft. Efter att dataskyddsförordningen börjar tillämpas ska behandlingen av personuppgifter följa bestämmelserna i dataskyddsförordningen, dvs. det är inte aktuellt för tillsynsmyndigheten att bevilja sådana tillstånd som förutsätts enligt gällande lagstiftning.
Med stöd av 2 mom. ska landskapsregeringen förflytta den tjänsteinnehavare som innan lagen träder i kraft har ansvarat för skötseln av chefen för Datainspektionens uppgifter till den i 15 § 1 mom. avsedda tjänsten som myndighetschef. Enligt dataskyddsförordningen ska personal som sköter tillsynsmyndighetens uppgifter utnämnas för viss period, men förordningen möjliggör att samma personal utnämns för nya perioder. Förslaget utgår från att anställningsvillkoren för den tjänsteinnehavare som i dagsläget ansvarar för skötseln av chefen för Datainspektionens uppgifter inte försämras. Därför anges i 3 mom. att vad som i 16 § 1 mom. föreskrivs om att utnämning till myndighetschef sker för sex år åt gången och att samma person kan utnämnas till tjänsten sammanlagt högst 18 år tillämpas först när en ny myndighetschef anställs.
2. Landskapslag om ändring av landskapslagen om allmänna handlingars offentlighet
3a kap. Personuppgifter i allmänna handlingar
15a §. Dataskyddslagstiftningen, särskilt dataskyddsförordningen, kan innebära att personuppgifter ska skyddas samt insynen i och spridningen av personuppgifterna begränsas. Däremot syftar offentlighetslagstiftningen till att allmänheten och massmedierna ska ha insyn i förvaltningens verksamhet. Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. På Åland konkretiseras och förverkligas offentlighetsprincipen framförallt genom landskapslagen om allmänna handlingars offentlighet.
Enligt gällande 15a § 1 mom. i landskapslagen om allmänna handlingars offentlighet får personuppgifter som ingår i personregister lämnas ut i form av en kopia, en utskrift eller i elektronisk form om inte något annat är föreskrivet i lag och om mottagaren har rätt att registrera och använda sådana personuppgifter enligt bestämmelserna om behandling av personuppgifter. Enligt förslaget ska 1 mom. uppdateras och anpassas till dataskyddsförordningen och annan dataskyddslagstiftning. Enligt första meningen i det föreslagna momentet får, om inte annat föreskrivs i lag, personuppgifter som ingår i allmänna handlingar lämnas ut muntligen eller i form av en kopia, en utskrift eller i elektronisk form, förutsatt att personuppgifterna är offentliga och mottagaren har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. I annan lagstiftning kan finnas särskilda bestämmelser om myndigheters utlämnande av personuppgifter. Dessa bestämmelser ska då ha företräde framom den föreslagna bestämmelsen. Till exempel föreskrivs i 17 § i landskapslagen (2017:29) om vattenfarkoster hur motorfordonsbyrån får lämna ut uppgifter ur Ålands vattenfarkostregister. Förslaget baserar sig fortfarande på att personuppgifter ska kunna lämnas ut i form av en kopia, en utskrift eller i elektronisk form, men därtill föreslås att personuppgifterna även ska kunna lämnas ut muntligen.
Förslaget utgår från att bestämmelsen ska tillämpas på personuppgifter som ingår i allmänna handlingar, dvs. inte som i dagsläget personuppgifter som ingår i ett personregister. Landskapslagen om allmänna handlingars offentlighet syftar i övrigt också till att reglera hur myndigheter kan lämna ut allmänna handlingar eller uppgifter som ingår i dessa handlingar. Det bör noteras att artikel 2.1 i dataskyddsförordningen inkluderar personuppgifter som kommer att ingå i ett register i det skydd för personuppgifter som förordningen upprättar, dvs. skyddet för personuppgifter gäller inte enbart personuppgifter som ingår i personregister. Definitionen av ett register är vid enligt artikel 4.6 i dataskyddsförordningen eftersom ett register utgör en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Ett personregister kan vara en sådan allmän handling som avses i 1 § i landskapslagen om allmänna handlingars offentlighet. I informativt syfte föreslås att det ska framgå ur momentet att de personuppgifter som ingår i de allmänna handlingarna ska vara offentliga för att myndigheten ska kunna lämna ut dem. Personuppgifterna kan nämligen vara föremål för hemlighållande enligt landskapslagen om allmänna handlingars offentlighet eller någon annan lag.
I likhet med gällande bestämmelse ska den centrala begränsningen vid utlämnandet av personuppgifter vara att mottagaren av personuppgifter har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. Syftet med detta krav är att ett utlämnande inte får leda till att personuppgifterna behandlas i strid med dataskyddslagstiftningen, särskilt dataskyddsförordningen. Tillämpningen av detta krav kan förutsätta att myndigheten utreder i vilket syfte de personuppgifter som är föremål för begäran om utlämnande ska användas. Detta är ändamålsenligt eftersom rätten att behandla personuppgifter enligt dataskyddsförordningen, framförallt artiklarna 6.1 och 9.2, ofta är bunden vid ett visst användningsändamål. Avsikten är inte att bestämmelsen ska tillämpas så att myndigheten i samband med varje begäran om handlingar enligt landskapslagen om allmänna handlingars offentlighet ställer ingående frågor om sökandens tilltänkta användning. Det krävs att det finns någon konkret omständighet som gör att det kan antas att personuppgifterna efter utlämnandet kommer att behandlas på ett sätt som inte är förenligt med dataskyddslagstiftningen. Myndigheten ska utreda användningsändamålet för personuppgifterna om sökanden begär att få ut uppgifter om väldigt många personer från ett register som myndigheten upprätthåller eller uppgifter om ett urval av personer med vissa egenskaper. Om det pga. en konkret omständighet finns skäl att misstänka att sökanden kommer att behandla uppgifterna på ett sätt som står i strid med dataskyddslagstiftningen finns det anledning att genom frågor utreda hur och till vad personuppgifterna ska användas.
Det förekommer ofta att handlingar och personuppgifter begärs utlämnade från myndigheter för journalistiska ändamål. Behandling av personuppgifter för journalistisk verksamhet i privat regi är föremål för rikets dataskyddslagstiftning och artikel 85 i dataskyddsförordningen medger att det förs in undantag i nationell lagstiftning gällande behandlingen av personuppgifter för journalistiska ändamål. Myndigheterna inom landskaps- och kommunalförvaltningen kan enligt förslaget också i fortsättningen lämna ut personuppgifter för journalistiska ändamål då mottagaren har rätt att behandla personuppgifterna för journalistiska ändamål. I rättspraxis har prövats när behandling av personuppgifter är av journalistisk natur. Högsta förvaltningsdomstolen tog ställning till det att ett bolag årligen publicerade i regionala tidningar uppgifter om över en miljon finländares beskattningsuppgifter och lämnade uppgifterna vidare till ett annat bolag för tillhandahållande av SMS-tjänster (textmeddelanden). De uppgifter som publicerats i tidningarna utlämnades mot betalning som textmeddelanden. Högsta förvaltningsdomstolen ansåg att bolagets behandling av personuppgifterna i sin verksamhet inte hade skett i ett sådant redaktionellt syfte som avses i rikets personuppgiftslag.[16]
Det bör noteras att behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll faller utanför tillämpningsområdet för dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Om detta s.k. hushållsundantag föreskrivs i artikel 2.2 c i dataskyddsförordningen. Personuppgifter som ingår i allmänna handlingar kan lämnas ut för sådan verksamhet av privat natur. Enligt skäl 18 i dataskyddsförordningen kan privat verksamhet eller verksamhet som har samband med hushållet omfatta korrespondens och innehav av adresser, aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet.
I momentets andra mening anges att den allmänna handlingen får lämnas ut endast till den del personuppgifterna inte ingår om mottagaren inte har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. Utlämnandet förutsätter att handlingen eller uppgifter i denna är offentliga. I enskilda fall kan det vara så att myndigheten får en begäran om ett mycket omfattande antal handlingar som innehåller personuppgifter. Det kan också förekomma att begäran inte är tillräckligt specificerad. Om handlingarna i dylika fall begärs ut i elektronisk form kan raderandet av personuppgifterna medföra oskäliga arbetsinsatser. Även av tekniska orsaker kan kostnaderna för det tekniska utförandet av raderandet vara oskäliga. Myndigheterna ska inte vara skyldiga att genomföra sådana oskäliga och kostsamma ändringar i de elektroniska handlingarna.
15d §. Enligt gällande paragraf ska bestämmelserna i 3a kap. inte tillämpas på polismyndighetens personregister. I paragrafen hänvisas till att det finns särskilda bestämmelser om polismyndighetens personregister i landskapslagen om polisens grundregister och landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personuppgifter. Det kan konstateras att landskapslagen om allmänna handlingars offentlighet också gäller Ålands polismyndighet när myndigheten utför uppgifter som hör till landskapets behörighet. Ur 4 § 1 mom. 7 punkten i lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) framgår emellertid att den allmänna rikslagen om offentlighet tillämpas när myndigheterna i landskapet Åland utför uppgifter som ankommer på riksmyndigheterna. På ett motsvarande sätt finns i 9 § 1 mom. punkt c i landskapslagen om allmänna handlingars offentlighet en hänvisning till grunder för hemlighållande i rikslagstiftningen då handlingen rör ärende som underligger riksmyndighets förvaltningsbehörighet.
Eftersom Ålands polismyndighet utför uppgifter som ankommer på riksmyndigheterna i en relativt vid omfattning tillämpas också rikets offentlighetslagstiftning inom polismyndigheten i en motsvarande vid omfattning. Enligt förslaget ska 15d § upphävas. Detta motiveras med att landskapslagen om allmänna handlingars offentlighet även är tillämplig i förhållande till Ålands polismyndighet, till den del verksamheten är föremål för landskapets behörighet. Rikets offentlighetslagstiftning tillämpas då polismyndigheten utför uppgifter som ankommer på riksmyndigheterna. De rikslagar som gällande 15d § hänvisar till föreskriver i första hand om behandlingen av personuppgifter, inte om offentligheten i de handlingar som finns hos polismyndigheten. Även av denna orsak föreslås att 15d § upphävs och att tillämpningen av 15a § också utsträcks till Ålands polismyndighet.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
3. Landskapslag om ändring av arkivlagen för landskapet Åland
5a kap. Behandlingen av personuppgifter för arkivändamål av allmänt intresse
Landskapsregeringen anser att det är mera ändamålsenligt att sådana allmänna bestämmelser om behandlingen av personuppgifter för arkivändamål av allmänt intresse som kompletterar dataskyddsförordningen ingår i arkivlagen än i den föreslagna landskapslagen om dataskydd i landskaps- och kommunalförvaltningen. Enligt förslaget ingår det hänvisningar till arkivlagens särbestämmelser om behandlingen av personuppgifter i 7 § 4 mom. och 33 § i landskapslagen om dataskydd i landskaps- och kommunalförvaltningen. Landskapsregeringen föreslår att bestämmelserna om dataskydd i samband med arkivering samlas i ett särskilt kapitel 5a i arkivlagen. Bestämmelserna i kapitlet föranleds främst av det handlingsutrymme som artikel 9 och 89 i dataskyddsförordningen medger.
13d §. Paragrafen är främst av informativ karaktär. I 1 mom. hänvisas i informativt syfte till dataskyddsförordningens bestämmelser, i första hand bestämmelserna om behandling av personuppgifter för arkivändamål av allmänt intresse, och att bestämmelserna i det föreslagna kapitlet kompletterar dessa bestämmelser. Hänvisningen avser framförallt de bestämmelser i dataskyddsförordningen som är direkt tillämpliga. Skyldigheten i artikel 89.1 om att vidta lämpliga skyddsåtgärder vid behandling för arkivändamål av allmänt intresse är direkt tillämplig. Enligt bestämmelsen ska behandling för arkivändamål av allmänt intresse omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas.
Bestämmelserna i artikel 5 i dataskyddsförordningen är direkt tillämpliga och innehåller inte någon handlingsmarginal för vidtagandet av lagstiftningsåtgärder på Åland. I artikel 5.1 b föreskrivs att ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen. I 2 mom. upplyses om att personuppgifter som tidigare samlats in i förenlighet med dataskyddsförordningen och annan dataskyddslagstiftning får senare behandlas för arkivändamål av allmänt intresse med stöd av artiklarna 5.1 b och 89.1 i dataskyddsförordningen. Myndigheterna samlar vanligtvis in personuppgifter för myndighetsutövning och rättslig grund för sådan ursprunglig insamling och behandling av personuppgifter går att finna i artikel 6.1 e i dataskyddsförordningen och den lagstiftning som ligger till grund för myndighetens befogenheter. Det i momentet använda uttrycket ”annan dataskyddslagstiftning” hänvisar till den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen samt andra bestämmelser i landskapslagstiftning som kan innehålla i dataskyddsförordningen möjliggjorda kompletterande rättsliga grunder för behandling av personuppgifter. Det kan noteras att det av artikel 5.1 e i dataskyddsförordningen följer direkt att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för arkivändamål i allmänhetens intresse. Den förlängda bevarandetiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1 för att säkerställa de registrerades fri- och rättigheter.
I 3 mom. hänvisas till senare behandling av personuppgifter som tidigare har arkiverats i enlighet med arkivlagens bestämmelser. De personuppgifter som finns i arkiv som är föremål för arkivlagens tillämpning har vanligtvis samlats in för andra ändamål än arkivändamål före handlingarna har arkiverats. Av artikel 5.1 b i dataskyddsförordningen följer att uppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in (den s.k. finalitetsprincipen), men behandling som föranleds av personuppgifternas arkivering ska inte anses vara oförenlig med de ursprungliga ändamålen. Dock bör uppmärksammas att dataskyddsförordningen medför vissa restriktioner för vidarebehandlingen av personuppgifter som har arkiverats. Dataskyddsförordningen utgår nämligen från att varje ny behandling av personuppgifter ska prövas mot det ändamål för vilket uppgifterna ursprungligen samlades in av den personuppgiftsansvarige. Dataskyddsförordningen förbjuder endast vidarebehandling som är oförenlig med det ursprungliga insamlingsändamålet. Finalitetsprincipen utgör således inte i sig något hinder mot att en uppgift som har bevarats hos den personuppgiftsansvarige enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling, förutsatt att den nya behandlingen är förenlig med det ursprungliga insamlingsändamålet (jfr de svenska förarbetena i SOU 2017:39, s. 225). Om myndighetens senare behandling av den arkiverade personuppgiften inte är förenlig med det ursprungliga insamlingsändamålet måste det finnas ett rättsligt stöd för sådan vidarebehandling i dataskyddslagstiftningen.
I 3 mom. hänvisas i informativt syfte till att vidarebehandlingen av arkiverade personuppgifter är möjlig om behandlingen sker i enlighet med bestämmelserna i dataskyddsförordningen och annan dataskyddslagstiftning. Detta hänvisar främst till den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Myndigheterna inom landskaps- och kommunalförvaltningen behöver ofta behandla arkiverade personuppgifter senare, efter det ursprungliga insamlandet, i samband med sin myndighetsutövning och för utövandet av sina förvaltningsuppgifter. Vanligtvis har myndigheterna också ursprungligen samlat in personuppgifterna för sådan myndighetsutövning och för utövandet av sådana förvaltningsuppgifter. Myndigheterna får endast behandla de tidigare insamlade och arkiverade personuppgifterna om det finns en rättslig grund för sådan behandling.
I 4 mom. finns en informativ hänvisning till att landskapslagen om allmänna handlingars offentlighet innehåller bestämmelser om utlämnandet av personuppgifter som finns i allmänna handlingar. Arkiverade handlingar som avses i arkivlagen utgör vanligtvis sådana allmänna handlingar som avses i landskapslagen om allmänna handlingars offentlighet. Utlämnandet av personuppgifterna i sådana handlingar förutsätter framförallt att uppgifterna inte är sekretessbelagda och att mottagaren av personuppgifterna har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen.
13e §. I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden. Som känslig personuppgift definieras personuppgift som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Utrymmet för undantag från detta förbud mot behandling av känsliga personuppgifter, vid behandling som är nödvändig för arkivändamål, regleras i artikel 9.2 j i dataskyddsförordningen. Artikel 9.2 j kan ligga till grund för behandling om sådan är nödvändig för arkivändamål av allmänt intresse i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I förslaget till 7 § 4 mom. i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen finns en hänvisning till att om behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse gäller vad som föreskrivs i arkivlagen för landskapet Åland.
Artikel 10 i dataskyddsförordningen föreskriver om behandlingen av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1. Sådan behandling får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. I förslaget till 12 § 1 mom. 2 punkten i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen anges att personuppgifter som avses i artikel 10 i dataskyddsförordningen och som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om behandlingen av sådana uppgifter är reglerad i lag.
Det faktum att både artikel 9.2 j och artikel 10 förutsätter att gällande rätt ska innehålla bestämmelser om lämpliga och särskilda skyddsåtgärder för att säkerställa den registrerades rättigheter och intressen talar för att behandlingen av dessa känsliga personuppgifter för arkivändamål av allmänna intressen inte omfattas av artikel 5.1 b som föreskriver att ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, i enlighet med artikel 89.1, inte ska anses vara oförenlig med de ursprungliga ändamålen. Den vidarebehandling av känsliga personuppgifter som myndigheter utför i enlighet med arkivlagens bestämmelser är därmed inte tillåten enbart på grundval av undantaget enligt artikel 5.1 b som tillämpas vid arkiveringen av andra än känsliga personuppgifter.
Enligt 1 mom. får i artikel 9.1 och 10 i dataskyddsförordningen avsedda känsliga personuppgifter behandlas med stöd av artiklarna 9.2 j och 10 om behandlingen är nödvändig för arkiveringen enligt arkivlagen. Bestämmelsen tillåter således arkiveringen också av känsliga personuppgifter. Det kan också röra sig om bevarandet och vården av arkiv och att olika åtgärder i samband med detta förutsätter behandling av känsliga personuppgifter. Bestämmelsen i 2 mom. motiveras med att dataskyddsförordningen förutsätter att det i medlemsstaternas nationella rätt fastställs lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Enligt bestämmelsen får de känsliga personuppgifter som avses i 1 mom. enbart behandlas för arkivändamål av allmänt intresse i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. I den avsedda 13 § finns en förteckning över sådana lämpliga och särskilda åtgärder som ska säkerställa den registrerades grundläggande rättigheter och intressen vid behandlingen av de känsliga personuppgifterna. Förteckningen motsvarar den förteckning som finns i förslag till 6 § 2 mom. i rikets dataskyddslag (se RP 9/2018 rd).
13f §. Paragrafen gäller utnyttjandet av de undantag från enskilda artiklar i dataskyddsförordningen som artikel 89.3 i dataskyddsförordningen möjliggör. Om personuppgifter behandlas för arkivändamål av allmänt intresse får det enligt artikel 89.3 i dataskyddsförordningen föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Detta får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen och sådana undantag krävs för att uppnå detta ändamål. Det bör också noteras att undantagen kan tillämpas endast under förutsättning att de direkt tillämpliga villkoren i artikel 89.1 i dataskyddsförordningen om bl.a. skyddsåtgärder och uppgiftsminimering följs.
Enligt paragrafen får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18–21 i dataskyddsförordningen när personuppgifter behandlas i samband med arkivering enligt arkivlagen, under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen. Undantag från den registrerades rättigheter med stöd av den föreslagna paragrafen förutsätter att rättigheterna sannolikt antingen skulle förhindra uppnåendet av de aktuella ändamålen med arkiveringen enligt arkivlagen eller försvåra dem i hög grad. Paragrafen möjliggör således undantag från bl.a. rätten för den registrerade att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas i samband med arkivering. Det samma gäller artikel 16 i dataskyddsförordningen som ger den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Det kan oftast inte anses vara förenligt med arkivlagstiftningens ändamål att myndigheterna ska utföra rättelser i och därmed förändra innehållet i handlingar som bevaras hos myndigheterna.
Ikraftträdelsebestämmelsen. Ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
4. Landskapslagen om ändring av statistiklagen för landskapet Åland
3 §. Behandling av personuppgifter för statistiska ändamål. Enligt förslaget ska paragrafen ändras i sin helhet. I gällande bestämmelse anges att det vid framställningen av statistik ska iakttas vad som föreskrivs i landskapslagen om behandling av personuppgifter i landskaps- och kommunalförvaltningen, om inte annat föreskrivs i statistiklagen eller någon annan lag. I informativt syfte framgår ur 1 mom. att bestämmelserna i dataskyddsförordningen och de kompletterande bestämmelserna i statistiklagen ska iakttas vid myndighetens behandling av personuppgifter för statistiska ändamål. Enligt förslaget ska de kompletterande bestämmelser om behandlingen av personuppgifter för statistiska ändamål som vissa av dataskyddsförordningens bestämmelser förutsätter och möjliggör ingå i statistiklagen, inte i den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Det kan noteras att 7 § 4 mom. och 33 § i den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen innehåller hänvisningar till statistiklagens bestämmelser om dataskydd.
Dataskyddsförordningen innehåller också ett antal direkt tillämpliga bestämmelser som är relevanta i samband med behandlingen av personuppgifter för framställningen av statistik. Enligt artikel 5.1 b gäller exempelvis att ytterligare behandling av personuppgifter för statistiska ändamål, i enlighet med artikel 89.1, inte ska anses oförenlig med de ursprungliga ändamålen för vilka personuppgifterna samlades in. Enligt artikel 89.1 ska behandling för statistiska ändamål omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Det är vanligt att personuppgifter som ursprungligen har samlats in för helt andra ändamål vidarebehandlas för statistiska ändamål, t.ex. som ett led i den personuppgiftsansvariges uppföljning av sin egentliga verksamhet. Med stöd av artikel 5.1 b i dataskyddsförordningen kan således sådana personuppgifter vidarebehandlas för statistiska ändamål, utan att denna nya behandling ska anses vara oförenlig med de ursprungliga ändamålen. Av artikel 5.1 e följer att personuppgifter får lagras under en längre tid än vad som normalt gäller, om uppgifterna enbart kommer att behandlas för statistiska ändamål. Den förlängda bevarandetiden gäller i den mån som lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1. Bestämmelserna i artiklarna 5 och 89.1 är direkt tillämpliga och kräver därmed inga lagstiftningsåtgärder på Åland.
I 2 mom. anges att personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för framställningen av statistik enligt statistiklagen. Statistiklagen tillämpas på landskapets myndigheter då de framställer officiell statistik. Myndigheterna har tilldelats en uppgift av allmänt intresse som grundar sig på lag, dvs. myndigheterna kan samla in och i övrigt behandla personuppgifter för detta ändamål, också utan samtycke från de registrerade, med stöd av artikel 6.1 e i dataskyddsförordningen. Det handlar således här om en rättslig grund för en ursprunglig insamling av personuppgifter enligt statistiklagen medan den direkt tillämpliga bestämmelsen i artikel 5.1 b i dataskyddsförordningen ligger till grund för att ytterligare behandling för statistiska ändamål i enlighet med artikel 89.1 inte är oförenlig med personuppgifter som lagligen samlats in för andra ändamål.
I 3 mom. finns en bestämmelse om behandlingen av känsliga personuppgifter för statistiska ändamål. I artikel 9.1 i dataskyddsförordningen anges att behandling som avslöjar känsliga personuppgifter ska vara förbjuden. Som känslig personuppgift definieras personuppgift som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Utrymmet för undantag från detta förbud mot behandling av känsliga personuppgifter, vid behandling som är nödvändig för statistiska ändamål, regleras i artikel 9.2 j i dataskyddsförordningen. Artikel 9.2 j kan ligga till grund för behandling om sådan är nödvändig för statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Artikel 10 i dataskyddsförordningen föreskriver om behandlingen av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1. Sådan behandling får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
I bestämmelsen ingår en rättslig grund för behandling för statistiska ändamål av sådana känsliga personuppgifter som avses i artiklarna 9.1 och 10 i dataskyddsförordningen. Enligt förslaget får behandling ske om behandlingen är nödvändig för framställningen av statistik enligt statistiklagen. Denna rättsliga grund för behandling kompletteras emellertid med ett ytterligare krav på att lämpliga skyddsåtgärder har vidtagits för att skydda de känsliga personuppgifterna. De känsliga personuppgifterna får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. I den avsedda 13 § föreslås ingå en förteckning över sådana lämpliga och särskilda åtgärder som ska säkerställa den registrerades grundläggande rättigheter och intressen vid behandlingen av de känsliga personuppgifterna. Förteckningen motsvarar den förteckning som finns i förslag till 6 § 2 mom. i rikets dataskyddslag (se RP 9/2018 rd).
I artiklarna 15, 16, 18 och 21 i dataskyddsförordningen föreskrivs om olika rättigheter som registrerade har i samband med behandlingen av personuppgifter. Artikel 15 handlar om den registrerades rätt att få information om personuppgifter som behandlas och som rör honom eller henne. Artikel 16 gäller den registrerades rätt till rättelse och artikel 18 gäller den registrerades rätt till begränsning av behandling. Artikel 21 föreskriver om den registrerades rätt att göra invändningar. Enligt artikel 89.2 i dataskyddsförordningen kan föreskrivas om undantag från dessa rättigheter om personuppgifter behandlas för statistiska ändamål, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag får emellertid bara göras i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla det särskilda ändamålet och sådana undantag krävs för att uppnå detta ändamål.
Enligt 4 mom. kan undantag vid behov göras från de rättigheter som anges artiklarna 15, 16, 18 och 21 i dataskyddsförordningen. Behovet av undantag kan t.ex. uppstå i förhållande till den i artikel 15 ingående rätten att få information om personuppgifter. Den registrerades förutsättningar att kräva sina rättigheter särskilt enligt artiklarna 16 och 18 är i sin tur beroende av att den registrerade får informationen om dessa personuppgifter enligt artikel 15. Möjligheten att göra undantag från dessa rättigheter har i förslaget kvalificerats med tre krav som ska vara uppfyllda för att undantag ska kunna göras. Dessa krav ska fungera som i dataskyddsförordningen avsedda skyddsåtgärder. Den första förutsättningen är att statistiken inte kan framställas utan att personuppgifter används, den andra förutsättningen att framställningen av statistiken anknyter till myndighetens verksamhet och den tredje förutsättningen att uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person.
19 § Utlämnande av uppgifter. Av paragrafens gällande 1 mom. följer begränsningar gällande utlämnandet av sekretessbelagda uppgifter som erhållits eller använts för statistiska ändamål och utlämnandet av sådana uppgifter för vidtagandet av administrativa åtgärder. Dessa begränsningar ska kvarstå. I gällande 2 mom. föreskrivs att en myndighet får lämna ut uppgifter för vetenskapliga undersökningar och för statistiska ändamål. Personuppgifter som avses i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen och andra identifikationsuppgifter får dock inte lämnas ut. I gällande 3 mom. föreskrivs om rätt för Ålands statistik- och utredningsbyrå att för vetenskaplig forskning och för statistiska ändamål lämna ut vissa personuppgifter under förutsättning att den som får uppgifterna har rätt enligt i momentet angivna lagar att inhämta dessa uppgifter. Av 15a § i landskapslagen om allmänna handlingars offentlighet följer den allmänna utgångspunkten, om annat inte föreskrivs i lag, att personuppgifter kan lämnas ut om personuppgifterna är offentliga och mottagaren har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. För att anpassa statistiklagens bestämmelse till denna allmänna utgångspunkt föreslås att paragrafens 2 och 3 mom. slås ihop så att 3 mom. upphävs och 2 mom. ändras.
Enligt 2 mom. får en myndighet lämna ut personuppgifter för statistiska ändamål samt vetenskapliga och historiska forskningsändamål om mottagaren har en rätt att behandla personuppgifterna för dessa ändamål enligt dataskyddslagstiftningen. Rätten att behandla personuppgifter för statistiska ändamål följer främst av de grunder som framgår ur förslaget till ändring av 3 § 2 mom. i statistiklagen och artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för framställningen av statistik enligt statistiklagen. Behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål ska anses vara sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Om skyddsåtgärder och undantag i samband med behandling för dessa intressen föreskrivs i artikel 89.2 i dataskyddsförordningen och förslaget till 32 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Begreppet myndighet inkluderar Ålands statistik- och utredningsbyrå medan begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen, statistiklagen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Paragrafens gällande 1 och 4 mom. ska fortsättningsvis medföra begränsningar rörande utlämnandet av sådana sekretessbelagda uppgifter och andra uppgifter som avses i momenten.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
5. Landskapslag om ändring av 23a § landskapslagen om besiktning och registrering av fordon
23a §. Paragrafen gäller utlämnandet av uppgifter ur fordonsregistret. Enligt förslaget ska 2 mom. uppdateras så att hänvisningen till personuppgiftslagstiftningen byts ut med en hänvisning till dataskyddslagstiftningen. Begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
6. Landskapslag om ändring av 34 och 67 §§ landskapslagen om gymnasieutbildning
34 § Antagning av studerande och validander. I paragrafens gällande 7 mom. föreskrivs att Ålands gymnasium ska föra ett register med nödvändiga uppgifter om de sökande till skolan, deras studieprestationer och kunnande samt uppgifter om de sökandes avklarade studier. Momentet uppdateras så att hänvisningen till personuppgiftslagstiftningen byts ut med en hänvisning till dataskyddslagstiftningen. Begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
67 § Tystnadsplikt och hantering av känslig information. I paragrafens 3 mom. finns en hänvisning till begreppet personuppgiftslagstiftningen som byts ut mot begreppet dataskyddslagstiftningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
7. Landskapslag om ändring av 19 § landskapslagen om energideklaration för byggnader
19 § Behandling av uppgifterna i energideklarationsregistret. I paragrafens gällande 2 mom. föreskrivs att landskapslagen (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen tillämpas på behandlingen av personuppgifter, om inte annat bestäms i denna lag. Enligt förslaget ska dataskyddslagstiftningen tillämpas på behandlingen av personuppgifter. Begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
8. Landskapslag om ändring av 20 § landskapslagen om Ålands ombudsmannamyndighet
20 § Skyldighet att lämna uppgifter till ombudsmannamyndigheten. I gällande paragraf föreskrivs om skyldighet för landskapets och kommunernas tjänstemän att lämna uppgifter till ombudsmannamyndigheten. I gällande 2 mom. hänvisas till landskapslagen (2007:88) om behandling av personuppgifter. Eftersom landskapslagen ska upphävas ska paragrafen istället hänvisa till dataskyddslagstiftningen. Begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
9. Landskapslag om ändring av 37 § förvaltningslagen för landskapet Åland
37 § Anteckning av uppgifter. Enligt paragrafens gällande lydelse hänvisas till uppgifter som har inhämtats ur ett register för personuppgifter som avses i landskapslagen (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen eller motsvarande personuppgiftslagstiftning. Bestämmelsen ändras så att det hänvisas till uppgifter som har inhämtats ur ett register för personuppgifter som avses i dataskyddslagstiftningen. Begreppet dataskyddslagstiftningen hänvisar i första hand till dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
10. Landskapslag om ändring av 20 § landskapslagen om produktion av genetiskt modifierade växter
20 § Offentliggörande, användning och utlämnande av registeruppgifter. I gällande 4 mom. anges att det som föreskrivs i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen gäller i fråga om utlämnande av personuppgifter. Enligt förslaget ska momentet uppdateras så att det hänvisar till 3a kap. i landskapslagen (1977:72) om allmänna handlingars offentlighet som föreskriver om utlämnandet av personuppgifter som ingår i allmänna handlingar.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
11. Landskapslag om ändring av 1 § landskapslagen om tillämpning på Åland av 13 kap. i lagen om offentlig arbetskrafts- och företagsservice
1 § Lagens tillämpningsområde. I paragrafens gällande 2 mom. anges att vid arbetsmarknads- och studieservicemyndighetens användning av de register som avses i landskapslagens 1 mom. ska lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) och rikets personuppgiftslag iakttas i tillämpliga delar. Enligt detaljmotiveringen till gällande bestämmelse hänvisas till rikets personuppgiftslag eftersom det kundinformationssystem vari de ifrågavarande registren finns i utgör ett riksregister (framst. nr 17/2012–2013). Momentet behöver uppdateras med anledning av att rikets personuppgiftslag upphävs. Vid behandlingen av personuppgifter ska det gälla som föreskrivs i dataskyddsförordningen och den i riket föreslagna dataskyddslagen som kompletterar dataskyddsförordningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
12. Landskapslag om ändring av 4 och 32 §§ landskapslagen om radio- och televisionsverksamhet
4 § Tillstånds- och anmälningsregister. Gällande 3 mom. föreskriver att landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ska iakttas om personuppgifter behandlas i registret. Momentet uppdateras med anledning av att den i momentet avsedda landskapslagen upphävs. Den föreslagna hänvisningen till dataskyddslagstiftningen avser i första hand dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
32 § Allmänna principer. Gällande 2 mom. anger att landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen gäller vid behandlingen av personuppgifter i televisionsinnehavarregistret, om inte något annat föreskrivs i detta kapitel. Enligt förslaget ska istället hänvisas till dataskyddslagstiftningen. Med detta avses främst dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
13. Landskapslag om ändring av 20 § landskapslagen om erkännande av yrkeskvalifikationer
20 § Behandling av uppgifter om ett europeiskt yrkeskort. I gällande 5 mom. anges att landskapsregeringen ska betraktas som sådan registeransvarig som avses i 2 § 4 punkten i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen när det gäller behandling av personuppgifter i det europeiska yrkeskortet och i IMI-akterna. Bestämmelsen behöver uppdateras eftersom landskapsregeringen föreslår att landskapslagen ska upphävas. Begreppet registeransvarig motsvaras av begreppet personuppgiftsansvarig enligt artikel 4.7 i dataskyddsförordningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
14. Landskapslag om ändring av 14 § landskapslagen om finansiering av landsbygdsnäringar
14 § Sekretess. I gällande 1 mom. hänvisas till bestämmelserna om tystnadsplikt i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Landskapsregeringen kan lämna sådana sekretessbelagda uppgifter för vidarebefordran till berörd institution inom Europeiska unionen i enlighet med det som föreskrivs i momentet. Bestämmelsen behöver uppdateras eftersom landskapsregeringen föreslår att den i momentet avsedda landskapslagen ska upphävas. Enligt förslaget ska momentet hänvisa allmänt till sådan sekretess och tystnadsplikt som följer av annan lagstiftning och att landskapsregeringen har rätt att lämna sådana uppgifter till riksmyndighet för de syften som föreskrivs i paragrafen. Enligt lagförslaget ska bestämmelser om tystnadsplikt ska ingå i den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Därtill kan sekretess och tystnadsplikt också följa av annan lagstiftning, bl.a. av bestämmelserna i landskapslagen om allmänna handlingars offentlighet.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
15. Landskapslag om ändring av 5h § landskapslagen om lotterier
5h §. I gällande paragraf räknas upp ett antal landskapslagar som i tillämpliga delar ska iakttas i samband med förvaltningsförfarande i enlighet med bestämmelserna i landskapslagen om lotterier. Eftersom landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ska upphävas bör bestämmelsen ändras. Enligt förslaget ska i bestämmelsen istället hänvisas till bestämmelserna i dataskyddslagstiftningen som i första hand avser dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
16. Landskapslag om ändring av 58 § körkortslagen för Åland
58 § Behandling av uppgifterna om användning av alkolåset. I gällande 3 mom. föreskrivs hur den i paragrafen avsedda representanten och alkolåstillverkaren ska behandla personuppgifter och uppgifter om användning av alkolåset. Bestämmelsen anger att rikets personuppgiftslag ska tillämpas på behandlingen av personuppgifter. Gällande 4 mom. innehåller en liknande hänvisning till rikets personuppgiftslag. Enligt förslaget ska 3 och 4 mom. ändras så att det i 4 mom. hänvisas till dataskyddsförordningen och rikets dataskyddslag. Hänvisningen ska också omfatta den i 3 mom. avsedda behandlingen av personuppgifter som görs av representanten och alkolåstillverkaren.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
17. Landskapslag om ändring av 17 § landskapslagen om vattenfarkoster
17 § Utlämnande av uppgifter ur Ålands vattenfarkostregister. I gällande 2 mom. föreskrivs att personuppgifter om vattenfarkostens ägare får lämnas ut endast om mottagaren har rätt att enligt personuppgiftslagstiftningen behandla dessa uppgifter. Landskapsregeringen föreslår att begreppet dataskyddslagstiftning används istället för personuppgiftslagstiftningen. Med dataskyddslagstiftningen avses i första hand dataskyddsförordningen och den föreslagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Lagtext
Landskapsregeringen föreslår att följande lagar antas.
1.
L A N D S K A P S L A G
om dataskydd inom landskaps- och kommunalförvaltningen
1 kap.
Allmänna bestämmelser
1 §
Lagens syfte
Genom denna lag preciseras och kompletteras tillämpningen på Åland av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen.
Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.
2 §
Tillämpningsområde
Lagen tillämpas på behandling av personuppgifter vid landskapets myndigheter, kommunala myndigheter och till Ålands lagting ansluten förvaltning. Lagen ska också tillämpas vid landskapets affärsverk då de sköter offentliga förvaltningsuppgifter samt på andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter. Lagen tillämpas inte vid Ålands polismyndighet.
Lagen tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Med stöd av lagen tillämpas dataskyddsförordningen dessutom i tillämpliga delar och med undantag för artikel 56 och kapitel VII på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs i lag. Detsamma gäller tillämpningen av denna lag.
3 §
Annan lagstiftning om dataskydd
Om det i en annan landskapslag finns bestämmelser som avviker från denna lag ska de bestämmelserna gälla.
Om tillämpningen av riksförfattningar om behandlingen av personuppgifter föreskrivs i annan landskapslagstiftning.
På sådan behandling av personuppgifter som hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen.
4 §
Bestämmelser om offentlighet, sekretess och tystnadsplikt
Myndigheter får lämna ut personuppgifter som ingår i allmänna handlingar i enlighet med landskapslagen om allmänna handlingars offentlighet, om inte annat föreskrivs i lag. Utlämnandet ska vara förenligt med bestämmelser om sekretess och tystnadsplikt.
Om inte annat föreskrivs i lag får den som vid behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller affärs- eller yrkeshemlighet inte röja dessa uppgifter för tredje part eller utnyttja dem till egen eller annans fördel.
Upplysningar får lämnas till Datainspektionen för utförande av uppgifter enligt dataskyddsförordningen och denna lag, till åklagar- och polismyndigheter för utredande av brott och till en myndighet som behandlar en ändringsansökan i ett ärende enligt dataskyddsförordningen och denna lag.
När en fysisk person har gjort anmälan till Datainspektionen om en misstänkt överträdelse av bestämmelser som myndigheten övervakar, ska anmälarens identitet hemlighållas, om det på grund av omständigheterna kan antas vålla olägenheter för anmälaren att hans eller hennes identitet avslöjas.
2 kap.
Rättslig grund för behandlingen i vissa fall
5 §
Laglig behandling av personuppgifter
Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
Personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som grundar sig på lag.
Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som grundar sig på lag eller som ett led i den personuppgiftsansvariges på lag grundade myndighetsutövning.
6 §
Åldersgräns för informationssamhällets tjänster
När informationssamhällets tjänster erbjuds direkt till ett barn ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke eller fullmakt ges av den person som har föräldraansvar för barnet.
7 §
Behandling av känsliga personuppgifter
Av dataskyddsförordningen framgår att sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen endast får behandlas om någon av förutsättningarna i artikel 9.2 är uppfylld.
Om behandlingen av i artikel 9.2 b, g, h och j avsedda känsliga personuppgifter föreskrivs i 8–11 §§ och 13 §.
I 12 § föreskrivs om behandlingen av sådana i artikel 10 i dataskyddsförordningen avsedda känsliga personuppgifter som rör fällande domar i brottmål samt överträdelser.
Om behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse och för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen föreskrivs i arkivlagen (2004:13) för landskapet Åland och statistiklagen (1994:42) för landskapet Åland.
8 §
Behandling av känsliga personuppgifter gällande arbetsrätten och social trygghet
Känsliga personuppgifter får med stöd av artikel 9.2 b i dataskyddsförordningen behandlas
1) om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, eller
2) om behandlingen gäller den registrerades behov av socialvård eller de socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade.
De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.
9 §
Behandling av känsliga personuppgifter för ett viktigt allmänt intresse
Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse och uppgiften grundar sig på lag. Behandlingen får inte innebära ett oproportionellt intrång i den registrerades personliga integritet.
De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.
10 §
Behandling av känsliga personuppgifter gällande hälso- och sjukvård och social omsorg
Känsliga personuppgifter får med stöd av artikel 9.2 h i dataskyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med
1) förebyggande hälso- och sjukvård och yrkesmedicin,
2) bedömningen av en arbetstagares arbetskapacitet,
3) medicinska diagnoser,
4) tillhandahållande av hälso- och sjukvård eller behandling,
5) social omsorg, eller
6) förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system.
Behandling enligt 1 mom. får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.
11 §
Behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning
Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för den vetenskapliga eller historiska forskningen och samhällsintresset av forskningen där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. Därtill ska den vetenskapliga eller historiska forskningen bedrivas så att forskningen grundar sig på en forskningsplan, det finns en ansvarig person eller en grupp som ansvarar för forskningen samt att uppgifter om bestämda personer inte röjs för utomstående.
12 §
Behandling som rör fällande domar i brottmål samt överträdelser
Personuppgifter som avses i artikel 10 i dataskyddsförordningen och som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om
1) behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller
2) behandlingen av sådana uppgifter är reglerad i lag.
De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.
13 §
Åtgärder för att skydda den registrerade
Den som behandlar i 8, 9, 11 och 12 §§ avsedda känsliga personuppgifter ska vidta lämpliga och särskilda skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen. Dessa åtgärder är
1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifterna,
2) åtgärder för att höja kompetensen i den personal som behandlar personuppgifter,
3) utnämning av ett dataskyddsombud,
4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,
5) pseudonymisering av personuppgifter,
6) kryptering av personuppgifter,
7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställas behandlingens säkerhet,
9) särskilda förfarandebestämmelser för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,
10) när en konsekvensbedömning avseende dataskydd utförs enligt artikel 35 i dataskyddsförordningen och
11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.
3 kap.
Tillsynsmyndighet
14 §
Datainspektionen
Datainspektionen fungerar som tillsynsmyndighet enligt dataskyddsför-ordningen och denna lag.
Datainspektionen är en oberoende myndighet administrativt underställd landskapsregeringen.
Datainspektionen beslutar om sin organisation och kan vid behov utfärda en arbetsordning, om inte annat föreskrivs i denna lag.
Datainspektionen ska ha en elektronisk anslagstavla på sin webbplats.
15 §
Personal
Vid Datainspektionen finns en tjänst som myndighetschef till vars uppgifter hör att leda myndigheten.
Vid Datainspektionen kan finnas annan personal i offentligrättsligt eller privaträttsligt anställningsförhållande. Om inrättande och indragning av tjänster föreskrivs i 17 §.
Om inte annat bestäms i denna lag ska Datainspektionen handha sådana uppgifter rörande myndighetens personal vilka enligt tjänstemannalagen (1987:61) för landskapet Åland ankommer på landskapsregeringen.
Landskapsregeringen fattar beslut i fråga om
1) permittering av Datainspektionens personal,
2) förflyttning eller omplacering av en tjänsteman eller arbetstagare till eller från en annan landskapsmyndighet, dock med Datainspektionens samtycke samt
3) tjänsten som myndighetschef.
16 §
Behörighets- och utnämningsvillkor
Behörig för tjänsten som myndighetschef är den som vid universitet eller därmed jämförbar högskola, som är erkänd av en nationell utbildningsmyndighet, avlagt en examen som motsvarar minst fyra års heltidsstudier och innehåller en lämplig ämneskombination. Utnämning till myndighetschef sker för sex år åt gången och samma person kan utnämnas till tjänsten sammanlagt högst 18 år.
Vad som bestäms i 1 mom. tillämpas också om det till ansvarsområdet för en tjänst som inrättas ingår att sköta om sådana uppgifter som ankommer på tillsynsmyndigheternas ledamöter enligt dataskyddsförordningen.
Behörighetskrav i samband med övriga anställningsförhållanden vid Datainspektionen än de som anges i 1 och 2 mom. bestäms av Datainspektionen.
17 §
Inrättande och indragning av tjänster
Andra tjänster än tjänsten som myndighetschef inrättas och indras av Datainspektionen efter att landskapsregeringens utlåtande inhämtats.
För de tjänster som Datainspektionen har för avsikt att inrätta eller indra ska behovsutredningar som sammanställts enligt tjänstemannalagen överlämnas till landskapsregeringen i samband med Datainspektionens budgetförslag. Landskapsregeringen ska avge utlåtande efter att förslaget till landskapsbudget överlämnats till lagtinget och senast en månad efter att lagtinget fastställt landskapsbudgeten.
Om Datainspektionen har för avsikt att fatta beslut om inrättande eller indragning av tjänst inom gällande landskapsbudget kan behovsutredningen överlämnas vid en annan tidpunkt och landskapsregeringen ska avge utlåtande inom tre månader räknat från dagen då utredningen delgavs landskapsregeringen.
18 §
Förbud mot att bedriva oförenlig verksamhet
I artikel 52.3 i dataskyddsförordningen föreskrivs om förbud för Datainspektionens personal att utöva ett yrke eller ha en befattning som står i strid med myndighetens uppgifter.
Om tjänstemans allmänna rättigheter och skyldigheter föreskrivs i 3 kap. i tjänstemannalagen för landskapet Åland.
19 §
Datainspektionens uppgifter och befogenheter
I artiklarna 55–59 i dataskyddsförordningen finns bestämmelser om Datainspektionens uppgifter och befogenheter. Datainspektionen kan också ha andra uppgifter och befogenheter på det sätt som föreskrivs i lag.
Gemensam företrädare för landskapets och rikets tillsynsmyndigheter i Europeiska dataskyddsstyrelsen utses i enlighet med 59b § i självstyrelselagen för Åland.
Datainspektionen ska årligen överlämna den verksamhetsberättelse som avses i artikel 59 i dataskyddsförordningen till Ålands lagting och landskapsregeringen. Verksamhetsberättelsen ska hållas allmänt tillgänglig.
20 §
Behandling av ärenden
Myndighetschefen avgör de ärenden i vilka beslut fattas av Datainspektionen. Genom bestämmelse i arbetsordning kan myndighetschefen överföra beslutanderätten på en annan tjänsteman vid Datainspektionen.
Landskapsregeringen kan utfärda närmare bestämmelser om Datainspektionens ekonomiförvaltning och om vissa ärenden som hänför sig till tjänstekollektivavtalen samt till vilken del landskapsregeringen handhar skötseln av dessa uppgifter.
21 §
Information och rätt att utöva tillsyn
I artikel 58.1 i dataskyddsförordningen finns bestämmelser om Datainspektionens rätt att få information och rätt att utöva tillsyn. Datainspektionen har trots sekretessbestämmelser rätt att avgiftsfritt få de uppgifter som behövs för skötseln av myndighetens uppgifter.
I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda omständigheter som är föremål för inspektion och om det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter så att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen.
22 §
Anlitande av sakkunniga
Datainspektionen har rätt att anlita och höra sakkunniga samt att begära in utlåtanden från dem.
Datainspektionen får anlita sakkunniga som hjälp när myndigheten utför en inspektion. På den sakkunniga tillämpas bestämmelserna om straffrättsligt ansvar då den sakkunniga assisterar Datainspektionen vid en sådan inspektion.
23 §
Handräckning
Polisen är skyldig att vid behov ge Datainspektionen handräckning när myndigheten fullgör de åligganden som ankommer på den.
4 kap.
Rättsmedel, ansvar och sanktioner
24 §
Klagomål till Datainspektionen
Varje registrerad som anser att dennes personuppgifter behandlas lagstridigt har rätt att lämna in klagomål till Datainspektionen.
25 §
Vite
Datainspektionen får förena ett i dataskyddsförordningens artikel 58.2 c—g och j avsett beslut samt ett med stöd av 21 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter med vite.
Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.
Närmare bestämmelser om vite finns i landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen.
26 §
Ändringssökande
Ändring i Datainspektionens beslut får sökas hos Ålands förvaltningsdomstol genom besvär på det sätt som föreskrivs i förvaltningsprocesslagen (FFS 586/1996).
Ändring i förvaltningsdomstolens beslut får sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även Datainspektionen får söka ändring i förvaltningsdomstolens beslut.
I Datainspektionens beslut kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
27 §
Administrativa sanktionsavgifter
Bestämmelserna om administrativa sanktionsavgifter i dataskyddsförordningen tillämpas inte i förhållande till myndigheter inom landskaps- och kommunalförvaltningen eller till Ålands lagting ansluten förvaltning.
Bestämmelserna om administrativa sanktionsavgifter tillämpas inte heller i förhållande till landskapets affärsverk då dessa sköter offentliga förvaltningsuppgifter eller i förhållande till andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter.
28 §
Dataskyddsbrott
Den som uppsåtligen eller av grov oaktsamhet skaffar personuppgifter på ett sätt som inte är förenligt med ändamålet med dem, lämnar ut personuppgifter eller översänder personuppgifter i strid med en bestämmelse om personuppgifternas ändamålsbundenhet, utlämnande eller översändande av personuppgifter i
1) dataskyddsförordningen,
2) denna lag eller
3) någon annan lag som gäller behandling av personuppgifter
och därmed gör intrång i den registrerades integritetsskydd eller åsamkar honom eller henne annan skada eller betydande men, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år.
För dataskyddsbrott döms också den som handlar i strid med det som i en bestämmelse som avses i 1 mom. 1–3 punkten bestäms om säker behandling av personuppgifter.
29 §
Brott mot tystnadsplikt
Den som bryter mot den tystnadsplikt som avses i 4 § 2 och 4 mom. ska för brott mot tystnadsplikt enligt landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen dömas till böter eller fängelse högst ett år, om inte strängare straff för gärningen bestäms i någon annan lag.
5 kap.
Särskilda behandlingssituationer
30 §
Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål
För att trygga yttrande- och informationsfriheten tillämpas inte artikel 5.1 c–e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12–22, artikel 30, artikel 34.1–3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60–63 och artiklarna 65–67 i dataskyddsförordningen på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Artikel 27 i dataskyddsförordningen tillämpas inte på behandling av personuppgifter i samband med sådan verksamhet som regleras i lagen om yttrandefrihet i masskommunikation (FFS 460/2003). Artiklarna 44–50 i dataskyddsförordningen tillämpas inte, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.
För att trygga yttrande- och informationsfriheten tillämpas artikel 5.1 a och b och artikel 5.2, artiklarna 24–26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
31 §
Behandling av personbeteckning
En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade
1) för att utföra en i lag angiven uppgift,
2) för att uppfylla den registrerades eller den personuppgiftsansvariges rättigheter och skyldigheter, eller
3) för historisk eller vetenskaplig forskning eller för statistikföring.
En personbeteckning får behandlas vid kreditgivning eller indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings-, och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälsovården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet eller i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.
Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckning får en personbeteckning lämnas ut för sådan databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.
En personbeteckning får inte utan orsak antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.
32 §
Undantag och skyddsåtgärder som gäller behandling för vetenskaplig och historisk forskning
När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål kan undantag vid behov göras från den registrerades rättigheter som anges i artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att forskningen grundar sig på en forskningsplan, det finns en ansvarig person eller en grupp som ansvarar för forskningen samt att uppgifter om bestämda personer inte röjs för utomstående.
Om behandlingen av känsliga personuppgifter för vetenskaplig eller historisk forskning gäller vad som föreskrivs i 11 §.
33 §
Undantag och skyddsåtgärder som avser behandling för arkivändamål av allmänt intresse och statistikföring
Om undantag och skyddsåtgärder som gäller behandling för arkivändamål av allmänt intresse och statistikföring gäller det som föreskrivs i arkivlagen för landskapet Åland och statistiklagen för landskapet Åland.
34 §
Begränsningar i informationsplikten
Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla uppgifter till den registrerade kan göras, om det är nödvändigt med hänsyn till den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott.
Undantag från artikel 14.1–4 i dataskyddsförordningen kan göras också om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.
35 §
Begränsningar i rätten till information
En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att bekanta sig med uppgifter som samlats in om honom eller henne om
1) informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott,
2) informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller
3) personuppgifter används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen.
Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i den allmänna dataskyddsförordningen, har den registrerade rätt att få veta vilka övriga uppgifter som rör honom eller henne.
Den registrerade måste underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.
6 kap.
Ikraftträdande- och övergångsbestämmelser
36 §
Ikraftträdande
Denna lag träder i kraft den
Genom denna lag upphävs landskapslagen (2007:88) om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och landskapslagen (2007:89) om Datainspektionen.
37 §
Övergångsbestämmelser
De tillstånd som Datainspektionen beviljat med stöd av bestämmelser som gällde före ikraftträdandet av denna lag upphör att gälla när lagen träder i kraft. Om en sådan tillståndsansökan är anhängig när lagen träder i kraft avskrivs ansökan.
När denna lag träder i kraft ska landskapsregeringen i enlighet med tjänstemannalagen förflytta den tjänsteinnehavare som innan denna lag träder i kraft ansvarar för skötseln av chefen för Datainspektionens uppgifter till den i 15 § 1 mom. avsedda tjänsten som myndighetschef.
Vad som i 16 § 1 mom. föreskrivs om att utnämning till myndighetschef sker för sex år åt gången och att samma person kan utnämnas till tjänsten sammanlagt högst 18 år tillämpas först när en ny myndighetschef anställs.
2.
L A N D S K A P S L A G
om ändring av landskapslagen om allmänna handlingars offentlighet
I enlighet med lagtingets beslut
upphävs 15d § landskapslagen (1977:72) om allmänna handlingars offentlighet sådan paragrafen lyder i landskapslagen 2006/30 samt
ändras rubriken i 3a kap. och 15a § 1 mom., rubriken sådan den lyder i landskapslagen 1991/58 och 15a § 1 mom. sådant momentet lyder i landskapslagen 2007/90, som följer:
3a kap.
Personuppgifter i allmänna handlingar
15a §
Om inte annat föreskrivs i lag får personuppgifter som ingår i allmänna handlingar lämnas ut muntligen eller i form av en kopia, en utskrift eller i elektronisk form, förutsatt att personuppgifterna är offentliga och mottagaren har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen. Om mottagaren inte har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen får den allmänna handlingen lämnas ut endast till den del personuppgifterna inte ingår.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
3.
L A N D S K A P S L A G
om ändring av arkivlagen för landskapet Åland
I enlighet med lagtingets beslut fogas till arkivlagen (2004:13) för landskapet Åland ett nytt 5a kap. efter 13c § samt nya 13d-f §§ som följer:
5a kap.
Behandlingen av personuppgifter för arkivändamål av allmänt intresse
13d §
Bestämmelserna i detta kapitel kompletterar bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen.
Personuppgifter som tidigare samlats in i förenlighet med dataskyddsförordningen och annan dataskyddslagstiftning får senare behandlas för arkivändamål av allmänt intresse med stöd av artiklarna 5.1 b och 89.1 i dataskyddsförordningen.
Arkiverade personuppgifter får behandlas för andra ändamål än arkivändamål av allmänt intresse i enlighet med bestämmelserna i dataskyddsförordningen och annan dataskyddslagstiftning.
Om utlämnandet av arkiverade personuppgifter som finns i allmänna handlingar gäller det som föreskrivs i landskapslagen om allmänna handlingars offentlighet.
13e §
I artiklarna 9.1 och 10 avsedda känsliga personuppgifter får behandlas med stöd av artiklarna 9.2 j och 10 i dataskyddsförordningen för arkivändamål av allmänt intresse om behandlingen är nödvändig för arkiveringen enligt denna lag.
De känsliga personuppgifter som avses i 1 mom. får enbart behandlas för arkivändamål av allmänt intresse i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 § i landskapslagen ( : ) om dataskydd inom landskaps- och kommunalförvaltningen.
13f §
När personuppgifter behandlas i samband med arkivering enligt denna lag får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18–21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen.
Denna lag träder i kraft den
4.
L A N D S K A P S L A G
om ändring av statistiklagen för landskapet Åland
I enlighet med lagtingets beslut
upphävs 19 § 3 mom. statistiklagen (1994:42) för landskapet Åland sådant momentet lyder i landskapslagen 2007/92 samt
ändras 3 § samt 19 § 2 mom. sådana lagrummen lyder i landskapslagen 2007/92 som följer:
3 §
Behandling av personuppgifter för statistiska ändamål
Vid myndighetens behandling av personuppgifter för statistiska ändamål iakttas bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen, och bestämmelserna i denna lag.
Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för framställningen av statistik enligt denna lag.
I artiklarna 9.1 och 10 i dataskyddsförordningen avsedda känsliga personuppgifter får behandlas med stöd av artiklarna 9.2 j och 10 i dataskyddsförordningen för statistiska ändamål om behandlingen är nödvändig för framställningen av statistik enligt denna lag. Dessa känsliga personuppgifter får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 § i landskapslagen ( : ) om dataskydd inom landskaps- och kommunalförvaltningen.
När personuppgifter behandlas för framställningen av statistik kan undantag vid behov göras från den registrerades rättigheter som anges i artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att
1) statistiken inte kan framställas utan att personuppgifter används,
2) framställningen av statistiken anknyter till myndighetens verksamhet, och
3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person.
19 §
Utlämnande av uppgifter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
En myndighet får lämna ut personuppgifter för statistiska ändamål samt vetenskapliga och historiska forskningsändamål om mottagaren har en rätt att behandla personuppgifterna för dessa ändamål enligt dataskyddslagstiftningen.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
5.
L A N D S K A P S L A G
om ändring av 23a § landskapslagen om besiktning och registrering av fordon
I enlighet med lagtingets beslut ändras 23a § 2 mom. landskapslagen (1993:19) om besiktning och registrering av fordon sådant momentet lyder enligt landskapslagen 2006/31 som följer:
23a §
Utlämnande av uppgifter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Personuppgifter om fordonets ägare eller innehavare får lämnas ut endast om mottagaren har rätt att enligt dataskyddslagstiftningen behandla dessa uppgifter.
Denna lag träder i kraft den
6.
L A N D S K A P S L A G
om ändring av 34 och 67 §§ landskapslagen om gymnasieutbildning
I enlighet med lagtingets beslut ändras 34 § 7 mom. och 67 § 3 mom. landskapslagen (2011:13) om gymnasieutbildning, av dessa lagrum 34 § 7 mom. sådant det lyder enligt landskapslagen 2014/39, som följer:
34 §
Antagning av studerande och validander
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Skolan ska föra ett register med nödvändiga uppgifter om de sökande till skolan, deras studieprestationer och kunnande samt uppgifter om de sökandes avklarade studier. Närmare bestämmelser om skydd för personuppgifter finns i dataskyddslagstiftningen.
67 §
Tystnadsplikt och hantering av känslig information
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Närmare bestämmelser om skydd för personuppgifter finns i dataskyddslagstiftningen.
Denna lag träder i kraft den
7.
L A N D S K A P S L A G
om ändring av 19 § landskapslagen om energideklaration för byggnader
I enlighet med lagtingets beslut ändras landskapslagen 19 § 2 mom. landskapslagen (2014:31) om energideklaration för byggnader som följer:
19 §
Behandling av uppgifterna i energideklarationsregistret
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
På uppgifterna i energideklarationsregistret och sådana handlingars offentlighet och utlämnande av dem tillämpas bestämmelserna i landskapslagen (1977:72) om allmänna handlingars offentlighet. Därtill tillämpas dataskyddslagstiftningen på behandlingen av personuppgifter.
Denna lag träder i kraft den
8.
L A N D S K A P S L A G
om ändring av 20 § landskapslagen om Ålands ombudsmannamyndighet
I enlighet med lagtingets beslut ändras 20 § 2 mom. landskapslagen (2014:33) om Ålands ombudsmannamyndighet som följer:
20 §
Skyldighet att lämna uppgifter till ombudsmannamyndigheten
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Den i 1 mom. avsedda skyldigheten omfattar även sådana uppgifter som omfattas av sekretessbestämmelser om uppgifterna i fråga är av betydelse för ombudsmannamyndighetens verksamhet. Vid behandlingen av sådana uppgifter är ombudsmannamyndigheten skyldig att iaktta bestämmelserna i landskapslagen (1977:72) om allmänna handlingars offentlighet och dataskyddslagstiftningen.
Denna lag träder i kraft den
9.
L A N D S K A P S L A G
om ändring av 37 § förvaltningslagen för landskapet Åland
I enlighet med lagtingets beslut ändras 37 § förvaltningslagen (2008:9) för landskapet Åland som följer:
37 §
Anteckning av uppgifter
Uppgifter om muntligen framförda yrkanden och utredningar som kan inverka på avgörandet i ett ärende ska antecknas eller registreras på något annat sätt. Detsamma gäller uppgifter som har inhämtats ur ett register för personuppgifter som avses i dataskyddslagstiftningen.
Denna lag träder i kraft den
10.
L A N D S K A P S L A G
om ändring av 20 § landskapslagen om produktion av genetiskt modifierade växter
I enlighet med lagtingets beslut ändras 20 § 4 mom. landskapslagen (2013:39) om produktion av genetiskt modifierade växter som följer:
20 §
Offentliggörande, användning och utlämnande av registeruppgifter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
I fråga om utlämnande av personuppgifter gäller det som föreskrivs i 3a kap. landskapslagen (1977:72) om allmänna handlingars offentlighet.
Denna lag träder i kraft den
11.
L A N D S K A P S L A G
om ändring av 1 § landskapslagen om tillämpning på Åland av 13 kap. i lagen om offentlig arbetskrafts- och företagsservice
I enlighet med lagtingets beslut ändras 1 § 2 mom. landskapslagen (2013:81) om tillämpning på Åland av 13 kap. i lagen om offentlig arbetskrafts- och företagsservice som följer:
1 §
Lagens tillämpningsområde
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Vid arbetsmarknads- och studieservicemyndighetens användning av de register som avses i 1 mom. ska även lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) iakttas i tillämpliga delar. Vid behandlingen av personuppgifter i dessa register gäller det som föreskrivs i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och dataskyddslagen (FFS / ).
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
12.
L A N D S K A P S L A G
om ändring av 4 och 32 §§ landskapslagen om radio- och televisionsverksamhet
I enlighet med lagtingets beslut ändras 4 § 3 mom. och 32 § 2 mom. landskapslagen (2011:95) om radio- och televisionsverksamhet som följer:
4 §
Tillstånds- och anmälningsregister
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Om personuppgifter behandlas i registret ska dataskyddslagstiftningen iakttas.
32 §
Allmänna principer
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Vid behandlingen av personuppgifter i televisionsinnehavarregistret ska det som föreskrivs i dataskyddslagstiftningen iakttas, om inte något annat föreskrivs särskilt i detta kapitel.
Denna lag träder i kraft den
13.
L A N D S K A P S L A G
om ändring av 20 § landskapslagen om erkännande av yrkeskvalifikationer
I enlighet med lagtingets beslut ändras 20 § 5 mom. landskapslag (2017:22) om erkännande av yrkeskvalifikationer som följer:
20 §
Behandling av uppgifter om ett europeiskt yrkeskort
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
När det gäller behandling av personuppgifter i det europeiska yrkeskortet och i IMI-akterna ska landskapsregeringen betraktas som sådan personuppgiftsansvarig som avses i artikel 4 punkt 7 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
Denna lag träder i kraft den
14.
L A N D S K A P S L A G
om ändring av 14 § landskapslagen om finansiering av landsbygdsnäringar
I enlighet med lagtingets beslut ändras 14 § 1 mom. landskapslagen (2016:29) om finansiering av landsbygdsnäringar som följer:
14 §
Sekretess
Utan hinder av sådan sekretess och tystnadsplikt som följer av annan lagstiftning har landskapsregeringen rätt att till en behörig riksmyndighet lämna sekretessbelagda uppgifter för vidarebefordran till berörd institution inom den Europeiska unionen, om det behövs för tillsynen och uppföljningen av att den Europeiska unionens bestämmelser har iakttagits vid den Europeiska Unionens medfinansiering.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
15.
L A N D S K A P S L A G
om ändring av 5h § landskapslagen om lotterier
I enlighet med lagtingets beslut ändras 5h § landskapslagen (1966:10) om lotterier sådan den lyder i landskapslagen 2016/11 som följer:
5h §
Vid förvaltningsförfarande i enlighet med bestämmelserna i denna lag ska i tillämpliga delar även bestämmelserna i förvaltningslagen (2008:9) för landskapet Åland, 36 § självstyrelselagen (1991:71) för Åland, landskapslagen (1977:72) om allmänna handlingars offentlighet, arkivlagen (2004:13) för landskapet Åland samt dataskyddslagstiftningen iakttas.
Denna lag träder i kraft den
16.
L A N D S K A P S L A G
om ändring av 58 § körkortslagen för Åland
I enlighet med lagtingets beslut ändras 58 § 3 och 4 mom. körkortslagen (2015:88) för Åland som följer:
58 §
Behandling av uppgifterna om användning av alkolåset
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Representanten och alkolåstillverkaren får behandla personuppgifter och uppgifter om användning av alkolåset bara om verkställigheten av denna lag kräver det. På den som sköter uppgifter som avses i denna paragraf tillämpas bestämmelserna om straffrättsligt tjänsteansvar.
På sådan behandling av personuppgifter som avses i 3 mom. och översändande av uppgifter om användningen till alkolåstillverkare i stater utanför Europeiska unionen tillämpas vad som föreskrivs i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och i dataskyddslagen (FFS / ).
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
17.
L A N D S K A P S L A G
om ändring av 17 § landskapslagen om vattenfarkoster
I enlighet med lagtingets beslut ändras 17 § 2 mom. landskapslagen (2017:29) om vattenfarkoster som följer:
17 §
Utlämnande av uppgifter ur Ålands vattenfarkostregister
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Personuppgifter om vattenfarkostens ägare får lämnas ut endast om mottagaren har rätt att enligt dataskyddslagstiftningen behandla dessa uppgifter.
Denna lag träder i kraft den
| Mariehamn den 8 mars 2018 | |
|
V i c e l a n t r å d |
Camilla Gunell |
|
Föredragande minister |
Nina Fellman |
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 14/2017-2018
[1] Ålands landsting gav 27.4.1990 sitt bifall till ikraftträdelseförfattningen gällande Europakonventionen (ÅFS 1990:61).
[2] Europadomstolen, Társaság a Szabadságjogokért mot Ungern, nr 37374/05, 14 april 2009, se punkt 27, 36–38.
[3] Ålands landsting gav 25.9.1991 sitt bifall till ikraftträdelseförfattningen gällande konventionen (ÅFS 1992:25).
[4] OECD (2013), Guidelines on governing the Protection of Privacy and Transborder Flows of Personal Data (riktlinjer för skydd av privatlivet och gränsöverskridande flöden av personuppgifter).
[5] EU-domstolens dom av den 24 november 2011 i de förenade målen C-468/10 och C-469/10, ASNEF, punkterna 28–29.
[6] RP 66/2012 rd, s. 10.
[7] COM (2017) 8 final.
[8] COM (2017) 10 final.
[9] Dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317.
[10] Betänkande av arbetsgruppen för genomförande av EU:s allmänna dataskyddsförordning (TATTI). Justitieministeriets publikation nr 35/2017.
[11] Högsta domstolen bedömde hur 59 § i förvaltningslagen (2008:9) för landskapet Åland om delgivning till utlandet förhåller sig till behörighetsfördelningen mellan landskapet och riket. I högsta domstolens utlåtande från den 27 december 2007 ansågs bestämmelsen falla inom landskapets behörighet eftersom delgivning av person med stadigvarande adress utomlands är att karaktärisera som delgivning i förvaltningsförfarande, dvs. det är inte direkt fråga om förhållande till främmande makt.
[12] C-92/09 ja C-93/09, Volker und Markus Schecke och Eifert, EU:C:2010:662, punkterna 53 och 87.
[13] Domstolens dom av den 16 oktober 2012 i mål C-614/10, kommissionen mot Österrike. Med anledning av domen ändrade Österrike sin lagstiftning om skydd av personuppgifter och såg till att den ledamot vid myndigheten som leder den dagliga verksamheten endast står under ordförandens överinseende samt att myndigheten inte längre är en del av förbundskanslerns kansli utan har sin egen budget och personal.
[14] RP 1/1998 rd, s. 75.
[15] SOU 2017:39, s. 124.
[16] Hfd 2009:82. Till denna del kan också hänvisas till högsta förvaltningsdomstolens avgörande 27.3.2015 (HFD:2015:44) som gällde utlämnande till en tidning på Åland av uppgifter ur befolkningsdatasystemet om ålänningar som nyligen avlidit. Domstolen ansåg att utlämnandet kunde betraktas som sådan behandling av personuppgifter för redaktionella ändamål som avses i rikets personuppgiftslag och att lagen tillät att uppgifter lämnades ut för det uppgivna ändamålet.