Lagförslag 9/2018-2019
|
|
| ||
|
| LAGFÖRSLAG nr 9/2018-2019 | ||
|
| Datum |
| |
|
| 2018-12-13 |
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
| Till Ålands lagting |
| |
|
| |||
|
| |||
|
| |||
|
| |||
Blankettlag om dataskydd
Huvudsakligt innehåll
Dataskyddsförordningen började tillämpas den 25 maj 2018. I lagförslag nr 14/2017–2018 har landskapsregeringen tidigare föreslagit antagandet av landskapslagstiftning som kompletterar dataskyddsförordningen och som riktar sig till alla andra myndigheter inom landskaps- och kommunalförvaltningen än Ålands polismyndighet. Lagstiftningen antogs av lagtinget den 21 november 2018. Detta nya lagförslag utgår från att rikets dataskyddslagstiftning ska tillämpas då personuppgifter behandlas inom landskapets resterande behörighet över skyddet av personuppgifter. Den föreslagna blankettlagen syftar till ett enhetligt skydd av personuppgifter inom den privata sektorn och Ålands polismyndighet. Samtidigt ska blankettlagen genomföra det dataskyddsdirektiv som riktar sig till brottsbekämpande myndigheter.
Blankettlagen innebär att tre centrala riksförfattningar om dataskydd ska tillämpas i samband med sådan behandling av personuppgifter som inte är föremål för den av Ålands lagting den 21 november 2018 antagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Samtidigt ska den gällande blankettlagen upphävas. Avsikten är att den föreslagna lagstiftningen träder i kraft så snart som möjligt med tanke på att dataskyddsdirektivet skulle vara genomfört inom medlemsstaterna senast den 6 maj 2018. Landskapsregeringen anser att lagförslaget bör åtföljas av en överföring till riksmyndighet av tillsynen över behandlingen av personuppgifter inom den privata sektorn och Ålands polismyndighet. Förverkligandet av detta förutsätter att det antas en särskild överenskommelseförordning.
INNEHÅLL
2. Lagstiftning före EU:s dataskyddsreform
3.3. Dataskyddsreformen i Finland och Sverige
4. Landskapsregeringens överväganden
4.2. Rikslagar som föreslås gälla inom landskapets behörighet
5.1. Behörighetsfördelningen och skyddet av personuppgifter
5.2. Grundlagen och skyddet för personuppgifter
6. Landskapsregeringens förslag
1. Landskapslag om tillämpning på Åland av riksförfattningar om dataskydd
2. Landskapslag om ändring av 5 kap. 41 § polislagen för Åland
3. Landskapslag om upphävande av 34b § 2 och 3 mom. landskapslagen om miljöskydd
L A N D S K A P S L A G om tillämpning på Åland av riksförfattningar om dataskydd
L A N D S K A P S L A G om ändring av 5 kap. 41 § polislagen för Åland
L A N D S K A P S L A G om upphävande av 34b § 2 och 3 mom. landskapslagen om miljöskydd
Allmän motivering
1. Bakgrund
Europeiska unionens råd antog på våren 2016 både Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, senare dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, senare dataskyddsdirektivet. EU:s dataskyddsreform har medfört ett omfattande behov av lagstiftningsåtgärder i medlemsstaterna, trots att dataskyddsförordningen är direkt tillämplig inom hela EU sedan den 25 maj 2018. Dataskyddsförordningen innehåller nämligen ett omfattande handlingsutrymme, dvs. många bestämmelser förpliktar eller tillåter medlemsstaterna att anta kompletterande lagstiftning. Därtill ska dataskyddsdirektivet i sin helhet genomföras i medlemsstaternas lagstiftning eftersom det rör sig om ett traditionellt EU-direktiv.
Tidigare har landskapsregeringen i lagförslag nr 14/2017–2018 föreslagit att det antas landskapslagstiftning som kompletterar dataskyddsförordningen. I det lagförslaget redogör landskapsregeringen för den lagstiftningsmodell som ska ligga till grund för skyddet av personuppgifter inom landskapets behörighetsområden. Lagstiftningsmodellen bygger på samma principer som gällande lagstiftning och består av tre huvudsakliga delar. Den första delen består av en allmän landskapslag som kompletterar dataskyddsförordningens bestämmelser. Landskapslagen innehåller från rikslagstiftningen materiellt självständiga bestämmelser och ska tillämpas i samband med behandlingen av personuppgifter vid alla andra myndigheter inom landskaps- och kommunalförvaltningen än Ålands polismyndighet. Denna allmänna landskapslag antogs av lagtinget den 21 november 2018. Den andra delen består av blankettlagstiftning som gör rikets allmänna dataskyddslagstiftning gällande i samband med sådan behandling av personuppgifter inom den privata sektorn och Ålands polismyndighet som faller inom landskapets lagstiftningsbehörighet. Den tredje delen innehåller de bestämmelser om skyddet av personuppgifter som finns i särskild landskapslagstiftning. Det föreliggande lagförslaget anknyter till den andra delen i den ovan nämnda lagstiftningsmodellen.
2. Lagstiftning före EU:s dataskyddsreform
2.1. EU-lagstiftning
Den EU-lagstiftning som EU:s institutioner har antagit om skyddet av personuppgifter har till sin substans delats upp i ett allmänt regelverk om skyddet av personuppgifter och särskilda regler riktade till brottsbekämpande myndigheter. Före dataskyddsreformen har Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, senare 1995 års dataskyddsdirektiv, utgjort den primära allmänna EU-rättsakten om skyddet av personuppgifter. Det direktivet gäller inte på området för polissamarbete och straffrättsligt samarbete och inte heller på området för nationell säkerhet. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som gäller för polissamarbete och straffrättsligt samarbete, senare polisrambeslutet, innehåller bestämmelser om bland annat allmänna principer för behandlingen av personuppgifter, behandling av känsliga personuppgifter, rättelse, radering och gallring av personuppgifter, information till den registrerade samt skadestånd och sanktioner. Bestämmelser om behandlingen av personuppgifter hos polisen finns också i vissa särskilda EU-rättsakter som tillämpas på polissamarbete mellan EU-medlemsstater (se RP 242/2018 rd, s. 19–20). Europarådet har dessutom utfärdat en rekommendation R(87)15 om användning av personuppgifter inom polissektorn.
Redan före EU:s dataskyddsreform har det inom EU antagits ett antal andra rättsakter som berör skyddet av personuppgifter. Till exempel finns en särskild rättsakt om dataskyddet när EU:s institutioner och organ behandlar personuppgifter. Det bör även noteras att inom EU finns en särskild stadga om de grundläggande rättigheterna och stadgan innehåller rättigheter som är relevanta för skyddet av personuppgifter. Stadgan blev juridiskt bindande inom EU i och med ikraftträdandet av Lissabonfördraget den 1 december 2009. I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna, dvs. inklusive myndigheterna i landskapet, endast i de fall där de tillämpar EU-rätten. För en närmare redogörelse av den EU-lagstiftning som gällt före EU:s dataskyddsreform hänvisas till lagförslag nr 14/2017–2018 (se avsnitt 2.3 i det lagförslaget).
2.2. Landskapslagstiftning
Landskapslagstiftningen om skyddet av personuppgifter och personregister sträcker sig tillbaka till början av 1990-talet. I lagförslag nr 14/2017–2018 (se avsnitt 2.1 i det lagförslaget) har landskapsregeringen redogjort för gällande landskapslagstiftning om skyddet av personuppgifter. Därför redogörs i detta sammanhang enbart för de bestämmelser i landskapslagstiftningen som direkt berör detta lagförslag, dvs. skyddet av personuppgifter inom den privata sektorn och Ålands polismyndighet. För skyddet av personuppgifter inom den privata sektorn och Ålands polismyndighet har antagits landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter, senare gällande blankettlag. Valet av blankettlag motiverades främst med att lagstiftningsbehörigheten inom dessa områden är delad mellan landskapet och riket. Tillsynen över tillämpningen av den gällande blankettlagen i fråga om angelägenheter som faller under landskapets behörighet utövas av landskapsregeringen. Däremot finns en särskild tillsynsmyndighet, Datainspektionen, som utövar tillsyn i förhållande till alla andra myndigheter inom landskaps- och kommunalförvaltningen än Ålands polismyndighet.
Enligt den gällande blankettlagen ska personuppgiftslagen (FFS 523/1999) samt lagen om behandling av personuppgifter i polisens verksamhet (FFS 761/2003) äga tillämpning på Åland, om inte annat följer av blankettlagen eller särskilda bestämmelser. I den gällande blankettlagen finns bestämmelser om polismyndighetens rätt att få uppgifter ur vissa register hos landskapsmyndigheter. Till exempel har polismyndigheten rätt att få uppgifter ur motorfordonsbyråns fordonsregister som gäller fordon som polisen spanar efter eller som är föremål för förundersökning, polisundersökning eller annan undersökning. I den gällande blankettlagen finns också bestämmelser om polismyndighetens rätt att lämna ut behövliga uppgifter ur polismyndighetens personregister till motorfordonsbyrån för upprätthållande av fordonsregistret. Till dessa uppgifter hör dock inte uppgifterna ur det s.k. Europolinformationssystemet och Schengens nationella informationssystem.
I gällande landskapslagstiftning finns vissa andra bestämmelser som berör skyddet av personuppgifter hos Ålands polismyndighet. Om Ålands polismyndighets grundregister föreskrivs i landskapslagen (1999:49) om polisens grundregister. Enligt lagen ska polismyndigheten med hjälp av automatiserad databehandling föra ett grundregister med uppgifter om brottsanmälningar, i anslutning till anmälan vidtagna åtgärder eller annat som polisen behöver för att fullgöra sina åligganden. Grundregistret ska föras för att förebygga, upptäcka och utreda brott samt främja den allmänna ordningen och säkerheten. För att sköta sina åligganden och föra ett grundregister har polismyndigheten rätt att få den information den behöver ur de register landskapsregeringen och under denna lydande myndigheter eller inrättningar för. Lagen om behandling av personuppgifter i polisens verksamhet och personuppgiftslagen ska i tillämpliga delar, med de avvikelser som anges i lagen, iakttas beträffande det grundregister polismyndigheten för, till den del bestämmelserna gäller personregister avsedda för en polisenhets bruk. Tillsynen över lagen utövas av landskapsregeringen.
2.3. Rikslagstiftning
Personuppgiftslagen (FFS 523/1999) trädde i kraft den 1 juni 1999 och lagen genomför bestämmelserna i 1995 års dataskyddsdirektiv. I personuppgiftslagen föreskrivs bl.a. om de allmänna grundläggande förutsättningarna för behandling av personuppgifter. Det rör sig om en allmän lag och i andra riksförfattningar finns särskilda bestämmelser om skyddet av personuppgifter som tillämpas framom bestämmelserna i personuppgiftslagen. Verkställigheten av personuppgiftslagen styrs och övervakas av dataombudsmannen. Vid behov ska dataombudsmannen hänskjuta ett ärende att behandlas av datasekretessnämnden. Om dataombudsmannen och datasekretessnämnden föreskrivs i lagen om datasekretessnämnden och dataombudsmannen (FFS 389/1994).
I Finland finns det ovanligt rikligt med speciallagstiftning om behandling av personuppgifter. Det finns flera hundra specialförfattningar som gäller behandling av personuppgifter. Till exempel lagen om integritetsskydd i arbetslivet (FFS 759/2004) innehåller bestämmelser om behandlingen av arbetstagares personuppgifter medan straffregisterlagen (FFS 770/1993) föreskriver hur uppgifter i straffregistret får behandlas. Rikslagstiftningen utgår från att det finns speciallagar om behandlingen av personuppgifter hos myndigheterna inom de olika förvaltningsgrenarna. På behandlingen av personuppgifter hos polisen tillämpas som specialförfattning lagen om behandling av personuppgifter i polisens verksamhet som blankettlagen har gjort gällande inom landskapets behörighet (se avsnitt 2.2). Polisrambeslutet har främst genomförts genom antagandet av den rikslagen.
3. EU:s dataskyddsreform
3.1. Dataskyddsförordningen
Före EU:s dataskyddsreform utgjorde 1995 års dataskyddsdirektiv den centrala rättsakten på EU-nivå för skyddet av personuppgifter. Sedan 1995 har både den tekniska och ekonomiska utvecklingen varit mycket snabb. Detta har i sin tur medfört att personuppgifter numera används på ett annorlunda sätt, oftast i en elektronisk miljö, och i en helt annan omfattning. EU:s dataskyddsreform syftar till att beakta denna utveckling. Dataskyddsförordningen utgör reformens centrala slutprodukt och förordningen upphäver 1995 års dataskyddsdirektiv. Dataskyddsförordningen trädde i kraft den 24 maj 2016 och tillämpas från och med den 25 maj 2018. I lagförslag nr 14/2017–2018 har redogjorts närmare för innehållet i dataskyddsförordningen (se särskilt avsnitt 3.2 i det lagförslaget).
3.2. Dataskyddsdirektivet
3.2.1. Allmänt
EU-lagstiftningen om skyddet av personuppgifter före dataskyddsreformen har delats upp i 1995 års dataskyddsdirektiv och polisrambeslutet. Även dataskyddsreformen utgår från att det ska finnas ett allmänt regelverk om skyddet av personuppgifter och ett särskilt regelverk riktat till brottsbekämpande myndigheter. Till skillnad från dataskyddsförordningen är det samtidigt antagna dataskyddsdirektivet inte direkt tillämpligt i medlemsstaterna. Dataskyddsdirektivet är mera detaljerat och har ett vidare tillämpningsområde än polisrambeslutet. Polisrambeslutet har enbart tillämpats på gränsöverskridande behandling av personuppgifter medan dataskyddsdirektivet även tillämpas på behandling av personuppgifter som enbart sker inom medlemsstaterna.
Syftet med dataskyddsdirektivet är att säkerställa skyddet för personuppgifter på direktivets tillämpningsområde samt underlätta det fria flödet av uppgifter mellan polismyndigheter och straffrättsliga myndigheter i medlemsstaterna. Det är till sin karaktär ett s.k. minimidirektiv eftersom det inte hindrar medlemsstaterna från att införa bestämmelser om en högre skyddsnivå för den registrerades rättigheter. Dataskyddsdirektivet innehåller nio kapitel. Kapitlen tar upp allmänna bestämmelser, principer, den registrerades rättigheter, personuppgiftsansvarig och personuppgiftsbiträde, överföringar av personuppgifter till tredjeländer eller internationella organisationer, oberoende tillsynsmyndigheter, samarbete, rättsmedel, ansvar och sanktioner, genomförandeakter samt slutbestämmelser.
3.2.2. Tillämpningsområde och principer
Dataskyddsdirektivets tillämpningsområde definieras i artikel 2. Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Direktivet ska också tillämpas när det är fråga om att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Direktivet ska inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av unionens institutioner, organ och byråer. I artikel 3 definieras direktivets centrala begrepp. Till dessa hör behörig myndighet som primärt avser en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten.
Artiklarna 4 — 11 innehåller bestämmelser om de allmänna principerna för behandling av personuppgifter. Medlemsstaterna ska enligt artikel 4 föreskriva att personuppgifter ska behandlas på ett lagligt sätt och att de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som står i strid med dessa ändamål. Kravet på att behandlingen ska vara laglig preciseras i artikel 8 enligt vilken behandling ska vara laglig endast om och i den mån behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet inom direktivets tillämpningsområde och som sker på grundval av lag. Enligt vad som föreskrivs i artikel 6 ska det i tillämpliga fall och så långt det är möjligt göras en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom personer som dömts för brott och brottsoffer. Även personuppgifter som grundar sig på fakta ska så lång det är möjligt åtskiljas från personuppgifter som grundar sig på personliga bedömningar. Artikel 11 innehåller bestämmelser om profilering. Direktivet förutsätter också att datasäkerheten och kvaliteten på uppgifterna säkerställs.
3.2.3. Registrerades rättigheter och myndigheters skyldigheter
Artiklarna 12 — 18 innehåller bestämmelser om vilka lagstiftningsåtgärder som krävs av medlemsstaterna för att trygga de registrerades rättigheter. Enligt artikel 13 ska den personuppgiftsansvarige göra bl.a. följande information tillgänglig för den registrerade: den personuppgiftsansvariges identitet, ändamålen med den behandling för vilken personuppgifterna är avsedda, uppgifter om dataskyddsombudet, om ett sådant finns, liksom även information om rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter och begränsning av behandlingen av personuppgifter som rör den registrerade. Enligt artikel 14 ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse av huruvida personuppgifter som rör honom eller henne håller på att behandlas. Den registrerade ska också ha rätt att få tillgång till personuppgifterna och få information bl.a. om ändamålen med behandlingen och dess rättsliga grund. Enligt artikel 16 ska den registrerade ha rätt att kräva att den personuppgiftsansvarige rättar felaktiga personuppgifter som rör den registrerade.
Direktivet gör det möjligt för den registrerade att utöva sina rättigheter genom en tillsynsmyndighet. Dock kan medlemsstaterna föreskriva om rätt att begränsa tillhandahållandet av ovannämnda uppgifter eller skyldigheten att rätta personuppgifter, om en sådan åtgärd är nödvändig för att undvika att hindra officiella förfaranden, för att trygga förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet att straffrättsliga påföljder, för att skydda den allmänna säkerheten, för att skydda den nationella säkerheten eller för att skydda andra personers rättigheter och friheter. Enligt artikel 18 får medlemsstaterna föreskriva i sin nationella lagstiftning om de registrerades rätt till insyn och rättelse, om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden. Enligt skäl 16 i direktivets ingress påverkar direktivet inte tillämpningen av principen om allmänhetens rätt att få tillgång till allmänna handlingar.
I artiklarna 19 — 34 föreskrivs det om den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, säkerhet för personuppgifter och dataskyddsombudet. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen utförs i enlighet med direktivet. Sådana åtgärder ska vidtas i synnerhet för att säkerställa att nödvändiga skyddsåtgärder integreras i behandlingen (s.k. inbyggt dataskydd) och att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas (s.k. dataskydd som standard). Den personuppgiftsansvarige och personuppgiftsbiträdet ska föra ett register över verksamheter i samband med behandling som de ansvarar för. De loggar som avses i artikel 25 ska föras i automatiserade behandlingsystem. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till personuppgifterna.
Artikel 27 innehåller bestämmelser om den personuppgiftsansvariges skyldighet att utföra en konsekvensbedömning avseende dataskydd. En bedömning ska utföras om en typ av behandling, med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Om det är fråga om ett nytt register som ska inrättas och en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken, ska tillsynsmyndigheten höras innan behandlingen av personuppgifterna inleds. Tillsynsmyndigheten ska höras också om typen av behandling medför en hög risk för de registrerades rättigheter och friheter, t.ex. vid användning av ny teknik eller nya rutiner eller förfaranden. Artikel 29 innehåller bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdets skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå.
Den personuppgiftsansvarige ska vid en personuppgiftsincident utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäla den till tillsynsmyndigheten. Personuppgiftsbiträdet är för sin del skyldigt att underrätta den personuppgiftsansvarige om personuppgiftsincidenter. Den personuppgiftsansvarige ska informera också den registrerade om personuppgiftsincidenten om den sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter. Under de förutsättningar som anges i direktivet behöver den registrerade inte informeras. Medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Medlemsstaterna får undanta domstolars och andra oberoende rättsliga myndigheters dömande verksamhet från denna skyldighet.
I artiklarna 35 — 38 finns det bestämmelser om vilka villkor som ska uppfyllas för att personuppgifter ska kunna överföras till tredjeländer eller internationella organisationer. Överföringen ska vara nödvändig när behöriga myndigheter i tredjelandet sköter uppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Uppgifter kan överföras endast till ett sådant tredjeland för vilket Europeiska kommissionen har antagit ett beslut om adekvat skyddsnivå. Om kommissionen inte har antagit ett sådant beslut för landet i fråga, får uppgifterna överföras förutsatt att åtgärder för skydd av personuppgifterna har fastställts i ett avtal eller att den personuppgiftsansvarige har gjort en omfattande bedömning och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger. Om det inte finns något beslut av kommissionen eller lämpliga skyddsåtgärder saknas, får personuppgifter överföras endast av ytterst vägande skäl.
3.2.4. Tillsyn, rättsmedel och annat
Direktivet förutsätter att varje medlemsstat har minst en oberoende myndighet med ansvar att övervaka de i direktivet angivna rättigheterna i landet i fråga. Denna tillsynsmyndighet kan vara samma myndighet som övervakar efterlevnaden av dataskyddsförordningen. Varje tillsynsmyndighet ska vara oberoende. I dess behörighet ingår dock inte att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet. Enligt artikel 46 behandlar och undersöker tillsynsmyndigheten klagomål som gäller iakttagande av de rättigheter som anges i direktivet. Utöver sin tillsynsuppgift har den oberoende myndigheten omfattande uppgifter som handlar om att öka medvetenheten, ge rådgivning, avge yttranden och idka samarbete. Utförandet av tillsynsmyndigheters uppgifter ska i regel vara avgiftsfritt för den registrerade och för dataskyddsombudet.
Enligt artikel 52 ska alla registrerade personer ha rätt att lämna in ett klagomål till tillsynsmyndigheten om de anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet. I artikel 53 och 54 finns bestämmelser som ska garantera rätten till ett effektivt rättsmedel, både i förhållande till tillsynsmyndigheten och en personuppgiftsansvarig eller ett personuppgiftsbiträde. Den registrerade ska också ha rätt till ersättning för materiell eller immateriell skada till följd av en åtgärd som står i strid med de bestämmelser som antas i enlighet med direktivet. Medlemsstaterna ska föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet och ska vidta de åtgärder som krävs för att säkerställa att dessa sanktioner genomförs. Sanktionerna ska vara effektiva, proportionella och avskräckande.
Direktivet förutsätter att medlemsstaterna senast den 6 maj 2018 antar och offentliggör de lagar och andra författningar som är nödvändiga för att följa direktivet. De ska genast överlämna texten till dessa bestämmelser till kommissionen och tillämpa dem från och med den 6 maj 2018. Medlemsstaterna får dock föreskriva att de automatiserade behandlingssystem som inrättades före den 6 maj 2016, när det innebär oproportionella ansträngningar, ska bringas i överensstämmelse med artikel 25 om loggning senast den 6 maj 2023. Om fullgörandet av skyldigheten att föra loggar under exceptionella omständigheter skulle medföra allvarliga problem för driften av det automatiserade behandlingssystemet, kan övergångsperioden förlängas till högst den 6 maj 2026.
3.3. Dataskyddsreformen i Finland och Sverige
3.3.1. Finland
I detta lagförslag begränsas redogörelsen av beredningsarbetet i Finland huvudsakligen till det som har hänt efter att landskapsregeringen lämnade lagförslaget nr 14/2017–2018 till lagtinget den 8 mars 2018. För den tidigare beredningen i Finland, se avsnitt 3.3.1 i det tidigare lagförslaget. Rikets regering överlämnade den 1 mars 2018 en proposition till riksdagen innehållande förslag till dataskyddslag (RP 9/2018 rd). Propositionen var föremål för en långvarig behandling i riksdagen. Riksdagen antog dataskyddslagen och annan lagstiftning som kompletterar dataskyddsförordningen den 13 november 2018. Samtidigt fattade riksdagen beslut om att upphäva personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen. Dataskyddslagen (FFS 1050/2018) träder i kraft den 1 januari 2019.
När det gäller genomförandet av dataskyddsdirektivet så överlämnade rikets regering den 5 april 2018 en proposition till riksdagen innehållande förslag till en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (RP 31/2018 rd). Riksdagen antog den föreslagna lagstiftningen den 13 november 2018. Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (FFS 1054/2018) träder i kraft den 1 januari 2019. Det har också överlämnats ett stort antal propositioner till riksdagen där det föreslås dataskyddslagstiftning inom enskilda förvaltningsområden. I detta sammanhang är propositionen innehållande ett förslag till lag om behandling av personuppgifter i polisens verksamhet av särskilt intresse. Propositionen överlämnades den 22 november 2018 till riksdagen (RP 242/2018 rd).
3.3.2. Sverige
I Sverige påbörjades ett omfattande utredningsarbete med anledning av dataskyddsreformen. Dataskyddsutredningen utgör den huvudsakliga utredningen (SOU 2017:39). På basis av utredningen överlämnade regeringen till riksdagen den 15 februari 2018 förslaget till ny dataskyddslagstiftning som ska komplettera dataskyddsförordningen (prop. 2017/18:105). Riksdagen fattade beslut i ärendet i slutet av april 2018 och lagändringarna trädde i kraft den 25 maj 2018. Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning utgör den huvudsakliga svenska författningen.
När det gäller implementeringen av dataskyddsdirektivet så tillsattes en särskild utredning för att ta fram förslag till ny lagstiftning för polisens och andra brottsbekämpande myndigheters personuppgiftsbehandling (SOU 2017:29). Den svenska regeringen överlämnade en proposition till riksdagen den 18 april 2018 enligt vilken dataskyddsdirektivet i huvudsak genomförs genom en ny ramlag, brottsdatalagen (prop. 2017/18:232). Lagstiftningen trädde i kraft den 1 augusti 2018. Den svenska regeringen har också föreslagit en ny personuppgiftslag för polisen (lagen om polisens behandling av personuppgifter inom brottsdatalagens område). Lagen kompletterar brottsdatalagen (prop. 2017/18:269). Det finns också ett stort antal utredningar och förslag som syftar till anpassning av svensk sektorlagstiftning till dataskyddsförordningen.
4. Landskapsregeringens överväganden
4.1. Blankettlagstiftning
I avsnitt 1 framgick att den övergripande lagstiftningsmodellen för genomförandet av EU:s dataskyddsreform i landskapslagstiftningen består av tre huvudsakliga delar. Detta lagförslag, som anknyter till den andra delen, gäller vilka dataskyddsregler som ska gälla i samband med behandling av personuppgifter som sker inom den privata sektorn och Ålands polismyndighet. I dagsläget har rikslagstiftning om skyddet av personuppgifter gjorts gällande inom dessa områden, också till den del behandlingen faller inom landskapets behörighet.
Blankettlagstiftning kan vara särskilt ändamålsenlig om behörigheten inom ett rättsområde är delad eller om det rör sig om teknisk reglering där mervärdet av egna bestämmelser är marginell. Detta är fallet i förhållande till den behandling av personuppgifter som sker inom den privata sektorn och Ålands polismyndighet. När det gäller specifikt polisens uppgifter på Åland så kan konstateras att Ålands polismyndighet har tillgång till rikstäckande myndighetsregister som används vid skötseln av polismyndighetens i lag föreskrivna uppgifter. Merparten av personuppgifterna i dessa register har samlats in i riket och används av riksmyndigheterna enligt rikslagstiftningen. Landskapsregeringen anser att det fortfarande finns vägande skäl för att rikets dataskyddslagstiftning ska tillämpas i samband med all behandling av personuppgifter inom Ålands polismyndighet och den privata sektorn.
Sedan den 25 maj 2018 tillämpas dataskyddsförordningens direkt tillämpliga bestämmelser också inom Ålands polismyndighet och den privata sektorn. I rikslagstiftningen preciseras och kompletteras dataskyddsförordningen av dataskyddslagen. Dataskyddsförordningen och den kompletterande dataskyddslagen utgör tillsammans det centrala regelverket för skyddet av personuppgifter inom den privata sektorn. Även om både dataskyddsförordningen och dataskyddslagen i viss mån kan komma att tillämpas i polisens verksamhet baserar sig skyddet av personuppgifter inom polisen huvudsakligen på särskild rikslagstiftning.
Varken dataskyddsförordningen eller dataskyddslagen tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Det är huvudsakligen den rikslagen som genomför dataskyddsdirektivet i riket, även om också den i riket nyligen föreslagna lagen om behandling av personuppgifter i polisens verksamhet kommer att vara en central riksförfattning om dataskyddet inom polisen. Det är således tre rikslagar som med stöd av en ny blankettlag ska göras tillämpliga också inom landskapets lagstiftningsbehörighet. Gällande blankettlag ska upphävas.
4.2. Rikslagar som föreslås gälla inom landskapets behörighet
4.2.1. Dataskyddslagen
Den dataskyddslag som publicerades den 10 december 2018 och som träder i kraft den 1 januari 2019 kompletterar och preciserar dataskyddsförordningen. Dataskyddslagen är en allmän lag som tillämpas på behandling av personuppgifter. I och med att den kompletterar och preciserar dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den tillämpas parallellt med dataskyddsförordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för det handlingsutrymme som den nationella lagstiftaren ges i dataskyddsförordningen. Enligt dataskyddslagen blir dataskyddsförordningen med vissa avgränsningar tillämplig också när behandlingen av personuppgifter inte omfattas av tillämpningsområdet för dataskyddsförordningen eller -direktivet.
Dataskyddslagen innehåller 38 paragrafer fördelade på sex kapitel. Dataskyddslagens struktur följer i det stora hela dataskyddsförordningens struktur. Dataskyddslagen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om särskilda behandlingssituationer. Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. För närmare information om dataskyddslagens innehåll hänvisas till lagtexten samt förarbeten till lagen (FFS 1080/2018, RP 9/2018 rd, GrUU 14/2018 rd, LaUU 5/2018 rd, GrUU 24/2018 rd, FvUB 13/2018 rd). Landskapsregeringen konstaterar att dataskyddslagens innehåll till stor del motsvarar det i den av lagtinget den 21 november antagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Med stöd av den föreslagna blankettlagen kommer det allmänna skyddet av personuppgifter inom den privata sektorn på Åland att basera sig på dataskyddsförordningen och dataskyddslagen, oberoende av om behandlingen faller inom landskapets eller rikets behörighetsområde. Dataskyddsförordningen och dataskyddslagen kommer också att tillämpas inom Ålands polismyndighet, men endast till den del de två rikslagar som det redogörs för i avsnitt 4.2.2 och 4.2.3 inte är tillämpliga. Dataskyddsförordningen och dataskyddslagen tillämpas inom polisen på uppgifter i anknytning till tillståndsförvaltning samt på sådana övervakningsuppgifter som föreskrivits för polisen där det inte är fråga om att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning eller åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet (se RP 242/2018 rd, s. 24). På polisens behandling av personuppgifter tillämpas i dagsläget rikets personuppgiftslag som allmän lag. Dataskyddslagen upphäver personuppgiftslagen. Eftersom gällande blankettlag också ska upphävas kommer inte personuppgiftslagen heller att tillämpas inom landskapets behörighet efter att den nya blankettlagen träder i kraft.
4.2.2. Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten
Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten publicerades den 10 december 2018 och den träder i kraft den 1 januari 2019. Genom denna lag genomförs dataskyddsdirektivet i riket. Lagen ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Det är till denna del fråga om en nationell lösning, dvs. inte något som förutsätts i dataskyddsdirektivet.
Lagen innehåller 64 paragrafer fördelade på elva kapitel. Lagen innehåller bestämmelser om ändamålsbegränsning och andra allmänna principer för behandling av personuppgifter, den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över efterlevnaden av lagen samt rättsmedel och påföljder. För närmare information om lagens innehåll hänvisas till lagtexten och förarbeten till lagen (FFS 1054/2018, RP 31/2018 rd, LaUU 10/2018 rd, GrUU 26/2018 rd, FvUB 14/2018 rd).
Regleringen av dataskyddet inom polisen är inte okomplicerad. Dataskyddsförordningen och dataskyddslagen ska tillämpas som allmänna författningar om dataskyddet. Varken dataskyddsförordningen eller dataskyddslagen ska tillämpas inom polisen då det är fråga om att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning eller åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. Den typen av verksamhet faller inom dataskyddsdirektivets tillämpningsområde och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska fungera som allmän författning. Med stöd av den föreslagna blankettlagen kommer lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten att tillämpas som allmän författning på den största delen av behandlingen av personuppgifter inom Ålands polismyndighet, oberoende av om behandlingen faller inom landskapets eller rikets behörighetsområde. Dock kommer den föreslagna lagen om behandling av personuppgifter i polisens verksamhet att fungera som en specialförfattning inom dataskyddsdirektivets tillämpningsområde (se avsnitt 4.2.3).
4.2.3. Lagen om behandling av personuppgifter i polisens verksamhet
Rikets regering överlämnade till riksdagen den 22 november 2018 en proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den (RP 242/2018 rd). En av målsättningarna med förslaget till en ny lag om behandling av personuppgifter i polisens verksamhet är att förtydliga och förenkla bestämmelserna. Den viktigaste målsättningen med propositionen är ändå att den nya lagen om behandling av personuppgifter i polisens verksamhet uppfyller kraven i EU-lagstiftningen om dataskydd. Enligt förslaget ska i lagen inte längre föreskrivas separat om registrering och användning av uppgifter utan om ändamålet med behandlingen av uppgifter. Ändamålen med behandlingen knyts till polisens lagstadgade uppgifter. Enligt förslaget till rikslag ska de grundläggande uppgifter om en person som får behandlas regleras i en särskild paragraf (se förslag till 4 §). I fråga om övriga personuppgifter föreslås att i lagen inte längre föreskrivs vilka enskilda personuppgifter som får registreras i respektive register, utan om uppgiftskategorier innehållande de personuppgifter som polisen får behandla för skötseln av sina uppgifter (5–12 §§). Det föreslås särskilda bestämmelser om behandling av personuppgifter för andra ändamål än det ursprungliga (13 – 14 §§).
I 3 kap. i den föreslagna lagen om behandling av personuppgifter i polisens verksamhet ingår bestämmelser om polisens rätt att få uppgifter ur vissa register och informationssystem. I förslag till 16 § finns en förteckning över olika myndighetsregister som polisen trots sekretessbestämmelserna ska ha rätt att få uppgifter från genom en teknisk anslutning eller som en datamängd för att utföra sina uppgifter och föra sina personregister. Förteckningen motsvarar i huvudsak den som ingår i 13 § i den gällande lagen. Även i den nya blankettlagen behöver ingå kompletterande bestämmelser som ligger till grund för Ålands polismyndighets rätt att få personuppgifter från vissa andra landskapsmyndigheters register. På ett liknande sätt ingår i förslag till 22 § i lagen om behandling av personuppgifter i polisens verksamhet en förteckning över när polisen får lämna ut uppgifter till andra myndigheter som behöver dessa för att utföra en uppgift som myndigheten har enligt lag. Den nya blankettlagen behöver kompletteras med motsvarande bestämmelser om polismyndighetens överlämnande av uppgifter till landskapsmyndighet som behöver uppgifterna för fullgörandet av myndighetens lagstadgade uppgifter.
För närmare information om innehållet i den föreslagna lagen om behandling av personuppgifter i polisens verksamhet hänvisas till den proposition som har överlämnats till riksdagen den 22 november 2018 (RP 242/2018 rd). Med stöd av den nya blankettlagen kommer den föreslagna rikslagen att också inom landskapets behörighet fungera som en specialförfattning i förhållande till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten då polismyndigheten behandlar personuppgifter inom dataskyddsdirektivets tillämpningsområde. Den föreslagna rikslagen ska upphäva den gällande lagen om behandling av personuppgifter i polisens verksamhet. Eftersom den nya blankettlagen upphäver den gällande kommer motsvarande upphävande av den gällande lagen om behandling av personuppgifter i polisens verksamhet också att ske inom landskapets behörighet.
4.3. Tillsynsfunktionen
I gällande blankettlag föreskrivs att tillsyn över tillämpningen av lagen i fråga om angelägenheter som faller under landskapets behörighet utövas av landskapsregeringen. Landskapsregeringen bedömer att det finns principiella orsaker att ändra på hur tillsynen är organiserad. Den främsta orsaken till denna slutsats är att både dataskyddsförordningen och -direktivet ställer krav på fullständigt oberoende vid utförandet av tillsynsmyndighetens uppgifter. EU-domstolen har tolkat begreppet fullständigt oberoende och ansett att det stred mot ett sådant oberoende att dataskyddsmyndigheten i Österrike var en federal tjänsteman som stod under sin arbetsgivares överinseende, att myndighetens kansli var integrerat i förbundskanslerns kansli och att förbundskanslern hade en ovillkorlig rätt till upplysningar rörande samtliga aspekter av myndighetens administration.[1] Tillsynsmyndigheten får varken begära eller ta emot instruktioner av någon. Landskapsregeringens roll som tillsynsmyndighet kan ifrågasättas i ljuset av EU-domstolens slutsatser.
Lagtinget har den 21 november 2018 antagit en landskapslag som tillsammans med dataskyddsförordningen ska ligga till grund för det allmänna dataskyddet inom landskaps- och kommunalförvaltningen, dock med polismyndigheten som ett undantag. Enligt den landskapslagen ansvarar Datainspektionen för tillsynen enligt dataskyddsförordningen och den kompletterande landskapslagen då personuppgifter behandlas inom landskaps- och kommunalförvaltningen. Tillsynen i riket av den rikslagstiftning som den nya blankettlagen skulle göra gällande inom landskapets behörighet sköts av dataombudsmannen. Enligt 8 § i dataskyddslagen ska dataombudsmannen fungera som den nationella tillsynsmyndighet som avses i dataskyddsförordningen. I 45 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivs att tillsyn över efterlevnaden av lagen utövas av dataombudsmannen enligt 8 § i dataskyddslagen. I den föreslagna lagen om behandling av personuppgifter i polisens verksamhet finns inte några särskilda bestämmelser om tillsyn.
Landskapsregeringen anser att det är ändamålsenligt att dataombudsmannen också utövar tillsynen över dataskyddet inom blankettlagens tillämpningsområde. Dock är det inte rättsligt möjligt att i landskapslag föreskriva om att riksmyndighet ska ansvara för tillsyn inom landskapets behörighetsområden. Därför måste bestämmelserna i den nya blankettlagen peka ut en landskapsmyndighet som enligt lag ska vara ansvarig för tillsynen. Landskapsregeringen föreslår att Datainspektionen ska vara denna tillsynsmyndighet. Blankettlagens ikraftträdande är en förutsättning för överlåtandet av tillsynsfunktionen till riksmyndigheten med stöd av en överenskommelseförordning. Landskapsregeringen har fört preliminära diskussioner med justitieministeriet och ett utkast till överenskommelseförordning har utarbetats. Det bör noteras att riksdagen i samband med antagandet av dataskyddslagen förutsatte att rikets regering utreder huruvida organisationen för tillsynsmyndigheten för dataskyddet bör utvecklas som ett ämbetsverk och vid behov bereder relevanta lagändringar i ärendet (se RSv 108/2018 rd). Man bör följa med sådana framtida organisatoriska förändringar av tillsynsfunktionen i riket. I blankettlagen behöver också specificeras att administrativa sanktionsavgifter inte ska kunna påföras Ålands polismyndighet i samband med tillämpningen av blankettlagen.
5. Lagstiftningsbehörighet
5.1. Behörighetsfördelningen och skyddet av personuppgifter
I lagförslag nr 14/2017–2018 redogjordes för behörighetsfördelningen mellan landskapet och riket gällande skyddet av personuppgifter. Slutsatsen var att landskapet har behörighet gällande skyddet av personuppgifter inom de rättsområden som landskapet annars också har behörighet inom enligt självstyrelselagen. I sitt utlåtande från den 27 juni 1991 ansåg högsta domstolen att behörigheten gällande personregister och datasekretess ska bedömas utgående från vilka områden landstingsbeslutet kan beröra (27.6.1991, OH 91/118). Domstolen konstaterade att landstingsbeslutet gällde allmänna stadganden om personregister och därför berördes ett stort antal rättsområden. Domstolen räknade upp ett antal områden inom landstingets behörighet som berördes av blankettlagen. Eftersom den antagna landskapslagen inte alls skulle tillämpas vid myndigheter eller andra organ som omfattas av landskapslagen om allmänna handlingars offentlighet blir slutsatsen att landskapets behörighet över personregister också utsträcks till aktörer inom den privata sektorn. Med hänvisning till detta anser landskapsregeringen att landskapet är behörigt att anta landskapslagstiftning om skyddet av personuppgifter i förhållande till den privata sektorn, inom de ramar som 18 § i självstyrelselagen ställer upp.
När det gäller skyddet av personuppgifter inom Ålands polismyndighet så tog högsta domstolen den 22 juni 2000 ställning till behörighetsfördelningen gällande skyddet av personuppgifter inom polismyndigheten (22.6.2000, OH 2000/51). Utlåtandet gällde av lagtinget antagen blankettlagstiftning om tillämpningen i landskapet Åland av riksförfattningar om personregister. Domstolen hänvisade inledningsvis till sina slutsatser i det tidigare nämnda utlåtandet från den 27 juni 1991. Därefter konstaterade domstolen att det rättsområde som landskapslagen gäller är allmän ordning och säkerhet. På detta område är lagstiftningsbehörigheten delad enligt självstyrelselagen. Samtidigt hänvisade domstolen till att landskapet har behörighet ifråga om bland annat landskapsstyrelsen och de myndigheter som lyder under denna. Lagtingsbeslutet ansågs falla inom landskapets behörighet då det hade begränsats till att gälla endast de åländska polismyndigheterna. Med hänvisning till detta anser landskapsregeringen att landskapet är behörigt att anta landskapslagstiftning om skyddet av personuppgifter i förhållande till Ålands polismyndighet, inom de ramar som 18 § i självstyrelselagen ställer upp.
Slutligen kan noteras att skyddet av personuppgifter inom Ålands polismyndighet knyter nära an till förvaltningsförfarandet och den allmänna förvaltningsrättsliga regleringen. Tidigare utlåtanden från högsta domstolen kan tolkas så att rikets förvaltningsrättsliga procedurbestämmelser ska tillämpas på verksamhet hos landskapets myndigheter när dessa sköter förvaltningsuppgifter som hör till rikets behörighet (31.1.2003, OH 2002/107). Av denna slutsats följer i så fall även det omvända, dvs. riksmyndigheterna ska följa landskapets allmänna förvaltningsrättsliga procedurbestämmelser då de genom en överenskommelseförordning har påförts skötseln av uppgifter som hör till landskapets behörighetsområde (jfr lagutskottets betänkande nr 13/2006–2007). Dessa slutsatser är relevanta i detta sammanhang eftersom det med stöd av överenskommelseförordning har skett en relativt omfattande överföring av förvaltningsbehörighet till Ålands polismyndighet så att myndigheten utöver sina egna uppgifter även sköter sådana uppgifter som annars skulle skötas av rikets myndigheter. De praktiska och juridiska konsekvenserna av att en myndighet på detta sätt är tvungen att växla mellan landskapets och rikets lagstiftning om förvaltningsförfarandet kan verka oändamålsenliga, särskilt om det finns väsentliga skillnader mellan landskapets och riket förvaltningsrättsliga reglering.
5.2. Grundlagen och skyddet för personuppgifter
5.2.1. Tidigare praxis gällande 10 § 1 mom. i grundlagen
Riket har enligt 27 § 1 punkten i självstyrelselagen lagstiftningsbehörighet i fråga om stiftande, ändring och upphävande av grundlag samt avvikelse från grundlag. Grundlagens 10 § 1 mom. föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Denna konstitutionella bestämmelse introducerades i samband med grundrättighetsreformen i medlet av 1990-talet. I förarbetena anges att bestämmelsen hänvisar ”till behovet att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet i behandlingen, registreringen och användningen av personuppgifter” (RP 309/1993 rd, s. 57). Därefter har riksdagens grundlagsutskott utvecklat en tolkningspraxis utgående från att lagstiftaren stadgar om den behöriga rättigheten men att detaljerna i regleringen är beroende av lagstiftarens prövning (GrUB 25/1994 rd, s. 6/11).
Grundlagsutskottets praxis har baserat sig på att lagstiftarens handlingsutrymme begränsas både av kravet i grundlagens 10 § 1 mom. om att närmare bestämmelser om skyddet för personuppgifter utfärdas genom lag och av att skyddet för personuppgifter delvis också ingår i det konstitutionella skyddet för privatlivet i samma moment. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (se GrUU 14/1998 rd, s. 2, och t.ex. GrUU 1/2018 rd, s. 2). Denna tolkningspraxis är åtminstone en delförklaring till att det finns ovanligt rikligt med specialbestämmelser om behandling av personuppgifter i rikslagstiftningen. I landskapslagstiftningen har specialbestämmelser om personuppgifter förblivit ganska ovanliga.
5.2.2. Tolkningspraxis efter EU:s dataskyddsreform
EU:s dataskyddsreform har medfört att det numera är primärt dataskyddsförordningen som lägger fast reglerna för skydd av fysiska personer vid behandling av personuppgifter och reglerna för fri rörlighet för personuppgifter. Dataskyddsförordningen är direkt tillämplig lagstiftning i samtliga medlemsstater och unionslagstiftningen har företräde framför nationell rätt i överensstämmelse med de villkor som fastställts i EU-domstolens rättspraxis. Grundlagsutskottet konstaterade nyligen att genomförandet av skyddet för personuppgifter inte längre kan bygga på en liknande regleringsmodell som den nuvarande. I stället bör tillgodoseendet av skyddet för personuppgifter i framtiden i första hand garanteras med stöd av dataskyddsförordningen och en nationell allmän lag. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 2/2018 rd, s. 5).
Av den grundläggande förändring i regelverket som dataskyddsförordningen innebär följde också att grundlagsutskottet justerade sin tidigare tolkningspraxis om skyddet för personuppgifter enligt 10 § 1 mom. i grundlagen. Utskottet ansåg att dataskyddsförordningens detaljerade bestämmelser över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i dataskyddsförordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter (GrUU 14/2018 rd, s. 4).
Grundlagsutskottet anser att det härefter i princip räcker att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. De detaljerade bestämmelserna i dataskyddsförordningen gör det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med nuvarande nationella regleringsmodell. Även med tanke på tydligheten bör man förhålla sig restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Dock påpekar grundlagsutskottet att behovet av speciallagstiftning också måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar (GrUU 14/2018 rd, s. 5).
Som ett undantag från ovan nämnda slutsatser anser grundlagsutskottet att det fortsättningsvis är motiverat med specialbestämmelser om behandlingen av personuppgifter om det rör sig om känsliga uppgifter. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Grundlagsutskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Grundlagsutskottet menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen (GrUU 14/2018 rd, s. 6).
Grundlagsutskottet har särskilt lyft fram polislagstiftningen som ett område där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras och där utskottet tillmäter rättigheterna enligt 10 § i grundlagen särskild betydelse. Grundlagsutskottet menar att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en sådan regleringskontext, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (GrUU 26/2018 rd, s. 3). Därtill är dataskyddsförordningen inte alls tillämplig på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
5.2.3. Blankettlagen och skyddet för personuppgifter enligt grundlagen
Lagförslaget utgår från att rikets dataskyddslagstiftning också ska utsträckas till sådan behandling av personuppgifter inom landskapets behörighet som sker inom den privata sektorn och Ålands polismyndighet. Därför är den justering av grundlagsutskottets tolkningspraxis som i korthet redogjordes för ovan även relevant i detta sammanhang. Landskapsregeringen anser att behovet av allmän dataskyddsreglering inom den privata sektorn enligt 10 § 1 mom. i grundlagen i princip är täckt genom dataskyddsförordningen och den kompletterande dataskyddslagen som med stöd av blankettlagen också ska tillämpas inom landskapets behörighet. Eftersom behandlingen av personuppgifter inom Ålands polismyndighet har ett mera känsligt samband med de grundläggande fri- och rättigheterna är rikets dataskyddsbestämmelser, som med stöd av blankettlagen också ska gälla inom landskapets behörighet, mera exakta och heltäckande. Dock utgår landskapsregeringen från att behovet av allmän dataskyddsreglering inom polisen enligt 10 § 1 mom. i grundlagen är täckt genom blankettlagen. När det gäller den mera specifika bedömningen av de tre rikslagarnas grundlagsenlighet hänvisas till förarbetena i riket (särskilt GrUU 14/2018 rd och GrUU 26/2018 rd).
6. Landskapsregeringens förslag
I lagförslag nr 14/2017–2018 föreslog landskapsregeringen att lagtinget antar dataskyddslagstiftning inom landskaps- och kommunalförvaltningen som kompletterar dataskyddsförordningen. Efter vissa ändringar antog Ålands lagting landskapslagstiftningen den 21 november 2018. I detta nya lagförslag föreslår landskapsregeringen att lagtinget antar en ny blankettlag som gör rikslagstiftningen tillämplig inom de lagstiftningsområden inom landskapets behörighet som inte är föremål för den tidigare av lagtinget antagna landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Samtidigt ska den gällande blankettlagen upphävas.
Förslaget till ny blankettlag kan indelas i två delar. För det första föreslår landskapsregeringen att rikets dataskyddslag ska tillämpas vid sidan av dataskyddsförordningen inom blankettlagens tillämpningsområde. Denna del av förslaget berör främst behandlingen av personuppgifter inom den privata sektorn. Dataskyddsförordningen och rikets dataskyddslag kan också bli tillämpliga inom polisen, men enbart till den del särskild dataskyddslagstiftning riktad till polismyndigheten inte är tillämplig. För det andra föreslår landskapsregeringen att den rikslagstiftning som syftar till implementeringen av dataskyddsdirektivet också ska tillämpas inom landskapets behörighet. Denna del i den nya blankettlagen gäller i praktiken Ålands polismyndighet. Den nya blankettlagen gör lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt lagen om behandling av personuppgifter i polisens verksamhet gällande inom landskapets behörighet.
Lagförslaget utgår från att tillsynen av dataskyddsbestämmelserna ska överföras till rikets tillsynsmyndighet, dataombudsmannen. Eftersom detta inte kan föreskrivas i landskapslag utpekas Datainspektionen som ansvarig tillsynsmyndighet i den föreslagna blankettlagen. Avsikten är att senare överlåta denna förvaltningsuppgift till dataombudsmannen genom att en överenskommelseförordning bereds och antas. Landskapsregeringen har fört preliminära diskussioner med justitieministeriet och ett utkast till överenskommelseförordning har tagits fram. Dataskyddsdirektivet förutsätter att medlemsstaterna senast den 6 maj 2018 antar och offentliggör de lagar och andra författningar som är nödvändiga för att följa direktivet. Kommissionen har påbörjat ett s.k. överträdelseförfarande med anledning av den försenade implementeringen. I sitt svar har landskapsregeringen meddelat att landskapets genomförande är avhängigt rikets genomförande, men att avsikten är att landskapets nya blankettlag ska träda i kraft snarast möjligt efter att rikets lagstiftning trätt i kraft. Enligt förslaget lämnas datum för ikraftträdande öppet för landskapsregeringen att fatta beslut om i enlighet med 20 § 2 mom. i självstyrelselagen.
Förslaget till lag om behandling av personuppgifter i polisens verksamhet, som den nya blankettlagen ska göra gällande inom landskapets behörighet, är ännu under behandling i riksdagen. Propositionen överlämnades till riksdagen den 22 november 2018 (RP 242/2018 rd). Högsta domstolen har i samband med lagstiftningskontrollen bedömt under vilka förutsättningar rikslagar som inte ännu trätt i kraft kan tas in i landskapslag (3.3.2017, OH2017/6). Därför bör man i samband med lagtingsbehandlingen vara uppmärksam på behandlingen av propositionen i riksdagen. Det kan också noteras att de övriga två rikslagarna träder i kraft den 1 januari 2019. Landskapsregeringen kommer att följa den fortsatta utvecklingen i riket samt förse lagtinget och dess utskott med nödvändig information.
7. Förslagets verkningar
De flesta av dataskyddsförordningens bestämmelser tillämpas som sådana från och med den 25 maj 2018. Dataskyddsförordningen har medfört att antalet bestämmelser om skyddet av personuppgifter har ökat. Samtidigt har registrerade personer fått ett starkare skydd vid behandlingen av deras personuppgifter. Dataskyddsförordningen förväntas öka kostnaderna för de myndigheter och enskilda som fungerar som personuppgiftsansvariga eller personuppgiftsbiträden. Det handlar då främst om ökad administration i form av dataskyddsombud och ökade kostnader för anpassning av befintliga datasystem. Dataskyddsförordningens slutliga kostnadseffekter är till stor del beroende av i vilken omfattning det redan i ett tidigare skede har skett en anpassning till de skyldigheter som följer av gällande lagstiftning om skyddet av personuppgifter. I en studie gjord av Tammerfors universitet har de stora företagen som sin egen uppskattning lagt fram ett belopp på i genomsnitt 2,5 miljoner euro för kostnader av engångsnatur samt beredskapen för de nya förpliktelserna i förordningen (RP 9/2018 rd, s. 67).
I lagförslag nr 14/2017–2018 bedömdes konsekvenserna av den landskapslagstiftning som ska komplettera dataskyddsförordningen och gälla inom landskaps- och kommunalförvaltningen. I detta nya lagförslag föreslås en ny blankettlag som ska göra rikets dataskyddslagstiftning gällande inom de områden som inte var föremål för det tidigare lagförslaget. Den nya blankettlagens konsekvenser är i vissa avseenden svåra att konkretisera. En bidragande orsak till detta är att landskapet och riket har delad behörighet gällande skyddet av personuppgifter inom de områden som blankettlagen gäller. Landskapsregeringen bedömer att förslagets konsekvenser för den privata sektorn är marginell och i dagsläget innehåller landskapslagstiftningen mycket få bestämmelser om skyddet av personuppgifter som är riktade till privata aktörer. Till stor del är detta en konsekvens av att landskapets lagstiftningsbehörighet har en mycket starkare koppling till den offentliga sektorn. En annan bidragande orsak till att förslagets konsekvenser är svåra att förutse är att många av bestämmelserna i dataskyddsförordningen och -direktivet är tolkningsbara. Eftersom det rör sig om en blankettlag är redogörelserna av konsekvenserna i riksregeringens propositioner relevanta (se RP 9/2018 rd, s. 66–71, RP 31/2018 rd, s. 25–29 och RP 242/2018 rd, s. 40–49).
Generellt förbättrar den föreslagna lagstiftningen skyddet för enskildas integritet. När det gäller den lagstiftning som föreslås för genomförandet av dataskyddsdirektivet så ger förbättrat dataskydd möjlighet till ökat informationsutbyte mellan brottsbekämpande myndigheter. Samtidigt behöver datasystem och registerhantering vid Ålands polismyndighet uppfylla de krav som ställs vilket kan medföra ökade kostnader. Kostnadsverkningarna kan som helhet vara betydande för Ålands polismyndighet till den del det är fråga om obligatoriska skyldigheter som inte tidigare har genomförts i informationssystemen. Med tanke på polismyndighetens it-kostnader bör det noteras att dataskyddsdirektivet förutsätter att det ska föras loggar i anslutning till automatiserade behandlingssystem. Enligt 64 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska automatiserade behandlingssystem som har inrättats före den 6 maj 2016 bringas i överensstämmelse med lagens bestämmelser om loggning senast den 6 maj 2023. Dataskyddsdirektivet förutsätter att den personuppgiftsansvarige utser ett dataskyddsombud, dvs. detta medför direkta kostnader för en del av de personuppgiftsansvariga. Landskapsregeringen konstaterar att det bör utredas närmare hur funktionen som dataskyddsombud ska organiseras vid Ålands polismyndighet.
En central fråga vid konsekvensbedömningen är hur tillsynsfunktionen organiseras. Behovet av resurser för Datainspektionen ökar väsentligt om myndigheten även ska ansvara för tillsyn till den del behandlingen av personuppgifter vid Ålands polismyndighet och inom den privata sektorn faller inom landskapets behörighet. Landskapsregeringen anser att detta inte är ändamålsenligt och föreslår att tillsynen i sin helhet ska skötas av rikets tillsynsmyndighet, dataombudsmannen, när det gäller behandlingen av personuppgifter inom dessa områden. Förverkligandet av detta alternativ förutsätter en överenskommelseförordning och kostnaderna för att dataombudsmannen också sköter om tillsynen inom landskapets behörighet ska klargöras i samband med beredning av förordningen. Helt oberoende av hur tillsynen organiseras inom ramen för den nya blankettlagens tillämpningsområde kommer dataombudsmannen att vara ansvarig för tillsynen till den del behandlingen inom den privata sektorn och Ålands polismyndighet sker inom rikets behörighetsområde.
8. Ärendets beredning
Ärendet har beretts som tjänstemannauppdrag vid lagberedningen i samarbete med ansvariga tjänstemän vid landskapsregeringens regeringskansli. Under beredningen har Fordonsmyndighetens, Ålands näringslivs och Ålands polismyndighets utlåtanden inhämtats. I anslutning till beredningen har landskapsregeringen varit i kontakt med tjänstemän vid justitieministeriet och även skickat utkast till lagförslag för kommentarer till ministeriet.
Detaljmotivering
1. Landskapslag om tillämpning på Åland av riksförfattningar om dataskydd
1 § Tillämpningsområde. Landskapsregeringen föreslår att det antas en ny blankettlag om tillämpning på Åland av riksförfattningar om dataskydd. Enligt 1 mom. ska dataskyddslagen (FFS 1050/2018), lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (FFS 1054/2018) samt lagen om behandling av personuppgifter i polisens verksamhet (FFS / ) tillämpas på Åland med de avvikelser som föreskrivs i den nya blankettlagen. Den första rikslagen, dataskyddslagen, är den allmänna rikslag som preciserar och kompletterar dataskyddsförordningens bestämmelser. Om tillämpningsområdet bestäms i dataskyddslagens 2 §. Dataskyddslagens tillämpningsområde utgår från dataskyddsförordningens tillämpningsområde enligt artikel 2 i dataskyddsförordningen, dock så att tillämpningen av dataskyddslagens och dataskyddsförordningens bestämmelser också utvidgas till områden utanför dataskyddsförordningens EU-rättsliga tillämpningsområde.
Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är riktad till samtliga brottsbekämpande myndigheter. Ur lagens 1 § framgår att lagen inte enbart ska tillämpas vid polisen utan också hos bl.a. åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten och Tullen. Denna andra rikslag utgör den allmänna rikslag som implementerar dataskyddsdirektivet och lagens tillämpningsområde utgår från tillämpningsområdet för dataskyddsdirektivet enligt artikel 2. Lagen om behandling av personuppgifter i polisens verksamhet ska rikta sig mera specifikt till polismyndigheter och implementerar dataskyddsdirektivet med mera specifika bestämmelser inom polisens verksamhetsområde. Förslaget till denna tredje rikslag är fortfarande under behandling i riksdagen. Ur förslag till lagens 1 § framgår lagens tillämpningsområde.
Tillämpningen inom landskapets behörighet av de i 1 mom. nämnda tre rikslagarna följer av bestämmelserna om tillämpningsområdet för de enskilda rikslagarna, om det inte finns avvikelser i blankettlagen. Av de tre rikslagarna blir enbart dataskyddslagen tillämplig till den del landskapet har behörighet över skyddet av personuppgifter inom den privata sektorn. Inom Ålands polismyndighet kan samtliga tre rikslagar bli tillämpliga. Dataskyddsförordningen och den kompletterande dataskyddslagen torde komma att tillämpas inom polismyndigheten främst i samband med tillståndsärenden samt sådana övervakningsuppgifter som föreskrivits för polisen där det inte är fråga om att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning eller åtgärder i anknytning till dessa för att upprätthålla allmän ordning och säkerhet. Till största delen kommer behandlingen av personuppgifter inom Ålands polismyndighet att vara föremål för den andra och tredje rikslagen.
I 2 mom. föreskrivs om ett väsentligt undantag från tillämpningen av blankettlagen. Enligt bestämmelsen ska blankettlagen inte tillämpas på sådan behandling av personuppgifter som är föremål för landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen. Enligt 2 § i den landskapslagen tillämpas lagen på behandling av personuppgifter vid landskapets myndigheter, kommunala myndigheter och till Ålands lagting ansluten förvaltning. Lagen ska också tillämpas vid landskapets affärsverk då de sköter offentliga förvaltningsuppgifter samt på andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter. Däremot tillämpas lagen inte vid Ålands polismyndighet. Landskapslagen har antagits av lagtinget den 21 november 2018, men har inte genomgått lagstiftningskontrollen eller trätt i kraft ännu.
Det egentliga lagtingsarbetet är inte föremål för landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen även om landskapslagen nog tillämpas i förhållande till Ålands lagting ansluten förvaltning (se LKU 2/2018–2019). Dataskyddslagen, som den föreslagna blankettlagen gör gällande inom landskapets behörighet, tillämpas på all behandling av personuppgifter och lagens tillämpningsområde utsträcks också till behandling utanför unionsrättens tillämpningsområde. Detta innebär att blankettlagen medför att dataskyddslagen ska tillämpas på behandling av personuppgifter i anslutning till det egentliga lagtingsarbetet, om inte något annat föreskrivs i blankettlagen (se även GrUU 14/2018 rd, s. 11). Det kan inte anses vara förenligt med lagtingets grundläggande ställning i självstyrelsesystemet att en förvaltningsmyndighet ska vara behörig att utöva tillsyn över hur den åländska befolkningens företrädare behandlar personuppgifter i plenum och utskott. Det föreslagna undantaget gällande lagtingsarbetet innebär också att lagtinget inte kan påföras sådana administrativa sanktionsavgifter som följer direkt av dataskyddsförordningen.
Enligt 3 mom. ska ändringar i de tre rikslagarna gälla i landskapet från tidpunkten för deras ikraftträdande i riket.
Enligt 4 mom. ska specifika bestämmelser om behandling av personuppgifter som finns i en annan landskapslag gälla om dessa bestämmelser avviker från blankettlagens bestämmelser. Till skillnad från rikslagstiftningen finns i gällande landskapslagstiftning få specialbestämmelser om behandlingen av personuppgifter. Sådana särskilda bestämmelser i landskapslagstiftning ska ges företräde, om de förekommer inom blankettlagens tillämpningsområde. För tydlighetens skull bör noteras att blankettlagen inte medför att specialbestämmelser om behandlingen av personuppgifter i rikslagstiftningen blir tillämpliga inom landskapets behörighet. Behovet av att göra sådana särskilda riksbestämmelser gällande inom landskapets behörighet genom blankettlag måste bedömas skilt för sig.
Av 5 mom. följer att hänvisningar i dataskyddslagen, lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten samt i lagen om behandling av personuppgifter i polisens verksamhet till bestämmelser i rikslagstiftningen ska avse hänvisningar till motsvarande bestämmelser i landskapslagstiftningen.
2 § Polismyndighetens rätt att få uppgifter ur vissa register. I 2a § i gällande blankettlag räknas upp vissa register inom landskapsförvaltningen som polismyndigheten ska ha rätt att få uppgifter ur. Förteckningen över register inom landskapsförvaltningen kompletterar den förteckning som finns i 13 § i gällande lag om behandling av personuppgifter i polisens verksamhet. Denna förteckning har föreslagits bli överförd till 16 § i den nya lagen om behandling av personuppgifter i polisens verksamhet (RP 242/2018 rd, s. 82). Polisen, inklusive Ålands polismyndighet, ska trots sekretessbestämmelserna ha rätt att få information från de riksregister som 16 § i föreslagen rikslag räknar upp. Den gällande förteckningen har utökats med en ny 14 punkt som ska ge polisen rätt att få uppgifter ur Lantmäteriverkets bostadsdatasystem och fastighetsdatasystem. Enligt förslaget till blankettlag ska hänvisningarna till de register som 2a § i gällande blankettlag räknar upp överföras med vissa ändringar och kompletteringar. Polismyndigheten ska trots sekretessbestämmelserna ha en rätt att ur dessa register få sådan information som polisen behöver för att utföra sina uppgifter och föra sina personregister genom en teknisk anslutning eller som en datamängd.
Motorfordonsbyrån har bytt namn till Fordonsmyndigheten genom att landskapslagen (2018:8) om Fordonsmyndigheten trädde i kraft den 1 maj 2018. Med stöd av 1–3 punkterna ska polismyndigheten få uppgifter ur register som Fordonsmyndigheten för och som är nödvändiga för skötseln av polisens i lag föreskriven uppgift. Det rör sig om det elektroniska fordonsregister som avses i 8 kap. i landskapslagen (1993:19) om besiktning och registrering av fordon, det körkortsregister som avses i 9 kap. i körkortslagen (2015:88) för Åland samt det vattenfarkostregister som avses i landskapslagen (2017:29) om vattenfarkoster. I 4 punkten förs in gällande hänvisning till landskapsregeringens register för trafiktillstånd som behövs vid övervakningen av tillståndspliktig trafik enligt landskapslagen (1976:33) om yrkesmässig trafik. Enligt 11 § i landskapslagen om yrkesmässig trafik övervakar polisen att trafikidkare utövar trafiken enligt gällande bestämmelser.
Enligt 5 punkten ska polismyndigheten ha rätt att få uppgifter ur det register över beviljade näringsrätter som avses i 4 § 4 mom. i landskapslagen (1996:47) om rätt att idka näring och som är nödvändiga för polisens skötsel av i lag föreskriven uppgift. I 57 § i jaktlagen (1985:31) för landskapet Åland föreskrivs att tillsynen av jakten utövas av landskapsregeringen med bistånd av polismyndighet. Med stöd av 6 punkten ska polismyndigheten ha rätt att få uppgifter registrerade hos landskapsregeringen om enskilda personers rätt att bedriva jakt enligt jaktlagen för landskapet Åland. Uppgifterna ska vara nödvändiga vid tillsynen av jakt eller för fullgörandet av annan för polisen lagstadgad uppgifter. Enligt 57 § i jaktlagen bistår polismyndigheten landskapsregeringen vid tillsynen över jakten.
Förteckningen över uppgifter som polismyndigheten har rätt att få av andra landskapsmyndigheter enligt paragrafen är inte uttömmande utan det kan finnas särskilda bestämmelser om sådan rätt i annan landskapslagstiftning. Ett exempel på detta finns i 31 § 1 mom. i landskapslagen (2015:100) om hembygdsrättsförfaranden som ger polismyndigheten rätt att få tillgång till hembygdsrättsregistret i samband med utfärdandet av pass. I 68 § i räddningslagen (2006:106) för landskapet Åland föreskrivs att uppgifter från åtgärdsregistret hos kommunens räddningsmyndighet får lämnas ut till polismyndigheten.
3 § Polismyndighetens rätt att lämna ut uppgifter till andra myndigheter. I 2b § i gällande blankettlag föreskrivs om polisens rätt att lämna ut uppgifter till motorfordonsbyrån för upprätthållande av fordonsregistret. Paragrafen kompletterar det som föreskrivs i gällande 19 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet. Motsvarande bestämmelser om utlämnandet av personuppgifter ur polisens informationssystem föreslås bli införda med vissa preciseringar i 22 § i den nya lagen om behandling av personuppgifter i polisens verksamhet (RP 242/2018 rd, s. 87). Bestämmelsen kompletterar rikslagens 21 § som ska ligga till grund för utlämnande av personuppgifter till en sådan behörig myndighet som avses i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
Det finns fortfarande ett behov för utlämnandet av uppgifter från polismyndigheten till Fordonsmyndigheten för upprätthållandet av fordonsregistret. Enligt förslaget till paragraf får polismyndigheten, utöver vad som föreskrivs i 22 § i lagen om behandling av personuppgifter i polisens verksamhet, trots sekretessbestämmelserna genom teknisk anslutning eller som en datamängd lämna ut personuppgifter till Fordonsmyndigheten för förandet av det elektroniska fordonsregister som avses i 8 kap. i landskapslagen om besiktning och registrering av fordon. De nya bestämmelserna om det elektroniska fordonsregistret finns i landskapslagen (2018:3) om ändring av landskapslagen om besiktning och registrering som trädde i kraft den 1 mars 2018.
I annan landskapslagstiftning kan finnas särskilda bestämmelser om polismyndighetens rätt att lämna ut uppgifter till andra myndigheter inom landskaps- och kommunalförvaltningen. Enligt gällande bestämmelser i räddningslagen sköter polismyndigheten om mottagandet av nödmeddelanden och alarmering av räddningsenheter. I räddningslagens 66 § 2 mom. föreskrivs åt vilka myndigheter uppgifter ur det alarmdataregister som polismyndigheten ska föra får lämnas ut.
4 § Tillsynsmyndighet. Enligt 1 mom. ska Datainspektionen vid tillämpningen av blankettlagen fungera som tillsynsmyndighet enligt dataskyddsförordningen. Bestämmelsen följer av artikel 51 i dataskyddsförordningen som anger att varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av förordningen. Dataskyddsförordningens bestämmelser är i huvudsak direkt tillämpliga, också inom ramen för blankettlagens tillämpningsområde. I momentet finns också direkta hänvisningar till uppgifterna som tillsynsmyndighet enligt 8 § i dataskyddslagen och 45 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Datainspektionen ska istället för dataombudsmannen ansvara för motsvarande tillsyn inom landskapets behörighet med stöd av blankettlagen. I den allmänna motiveringen har landskapsregeringen redogjort för varför det kan anses vara mera ändamålsenligt att dataombudsmannen också utövar tillsyn över dataskyddet inom blankettlagens tillämpningsområde (se avsnitt 4.3). En sådan överlåtelse på en riksmyndighet av uppgifter som hör till landskapsförvaltningen kan enbart ske genom antagandet av en överenskommelseförordning enligt 32 § 1 mom. i självstyrelselagen.
Enligt 2 mom. ska bestämmelserna om tillsynsmyndighet i 3 kap. i dataskyddslagen inte tillämpas i förhållande till Datainspektionen utan istället tillämpas bestämmelserna i 3 kap. i landskapslagen om dataskydd inom land-skaps- och kommunalförvaltningen. Momentet beaktar det faktum att Datainspektionens tillsyn i praktiken inte kan skötas i enlighet med bestämmelserna om dataombudsmannens organisation eftersom de utgår från förhållandena i riket. Om tillsynsmyndighetens uppgifter överförs på dataombudsmannen tillämpar riksmyndigheten bestämmelserna om sin egen organisation huvudsakligen i dataskyddslagen. Tillsynsmyndighetens uppgifter och befogenheter följer huvudsakligen av artiklarna 55 — 59 i dataskyddsförordningen och 8 kap. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
Enligt 3 mom. får vid tillämpningen av blankettlagen Ålands polismyndighet inte påföras sådana administrativa sanktionsavgifter som avses i dataskyddsförordningen. Enligt 27 § i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen har myndigheterna inom landskaps- och kommunalförvaltningen undantagits från de administrativa sanktionsavgifterna. Den landskapslagen tillämpas inte i förhållande till Ålands polismyndighet. Eftersom blankettlagen ligger till grund för tillsynsmyndighetens befogenheter enligt dataskyddsförordningen och då Ålands polismyndighet inte ingår i den förteckning i dataskyddslagen över organ som undantas från sanktionsavgifterna måste undantaget regleras i blankettlagen. Rikets polismyndigheter har redan undantagits från de administrativa sanktionsavgifterna med stöd av 24 § 4 mom. i dataskyddslagen.
5 § Ikraftträdande. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås i 1 mom. att datum för ikraftträdande lämnas öppet för landskapsregeringen att fatta beslut om. Avsikten är att denna nya blankettlag sätts i kraft så snart som möjligt eftersom dataskyddsdirektivet förutsattes vara implementerat senast den 6 maj 2018. Den lagstiftning som ska komplettera dataskyddsförordningen förutsattes vara tillämplig redan den 25 maj 2018. Kommissionen har påbörjat ett överträdelseförfarande med anledning av den försenade implementeringen på Åland av dataskyddsdirektivet.
Enligt 2 mom. ska lagen upphäva den gällande blankettlagen, dvs. landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personuppgifter. Enligt förslaget ska även landskapslagen (1999:49) om polisens grundregister upphävas eftersom registret inte mera är i bruk inom polismyndigheten.
2. Landskapslag om ändring av 5 kap. 41 § polislagen för Åland
41 §. Behandling av uppgifter om en informationskälla och betalning av arvode. I gällande 1 mom. finns en hänvisning till gällande blankettlag. Enligt förslaget ska hänvisning uppdateras så att den nya blankettlagen tillämpas på sådana uppgifter som avses i bestämmelsen.
Ikraftträdelsebestämmelsen. Landskapsregeringen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 2 mom. självstyrelselagen lämnas öppen för landskapsregeringen att fatta beslut om. Avsikten är att lagen ska träda i kraft samtidigt med den nya blankettlagen.
3. Landskapslag om upphävande av 34b § 2 och 3 mom. landskapslagen om miljöskydd
1 §. Genom landskapslagen 2017/72 fogades ett nytt 8a kap. till landskapslagen om miljöskydd. Kapitlet är av blankettnatur och bestämmelserna i 17 kap. i miljöskyddslagen (FFS 527/2014) ska tillämpas på Åland med de avvikelser som anges i 34b och c §§. Enligt landskapslagens 34b § 2 mom. ska hänvisningen till lagen om offentlighet i myndigheternas verksamhet (FFS 621/1999) på Åland avse landskapslagen (1977:72) om allmänna handlingars offentlighet. Enligt 34b § 3 mom. ska hänvisningen till personuppgiftslagen (FFS 523/1999) på Åland avse landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter. Rikets miljöskyddslag har sedermera ändrats så att 17 kap. inte mera innehåller några hänvisningar varken till lagen om offentlighet i myndigheternas verksamhet eller personuppgiftslagen. Därför föreslår landskapsregeringen att 34 § 2 och 3 mom. upphävs.
2 §. Avsikten är att lagen ska träda i kraft så snart som möjligt. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås i paragrafen att datumet för ikraftträdandet lämnas öppen för landskapsregeringen att fatta beslut om. Lagen ska träda i kraft samtidigt med den nya blankettlagen.
Lagtext
Landskapsregeringen föreslår att följande lagar antas.
1.
L A N D S K A P S L A G
om tillämpning på Åland av riksförfattningar om dataskydd
I enlighet med lagtingets beslut föreskrivs:
1 §
Tillämpningsområde
Dataskyddslagen (FFS 1050/2018), lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (FFS 1054/2018) samt lagen om behandling av personuppgifter i polisens verksamhet (FFS / ) ska tillämpas på Åland med de avvikelser som anges i denna lag.
Denna lag tillämpas inte på sådan behandling av personuppgifter som är föremål för landskapslagen ( : ) om dataskydd inom landskaps- och kommunalförvaltningen. Denna lag tillämpas inte heller på lagtingsarbetet.
Ändras de i 1 mom. nämnda rikslagarna ska ändringarna gälla i landskapet från tidpunkten för deras ikraftträdande i riket.
Om det i en annan landskapslag finns särskilda bestämmelser om behandlingen av personuppgifter som avviker från denna lag ska de bestämmelserna gälla.
Hänvisas i de i 1 mom. nämnda rikslagarna till bestämmelser i rikslagstiftningen ska hänvisningarna avse motsvarande bestämmelser i landskapslagstiftningen.
2 §
Polismyndighetens rätt att få uppgifter ur vissa register
Utöver vad som föreskrivs i 16 § i lagen om behandling av personuppgifter i polisens verksamhet samt för att utföra sina uppgifter och föra sina personregister har Ålands polismyndighet trots sekretessbestämmelserna rätt att genom teknisk anslutning eller som en datamängd få
1) uppgifter ur det elektroniska fordonsregister som avses i 8 kap. i landskapslagen (1993:19) om besiktning och registrering av fordon och som är nödvändiga för polisens skötsel av i lag föreskriven uppgift,
2) uppgifter ur det körkortsregister som avses i 9 kap. i körkortslagen (2015:88) för Åland och som är nödvändiga för polisens skötsel av i lag föreskriven uppgift,
3) uppgifter ur det vattenfarkostregister som avses i landskapslagen (2017:29) om vattenfarkoster och som är nödvändiga för polisens skötsel av i lag föreskriven uppgift,
4) uppgifter ur landskapsregeringens register för trafiktillstånd som behövs vid övervakningen av tillståndspliktig trafik enligt landskapslagen (1976:33) om yrkesmässig trafik,
5) uppgifter ur det register över beviljade näringsrätter som avses i 4 § 4 mom. i landskapslagen (1996:47) om rätt att idka näring och som är nödvändiga för polisens skötsel av i lag föreskriven uppgift och
6) uppgifter registrerade hos landskapsregeringen om enskilda personers rätt att bedriva jakt enligt jaktlag (1985:31) för landskapet Åland och som är nödvändiga vid tillsynen av jakt eller för polisens skötsel av annan i lag föreskriven uppgift.
3 §
Polismyndighetens rätt att lämna ut uppgifter till andra myndigheter
Utöver vad som föreskrivs i 22 § i lagen om behandling av personuppgifter i polisens verksamhet får Ålands polismyndighet trots sekretessbestämmelserna genom teknisk anslutning eller som en datamängd lämna ut personuppgifter till Fordonsmyndigheten för förandet av det elektroniska fordonsregister som avses i 8 kap. i landskapslagen (1993:19) om besiktning och registrering av fordon.
4 §
Tillsynsmyndighet
Vid tillämpningen av denna lag fungerar Datainspektionen som tillsynsmyndighet enligt dataskyddsförordningen. Datainspektionen ansvarar istället för dataombudsmannen för den tillsyn som avses i 8 § i dataskyddslagen och 45 § i lagen om behandling av personuppgifter i brottmål och vid upprätt-hållandet av den nationella säkerheten.
Bestämmelserna om tillsynsmyndighet i 3 kap. i dataskyddslagen ska inte tillämpas i förhållande till Datainspektionen utan istället tillämpas bestämmelserna i 3 kap. i landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen.
Vid tillämpningen av denna lag får Ålands polismyndighet inte påföras sådana administrativa sanktionsavgifter som avses i dataskyddsförordningen.
5 §
Ikraftträdande
Denna lag träder i kraft den
Genom denna lag upphävs landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter och landskapslagen (1999:49) om polisens grundregister.
2.
L A N D S K A P S L A G
om ändring av 5 kap. 41 § polislagen för Åland
I enlighet med lagtingets beslut ändras 5 kap. 41 § 1 mom. polislagen (2013:87) för Åland som följer:
5 kap.
Hemliga metoder för inhämtande av information
41 §
Behandling av uppgifter om en informationskälla och betalning av arvode
Uppgifter om en informationskälla får registreras i ett personregister. På behandlingen av uppgifterna tillämpas landskapslagen ( : ) om tillämpning på Åland av riksförfattningar om dataskydd.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
3.
L A N D S K A P S L A G
om upphävande av 34b § 2 och 3 mom. landskapslagen om miljöskydd
I enlighet med lagtingets beslut föreskrivs:
1 §
Genom denna lag upphävs 34b § 2 och 3 mom. landskapslagen (2008:124) om miljöskydd.
2 §
Denna lag träder i kraft den
| Mariehamn den 13 december 2018 | |
|
V i c e l a n t r å d |
Camilla Gunell |
|
Föredragande minister |
Nina Fellman |
Bilaga 1
Dataskyddslag (FFS 1050/2018)
I enlighet med riksdagens beslut föreskrivs:
1 kap.
Allmänna bestämmelser
1 §
Lagens syfte
Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och dess nationella tillämpning.
2 §
Tillämpningsområde
Denna lag tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Denna lag och dataskyddsförordningen tillämpas dessutom, med undantag för artikel 56 och kapitel VII i förordningen, på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs någon annanstans i lag.
Denna lag tillämpas inte på riksdagsarbetet.
Denna lag tillämpas inte på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018).
3 §
Tillämplig lag
På sådan behandling av personuppgifter som sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Europeiska unionen ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland.
Om en främmande stats lag ska tillämpas på behandling av personuppgifter och det med stöd av den lagen görs ett undantag i enlighet med artikel 89.2 i dataskyddsförordningen från de rättigheter som föreskrivs för att skydda registrerade, ska de skyddsåtgärder till skydd för registrerade som anges i 31 § dock iakttas oberoende av lagvalet.
2 kap.
Rättslig grund för behandling av personuppgifter i vissa fall
4 §
Laglig behandling av personuppgifter
Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om
1) det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas,
2) behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse,
3) behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas, eller
4) behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.
5 §
Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn
När personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.
6 §
Behandling av särskilda kategorier av personuppgifter
Artikel 9.1 i dataskyddsförordningen tillämpas inte
1) när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om en försäkrads eller ersättningssökandes hälsotillstånd, sjukdom eller funktionsnedsättning eller sådana uppgifter om de vårdåtgärder eller andra därmed jämförbara åtgärder som avser den försäkrade och som behövs för att utreda anstaltens ansvar,
2) på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag,
3) på sådan behandling av uppgifter om medlemskap i fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område,
4) när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård,
5) när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade,
6) på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka,
7) på behandling av uppgifter för vetenskaplig eller historisk forskning eller för statistikföring,
8) på behandling av forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål, med undantag för genetiska uppgifter.
En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är
1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter,
2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,
3) utnämning av ett dataskyddsombud,
4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,
5) pseudonymisering av personuppgifter,
6) kryptering av personuppgifter,
7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident,
8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,
9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,
10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen.
11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.
7 §
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser
Personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om
1) behandlingen behövs för utredning, fastställande, utövande, försvar eller avgörande av rättsliga anspråk, eller
2) uppgifterna behandlas för syften som anges i 6 § 1 mom. 1, 2 eller 7 punkten.
Vad som i 6 § 2 mom. föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas även vid behandling av sådana personuppgifter som avses i 1 mom. i denna paragraf.
3 kap.
Tillsynsmyndighet
8 §
Dataombudsmannen
Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen finns i anslutning till justitieministeriet.
Dataombudsmannen är självständig och oberoende i sin verksamhet.
9 §
Dataombudsmannens byrå
Dataombudsmannen har en byrå med minst två biträdande dataombudsmän och ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal.
Dataombudsmannen utnämner tjänstemännen och anställer den övriga personalen vid byrån.
Dataombudsmannen godkänner en arbetsordning för byrån.
10 §
Behörighetsvillkor och utnämningsgrunder
Behörighetsvillkor för dataombudsmannen och biträdande dataombudsmän är annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt, god förtrogenhet med frågor som gäller skydd av personuppgifter och i praktiken visad ledarförmåga. Dessutom förutsätts förmåga att sköta internationella uppgifter.
11 §
Utnämning och mandatperiod
Dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet för fem år i sänder.
Den som utnämns till dataombudsman och biträdande dataombudsman är fri från skötseln av en annan tjänst under den tid som han eller hon är dataombudsman eller biträdande dataombudsman.
12 §
Sakkunnignämnd
Vid dataombudsmannens byrå finns en sakkunnignämnd som består av ordförande, en vice ordförande och tre andra ledamöter. Var och en av dem ska ha en personlig ersättare.
Statsrådet tillsätter nämnden för en mandatperiod på tre år.
Nämndens ordförande och vice ordförande ska ha avlagt annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt och ha god förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter. Av nämndens övriga ledamöter förutsätts förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter.
På nämndens ledamöter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). Nämndens ledamöter och ersättarna betalas arvode för uppdraget. Justitieministeriet fastställer arvodesbeloppen.
13 §
Redogörelse för bindningar
Dataombudsmannen och biträdande dataombudsmän ska lämna en i 8 a § i statstjänstemannalagen (750/1994) avsedd redogörelse för sina bindningar.
14 §
Dataombudsmannens uppgifter och befogenheter
Bestämmelser om dataombudsmannens uppgifter och befogenheter finns i artiklarna 55—59 i dataskyddsförordningen. Dataombudsmannen har också andra uppgifter och befogenheter som anges i denna lag och annanstans i lag.
Dataombudsmannen övervakar inte statsrådets justitiekanslers eller riksdagens justitieombudsmans verksamhet.
Dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen.
Dataombudsmannen ackrediterar det certifieringsorgan som avses i artikel 43 i dataskyddsförordningen.
Dataombudsmannen ska upprätta en årlig rapport om sin verksamhet enligt artikel 59 i dataskyddsförordningen och lämna den till riksdagen och statsrådet. Verksamhetsrapporten ska hållas allmänt tillgänglig.
15 §
Dataombudsmannens beslutsfattande
Dataombudsmannen avgör ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat.
16 §
Biträdande dataombudsmannens uppgifter och befogenheter
Uppgiftsfördelningen mellan dataombudsmannen och de biträdande dataombudsmännen bestäms i arbetsordningen för dataombudsmannens byrå.
En biträdande dataombudsman har vid skötseln av sina uppgifter samma befogenheter som dataombudsmannen.
17 §
Sakkunnignämndens uppgifter och behandling av ärenden
Sakkunnignämnden ska på dataombudsmannens begäran ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter.
Nämnden kan höra utomstående sakkunniga.
En föredragande vid dataombudsmannens byrå är sekreterare för nämnden.
18 §
Dataombudsmannens rätt att få information och utföra inspektioner
Dataombudsmannen har, utöver vad som i artikel 58.1 i dataskyddsförordningen föreskrivs om tillsynsmyndighetens rätt att få information och utföra inspektioner, rätt att trots sekretessbestämmelserna avgiftsfritt få de uppgifter som behövs för skötseln av sina uppgifter.
I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen (39/1889).
19 §
Anlitande av sakkunniga
Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.
Dataombudsmannen får vid inspektioner som ingår i dataombudsmannens befogenheter anlita biträde av utomstående sakkunniga. På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter sådana uppgifter. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.
20 §
Handräckning
Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.
4 kap.
Rättssäkerhet och påföljder
21 §
Rätt att föra ärenden till dataombudsmannen
En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen.
Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol.
22 §
Vite
Dataombudsmannen får förena ett i dataskyddsförordningens artikel 58.2 c—g och j avsett beslut samt ett med stöd av 18 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).
Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.
23 §
Beslut av kommissionen
Om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.
I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.
24 §
Administrativa påföljdsavgifter
Administrativa sanktionsavgifter (administrativa påföljdsavgifter) enligt artikel 83 i dataskyddsförordningen påförs av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen är ordförande för kollegiet. Om en biträdande dataombudsman har förhinder, kan denne ersättas i påföljdskollegiet av en föredragande som utses för detta i arbetsordningen för dataombudsmannens byrå. Kollegiet är beslutfört med tre medlemmar.
Kollegiet ska fatta beslut efter föredragning. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot.
Påföljdsavgifter får påföras även för överträdelse av artikel 10 i dataskyddsförordningen, med iakttagande av vad som föreskrivs i artikel 83.5 i dataskyddsförordningen och i denna lag.
Statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ får inte påföras påföljdsavgift.
Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas den tioåriga tidsfristen från det att överträdelsen eller försummelsen har upphört.
Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas fem år från den dag då den påfördes.
25 §
Ändringssökande
Dataombudsmannens, biträdande dataombudsmannens och ett i 24 § 1 mom. avsett beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).
Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i ett beslut av förvaltningsdomstolen.
I ett beslut av dataombudsmannen eller en biträdande dataombudsman kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
26 §
Straffbestämmelser
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen och bestämmelser om straff för dataintrång och för grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. Till straff för brott mot tystnadsplikten enligt 35 § i denna lag och mot sekretessen enligt 36 § döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.
I 38 kap. 10 § 3 mom. i strafflagen finns det bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns i 1 mom. i denna paragraf liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål.
5 kap.
Särskilda behandlingssituationer
27 §
Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål
För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 c—e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12—22, artikel 30, artikel 34.1—34.3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60—63 och artiklarna 65—67 i dataskyddsförordningen inte tillämpas på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Artikel 27 i dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter i samband med sådan verksamhet som omfattas av lagen om yttrandefrihet i masskommunikation (460/2003). Artiklarna 44—50 i dataskyddsförordningen ska inte tillämpas, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.
För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 a och b, artikel 5.2, artiklarna 24—26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
28 §
Offentlighetsprincipen
På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.
29 §
Behandling av personbeteckningar
En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade
1) för att utföra en i lag angiven uppgift,
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller
3) för historisk eller vetenskaplig forskning eller för statistikföring.
En personbeteckning får behandlas vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.
Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.
En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.
30 §
Behandling av personuppgifter i anställningsförhållanden
Bestämmelser om behandling av anställdas personuppgifter, test och kontroller som anställda ska genomgå och de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av anställdas e-postmeddelanden finns i lagen om integritetsskydd i arbetslivet (759/2004).
31 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål
När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att
1) behandlingen av uppgifterna grundar sig på en ändamålsenlig forskningsplan,
2) det finns en ansvarig person eller en grupp som ansvarar för forskningen, och
3) personuppgifterna används och lämnas ut endast för historisk eller vetenskaplig forskning eller ett annat förenligt ändamål och verksamheten också i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående.
När personuppgifter behandlas för statistiska ändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att
1) statistiken inte kan tas fram eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter behandlas,
2) framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet, och
3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.
När personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas för ett ändamål enligt 1 eller 2 mom. krävs det för ett undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, utöver vad som föreskrivs i 1 och 2 mom., att det utförs en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen eller att en i artikel 40 i dataskyddsförordningen avsedd uppförandekod följs och att koden på behörigt sätt beaktar ovan avsedda möjlighet att göra undantag från den registrerades rättigheter. Konsekvensbedömningen ska skriftligen delges dataombudsmannen innan behandlingen inleds.
32 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse
När personuppgifter behandlas med stöd av 4 § 4 punkten eller artikel 6.1 c i dataskyddsförordningen för arkivändamål av allmänt intresse får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18—21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen.
33 §
Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information
Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information får göras, om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller allmän ordning och säkerhet eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin.
Undantag från artikel 14.1—14.4 i dataskyddsförordningen får också göras om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.
Om den registrerade enligt 1 eller 2 mom. inte tillhandahålls information, ska den personuppgiftsansvarige vidta lämpliga åtgärder till skydd för den registrerades rättigheter. I dessa åtgärder ingår att hålla den information som avses i artikel 14.1 och 14.2 i dataskyddsförordningen allmänt tillgänglig, om inte detta äventyrar syftet med begränsningen som gäller tillhandahållande av information.
34 §
Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne
En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om
1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott,
2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller
3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.
Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne.
Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.
Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.
6 kap.
Särskilda bestämmelser
35 §
Tystnadsplikt
Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller någon annans företagshemligheter får inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan.
36 §
Skydd för rapportörers identitet
När en fysisk person har rapporterat till dataombudsmannen om en misstänkt överträdelse av bestämmelser som omfattas av dataombudsmannens tillsyn, ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.
37 §
Ikraftträdande
Denna lag träder i kraft den 20.
Genom denna lag upphävs personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994).
38 §
Övergångsbestämmelser
Giltigheten av de tillstånd som beviljats av datasekretessnämnden upphör vid ikraftträdandet av denna lag. Ärenden som före ikraftträdandet av denna lag blivit anhängiga i datasekretessnämnden förfaller vid ikraftträdandet.
På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller en anmälan till dataombudsmannen tillämpas de bestämmelser i 36 och 37 § i personuppgiftslagen som gäller anmälningsplikt och hur en anmälan ska göras.
På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller utövande av rätten till insyn och rättelse av personuppgifter tillämpas inte de bestämmelser i artiklarna 12 och 15—18 i dataskyddsförordningen enligt vilka den personuppgiftsansvarige åläggs mer omfattande skyldigheter än vad den registeransvarige hade enligt de bestämmelser som gällde vid ikraftträdandet av denna lag, om det med avseende på den personuppgiftsansvarige skulle vara oskäligt att tillämpa de nämnda bestämmelserna i dataskyddsförordningen.
Vid överklagande av beslut som datasekretessnämnden och dataombudsmannen fattat före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet. På extraordinärt ändringssökande tillämpas de bestämmelser som gällde vid ikraftträdandet av denna lag dock endast om ändringssökandet inletts före ikraftträdandet.
Om en gärning som orsakat skada har begåtts före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet på skyldigheten att ersätta skadan.
Bilaga 2
Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (FFS 1054/2018)
I enlighet med riksdagens beslut föreskrivs:
1 kap.
Allmänna bestämmelser
1 §
Tillämpningsområde
Denna lag tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om
1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning,
2) åtalsprövning och annan åklagarverksamhet som har samband med brott,
3) handläggning av brottmål i domstol,
4) verkställighet av straffrättsliga påföljder,
5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten.
Utöver vad som föreskrivs i 1 mom. tillämpas denna lag på
1) sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007),
2) sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 kap. 1 § 1 mom. i polislagen (872/2011) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten,
3) sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen (578/2005) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten.
På sådan behandling av personuppgifter som avses ovan i 2 mom. tillämpas dock inte bestämmelserna i 10 § 2 mom. om överföring av personuppgifter till en mottagare inom Europeiska unionen, bestämmelserna i 54 § om ömsesidigt bistånd i fråga om andra medlemsstater i Europeiska unionen och bestämmelserna i 7 kap. om överföringar av personuppgifter till tredjeländer och internationella organisationer.
Denna lag tillämpas dock endast på sådan i 1 och 2 mom. avsedd behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant.
Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet.
2 §
Förhållande till annan lagstiftning
Om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för denna lag.
På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.
3 §
Definitioner
I denna lag avses med
1) personuppgifter varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar fysisk person (en registrerad),
2) behandling insamling, registrering, organisering, strukturering, bevarande, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring samt någon annan åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter,
3) begränsning av behandling markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,
4) register en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
5) behörig myndighet en myndighet som har behörighet att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, att åtalspröva eller vidta andra åtgärder som avser åtal för brott eller att döma till straffrättsliga påföljder eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förhindra hot mot den allmänna säkerheten, samt Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i 1 § 2 mom.,
6) personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter eller som enligt lag har till uppgift att föra ett register,
7) personuppgiftsbiträde en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,
8) mottagare en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ till vilket personuppgifterna lämnas ut,
9) personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,
10) lämpliga skyddsåtgärder sådana tekniska och organisatoriska åtgärder som säkerställer att behandlingen av personuppgifter är lagenlig, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter,
11) profilering automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma personliga egenskaper hos en fysisk person,
12) genetiska uppgifter personuppgifter som rör sådana nedärvda eller förvärvade genetiska kännetecken för en fysisk person som ger unik information om personens fysiologi eller hälsa, och som härrör från en analys av ett biologiskt prov från personen i fråga eller som erhållits på annat sätt,
13) biometriska uppgifter personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga,
14) uppgifter om hälsa personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa och som ger information om personens hälsotillstånd,
15) tredjeland andra stater än medlemsstater i Europeiska unionen (EU), stater inom Europeiska ekonomiska samarbetsområdet eller Schweiz,
16) internationell organisation en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.
Vad som i denna lag föreskrivs om behörig myndighet tillämpas också på enskilda som sköter en uppgift som avses i 1 mom. 5 punkten.
Vad som i denna lag föreskrivs om en medlemsstat i EU tillämpas också på stater inom Europeiska ekonomiska samarbetsområdet och på Schweiz.
2 kap.
Principer för behandling av personuppgifter
4 §
Krav på laglig behandling
Personuppgifter får behandlas endast om det behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift på ett område som anges i 1 § 1 eller 2 mom.
Personuppgifter ska behandlas på ett korrekt och omsorgsfullt sätt.
5 §
Ändamålsbegränsning
Den personuppgiftsansvarige får samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål.
Personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. får behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag.
Personuppgifter får behandlas i ett i 1 § 1 eller 2 mom. angivet syfte också för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, om lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits.
6 §
Relevanskrav
De personuppgifter som behandlas ska vara adekvata och behövliga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Obehövliga personuppgifter ska utplånas utan obefogat dröjsmål.
Personuppgifter får inte lagras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.
Behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans.
7 §
Felfrihetskrav
De personuppgifter som behandlas ska vara korrekta och vara uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige ska se till att alla rimliga åtgärder har vidtagits för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål.
8 §
Åtskillnad mellan olika personuppgifter
Den personuppgiftsansvarige ska vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.
Alla rimliga åtgärder ska vidtas för att skilja personuppgifter som grundar sig på fakta från personuppgifter som grundar sig på personliga bedömningar.
9 §
Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga
Den behöriga myndigheten ska vidta alla rimliga åtgärder för att se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga.
Vid all överföring av personuppgifter ska, så långt det är möjligt, sådan information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad personuppgifterna är korrekta, fullständiga, tillförlitliga och aktuella.
Om det visar sig att oriktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts, ska mottagaren utan dröjsmål informeras om detta. Efter att mottagaren informerats om saken ska denne rätta eller utplåna personuppgifterna eller begränsa behandlingen av dem.
10 §
Skyldighet att informera om särskilda förutsättningar för behandlingen
Om det i lag anges särskilda förutsättningar för behandling av personuppgifter, ska den behöriga myndigheten i samband med utlämnande eller överföring av personuppgifter informera mottagaren av personuppgifterna om dessa förutsättningar samt om skyldigheten att iaktta dem.
När den behöriga myndigheten överför personuppgifter till en mottagare inom EU får den inte uppställa strängare krav på behandlingen av personuppgifter än vad som tillämpas nationellt på likartade uppgiftsöverföringar.
11 §
Behandling av särskilda kategorier av personuppgifter
Uppgifter som hör till särskilda kategorier av personuppgifter är personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Sådana personuppgifter som avses i 1 mom. får behandlas endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och
1) det föreskrivs om behandlingen i lag,
2) det är fråga om handläggning av brottmål i åklagarverksamhet eller i domstol,
3) det krävs för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller
4) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter är förbjuden.
12 §
Behandling av personbeteckningar
En personbeteckning får behandlas endast om det är viktigt att entydigt identifiera den registrerade
1) för att en behörig myndighet ska kunna utföra en i lag angiven uppgift,
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller
3) för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom.
En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register.
13 §
Automatiserat individuellt beslutsfattande
Om inte något annat föreskrivs i lag, får ett beslut inte fattas enbart på grundval av automatiserad behandling av personuppgifter, om beslutet har negativa rättsverkningar för den registrerade eller beslutet annars är betydande för den registrerade.
3 kap.
Personuppgiftsansvarig och personuppgiftsbiträde
14 §
Den personuppgiftsansvariges ansvar
Den personuppgiftsansvarige svarar för att personuppgifter behandlas i enlighet med lag. Den personuppgiftsansvarige ska dessutom kunna visa att personuppgifterna har behandlats i enlighet med 2 kap.
Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder som krävs med avseende på ansvaret enligt 1 mom. När åtgärderna vidtas ska hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter.
15 §
Inbyggt dataskydd och dataskydd som standard
Den personuppgiftsansvarige ska vid tidpunkten för beslut om hur behandlingen av personuppgifter ska utföras och vid tidpunkten för själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att behandlingen är laglig och att den registrerades rättigheter skyddas. Åtgärderna ska vidtas med beaktande av tillgängliga tekniska lösningar, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen medför för personens rättigheter.
Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som behövs för varje specifikt ändamål med behandlingen behandlas.
16 §
Gemensamt personuppgiftsansvariga
Om två eller flera personuppgiftsansvariga gemensamt fastställer behandlingens ändamål och medel, ska de komma överens om den inbördes ansvarsfördelningen vid skötseln av skyldigheter enligt denna lag, om det inte föreskrivs om ansvarsfördelningen i lag.
Personuppgiftsansvariga som avses i 1 mom. ska inom sig utse en personuppgiftsansvarig som fungerar som kontaktpunkt och med vilken den registrerade kan ha kontakt i frågor som gäller utövandet av den registrerades rättigheter. Den registrerade får dock utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga.
17 §
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning ska lämna den personuppgiftsansvarige lämpliga utredningar och förbindelser och även i övrigt tillräckliga garantier för de organisatoriska och tekniska åtgärder genom vilka det säkerställs att personuppgifterna behandlas i enlighet med kraven i denna lag.
Personuppgiftsbiträdet eller en anställd hos personuppgiftsbiträdet får inte behandla personuppgifter på ett sätt som avviker från den personuppgiftsansvariges instruktioner och inte överföra behandlingen av personuppgifter på något annat personuppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsansvarige.
Den behandling av personuppgifter som personuppgiftsbiträdet utför ska regleras i ett skriftligt avtal eller i ett skriftligt förordnande, i vilket typen av personuppgifter, behandlingens varaktighet, art och ändamål, kategorierna av personuppgifter och kategorierna av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I ovannämnda skriftliga handling ska det dessutom bestämmas att personuppgiftsbiträdet
1) ska handla enbart enligt instruktioner från den personuppgiftsansvarige,
2) ska säkerställa att de fysiska personer som behandlar personuppgifterna har förbundit sig att iaktta sekretess eller att de omfattas av en lagstadgad tystnadsplikt,
3) på lämpligt sätt ska bistå den personuppgiftsansvarige för att säkerställa att de bestämmelser som gäller den registrerades rättigheter iakttas,
4) beroende på den personuppgiftsansvariges val, ska utplåna eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats, och utplåna befintliga kopior, om inte något annat föreskrivs i lag,
5) ska ge den personuppgiftsansvarige tillgång till all information som behövs för att visa att denna paragraf iakttas,
6) ska uppfylla de förutsättningar som avses i denna paragraf för anlitande av ett annat personuppgiftsbiträde.
18 §
Register över behandlingar
Den personuppgiftsansvarige ska föra ett skriftligt register över behandling av personuppgifter som utförts under dess ansvar. Registret ska innehålla följande uppgifter:
1) namn och kontaktuppgifter för den personuppgiftsansvarige och eventuella gemensamt personuppgiftsansvariga samt för det dataskyddsombud som avses i 38 §,
2) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter,
3) en beskrivning av kategorin eller kategorierna av registrerade och av kategorierna av personuppgifter,
4) de kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till,
5) kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation,
6) om möjligt, de planerade tidsfristerna för utplåning av de olika kategorierna av personuppgifter,
7) eventuell användning av profilering,
8) om möjligt, en allmän beskrivning av informationssystemen och principerna för skydd av dem samt en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §.
Personuppgiftsbiträdet ska föra ett skriftligt register över all behandling av personuppgifter som utförs för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter:
1) namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena samt för dataskyddsombudet,
2) namn och kontaktuppgifter för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar,
3) de kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning,
4) eventuella uppgifter om överföringar av personuppgifter till ett tredjeland eller en internationell organisation, om den personuppgiftsansvarige uttryckligen begär detta,
5) om möjligt, en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §.
19 §
Logguppgifter
Den personuppgiftsansvarige och personuppgiftsbiträdet ska se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet.
Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden.
20 §
Konsekvensbedömning avseende dataskydd
Den personuppgiftsansvarige ska innan behandlingen av personuppgifter inleds göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.
Den personuppgiftsansvarige ska göra en skriftlig konsekvensbedömning, om den planerade behandlingen av personuppgifter kan medföra en betydande risk för tillgodoseendet av fysiska personers rättigheter. Konsekvensbedömningen ska innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för den registrerades rättigheter och åtgärder för att minska riskerna samt åtgärder för att säkerställa skyddet av personuppgifter.
21 §
Förhandssamråd med dataskyddsmyndigheten
Den personuppgiftsansvarige eller personuppgiftsbiträdet ska höra dataombudsmannen innan personuppgifterna behandlas, om
1) den skriftliga konsekvensbedömning som avses i 20 § 2 mom. visar att behandlingen trots planerade skyddsåtgärder medför en betydande risk för de registrerades rättigheter, eller
2) behandlingen av uppgifter särskilt vid användning av ny teknik eller nya rutiner eller förfaranden medför en betydande risk för de registrerades rättigheter.
Den personuppgiftsansvarige ska till dataombudsmannen lämna in en sådan konsekvensbedömning som avses i 20 § 2 mom. och på begäran andra sådana uppgifter som gör att dataombudsmannen kan bedöma lagligheten i behandlingen av personuppgifter.
Om dataombudsmannen anser att den behandling som avses i 1 mom. skulle stå i strid med denna lag, ska dataombudsmannen inom sex veckor från det att begäran om samråd mottogs ge den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde handledning i syfte att göra behandlingen lagenlig. Denna period får förlängas med en månad om den planerade behandlingen är så komplicerad att en förlängning krävs. Dataombudsmannen ska inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde om den förlängda perioden och om skälen till fördröjningen.
4 kap.
De registrerades rättigheter
22 §
Dataskyddsbeskrivning och skyldighet att informera
Den personuppgiftsansvarige ska tillhandahålla en aktuell skriftlig beskrivning av sådan behandling av personuppgifter som denne ansvarar för. Beskrivningen ska göras offentligt tillgänglig och innehålla åtminstone följande uppgifter:
1) kontaktuppgifter för den personuppgiftsansvarige och dataskyddsombudet samt, om den personuppgiftsansvarige anser det behövligt, dataskyddsombudets namn,
2) namn och kontaktuppgifter för den personuppgiftsansvariga som fungerar som kontaktpunkt för gemensamt personuppgiftsansvariga samt uppgift om att den registrerade kan utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga,
3) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter,
4) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period,
5) eventuella sedvanliga mottagare eller kategorier av mottagare av personuppgifterna,
6) uppgift om den registrerades rätt att av den personuppgiftsansvarige begära tillgång till personuppgifter som rör den registrerade samt rätt att begära att personuppgifterna rättas eller utplånas eller att behandlingen av dem begränsas,
7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter.
Den personuppgiftsansvarige ska ge den registrerade en beskrivning som avses i 1 mom. och annan behövlig information för utövande av den registrerades rättigheter enligt detta kapitel, om lämnande av denna information behövs i ett enskilt fall för att nämnda rättigheter ska kunna utövas. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna informationen, om det är nödvändigt på de grunder som nämns i 28 §.
23 §
De registrerades rätt till insyn
Var och en har rätt att av den personuppgiftsansvarige få veta huruvida personuppgifter som gäller honom eller henne behandlas. Om sådana uppgifter behandlas, har den registrerade rätt att få följande information av den personuppgiftsansvarige:
1) vilka personuppgifter som behandlas och all tillgänglig information om varifrån uppgifterna kommer,
2) ändamålen med och den rättsliga grunden för behandlingen,
3) de kategorier av personuppgifter som behandlingen gäller,
4) de mottagare eller kategorier av mottagare till vilka den registrerades personuppgifter har lämnats ut,
5) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period,
6) uppgift om den registrerades rätt att av den personuppgiftsansvarige yrka att de personuppgifter som rör den registrerade rättas eller utplånas eller att behandlingen av dem begränsas,
7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter.
Den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 1 mom., kan begära detta hos den personuppgiftsansvarige genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige.
24 §
Inskränkningar i rätten till insyn
Den registrerades rätt till insyn kan helt eller delvis skjutas upp, begränsas eller vägras till den del det är nödvändigt på de grunder som nämns i 28 §. Om den registrerades rätt till insyn skjuts upp, begränsas eller vägras, ska den personuppgiftsansvarige utan obefogat dröjsmål informera den registrerade om detta genom ett skriftligt intyg. Även grunderna för uppskovet, begränsningen eller vägran ska uppges, utom i det fall att lämnandet av denna information skulle äventyra syftet med vägran eller begränsningen. Om den personuppgiftsansvarige inte inom tre månader efter att begäran framställts har gett den registrerade ett skriftligt svar, betraktas detta som att insyn har vägrats.
Den personuppgiftsansvarige ska informera den registrerade om dennes rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av att rätten till insyn skjutits upp, begränsats eller vägrats samt om dennes rätt att i enlighet med 29 § utöva rätten till insyn via dataombudsmannen.
Den personuppgiftsansvarige ska bevara information om de grunder på vilka rätten till insyn har vägrats eller begränsats.
25 §
Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen
Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen.
Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål utplåna personuppgifter om den registrerade, om behandlingen av dem står i strid med bestämmelserna i 4 eller 5 §, 6 § 1 eller 2 mom. eller 7 eller 11 §. I stället för utplåning ska den personuppgiftsansvarige dock begränsa behandlingen om
1) den registrerade bestrider personuppgifternas korrekthet och det inte kan fastställas huruvida de är korrekta, eller
2) personuppgifterna måste bevaras som bevisning.
Om behandlingen har begränsats med stöd av 2 mom. 1 punkten, ska den personuppgiftsansvarige innan begränsningen av behandlingen upphävs informera den registrerade om detta.
26 §
Vägran att godkänna den registrerades yrkande
Om inte den personuppgiftsansvarige godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem, ska den personuppgiftsansvarige genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna den registrerade information om grunderna för vägran, om det är nödvändigt på de grunder som nämns i 28 §.
Den personuppgiftsansvarige ska informera den registrerade om att denne har rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av vägran enligt 1 mom. samt om att den registrerade har rätt att i enlighet med 29 § utöva de rättigheter som avses i 25 § via dataombudsmannen.
27 §
Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen
Den personuppgiftsansvarige ska anmäla varje rättelse av oriktiga personuppgifter till den myndighet från vilken de oriktiga personuppgifterna kommer.
Om personuppgifter har rättats eller utplånats eller behandlingen av dem har begränsats med stöd av 25 §, ska den personuppgiftsansvarige informera de mottagare om saken till vilka den personuppgiftsansvarige har lämnat ut uppgifterna. Mottagarna ska rätta eller utplåna de personuppgifter de har eller begränsa behandlingen av dem.
28 §
Begränsning av de registrerades rättigheter
De registrerades rättigheter får begränsas på det sätt som anges i 22 § 2 mom., 24 § 1 mom., 26 § 1 mom. och 35 §, om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd i syfte att
1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder,
2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter,
3) skydda den allmänna säkerheten,
4) skydda den nationella säkerheten, eller
5) skydda andra personers rättigheter.
29 §
Utövande av rättigheter via dataombudsmannen
Den registrerade har rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats med stöd av denna eller någon annan lag eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem.
Om den registrerade utövar sin rätt enligt 1 mom., ska dataombudsmannen inom en rimlig tid informera den registrerade om vilka åtgärder dataombudsmannen har vidtagit. Dataombudsmannen ska också informera den registrerade om dennes rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen.
30 §
Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder
Den personuppgiftsansvarige ska främja de registrerades möjligheter att utöva de rättigheter som avses i detta kapitel. Alla meddelanden och all information om behandling av personuppgifter som lämnas till de registrerade ska tillhandahållas i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk.
Meddelanden och information som ska ges de registrerade enligt denna lag samt behandlingen av begäranden som de registrerade framställt i enlighet med denna lag är avgiftsfria för de registrerade. Om en registrerads begäranden på grund av att de upprepats eller av någon annan orsak är uppenbart orimliga eller ogrundade, får den personuppgiftsansvarige dock för åtgärden ta ut en avgift. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten (150/1992).
Om den personuppgiftsansvarige tar ut en avgift med stöd av 2 mom., ska den personuppgiftsansvarige vid behov visa att begäran har varit uppenbart ogrundad eller orimlig.
5 kap.
Informationssäkerhet
31 §
Skydd av personuppgifter
Den personuppgiftsansvarige och personuppgiftsbiträdet ska genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Åtgärderna ska planeras och genomföras med beaktande av
1) den senaste tekniska utvecklingen,
2) kostnaderna för att genomföra åtgärderna,
3) behandlingens art, omfattning, sammanhang och ändamål,
4) riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter.
32 §
Skydd av personuppgifter vid automatiserad behandling
Utöver vad som föreskrivs i 31 § ska den personuppgiftsansvarige eller personuppgiftsbiträdet när det gäller automatiserad databehandling, efter en bedömning av riskerna, vidta åtgärder i syfte att
1) vägra varje obehörig person åtkomst till den utrustning som används för behandling,
2) förhindra obehörig läsning, kopiering, ändring och utplåning av datamedier,
3) förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring och utplåning av lagrade personuppgifter,
4) förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring,
5) säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet,
6) säkerställa att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring,
7) säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes,
8) förhindra obehörig läsning, kopiering, ändring och utplåning av personuppgifter i samband med överföring av sådana uppgifter eller under transport av datamedier,
9) säkerställa att de system som används kan återställas vid störningar,
10) säkerställa att systemet fungerar, funktionsfel rapporteras och de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet.
33 §
Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident
Personuppgiftsbiträdet ska efter att ha fått kännedom om en personuppgiftsincident utan obefogat dröjsmål informera den personuppgiftsansvarige om incidenten.
34 §
Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen
Den personuppgiftsansvarige ska anmäla en personuppgiftsincident till dataombudsmannen, utom när det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för den registrerades rättigheter.
Den personuppgiftsansvarige ska göra anmälan enligt 1 mom. utan obefogat dröjsmål och om möjligt inom 72 timmar efter att ha fått kännedom om incidenten. Om anmälan till dataombudsmannen görs senare än så, ska skälen till fördröjningen nämnas i anmälan.
Den personuppgiftsansvarige ska bevara uppgifter om personuppgiftsincidenter och omständigheter i samband med dem, deras effekter och de korrigerande åtgärder som vidtagits.
35 §
Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident
Den personuppgiftsansvarige ska utan obefogat dröjsmål informera den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en betydande risk för den registrerades rättigheter. Informationsskyldighet föreligger dock inte, om
1) den personuppgiftsansvarige på de personuppgifter som påverkades av personuppgiftsincidenten har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder som effektivt förhindrar missbruk av uppgifterna, eller
2) den personuppgiftsansvarige efter incidenten har vidtagit åtgärder för att säkerställa att incidenten sannolikt inte kommer att medföra en risk för den registrerades rättigheter.
Den personuppgiftsansvarige kan i stället för att lämna information till den registrerade upplysa om personuppgiftsincidenten genom information till allmänheten, om det skulle kräva orimliga ansträngningar att informera de registrerade.
Informationen till den registrerade kan skjutas upp, begränsas eller utelämnas, om de förutsättningar som anges i 28 § uppfylls.
36 §
Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident
Den personuppgiftsansvarige ska utan obefogat dröjsmål lämna en anmälan om en personuppgiftsincident till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater, om incidenten gäller personuppgifter som har överförts av eller till de personuppgiftsansvariga i fråga.
37 §
Innehållet i anmälan om en personuppgiftsincident
En anmälan enligt 34 § till dataombudsmannen och en anmälan enligt 36 § till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater ska innehålla en beskrivning av personuppgiftsincidenten. Beskrivningen ska om möjligt inbegripa de kategorier av registrerade och det ungefärliga antal registrerade som berörs samt de kategorier av personuppgifter och det ungefärliga antal personuppgiftsposter som berörs.
Den information enligt 35 § som lämnas till den registrerade ska innehålla en beskrivning av personuppgiftsincidentens art.
Av de anmälningar och den information som avses i 1 och 2 mom. ska ytterligare framgå
1) namnet på och kontaktuppgifterna för dataskyddsombudet eller en annan kontaktpunkt där mer information kan erhållas,
2) de sannolika konsekvenserna av personuppgiftsincidenten,
3) de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten och vid behov åtgärder för att mildra dess negativa effekter.
Den information som lämnas till dataombudsmannen och till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater får tillhandahållas i omgångar till den del det inte är möjligt att tillhandahålla informationen samtidigt.
6 kap.
Dataskyddsombud
38 §
Utnämning av dataskyddsombud
Den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Dataskyddsombudet ska ha tillräcklig sakkunskap om lagstiftning och praxis i fråga om behandling av personuppgifter samt förmåga att sköta de uppgifter som avses i 40 §. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter, om det är motiverat med hänsyn till myndigheternas organisationsstruktur och storlek.
Den personuppgiftsansvarige ska meddela dataombudsmannen dataskyddsombudets kontaktuppgifter.
39 §
Dataskyddsombudets ställning
Den personuppgiftsansvarige ska på ett korrekt sätt och i god tid se till att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter.
Den personuppgiftsansvarige ska ge dataskyddsombudet verksamhetsförutsättningar att sköta de uppgifter som denne ansvarar för enligt 40 § samt ge tillgång till personuppgifter och behandlingsförfaranden.
40 §
Dataskyddsombudets uppgifter
Dataskyddsombudet ska
1) ge råd i frågor som gäller skydd av personuppgifter till den personuppgiftsansvarige och den personal hos den personuppgiftsansvarige som behandlar personuppgifter,
2) övervaka att de bestämmelser som gäller behandling av personuppgifter och den personuppgiftsansvariges förfaranden för behandling av personuppgifter iakttas,
3) på begäran ge råd om konsekvensbedömningen avseende dataskydd och övervaka att den genomförs i enlighet med 20 §,
4) samarbeta med dataombudsmannen och vara kontaktpunkt för dataombudsmannen i frågor som gäller behandling av personuppgifter.
Dataskyddsombudets uppgifter omfattar inte rättskipningsverksamhet i domstolarna eller laglighetskontroll som utförs av justitiekanslern i statsrådet och riksdagens justitieombudsman.
7 kap.
Överföringar av personuppgifter till tredjeländer och internationella organisationer
41 §
Allmänna principer för överföring av personuppgifter
En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt denna lag iakttas och
1) överföringen behövs för ett ändamål som nämns i 1 § 1 mom.,
2) personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig att behandla personuppgifter för ett ändamål som nämns i 1 § 1 mom., och
3) det finns ett i artikel 36 i dataskyddsdirektivet avsett giltigt beslut av Europeiska kommissionen (kommissionen) om adekvat skyddsnivå eller, om inget sådant beslut har antagits, lämpliga skyddsåtgärder föreligger i enlighet med 42 § i denna lag eller undantag för särskilda situationer blir tillämpliga i enlighet med 43 §.
Om personuppgifterna har erhållits från en annan EU-medlemsstat, är en ytterligare förutsättning för överföring att medlemsstaten i fråga har gett tillstånd till överföringen. Överföringar som görs utan ett sådant tillstånd är tillåtna endast om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en stat eller mot en EU-medlemsstats väsentliga intressen och tillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska informeras om överföringen utan dröjsmål.
Om personuppgifterna överförs vidare till ett annat tredjeland eller en annan internationell organisation, får den behöriga myndighet som gjorde den ursprungliga överföringen godkänna vidareöverföringen med iakttagande av bestämmelserna i 1 och 2 mom. och med vederbörligt beaktande av brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland till vilket eller den internationella organisation till vilken personuppgifterna förs vidare, samt andra relevanta omständigheter.
42 §
Överföring på basis av lämpliga skyddsåtgärder
Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten, får personuppgifter överföras till ett tredjeland eller en internationell organisation, om de övriga förutsättningar som anges i 41 § uppfylls, och
1) lämpliga skyddsåtgärder för personuppgifter har fastställts i en rättsligt bindande handling, eller
2) den personuppgiftsansvarige efter att ha bedömt alla omständigheter kring en överföring av personuppgifter drar slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.
Den personuppgiftsansvarige ska informera dataombudsmannen om de kategorier av överföringar som gjorts enligt 1 mom. 2 punkten. I fråga om överföringarna ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen:
1) datum och tidpunkt för överföringarna,
2) den mottagande behöriga myndigheten,
3) grunderna för överföringarna, och
4) de personuppgifter som har överförts.
43 §
Undantag i särskilda situationer
Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten och de förutsättningar för uppgiftsöverföring som anges i 42 § inte uppfylls, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig
1) för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,
2) för att skydda intressen som är berättigade och av stor betydelse för den registrerade,
3) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en EU-medlemsstat eller ett tredjeland, eller
4) i enskilda fall för de ändamål som nämns i 1 § 1 mom. eller för att fastställa, göra gällande eller försvara rättsliga anspråk som hänför sig till dem.
Personuppgifter får dock inte överföras med stöd av 1 mom. 4 punkten, om den berörda registrerades rättigheter ska anses väga tyngre än det allmännas intresse av en sådan överföring.
I fråga om överföringar som baserar sig på 1 mom. ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen:
1) datum och tidpunkt för överföringen,
2) den mottagande behöriga myndigheten,
3) grunderna för överföringen, och
4) de personuppgifter som har överförts.
44 §
Överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer
Trots vad som föreskrivs i 41 § 1 mom. 2 punkten får en behörig myndighet i ett enskilt fall överföra personuppgifter direkt till enskilda mottagare och andra mottagare som är etablerade i tredjeländer, om de övriga bestämmelserna i denna lag iakttas och
1) överföringen är nödvändig för att en överförande behörig myndighet ska kunna utföra en uppgift enligt 1 § 1 mom. som den har ansvar för,
2) den behöriga myndighet som överför uppgifterna anser att den berörda registrerades rättigheter inte väger tyngre än det allmänna intresse som gör överföringen behövlig i det aktuella fallet,
3) den behöriga myndighet som överför uppgifterna, på grund av ärendets brådskande natur eller av någon annan orsak, anser att en överföring till en behörig myndighet i tredjelandet skulle vara ineffektiv eller olämplig,
4) den myndighet i tredjelandet som är behörig för de ändamål som avses i 1 § 1 mom. utan obefogat dröjsmål informeras om överföringen, om inte detta skulle vara ineffektivt eller olämpligt,
5) den behöriga myndighet som överför uppgifterna informerar mottagaren om det eller de specifika ändamål för vilket eller vilka personuppgifterna får behandlas, att behandlingen ska vara nödvändig för dessa ändamål och att uppgifterna inte får behandlas för andra ändamål, och
6) överföringen inte strider mot Finlands internationella avtalsförpliktelser.
Den behöriga myndighet som överför uppgifterna ska bevara information om varje överföring som utförs med stöd av 1 mom. och informera dataombudsmannen om överföringen.
8 kap.
Tillsynsmyndighet
45 §
Dataombudsmannen
Tillsyn över efterlevnaden av denna lag utövas av dataombudsmannen enligt 8 § i dataskyddslagen (1050/2018).
Bestämmelserna om tillsyn i denna lag tillämpas inte på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman.
Dataombudsmannen är självständig och oberoende vid skötseln av sina uppgifter enligt denna lag.
46 §
Uppgifter
Dataombudsmannen ska, utöver att utöva tillsyn över efterlevnaden av denna lag
1) öka allmänhetens medvetenhet om risker, lagstiftning, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter,
2) öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt denna lag,
3) på begäran tillhandahålla information till registrerade om hur de ska utöva de rättigheter de har enligt denna lag,
4) ge rådgivning vid förhandssamråd enligt 21 §,
5) göra utredningar om efterlevnaden av denna lag,
6) kontrollera lagenligheten i behandlingen i enlighet med 29 §,
7) behandla begäranden om åtgärder från registrerade eller från samfund som avses i 56 §,
8) följa sådan teknisk och annan utveckling som påverkar skyddet av personuppgifter.
Dataombudsmannen ska dessutom bidra till verksamheten i den dataskyddsstyrelse som avses i artikel 68 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataombudsmannen ska dock inte föra sådana ärenden till dataskyddsstyrelsen som gäller behandling av personuppgifter i samband med verksamhet som avses i 1 § 2 mom.
Dataombudsmannens åtgärder är avgiftsfria för registrerade och för dataskyddsombud. Om en registrerads eller ett dataskyddsombuds begäranden dock på grund av att de upprepas eller av någon annan orsak är uppenbart orimliga eller ogrundade, kan dataombudsmannen ta ut avgift för åtgärderna eller lämna det ärende som begäran gäller utan prövning. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten.
Om dataombudsmannen på det sätt som avses i 3 mom. tar ut en avgift eller lämnar ärendet utan prövning, ska dataombudsmannen vid behov visa att begäran är uppenbart ogrundad eller orimlig.
47 §
Rätt att få information
Dataombudsmannen har trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter.
Dataombudsmannen har rätt att av personuppgiftsansvariga och personuppgiftsbiträden få upplysningar om omständigheter som dataombudsmannen behöver för att kunna sköta sina uppgifter.
48 §
Rätt att utföra inspektioner
Dataombudsmannen får utföra inspektioner i en personuppgiftsansvarigs eller ett personuppgiftsbiträdes utrymmen, om en inspektion behövs för tillsynen över efterlevnaden av denna lag.
I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara ett fängelsestraff enligt strafflagen (39/1889).
På inspektionerna tillämpas 39 § i förvaltningslagen (434/2003).
49 §
Handräckning
Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.
50 §
Anlitande av sakkunniga
Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.
Dataombudsmannen får vid inspektioner som avses i 48 § anlita biträde av utomstående sakkunniga. Dataombudsmannen kan till sakkunnig utse en person som givit sitt samtycke till uppdraget och som innehar avsevärd sakkunskap med tanke på skötseln av dataombudsmannens uppgifter.
På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).
51 §
Åtgärder
Dataombudsmannen kan i ärenden som omfattas av tillämpningsområdet för denna lag
1) ge den personuppgiftsansvarige handledning vid det förfarande för förhandssamråd som avses i 21 §,
2) informera den personuppgiftsansvarige eller personuppgiftsbiträdet om påstådda överträdelser av bestämmelserna i denna lag,
3) utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med denna lag,
4) ge den personuppgiftsansvarige eller personuppgiftsbiträdet en anmärkning, om denne behandlat personuppgifter i strid med lag,
5) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att iaktta den registrerades begäranden om utövande av den registrerades rättigheter enligt denna lag,
6) ålägga den personuppgiftsansvarige att informera den registrerade om en personuppgiftsincident,
7) meddela ett tillfälligt eller bestående förbud eller ställa upp någon annan tillfällig eller bestående begränsning av behandlingen,
8) bestämma att överföring av uppgifter ska avbrytas till mottagare i tredjeländer eller internationella organisationer,
9) bestämma om rättelse och utplåning av personuppgifter och om begränsning av behandlingen samt andra åtgärder i samband med dem på basis av 25 §,
10) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med bestämmelserna i denna lag, vid behov på ett bestämt sätt och inom en rimlig tid.
52 §
Vite
Dataombudsmannen får förena ett i 51 § 5—10 punkten avsett beslut samt ett sådant föreläggande att lämna ut uppgifter som grundar sig på 47 § med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).
Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.
53 §
Hörande av dataombudsmannen
Dataombudsmannen kan på eget initiativ eller på begäran yttra sig i frågor som hänför sig till sådan behandling av personuppgifter som avses i 1 §.
Dataombudsmannen ska ges tillfälle att bli hörd vid beredningen av lagstiftnings- eller förvaltningsreformer som gäller sådan behandling av personuppgifter som avses i 1 §.
54 §
Ömsesidigt bistånd
Dataombudsmannen ska trots sekretessbestämmelserna avgiftsfritt ge motsvarande tillsynsmyndighet i en annan EU-medlemsstat de personuppgifter som myndigheten nödvändigt behöver i sitt tillsynsuppdrag samt andra behövliga uppgifter, och vid behov även annars bistå myndigheten vid utövandet av tillsynen. Dataombudsmannen ska vidta också andra behövliga åtgärder för att säkerställa ett effektivt samarbete.
Dataombudsmannen ska besvara en begäran från en tillsynsmyndighet som avses i 1 mom. utan obefogat dröjsmål och inte senare än en månad efter det att dataombudsmannen tagit emot begäran.
9 kap.
Rättsskydd
55 §
Rapportering av överträdelser
Den behöriga myndigheten ska ha förfaranden som gör det möjligt att konfidentiellt till myndigheten rapportera en misstänkt överträdelse av bestämmelserna i denna lag. Rapporteringsförfarandet ska omfatta lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna. Rapporteringsförfarandet ska dessutom omfatta anvisningar som tryggar skyddet för rapportörens identitet.
Den behöriga myndigheten ska bevara behövlig information om sådana rapporter som avses i 1 mom. Informationen ska avföras fem år efter rapporteringen, om inte informationen fortsättningsvis behövs för en brottsutredning, en pågående rättegång eller en myndighetsundersökning eller för att trygga de rättigheter som rapportören eller den som är föremål för rapporten har. Senast tre år efter den föregående kontrollen ska behovet av fortsatt bevarande undersökas. En anteckning ska göras om kontrollen.
När en fysisk person till den behöriga myndigheten har lämnat en rapport som avses i 1 mom., ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.
56 §
Rätt att föra ärenden till dataombudsmannen
En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Med den registrerades samtycke får ärendet föras till dataombudsmannen också av ett allmännyttigt samfund som främjar skyddet av personuppgifter.
57 §
Behandlingen av en begäran om åtgärder
Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. Dataombudsmannen ska inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs på grund av att en ytterligare utredning behövs eller av något annat skäl.
58 §
Beslut av kommissionen
Om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.
I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.
59 §
Ändringssökande
Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).
Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.
I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
10 kap.
Särskilda bestämmelser
60 §
Skadestånd
Den personuppgiftsansvarige är skyldig att ersätta den registrerade eller någon annan person för ekonomisk skada och annan skada som denne har tillfogats av att personuppgifter har behandlats i strid med denna lag.
Bestämmelser i övrigt om rätten till skadestånd finns i skadeståndslagen.
61 §
Straffbestämmelser
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet finns i 3 § och för grov kränkning av kommunikationshemlighet i 4 § det kapitlet samt bestämmelser om straff för dataintrång i 8 § och för grovt dataintrång i 8 a § i det kapitlet. Till straff för brott mot sekretessen enligt 55 § 3 mom. och tystnadsplikten enligt 62 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.
62 §
Tystnadsplikt
Bestämmelser om tystnadsplikt och förbud mot utnyttjande av uppgifter finns i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).
11 kap.
Ikraftträdande och övergångsbestämmelser
63 §
Ikraftträdande
Denna lag träder i kraft den 20.
64 §
Övergångsbestämmelser
Automatiserade behandlingssystem som har inrättats före den 6 maj 2016 ska bringas i överensstämmelse med 19 § senast den 6 maj 2023.
Bilaga 3
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den.
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 9/2018-2019
[1] Domstolens dom av den 16 oktober 2012 i mål C-614/10, kommissionen mot Österrike. EU:C:2012:631.