Lagtingets beslut 40/2018

Lagtingsår: 2017-2018
Typ av dokument: Lagtingets beslut

Ladda ner Word-dokument

LSvapen

5x5px

Ålands lagting

BESLUT LTB 40/2018

 

Datum

Ärende

 

2018-11-21

LF 14/2017-2018

 

 

 

 

 

 

 

 

 

 

 

 


Ålands lagtings beslut om antagande av

Landskapslag om dataskydd inom landskaps- och kommunalförvaltningen

 

     1 kap.
Allmänna bestämmelser

 

1 §

Lagens syfte

     Genom denna lag preciseras och kompletteras tillämpningen på Åland av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, nedan dataskyddsförordningen.

     Termer och uttryck som används i denna lag har samma betydelse som i dataskyddsförordningen.

 

2 §

Tillämpningsområde

     Lagen tillämpas på behandling av personuppgifter vid landskapets myndigheter, kommunala myndigheter och till Ålands lagting ansluten förvaltning. Lagen ska också tillämpas vid landskapets affärsverk då de sköter offentliga förvaltningsuppgifter samt på andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter. Lagen tillämpas inte vid Ålands polismyndighet.

     Lagen tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Med stöd av lagen tillämpas dataskyddsförordningen dessutom i tillämpliga delar och med undantag för artikel 56 och kapitel VII i förordningen på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs i lag. Detsamma gäller tillämpningen av denna lag.

 

3 §

Annan lagstiftning om dataskydd

     Om det i en annan landskapslag finns bestämmelser som avviker från denna lag ska de bestämmelserna gälla.

     Om tillämpningen av riksförfattningar om behandlingen av personuppgifter föreskrivs i annan landskapslagstiftning.

     På sådan behandling av personuppgifter som hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen.

 

4 §

Bestämmelser om offentlighet, sekretess och tystnadsplikt

     Myndigheter får lämna ut personuppgifter som ingår i allmänna handlingar i enlighet med landskapslagen om allmänna handlingars offentlighet, om inte annat föreskrivs i lag. Utlämnandet ska vara förenligt med bestämmelser om sekretess och tystnadsplikt.

     Upplysningar får lämnas till Datainspektionen för utförande av uppgifter enligt dataskyddsförordningen och denna lag, till åklagar- och polismyndigheter för utredande av brott och till en myndighet som behandlar en ändringsansökan i ett ärende enligt dataskyddsförordningen och denna lag.

     När en fysisk person har gjort anmälan till Datainspektionen om en misstänkt överträdelse av bestämmelser som myndigheten övervakar, ska anmälarens identitet hemlighållas, om det på grund av omständigheterna kan antas vålla olägenheter för anmälaren att hans eller hennes identitet avslöjas.

 

2 kap.
Rättslig grund för behandlingen i vissa fall

 

5 §

Laglig behandling av personuppgifter

     Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

     Personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som grundar sig på lag.

     Personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som grundar sig på lag eller som ett led i den personuppgiftsansvariges på lag grundade myndighetsutövning.

 

6 §

Åldersgräns för informationssamhällets tjänster

     När informationssamhällets tjänster erbjuds direkt till ett barn ska vid tillämpningen av artikel 6.1 a i dataskyddsförordningen behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke eller fullmakt ges av den person som har föräldraansvar för barnet.

 

7 §

Behandling av känsliga personuppgifter

     Av dataskyddsförordningen framgår att sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen endast får behandlas om någon av förutsättningarna i artikel 9.2 är uppfylld.

     Om behandlingen av i artikel 9.2 b, g, h och j avsedda känsliga personuppgifter föreskrivs i 8–11 §§ och 13 §.

     I 12 § föreskrivs om behandlingen av sådana i artikel 10 i dataskyddsförordningen avsedda känsliga personuppgifter som rör fällande domar i brottmål samt överträdelser.

     Om behandlingen av känsliga personuppgifter för arkivändamål av allmänt intresse och för statistiska ändamål med stöd av artikel 9.2 j i dataskyddsförordningen föreskrivs i arkivlagen (2004:13) för landskapet Åland och statistiklagen (1994:42) för landskapet Åland.

 

8 §

Behandling av känsliga personuppgifter gällande arbetsrätten och social trygghet

     Känsliga personuppgifter får med stöd av artikel 9.2 b i dataskyddsförordningen behandlas

     1) om det är nödvändigt för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, eller

     2) om behandlingen gäller den registrerades behov av socialvård eller de socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade.

     De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.

 

9 §

Behandling av känsliga personuppgifter för ett viktigt allmänt intresse

     Känsliga personuppgifter får med stöd av artikel 9.2 g i dataskyddsförordningen behandlas av en myndighet om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse och uppgiften grundar sig på lag. Behandlingen får inte innebära ett oproportionellt intrång i den registrerades personliga integritet.

     De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.

 

10 §

Behandling av känsliga personuppgifter gällande hälso- och sjukvård och social omsorg

     Känsliga personuppgifter får med stöd av artikel 9.2 h i dataskyddsförordningen behandlas om behandlingen är nödvändig av skäl som hör samman med

     1) förebyggande hälso- och sjukvård och yrkesmedicin,

     2) bedömningen av en arbetstagares arbetskapacitet,

     3) medicinska diagnoser,

     4) tillhandahållande av hälso- och sjukvård eller behandling,

     5) social omsorg, eller

     6) förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system.

     Behandling enligt 1 mom. får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt.

 

11 §

Behandling av känsliga personuppgifter för vetenskaplig eller historisk forskning

     Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för den vetenskapliga eller historiska forskningen och om samhällsintresset av forskningen där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

     De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §. Därtill ska den vetenskapliga eller historiska forskningen bedrivas så att forskningen grundar sig på en forskningsplan, att det finns en ansvarig person eller en grupp som ansvarar för forskningen samt att uppgifter om bestämda personer inte röjs för utomstående.

 

12 §

Behandling som rör fällande domar i brottmål samt överträdelser

     Personuppgifter som avses i artikel 10 i dataskyddsförordningen och som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om

     1) behandlingen är nödvändig för att rättsliga anspråk ska kunna utredas, fastställas, göras gällande eller försvaras, eller

     2) behandlingen av sådana uppgifter är reglerad i lag.

     De känsliga personuppgifter som avses i 1 mom. får enbart behandlas i den omfattning som lämpliga skyddsåtgärder har vidtagits i enlighet med 13 §.

 

13 §

Åtgärder för att skydda den registrerade

     Den som behandlar i 8, 9, 11 och 12 §§ avsedda känsliga personuppgifter ska vidta lämpliga och särskilda skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen. Dessa åtgärder är

     1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifterna,

     2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,

     3) utnämning av ett dataskyddsombud,

     4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,

     5) pseudonymisering av personuppgifter,

     6) kryptering av personuppgifter,

     7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

     8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,

     9) särskilda förfarandebestämmelser för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,

     10) när en konsekvensbedömning avseende dataskydd utförs enligt artikel 35 i dataskyddsförordningen och

     11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.

 

3 kap.
Tillsynsmyndighet

 

14 §

Datainspektionen

     Datainspektionen fungerar som tillsynsmyndighet enligt dataskyddsför-ordningen och denna lag.

     Datainspektionen är en oberoende myndighet administrativt underställd landskapsregeringen.

     Datainspektionen beslutar om sin organisation och kan vid behov utfärda en arbetsordning, om inte annat föreskrivs i denna lag.

     Datainspektionen ska ha en elektronisk anslagstavla på sin webbplats.

    

15 §

Personal

     Vid Datainspektionen finns en tjänst som myndighetschef till vars uppgifter hör att leda myndigheten.

     Vid Datainspektionen kan finnas annan personal i offentligrättsligt eller privaträttsligt anställningsförhållande. Om inrättande och indragning av tjänster föreskrivs i 17 §.

     Om inte annat bestäms i denna lag ska Datainspektionen handha sådana uppgifter rörande myndighetens personal vilka enligt tjänstemannalagen (1987:61) för landskapet Åland ankommer på landskapsregeringen.

     Landskapsregeringen fattar beslut i fråga om

     1) permittering av Datainspektionens personal,

     2) förflyttning eller omplacering av en tjänsteman eller arbetstagare till eller från en annan landskapsmyndighet, dock med Datainspektionens samtycke samt

     3) tjänsten som myndighetschef.

 

16 §

Behörighets- och utnämningsvillkor

     Behörig för tjänsten som myndighetschef är den som vid universitet eller därmed jämförbar högskola, som är erkänd av en nationell utbildningsmyndighet, avlagt en examen som motsvarar minst fyra års heltidsstudier och innehåller en lämplig ämneskombination. Utnämning till myndighetschef sker för sex år åt gången och samma person kan utnämnas till tjänsten sammanlagt högst 18 år.

     Vad som bestäms i 1 mom. tillämpas också om det till ansvarsområdet för en tjänst som inrättas ingår att sköta om sådana uppgifter som ankommer på tillsynsmyndigheternas ledamöter enligt dataskyddsförordningen.

     Behörighetskrav i samband med övriga anställningsförhållanden vid Datainspektionen än de som anges i 1 och 2 mom. bestäms av Datainspektionen.

 

17 §

Inrättande och indragning av tjänster

     Andra tjänster än tjänsten som myndighetschef inrättas och indras av Datainspektionen efter att landskapsregeringens utlåtande inhämtats.

     För de tjänster som Datainspektionen har för avsikt att inrätta eller indra ska behovsutredningar som sammanställts enligt tjänstemannalagen överlämnas till landskapsregeringen i samband med Datainspektionens budgetförslag. Landskapsregeringen ska avge utlåtande efter att förslaget till landskapsbudget överlämnats till lagtinget och senast en månad efter att lagtinget fastställt landskapsbudgeten.

     Om Datainspektionen har för avsikt att fatta beslut om inrättande eller indragning av tjänst inom gällande landskapsbudget kan behovsutredningen överlämnas vid en annan tidpunkt och landskapsregeringen ska avge utlåtande inom tre månader räknat från dagen då utredningen delgavs landskapsregeringen.

 

18 §

Förbud mot att bedriva oförenlig verksamhet

     I artikel 52.3 i dataskyddsförordningen föreskrivs om förbud för Datainspektionens personal att utöva ett yrke eller ha en befattning som står i strid med myndighetens uppgifter.

     Om tjänstemans allmänna rättigheter och skyldigheter föreskrivs i 3 kap. i tjänstemannalagen för landskapet Åland.

 

19 §

Datainspektionens uppgifter och befogenheter

     I artiklarna 55–59 i dataskyddsförordningen finns bestämmelser om Datainspektionens uppgifter och befogenheter. Datainspektionen kan också ha andra uppgifter och befogenheter på det sätt som föreskrivs i lag.

     Gemensam företrädare för landskapets och rikets tillsynsmyndigheter i Europeiska dataskyddsstyrelsen utses i enlighet med 59b § i självstyrelselagen för Åland.

     Datainspektionen ska årligen överlämna den verksamhetsberättelse som avses i artikel 59 i dataskyddsförordningen till Ålands lagting och landskapsregeringen. Verksamhetsberättelsen ska hållas allmänt tillgänglig.

 

 

20 §

Behandling av ärenden

     Myndighetschefen avgör de ärenden i vilka beslut fattas av Datainspektionen. Genom bestämmelse i arbetsordning kan myndighetschefen överföra beslutanderätten på en annan tjänsteman vid Datainspektionen.

     Landskapsregeringen kan utfärda närmare bestämmelser om Datainspektionens ekonomiförvaltning och om vissa ärenden som hänför sig till tjänstekollektivavtalen samt till vilken del landskapsregeringen handhar skötseln av dessa uppgifter.

 

21 §

Information och rätt att utöva tillsyn

     I artikel 58.1 i dataskyddsförordningen finns bestämmelser om Datainspektionens rätt att få information och rätt att utöva tillsyn. Datainspektionen har trots sekretessbestämmelser rätt att avgiftsfritt få de uppgifter som behövs för skötseln av myndighetens uppgifter.

     I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda omständigheter som är föremål för inspektion och om det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter så att påföljden kan vara ett fängelsestraff enligt denna lag eller strafflagen (FFS 39/1889). 

 

22 §

Anlitande av sakkunniga

     Datainspektionen har rätt att anlita och höra sakkunniga samt att begära in utlåtanden från dem.

     Datainspektionen får anlita sakkunniga som hjälp när myndigheten utför en inspektion. På den sakkunniga tillämpas bestämmelserna om straffrättsligt ansvar då den sakkunniga assisterar Datainspektionen vid en sådan inspektion.

 

23 §

Handräckning

     Polisen är skyldig att vid behov ge Datainspektionen handräckning när myndigheten fullgör de åligganden som ankommer på den.

 

4 kap.
Rättsmedel, ansvar och sanktioner

 

24 §

Klagomål till Datainspektionen

     Varje registrerad som anser att dennes personuppgifter behandlas lagstridigt har rätt att lämna in klagomål till Datainspektionen.

     Datainspektionen kan avbryta behandlingen av ett ärende om ett ärende som har samband med det är anhängigt i domstol.

 

25 §

Vite

     Datainspektionen får förena ett i dataskyddsförordningens artikel 58.2 c—g och j avsett beslut samt ett med stöd av 21 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter, med vite.

     Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.

     Närmare bestämmelser om vite finns i landskapslagen (2008:10) om tillämpning i landskapet Åland av viteslagen.

 

26 §

Ändringssökande

     Ändring i Datainspektionens beslut får sökas hos Ålands förvaltningsdomstol genom besvär på det sätt som föreskrivs i förvaltningsprocesslagen (FFS 586/1996).

     Ändring i förvaltningsdomstolens beslut får sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även Datainspektionen får söka ändring i förvaltningsdomstolens beslut.

     I Datainspektionens beslut kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.

 

27 §

Administrativa sanktionsavgifter

     Bestämmelserna om administrativa sanktionsavgifter i dataskyddsförordningen tillämpas inte i förhållande till myndigheter inom landskaps- och kommunalförvaltningen eller till Ålands lagting ansluten förvaltning.

     Bestämmelserna om administrativa sanktionsavgifter tillämpas inte heller i förhållande till landskapets affärsverk då dessa sköter offentliga förvaltningsuppgifter eller i förhållande till andra juridiska och fysiska personer då de genom landskapslag eller med stöd av landskapslag sköter offentliga förvaltningsuppgifter.

 

28 §

Dataskyddsbrott

     Den som uppsåtligen eller av grov oaktsamhet skaffar personuppgifter på ett sätt som inte är förenligt med ändamålet med dem, lämnar ut personuppgifter eller översänder personuppgifter i strid med en bestämmelse om personuppgifternas ändamålsbundenhet, utlämnande eller översändande av personuppgifter i

     1) dataskyddsförordningen,

     2) denna lag eller

     3) någon annan lag som gäller behandling av personuppgifter

och därmed gör intrång i den registrerades integritetsskydd eller åsamkar honom eller henne annan skada eller betydande men, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år.

     För dataskyddsbrott döms också den som handlar i strid med det som i en bestämmelse som avses i 1 mom. 1–3 punkten bestäms om säker behandling av personuppgifter.

 

29 §

Brott mot tystnadsplikt

     Den som bryter mot den tystnadsplikt som avses i 4 § 3 mom. ska för brott mot tystnadsplikt enligt landskapslagen om dataskydd inom landskaps- och kommunalförvaltningen dömas till böter eller fängelse högst ett år, om inte strängare straff för gärningen bestäms i någon annan lag.

 

 

 

 

 

 

5 kap.
Särskilda behandlingssituationer

 

30 §

Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

     För att trygga yttrande- och informationsfriheten tillämpas inte artikel 5.1 c–e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12–22, artikel 30, artikel 34.1–3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60–63 och artiklarna 65–67 i dataskyddsförordningen på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

     Artikel 27 i dataskyddsförordningen tillämpas inte på behandling av personuppgifter i samband med sådan verksamhet som regleras i lagen om yttrandefrihet i masskommunikation (FFS 460/2003). Artiklarna 44–50 i dataskyddsförordningen tillämpas inte, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.

     För att trygga yttrande- och informationsfriheten tillämpas artikel 5.1 a och b och artikel 5.2, artiklarna 24–26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

 

31 §

Behandling av personbeteckning

     En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade

     1) för att utföra en i lag angiven uppgift,

     2) för att uppfylla den registrerades eller den personuppgiftsansvariges rättigheter och skyldigheter, eller

     3) för historisk eller vetenskaplig forskning eller för statistikföring.

     En personbeteckning får behandlas vid kreditgivning eller indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings-, och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälsovården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet eller i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.

     Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckning får en personbeteckning lämnas ut för sådan databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

     En personbeteckning får inte utan orsak antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.

 

32 §

Undantag och skyddsåtgärder som gäller behandling för vetenskaplig och historisk forskning

     När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål kan undantag vid behov göras från den registrerades rättigheter som anges i artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att forskningen grundar sig på en forskningsplan, det finns en ansvarig person eller en grupp som ansvarar för forskningen samt att uppgifter om bestämda personer inte röjs för utomstående.

     Om behandlingen av känsliga personuppgifter för vetenskaplig eller historisk forskning gäller vad som föreskrivs i 11 §.

 

33 §

Undantag och skyddsåtgärder som avser behandling för arkivändamål av allmänt intresse och statistikföring

     Om undantag och skyddsåtgärder som gäller behandling för arkivändamål av allmänt intresse och statistikföring gäller det som föreskrivs i arkivlagen för landskapet Åland och statistiklagen för landskapet Åland.

 

34 §

Begränsningar i informationsplikten

     Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla uppgifter till den registrerade kan göras, om det är nödvändigt med hänsyn till den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott.

     Undantag från artikel 14.1–4 i dataskyddsförordningen kan göras också om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.

 

35 §

Begränsningar i rätten till information

     En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att bekanta sig med uppgifter som samlats in om honom eller henne om

     1) informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott,

     2) informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller

     3) personuppgifter används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen.

     Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i den allmänna dataskyddsförordningen, har den registrerade rätt att få veta vilka övriga uppgifter som rör honom eller henne.

     Den registrerade måste underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.

 

6 kap.
Ikraftträdande- och övergångsbestämmelser

 

36 §

Ikraftträdande

     Denna lag träder i kraft den

     Genom denna lag upphävs landskapslagen (2007:88) om behandlingen av personuppgifter inom landskaps- och kommunalförvaltningen och landskapslagen (2007:89) om Datainspektionen.

 

 

 

37 §

Övergångsbestämmelser

     De tillstånd som Datainspektionen beviljat med stöd av bestämmelser som gällde före ikraftträdandet av denna lag upphör att gälla när lagen träder i kraft. Om en sådan tillståndsansökan är anhängig när lagen träder i kraft avskrivs ansökan.

     När denna lag träder i kraft ska landskapsregeringen i enlighet med tjänstemannalagen förflytta den tjänsteinnehavare som innan denna lag träder i kraft ansvarar för skötseln av chefen för Datainspektionens uppgifter till den i 15 § 1 mom. avsedda tjänsten som myndighetschef.

     Vad som i 16 § 1 mom. föreskrivs om att utnämning till myndighetschef sker för sex år åt gången och att samma person kan utnämnas till tjänsten sammanlagt högst 18 år tillämpas först när en ny myndighetschef anställs.

     Straffbestämmelserna i 9 kap. i landskapslagen (2007:88) om behandling av personuppgifter tillämpas på gärningar och försummelser som har begåtts före lagens ikraftträdande. Vid bestämmandet av straffet ska det dock beaktas om tillämpningen av den nya åländska dataskyddslagen och dataskyddsförordningen leder till ett lindrigare resultat.

__________________

 

    

 

 

     Mariehamn den 21 november 2018

 

 

 

Gun-Mari Lindholm

talman

 

 

Veronica Thörnroos 

vicetalman

 

 

Viveka Eriksson 

vicetalman