2.2
Lagstiftning som hänför sig till växtproduktion, djurs hälsa och välbefinnande samt jordbruk
Lagen om landsbygdsnäringsförvaltningens informationssystem
Inom jord- och skogsbruksministeriets förvaltningsområde är lagen om landsbygdsnäringsförvaltningens informationssystem (284/2008, nedan informationssystemslagen) en s.k. paraplylag för hanteringen av kunduppgifter. Lagen tillämpas på hanteringen av uppgifter från ansvarsområdet som finns lagrade i jordbruks-, livsmedels- och landsbygdsnäringsförvaltningens informationssystem samt på handlingar som upprättats inom jordbruks-, livsmedels- och landsbygdsnäringsförvaltningen och på uppgifter i dem. På uppgifternas och handlingarnas offentlighet och på utlämnande av dem tillämpas i regel offentlighetslagen medan personuppgiftslagen tillämpas på behandlingen av personuppgifter.
Enligt 2 § 2 mom. i informationssystemslagen tillämpas lagen tillämpas ändå inte, om något annat föreskrivs i annan lagstiftning som gäller jord- och skogsbruksministeriets ansvarsområde.
Landsbygdsnäringsförvaltningens informationssystem består av
1) register över gårdsbruksenheternas ägoförhållanden och besittning,
2) kundregister över stöd till jordbruket, stöd till utvecklandet av landsbygden samt exportstöd och stöd för den inre marknaden,
3) register över utbetalning av och tillsyn över stöd,
4) register över identifiering av djur och deras spårbarhet,
5) register över säkerställande av djurs hälsa och välbefinnande, livsmedelssäkerheten och växters sundhet.
Landsbygdsverket, Livsmedelssäkerhetsverket och Naturresursinstitutet för under jord- och skogsbruksministeriets styrning register i landsbygdsnäringsförvaltningens informationssystem och ansvarar för att de registrerade uppgifterna är riktiga, var och en för sitt ansvarsområde. Dessutom har jord- och skogsbruksministeriet, Lantmäteriverket, närings-, trafik- och miljöcentralerna, kommunernas landsbygdsnäringsmyndigheter och livsmedelstillsynsmyndigheter, regionförvaltningsverken och kommunalveterinärerna rätt att använda och uppdatera uppgifter i den omfattning som deras uppgifter förutsätter.
I informationssystemet får det föras in identifieringsuppgifter om personer, aktörer, dem som ansökt om förmåner, gårdsbruksenheter, skogsbrukslägenheter, trädgårdsföretag eller andra motsvarande företag eller lägenheter med ett eller flera produktionsdjur eller andra djurhållningsenheter. Identifieringsuppgifter är namn, personbeteckning, företags- och organisationsnummer, modersmål, medborgarskap, hemland, hemort, näradress, e-postadress, telefonnummer och det registernummer som kunden fått. I informationssystemet får det dessutom föras in uppgifter som är nödvändiga när ärenden ska behandlas, avgöras och övervakas på det sätt som föreskrivs i lag samt administrativ information om användningen av informationssystemet. I samband med registerföringen får uppgifter också samlas in för statistiska ändamål. På sekretessbelagda uppgifter tillämpas offentlighetslagen. Dessutom föreskrivs emellertid att kreditupplysningar om kunden, uppgifter om statsborgen och det lånebelopp som borgen avser samt uppgifter om lånebeloppet när det gäller stöd i form av lån är sekretessbelagda, om dessa uppgifter finns i informationssystemet.
Offentliga uppgifter får lämnas ut via en teknisk anslutning till andra myndigheter eller instanser som sköter myndighetsuppgifter för åligganden som de har enligt lag.
I lagen åläggs myndigheter och andra instanser som har rätt att använda uppgifterna förpliktelser enligt vilka uppgifterna kan användas, samt bestäms det om myndigheternas rättigheter när uppgifterna används. I informationssystemslagen bestäms om rätt att använda en viss uppgift, möjlighet till samanvändning av uppgifter samt i vilken omfattningarna uppgifterna används.
I speciallagar ingår åter vid behov närmare bestämmelser om myndigheternas rätt att samla in uppgifter, om kundernas anmälningsskyldighet samt vid behov om registrens datainnehåll. En registeransvarig ska också utses särskilt enligt behov som anges i respektive speciallag bland de alternativ som informationssystemslagen anvisar.
En speciallag som stödjer sig på informationssystemslagen är till exempel lagen om ett system för identifiering av djur (238/2010), enligt vilken uppgifterna i registren i systemet för identifiering av djur förs in i landsbygdsnäringsförvaltningens informationssystem som avses i lagen om landsbygdsnäringsförvaltningens informationssystem och på handlingarna och registren i systemet för identifiering av djur tillämpas den ovannämnda lagen, om inte något annat föreskrivs i den lagen. Till registeransvarig utses Livsmedelssäkerhetsverket. I lagen bestäms närmare om registrets användningsändamål och innehåll, anmälningar till registret, rätt att få uppgifter från myndigheter och från andra än myndigheter.
I lagen om animaliska biprodukter (517/2015) bestäms att på register och handlingar tillämpas lagen om landsbygdsnäringsförvaltningens informationssystem, om inte något annat föreskrivs i den lagen. Livsmedelssäkerhetsverket är registeransvarig. De övriga behöriga myndigheterna enligt lagen ska använda, föra in och uppdatera registeruppgifterna i den omfattning som deras föreskrivna uppgifter förutsätter.
Lagar som reglerar behandlingen av personuppgifter i enlighet med informationssystemslagen
Informationssystemslagen tillämpas på behandlingen av personuppgifter i följande lagar om jordbruks-, livsmedels- och landsbygdsnäringsförvaltningen, som dessutom kan innehålla närmare bestämmelser om bland annat insamling och anmälan av uppgifter, datainnehåll och bevarandetider:
lagen om tillsyn över ekologisk produktion (294/2015),
lagen om skydd av djur som används för vetenskapliga ändamål eller undervisningsändamål (497/2013),
lagen om animaliska biprodukter (517/2015),
livsmedelslagen (23/2006),
lagen om djursjukdomar (441/2013),
lagen om medicinsk behandling av djur (387/2014),
lagen om ett system för identifiering av djur (238/2010),
lagen om djuravelsverksamhet (319/2014),
lagen om stödjande av landsbygdens utveckling (28/2014),
lagen om verkställighet av jordbruksstöd (192/2013),
lagen om en marknadsordning för jordbruksprodukter (999/2012),
lagen om strukturstöd för renhushållning och naturnäringar (986/2011),
lagen om växtförädlarrätt (1279/2009).
Andra lagar som gäller behandling av personuppgifter
Lagar där det bestäms direkt om behandling av personuppgifter, register och registrens datainnehåll i den materiella lagen utan hänvisning till informationssystemslagen är
foderlagen (86/2008),
lagen om gödselfabrikat (539/2006),
lagen om handel med utsäde (728/2000),
lagen om plantmaterial (1205/1994),
lagen om skydd för växters sundhet (702/2003),
lagen om bekämpning av flyghavre (185/2002),
lagen om växtskyddsmedel (1563/2011),
lagen om transport av djur (1429/2006),
veterinärvårdslagen (765/2009),
lagen om utövning av veterinäryrket (29/2000),
djurskyddslagen (247/1996),
skoltlagen (253/1995).
Djurskyddslagen är en föråldrad lag, som revideras som bäst (MMM026:00/2012). Reformen avses träda i kraft i början av 2020 och samtidigt ajourförs bestämmelserna om register. Av denna orsak är det inte nödvändigt att behandla saken desto mera i denna proposition. Uppgifterna som registeransvarig i anslutning till djurskyddet sköts av Livsmedelssäkerhetsverket.
Dessutom preciseras bestämmelserna om förvaring av uppgifter i följande lagar:
lagen om stöd för upphörande med att bedriva jordbruk (612/2006),
lagen om avträdelsestöd för lantbruksföretagare (1293/1994),
lagen om avträdelsepension (16/1974),
lagen om generationsväxlingspension för lantbruksföretagare (1317/1990),
lagen om avträdelseersättning för lantbruksföretagare (1330/1992).
Dessutom finns det lagar som innehåller bestämmelser om bland annat pensionsanstaltens rätt till information samt om förvaring av handlingar, men med stöd av vilka det inte längre beviljas eller betalas några förmåner, så de föreslås bli upphävda. Sådana är
lagen om stöd för nedläggning av växthusproduktion och äppelodling (1297/1994),
lagen om stöd för nedläggning av jordbruksproduktion (1340/1996).
2.5
Lagstiftningen i Europeiska unionen
Dataskyddsförordningen
Från och med den 25 maj 2018 ersätter dataskyddsförordningen det nuvarande personuppgiftsdirektivet från 1995. Förordningen är direkt tillämplig rätt, men i fråga om flera bestämmelser tillåter den ändå kompletterande nationella bestämmelser. I det avseendet har dataskyddsförordningen karaktären av ett direktiv.
Dataskyddsförordningens syfte och tillämpningsområde samt de begrepp som används i för-ordningen definieras i kapitel I i förslaget till förordning. Förordningens syfte motsvarar i stor utsträckning syftena med 1995 års personuppgiftsdirektiv. I förordningen fastställs bestämmelser om skydd för individer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. I förordningens syften betonas dessutom skydd av fysiska personers grundläggande rättigheter och friheter, särskilt deras personuppgifter.
I artikel 2 i dataskyddsförordningen bestäms om förordningens materiella tillämpningsområde. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 2 bestäms att förordningen inte ska tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och inte på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Förordningen ska inte tillämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (s.k. hushållsundantag). Förordningen ska inte heller tillämpas på verksamhet som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Avsikten är att dataskyddsdirektivet ska tillämpas på sådan behandling av personuppgifter i anslutning till brottmål. Dataskyddsdirektivet granskas senare i denna proposition.
Definitionerna (artikel 4) av dataskyddsförordningens viktigaste begrepp (personuppgift, be-handling, register, personuppgiftsansvarig, personuppgiftsbiträde, mottagare) motsvarar i stor utsträckning 1995 års personuppgiftsdirektiv. De viktigaste ändringarna jämfört med personuppgiftsdirektivet gäller definitionen av personuppgift och personuppgiftsbiträde. I definitionen av personuppgift preciseras att även lokaliseringsuppgift och onlineidentifikator är personuppgifter. Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Då är det fråga om att uppgifter som hänför sig till behandlingen av personuppgifter genom avtal har överförts på någon annan aktör. Motsvarande term på finska är henkilötietojen käsittelijä och på tyska Auftragsverarbeiter. Den svenska termen hänvisar till man biträder den registeransvarige och den tyska till ett uppdrag. Det är alltså viktigt att lägga märke till att dataskyddsförordningens bestämmelser om personuppgiftsbiträde gäller endast situationer där behandlingen av personuppgifter har lagts ut. I förordningen ingår också flera nya definitioner (till exempel pseudonymisering, personuppgiftsincident, genetisk uppgift, biometrisk uppgift, huvudsakligt verksamhetsställe, företrädare, företag och koncern).
I anslutning till definitionen av personuppgiftsansvarig kan det konstateras att enligt data-skyddsförordningen avses med personuppgiftsansvarig "en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”. Enligt dataskyddsförordningens ingress (skäl 79) kräver skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar. Av dataskyddsförordningen följer flera skyldigheter för den personuppgiftsansvarige, varför det måste vara klart vilken instans som ansvarar för den personuppgiftsansvariges förpliktelser. Av denna orsak måste den personuppgiftsansvarige anges i den nationella lagstiftningen.
I artikel 5 i dataskyddsförordningen bestäms om allmänna principer för behandling av personuppgifter. Till dem hör till exempel ändamålsbegränsning, uppgiftsminimering och korrekthet. I artikel 6 i förordningen bestäms om laglig behandling av personuppgifter. I artikel 6.1 uppräknas de villkor som ska vara uppfyllda för att behandlingen av personuppgifter ska var laglig. De villkor som nämns i förteckningen motsvarar i huvudsak de saker som nämns i 8 § 1 mom. i personuppgiftslagen. Behandlingen av personuppgifter är laglig till exempel när den hänför sig till en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c), utförandet av en uppgift av allmänt intresse (artikel 6.1 e) och den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). I artikel 6.3 i dataskyddsförordningen bestäms om ett nationellt spelrum, dvs. när det är möjligt att föreskriva noggrannare om den rättsliga grunden för behandling av personuppgifter. Saken granskas senare i denna proposition, i avsnitt 2.7.1 i den allmänna motiveringen (underrubriken Artiklarna 5 och 6 i dataskyddsförordningen).
I artikel 9 i dataskyddsförordningen bestäms om behandling av särskilda kategorier av personuppgifter. Begreppet särskilda kategorier av personuppgifter framgår av artikel 9.1, där det sägs följande:
”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.”
De särskilda kategorier av personuppgifter som nämns i artikel 9 i dataskyddsförordningen motsvarar i stor utsträckning de känsliga uppgifter som uppräknas i 11 § i personuppgiftslagen. Definitionerna skiljer sig dock från varandra så till vida att enligt 11 § 1 mom. 3 punkten i personuppgiftslagen är uppgifter som gäller en brottslig gärning eller ett straff eller någon annan påföljd för ett brott känsliga uppgifter.
Enligt artikel 9.1 i dataskyddsförordningen ska behandlingen av särskilda kategorier av personuppgifter vara förbjuden. I artikel 9.2 i förordningen bestäms om undantag från denna huvudregel. I artikel 9.4 bestäms om ett nationellt spelrum, dvs. när det är möjligt att föreskriva noggrannare om den rättsliga grunden för behandling av särskilda kategorier av personuppgifter.
I artikel 10 i dataskyddsförordningen bestäms om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Enligt bestämmelsen är det tillåtet att behandla sådana personuppgifter endast om den utförs under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
I kapitel III i dataskyddsförordningen bestäms om den registrerades rättigheter. Kapitlet om den registrerades rättigheter innehåller bestämmelser om bland annat
information till den registrerade (artiklarna 12–14),
den registrerades rätt till tillgång (artikel 15),
rätt till rättelse (artikel 16),
rätt till radering (artikel 17),
rätt till begränsning av behandling (artikel 18),
rätt till dataportabilitet (artikel 20) och
rätt att göra invändningar (artikel 21).
I kapitel IV i dataskyddsförordningen bestäms om den personuppgiftsansvariges och person-uppgiftsbiträdets skyldigheter. Enligt artikel 4 i dataskyddsförordningen avses med personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. I definitionen avses således den fysiska eller juridiska person som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
Kapitel Vi dataskyddsförordningen gäller överföring av personuppgifter till tredjeländer eller internationella organisationer, kapitel VI tillsynsmyndigheter, kapitel VII tillsynsmyndigheternas samarbete och mekanismen för enhetlighet och kapitel VIII rättsmedel, ansvar och sanktioner. I kapitel IX i förordningen bestäms om särskilda behandlingssituationer, som är till exempel
behandling och allmänhetens tillgång till allmänna handlingar (artikel 86),
behandling av nationella identifikationsnummer (artikel 87),
behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 89).
Dataskyddsdirektivet
Dataskyddsdirektivet upphäver EU:s rambeslut om dataskydd 2008/977/RIF från och med den 6 maj 2018. Bägge akternas syfte är att säkerställa en enhetlig och hög skyddsnivå för fysiska personer när personuppgifter behandlas i samband med brottmål och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna. Dataskyddsdirektivet är mera detaljerat och har ett vidare tillämpningsområde än rambeslutet om dataskydd. Det rambeslut som upphävs gäller endast gränsöverskridande behandling av personuppgifter mellan EU:s medlemsstater, dataskyddsdirektivet gäller däremot också behandling av personuppgifter inom en medlemsstat.
Enligt artikel 2 i direktivet ska dataskyddsdirektivet tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1 i direktivet. I den punkten nämns behandling av personuppgifter ”i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.” En med tanke på tillämpningen av dataskyddsdirektivet viktig bestämmelse är definitionen av behörig myndighet (punkt 7) i artikel 3. Enligt den artikeln avses med behörig myndighet följande instanser:
”a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten.”
Dataskyddsdirektivet tillämpas således på polisens och andra behöriga myndigheters behandling av personuppgifter i samband med brottmål. Sådana behöriga myndigheter som avses i direktivet finns inom justitie-, inrikes-, försvars- och finansministeriets förvaltningsområden. Direktivets tillämpningsområde omfattar i princip inte frågor inom jord- och skogsbruksministeriets förvaltningsområde. Till direktivets tillämpningsområde hör emellertid summarisk förundersökning samt jakt- och fiskeövervakningsuppgifter för att förebygga brott som utförs som ett led i Forststyrelsens jakt- och fiskeövervakning. Forststyrelsens jakt- och fiskeövervakningsuppgifter granskas senare i denna proposition.
Enligt artikel 2 i dataskyddsdirektivet ska direktivet tillämpas på behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Dataskyddsdirektivet tillämpas inte på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten.
Artikel 3 i dataskyddsdirektivet innehåller definitioner av bland annat personuppgift, behandling, register, behörig myndighet, personuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsincident. I artikel 4 i direktivet bestäms om principer för behandling av personuppgifter. Till dem hör till exempel laglighet, ändamålsbegränsning och korrekthet. I artikel 5 i direktivet bestäms om tidsgränser för lagring och översyn av personuppgifter.
Enligt artikel 6 i direktivet ska den personuppgiftsansvarig göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, dvs. personer som är misstänkta för brott, personer som är dömda för brott samt brottsoffer och andra som berörs av ett brott. Enligt artikel 7 ska personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljas från personuppgifter som grundar sig på personliga bedömningar.
Enligt artikel 8 i dataskyddsdirektivet ska medlemsstaterna föreskriva att behandling ska vara laglig endast om och i den mån behandlingen är nödvändig för att utföra en uppgift som utförs av en behörig myndighet för de ändamål som anges i artikel 1.1, dvs. i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Det kan då vara fråga om unionsrätt eller medlemsstaternas nationella rätt. Enligt artikel 8 i direktivet ska medlemsstaternas nationella rätt då åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.
I artikel 10 i dataskyddsdirektivet bestäms om behandling av särskilda kategorier av person-uppgifter.
I kapitel III i dataskyddsdirektivet bestäms om den registrerades rättigheter. I kapitlet bestämmelser om till exempel information till den registrerade, rätt till tillgång till egna personuppgifter, begränsningar av rätten till tillgång samt rättelse och radering av personuppgifter och begränsning av behandling.
I dataskyddsdirektivet finns dessutom bestämmelser om
personuppgiftsansvarig och behandling av personuppgifter (kapitel IV),
överföringar av personuppgifter till tredjeländer eller internationella organisationer (kapitel V),
oberoende tillsynsmyndigheter (kapitel VI) och
samarbete mellan myndigheterna (VII).
Dataskyddsdirektivet ska sättas i kraft nationellt från och med den 6 maj 2018.
2.7
Bedömning av nuläget
I detta kapitel granskas bestämmelserna inom jord- och skogsbruksministeriets förvaltnings-område och behoven av att ändra dem ur dataskyddsförordningens och dataskyddsdirektivets synvinkel. Dessutom granskas förslaget till dataskyddslag med avseende på vissa organisationer inom jord- och skogsbruksministeriets förvaltningsområde samt behov av vissa bestämmelser om stöd för upphörande med jordbruk och trädgårdsodling.
I jord- och skogsbruksministeriets lagstiftning finns många hänvisningar till personuppgiftslagen. Det är klart att bestämmelserna inom jord- och skogsbruksministeriets förvaltningsområde måste ses över vad gäller hänvisningarna till personuppgiftslagen till följd av den nya EU-lagstiftningen om dataskydd. I bestämmelserna måste det i fortsättningen hänvisas åtminstone till dataskyddsförordningen och beroende på sammanhanget även till den föreslagna dataskyddslagen. Beträffande jakt- och fiskeövervakningslagen är det nödvändigt att hänvisa inte bara till den föreslagna dataskyddslagen utan också till den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
Lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde bedöms i denna proposition i följande ordning (inom parentes numren på underrubrikerna i detta kapitel):
Artiklarna 5 och 6 i dataskyddsförordningen (2.7.1)
Artikel 7 i dataskyddsförordningen (2.7.2)
Artikel 9 i dataskyddsförordningen (2.7.3)
Artikel 10 i dataskyddsförordningen (2.7.4)
Kapitel III i dataskyddsförordningen (2.7.5)
Kapitel IV i dataskyddsförordningen (2.7.6)
Kapitel V i dataskyddsförordningen (2.7.7)
Kapitel VIII i dataskyddsförordningen (2.7.8)
Kapitel IX i dataskyddsförordningen (2.7.9)
Dataskyddsdirektivet (2.7.10)
Artiklarna 8 och 11 i dataskyddsförordningen granskas inte i denna proposition. Den första hänför sig till erbjudande av informationssamhällets tjänster och artikel 11 till sådan behandling av personuppgifter som inte kräver identifiering. Inom jord- och skogsbruksministeriets förvaltningsområde finns ingen lagstiftning som gäller de saker som regleras i de nämnda artiklarna.
Av ovanstående förteckning över saker som granskas i propositionen kan man konstatera att förteckningen täcker alla andra kapitel i dataskyddsförordningen utom kapitlen I, VI, VII, X och XI. Kapitel I innehåller bestämmelser om förordningens tillämpningsområde och definitioner. Kapitel VI innehåller bestämmelser om tillsynsmyndighet. I kapitel VII bestäms om samarbete mellan medlemsstaternas tillsynsmyndigheter och den s.k. mekanismen för enlighet. I kapitel X finns bestämmelser om delegerade akter och genomförandeakter. I kapitel XI bestäms åter om förordningens ikraftträdande, förhållande Europaparlamentets och rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation, kommissionsrapporter samt översyn av andra unionsrättsakter om dataskydd. I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns ingen reglering som överlappar bestämmelserna i kapitlen I, VI, VII, X och XI i dataskyddsförordningen.
2.7.1
2.7.1 Artiklarna 5 och 6 i dataskyddsförordningen
I artikel 5 i dataskyddsförordningen bestäms om principer för behandling av personuppgifter. Till dem hör krav på laglighet, korrekthet och öppenhet vid behandling av personuppgifter, ändamålsbegränsning, uppgiftsminimering, korrekthet och lagringsminimering. Principerna ingår också i personuppgiftslagen och de har således beaktats i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde. Senare i detta kapitel granskas dock personuppgifternas exakthet och förvaringen av personuppgifter.
I artikel 6 i dataskyddsförordningen bestäms om laglig behandling av personuppgifter. I artikel 6.1 bestäms om de grunder som behandling av personuppgifter kan basera sig på. Behandling av personuppgifter kan för det första basera sig på den registrerades samtycke (led a). För myndigheter och organisationer som sköter offentliga förvaltningsuppgifter är de viktigaste grunderna för att behandla personuppgifter att fullgöra en rättslig förpliktelse (led c), att utföra en uppgift av allmänt intresse (led e) och den personuppgiftsansvariges myndighetsutövning (led e). De tre sistnämnda grunderna för behandling av personuppgifter är central för bedömningen av lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde, för enlig artikel 6.3 i dataskyddsförordningen kan endast dessa grunder för behandling av personuppgifter fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt. Då kan den nationella lagstiftningen gälla
de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas,
vilka registrerade som berörs,
de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål,
ändamålsbegränsningar,
lagringstid samt
typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
I artikel 6.3 nämns som exempel på typer av behandling och förfaranden för behandling i särskilda situationer enligt kapitel IX, som är till exempel
behandling av personuppgifter och yttrande- och informationsfriheten (artikel 85)
behandling och allmänhetens tillgång till allmänna handlingar (artikel 86)
behandling av nationella identifikationsnummer (artikel 87)
behandling i anställningsförhållanden (artikel 88)
skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 89).
Enligt artikel 6.3 ska medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Jord- och skogsbruksministeriet har bedömt lagstiftningen inom det egna förvaltningsområdet med avseende på artikel 6 i dataskyddsförordningen. I den mån som lagstiftningen anses vara förenlig med dataskyddsförordningen specificeras inte de berörda författningarna.
Rättsliga grund för behandlingen av personuppgifter
I lagarna inom jord- och skogsbruksministeriets förvaltningsområde är det i huvudsak fråga om behandling av personuppgifter som hänför sig till fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c i dataskyddsförordningen). Det är möjligt att föreskriva närmare om den rättsliga grunden för behandling av personuppgifter i nationell rätt.
Den lagstiftning inom jord- och skogsbruksministeriets förvaltningsområde som hänför sig till registerföring beskrivs i korthet i avsnitten 2.1–2.4. När det gäller den lagstiftningen är det i regel fråga om den personuppgiftsansvariges rättsliga förpliktelser. Av lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde kan nämnas lagen om växtförädlarrätt, där behandlingen av personuppgifter baserar sig på en uppgift av allmänt intresse.
Med stöd av vad som anförts ovan kan det i fråga om registerföringens rättsliga grund konstateras att jord- och skogsbruksministeriets lagstiftning är förenlig med dataskyddsförordningen.
Personuppgiftsansvarig
I de bestämmelser inom jord- och skogsbruksministeriets förvaltningsområde som gäller be-handling av personuppgifter nämns i regel en eller flera registeransvariga. Till denna del kan det konstateras att enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I punkten konstateras att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Dessutom kan det konstateras att enligt dataskyddsförordningens ingress (skäl 79) kräver skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar, även i förhållande till tillsynsmyndigheternas övervakning och åtgärder, ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar. Det är således viktigt att specificera den personuppgiftsansvarige i lagstiftningen, eftersom det följer flera förpliktelser för den personuppgiftsansvarige av dataskyddsförordningen, och därför måste det i specialbestämmelser om behandling av personuppgifter stå klart vilken instans som svarar för den personuppgiftsansvariges förpliktelser.
I de bestämmelser inom jord- och skogsbruksministeriet som gäller behandling av personuppgifter har de instanser som ansvarar för registerföringen i regel angetts klart. Vid granskningen av lagstiftningen hittades dock några bestämmelser om bör ändras.
Enligt 45 § i lagen om skydd av djur som används för vetenskapliga ändamål eller undervisningsändamål förs ett register över verksamhetsutövarna för tillsynen och planeringen av tillsynen. Regionförvaltningsverket i Södra Finland och Regionförvaltningsverket i Östra Finland för i registret in bland annat de identifieringsuppgifter som avses i 4 § 2 mom. i informationssystemslagen samt dessutom bland annat namn och kontaktuppgifter för den person som ansvarar för verksamheten, de personer som ansvarar för anläggningen och den utsedda veterinären och eventuella kvalificerade expert. I lagen har dock ingen registeransvarig för registret över verksamhetsutövare utsetts. Eftersom det i samband med införandet av uppgifter hänvisas till informationssystemslagen, vore det naturligt att personuppgiftsansvarig är i enlighet med 5 § i informationssystemslagen antingen Livsmedelssäkerhetsverket, Landsbygdsverket eller Naturresursinstitutet. Det är nödvändigt att se över bestämmelsen och specificera vem som är personuppgiftsansvarig för registret över verksamhetsutövare. Det förslås att Livsmedelssäkerhetsverket är personuppgiftsansvarig för registret över verksamhetsutövare. Regionförvaltningsverket i Södra Finland har utsetts till registeransvarig för det projektregister som det föreskrivs om i lagens 46 §.
Enligt 50 § i lagen om stödjande av landsbygdens utveckling finns bestämmelser om handlingar som upprättats vid skötseln av uppgifter enligt denna lag och om register och den nät-tjänst som hör till informationssystemet för ärendehantering och övervakning i lagen om landsbygdsnäringsförvaltningens informationssystem (284/2008). Av författningen framgår ändå inte vilken instans som är registeransvarig. Det är nödvändigt att specificera den personuppgiftsansvarige i bestämmelsen. Landsbygdsverket föreslås vara personuppgiftsansvarig.
Enligt 29 § i lagen om strukturstöd till jordbruket (1476/2007, nedan strukturstödslagen) ska stöd sökas elektroniskt via en nättjänst som utgör en del av det informationssystem som avses i 50 § i lagen om stödjande av landsbygdens utveckling. Ansökan med bilagor sparas i informationssystemet. Enligt 42 § i strukturstödslagen tillämpas på det informationssystem som används för övervakning av uppgifter enligt lagen 50 § 1, 3 och 4 mom. i lagen om stödjande av landsbygdens utveckling. Den registeransvarige som utsetts i lagen om stödjande av landsbygdens utveckling är enligt lagen registeransvarig även i fråga om strukturstödslagen. I lagen om stödjande av landsbygdens utveckling föreslås Landsbygdsverket vara personuppgiftsansvarig.
Enligt 46 g § i lagen om en marknadsordning för jordbruksprodukter svarar den myndighet enligt 46 b och 46 d–46 f § som är behörig i fråga om ansökningar och anmälningar som hänför sig till handelsnormerna för registrering, användning och utlämnande av de uppgifter som med stöd av EU:s lagstiftning om handelsnormer och med stöd av den lagen har lämnats till myndigheten om aktörer som handelsnormerna avser. I fråga om de uppgifter som har lämnats till en kommunal myndighet är det dock Livsmedelssäkerhetsverket som svarar för detta och som den kommunala myndigheten ska lämna uppgifterna i fråga till. Bestämmelser om registrering, användning och utlämnande av uppgifter finns i lagen om landsbygdsnäringsförvaltningens informationssystem. Även i denna författning förblir det oklart vilken instans som är registeransvarig. Det är nödvändigt att se över bestämmelsen och specificera vem som är personuppgiftsansvarig för registret över aktörer. Det föreslås att Livsmedelssäkerhetsverket är personuppgiftsansvarig.
Enligt 91 § i lagen om strukturstöd för renhushållning och naturnäringar finns för uppföljningen av finansiering, beviljande, betalning, inspektion, återkrav och effekterna av stöd ett registerbaserat informationssystem. I lagen om landsbygdsnäringsförvaltningens informationssystem föreskrivs om hur registren ska föras och användas samt om uppgifternas offentlighet och sekretess. I informationssystemet kan uppgifter registreras om sökande, stödtagare, åtgärder som stöds samt användningen av stöd, bland annat sökandens namn och kontaktuppgifter samt personbeteckning eller företags- och organisationsnummer, namn och kontaktuppgifter för sökandens kontaktpersoner. Av bestämmelsen framgår inte vilken instans som är registeransvarig. Det är nödvändigt att specificera den personuppgiftsansvarige i bestämmelsen. Det föreslås att Landsbygdsverket är personuppgiftsansvarig.
Enligt 31 § 1 mom. i fiskerifondslagen ska Jord- och skogsbruksministeriet ta i bruk ett in-formationssystem enligt artikel 125.2 d i förordningen om allmänna bestämmelser. Enligt 2 § 1 mom. 1 punkten i fiskerifondslagen avses med förordningen om allmänna bestämmelser Europaparlamentets och rådets förordning (EU) nr 1303/2013 om fastställande av gemensamma bestämmelser för Europeiska regionala utvecklingsfonden, Europeiska socialfonden, Sammanhållningsfonden, Europeiska jordbruksfonden för landsbygdsutveckling och Europeiska havs- och fiskerifonden, om fastställande av allmänna bestämmelser för Europeiska regionala utvecklingsfonden, Europeiska socialfonden, Sammanhållningsfonden och Europeiska havs- och fiskerifonden samt om upphävande av rådets förordning (EG) nr 1083/2006. I 31 § 1 mom. i fiskerifondslagen nämns åter närings-, trafik- och miljöcentralerna, utvecklings- och förvaltningscentret och fiskeaktionsgrupperna som instanser som svarar för att riktiga och tillräckliga uppgifter förs in i informationssystemet i enlighet med de uppgifter som föreskrivs för dem. Med utvecklings- och förvaltningscentret avses arbets- och näringsbyråernas utvecklings- och förvaltningscenter. Bestämmelser om centrets verksamhet finns i lagen om närings-, trafik- och miljöcentralerna (897/2009). Centret sköter närings-, trafik- och miljöcentralernas samt arbets- och näringsbyråernas gemensamma utvecklings- och serviceuppgifter och andra allmänna administrativa uppgifter. Utifrån 31 § 1 mom. i fiskerifondslagen och dess förarbeten förblir det oklart vilken av ovannämnda instanser som är registeransvarig. Det är nödvändigt att precisera bestämmelsen och specificera vem som är personuppgiftsansvarig för det informationssystem som gäller havs- och fiskerifonden. Det är viktigt att specificera den personuppgiftsansvarige därför att av personuppgiftslagen och dataskyddsförordningen, när den börjar tillämpas, följer förpliktelser för den personuppgiftsansvarige. I 33 § i fiskerifondslagen bestäms om utlämnande av uppgifter. Av bestämmelsen framgår att offentlighetslagen och personuppgiftslagen tillämpas på utlämnandet av uppgifter, men av bestämmelsen framgår inte vilken instans som beslutar om utlämnandet av uppgifter. Det är nödvändigt att se över bestämmelsen även i detta avseende. Det föreslås att lagen ändras så att närings-, trafik- och miljöcentralerna är personuppgiftsansvariga i fortsättningen. Förvaltnings- och utvecklingscentret och fiskeaktionsgrupperna ska även i fortsättningen sköta uppgifter i anslutning till införandet av uppgifter i informationssystemet. I och med den landskapsreform som är under beredning läggs de nuvarande närings-, trafik- och miljöcentralerna ner. Avsikten är att se över bestämmelsen om personuppgiftsansvarig och vem som för in uppgifter i lagstiftningen om landskapsreformen.
Största delen av bestämmelserna om registeransvariga i jord- och skogsbruksministeriets lag-stiftning bedömdes vara förenliga med dataskyddsförordningen. De ändringar som anges ovan är nödvändiga för att de övriga bestämmelserna ska bli förenliga med dataskyddsförordningen.
Personregistrens datainnehåll och användningsändamål
De lagar inom jord- och skogsbruksministeriets förvaltningsområde som hänför sig till behandlingen av personuppgifter innehåller många bestämmelser om personregisters och informationssystems datainnehåll och användningsändamål. Enligt artikel 6.3 i dataskyddsförordningen är det möjligt att bestämma närmare om till exempel vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar. Personregistrens huvudsakliga datainnehåll uppkommer naturligtvis av uppgifter i anslutning till skötseln av lagstadgade uppgifter (olika anmälnings- och ansökningsärenden samt lagstadgade skyldigheter att föra register). De nuvarande bestämmelserna är förenliga med dataskyddsförordningen i detta avseende.
Rätt att få uppgifter av myndigheter och andra instanser
I vissa lagar föreskrivs det också om rätt att få uppgifter av myndigheter trots sekretessbestämmelserna. Till exempel i fiskefartygsregisterlagen (23 §) föreskrivs det om rätt att få uppgifter av myndigheterna trots sekretessbestämmelserna. I lagen om skoglig information (13 c §) föreskrivs det likaså om rätt att få vissa uppgifter av Skatteförvaltningen trots sekretessbestämmelserna.
Enligt 64 § i lagen om stödjande av landsbygdens utveckling har jord- och skogsbruksministeriet, Landsbygdsverket samt närings-, trafik- och miljöcentralen trots bestämmelserna om sekretess rätt att av andra myndigheter eller aktörer som sköter offentliga uppdrag få för behandlingen av ett stödärende nödvändiga uppgifter som gäller sökanden eller stödtagaren, dennes ekonomiska situation och affärs- eller yrkesverksamhet eller finansiering med offentliga medel eller andra omständigheter som är betydelsefulla med beaktande av stödet. Sambandet mellan de uppgifter som begärs och det ärende som behandlas samt uppgifternas nödvändighet ska motiveras vid begäran om uppgifter. Landsbygdsverket och närings-, trafik- och miljöcentralen har rätt att för behandlingen av ett stödärende av Skatteförvaltningen utan ersättning få sådana uppgifter om den senast fastställda beskattningen ur Skatteförvaltningens register som gäller den som ansöker om stöd och stödtagaren.
Även enligt 109 § i lagen om strukturstöd för renhushållning och naturnäringar har jord- och skogsbruksministeriet, Landsbygdsverket samt närings-, trafik- och miljöcentralen trots sekretessbestämmelserna rätt att av andra myndigheter eller andra som sköter offentliga uppdrag få sådana uppgifter om sökanden eller stödtagaren, dennes hälsotillstånd, ekonomiska situation och affärs- eller yrkesverksamhet eller om finansiering med offentliga medel eller andra omständigheter som är nödvändiga för behandlingen av stödärendet.
Enligt 51 § i livsmedelslagen har tillsynsmyndigheten trots sekretessbestämmelserna rätt att av statliga och kommunala myndigheter samt av livsmedelsföretagare och andra som omfattas av skyldigheterna enligt den lagen få den information som är nödvändig för tillsynen.
Enligt lagen om livsmedels- och naturresursstatistik är näringsidkare, ickevinstsyftande sammanslutningar som bedriver skogsbruk eller trädförädling eller virkeshandel samt statliga myndigheter skyldiga att lämna Naturresursinstitutet de uppgifter som är nödvändiga för statistikframställningen om typen av den verksamhet som bedrivs, var den bedrivs, ägande- och besittningsförhållandena, produkterna, ekonomin och de produktionsinsatser som verksamheten kräver samt andra resurser och användningen av dem. Dessutom är Lantbruksföretagarnas pensionsanstalt trots sekretessbestämmelserna skyldig att lämna Naturresursinstitutet de uppgifter som pensionsanstalten har om gårdsbruksenheter, besittningen av dem och anlitandet av avbytarservice för lantbruksföretagare samt namn-, personbetecknings- och adressuppgifter för ägare och innehavare av gårdsbruksenheter i fråga om dem som bedriver jordbruk och trädgårdsodling.
I regel innehåller lagarna inom jord- och skogsbruksministeriets förvaltningsområde bestämmelser som berättigar myndigheterna att av enskilda aktörer eller myndigheter eller dem som sköter offentliga förvaltningsuppgifter få de uppgifter som behövs för att sköta lagstadgade uppgifter.
I propositionen anses att ovannämnda bestämmelser är sådana åtgärder för att tillförsäkra en laglig och rättvis behandling av personuppgifter som avses i artikel 6.3 i dataskyddsförordningen (dvs. uppgifternas mottagare och de ändamål för vilka uppgifterna lämnas ut). Artikel 86 i dataskyddsförordningen gör det möjligt att nationellt jämka samman bestämmelser om skydd av personuppgifter och rätten att få tillgång till allmänna handlingar. De bestämmelser som beskrivs ovan hänför sig även i detta avseende till det spelrum som förordningen tillåter. I propositionen anses bestämmelserna vara förenliga med dataskyddsförordningen.
Sammanställande av uppgifter
I lagen om stöd för upphörande med att bedriva jordbruk (69 § 5 mom. och 70 § 3 mom.) och i lagen om skoglig information (5 §) föreskrivs om sammanställande av uppgifter. I jord- och skogsbruksministeriets övriga lagstiftning finns inga motsvarande bestämmelser. I propositionen anses bestämmelserna om sammanställande av uppgifter i lagen om stöd för upphörande med att bedriva jordbruk och lagen om skoglig information vara sådana åtgärder för att tillförsäkra en laglig behandling av personuppgifter som avses i artikel 6.3 i dataskyddsförordningen.
Utlämnande av uppgifter
I jord- och skogsbruksministeriets lagar finns många bestämmelser om utlämnande av uppgifter. I fråga om myndigheter och organisationer som sköter offentliga uppgifter finns bestämmelser som hänvisar till offentlighetslagen. Dessutom finns det andra specialbestämmelser om utlämnande av personuppgifter. I det följande granskas bestämmelser i huvudsak med avseende på vad mottagarens rätt att behandla personuppgifter baserar sig på.
I 7 § i lagen om växtförädlarrätt och i 25 § i lagen om handel med utsäde finns också bestämmelser om andra instanser till vilka och ändamål för vilka personuppgifter får utlämnas. Med stöd av nämnda bestämmelser får uppgifter utlämnas för att skydda en annan persons livsviktiga intressen (dvs. royaltyer) och tillgodose den personuppgiftsansvariges och tredje parts berättigade intressen (sortägaren får av Livsmedelssäkerhetsverket uppgifter om odlaren av sorten, dvs. den aktör som kräver royaltyer). I propositionen anses att grunden för att behandla personuppgifter då följer direkt av artikel 6.1 d och f i dataskyddsförordningen. Nämnda bestämmelser hänför sig också till sammanjämkningen av skyddet av personuppgifter och offentlighetsprincipen och de kan anses vara förenliga med det spelrum som artikel 86 i dataskyddsförordningen tillåter.
I bestämmelserna om behandling av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde föreskrivs också om utlämnande av uppgifter för direktmarknadsföring. Enligt 16 § 3 mom. i offentlighetslagen får personuppgifter lämnas ut för direktmarknadsföring om den registrerade har samtyckt till detta. I specialbestämmelserna om direktmarknadsföring inom jord- och skogsbruksministeriets förvaltningsområde har det oftast föreskrivits att det är möjligt att lämna ur personuppgifter för direktmarknadsföring, om inte den registrerade har förbjudit det. Å andra sidan har det också kunnat föreskrivas närmare om villkoren för utlämnande av uppgifter också när utlämnandet av uppgifter baserar sig på den registrerades samtycke. Exempelvis i 9 § 1 mom. i lagen om skoglig information föreskrivs om utlämnande av markägarens kontaktuppgifter för direktmarknadsföring, om inte markägaren har förbjudit det. I bestämmelsen föreskrivs också om grunderna för val av markägarnas kontaktuppgifter.
Enligt 11 § i informationssystemslagen får ur landsbygdsnäringsförvaltningens informations-system kontaktuppgifter lämnas ut för direktmarknadsföring och opinionsmätningar eller marknadsundersökningar, om den som uppgifterna gäller har gett sitt samtycke. Som urvalskriterier får man vid utlämnandet använda i informationssystemet registrerade personuppgifter och uppgifter om läge, areal och produktionsinriktning. I 9 § 3 mom. I lagen om skoglig information föreskrivs om utlämnande av markägarens kontaktuppgifter för opinions- och marknadsundersökningar och andra därmed jämförbara adresserade försändelser, om villkoren enligt 19 § i personuppgiftslagen uppfylls.
Ovannämnda bestämmelser om direktmarknadsföring, opinions- och marknadsundersökningar samt andra därmed jämförbara adresserade försändelser kan anses vara förenliga med artikel 6.3 i dataskyddsförordningen (fastställande av villkor för utlämnande) och det spelrum som artikel 86 tillåter (sammanjämkning av offentlighet och skydd av personuppgifter). Det är dock nödvändigt att ändra 9 § 3 mom. i lagen om skoglig information så att hänvisningen till personuppgiftslagen stryks i bestämmelsen. I den föreslagna dataskyddslagen ingår inga specialbestämmelser om utlämnande av uppgifter för opinions- och marknadsundersökningar.
Dessutom kan det konstateras att enligt dataskyddsförordningens ingress (skäl 47) kan behandling av personuppgifter för direktmarknadsföring betraktas som ett berättigat intresse, när saken granskas med avseende på mottagarens grund för att behandla personuppgifter. Mottagare definieras i artikel 4 i dataskyddsförordningen och därmed avses den till vilken personuppgifter utlämnas. Bestämmelser om berättigat intresse finns i artikel 6.1 f i dataskyddsförordningen. I propositionen anses att behandling av personuppgifter för opinions- och marknadsundersökningar samt andra därmed jämförbara adresserade försändelser kan jämställas med grunden som gäller behandling av personuppgifter för direktmarknadsföring, och då kan behandlingen av personuppgifter även i detta avseende anses grunda sig på artikel 6.1 f i dataskyddsförordningen.
I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns också exempel på bestämmelser om utlämnande av uppgifter för andra ändamål än de ovannämnda. Enligt 11 § 2 mom. i lagen om skoglig information och 93 § 2 mom. i lagen om fiske får uppgifter i de berörda informationssystemen lämnas ut för genomförande av lärdomsprov, om utlämnandet av uppgifterna kan anses vara behövligt på grundval av en forskningsplan och om det finns en ansvarig ledare eller en grupp som ansvarar för forskningsarbetet. En ytterligare förutsättning för att uppgifter ska få lämnas ut är att uppgifter om enskilda personer inte röjs för utomstående och att uppgifterna förstörs när de inte längre behövs för forskningen eller för att säkerställa riktigheten av forskningsresultaten. Enligt 11 § 2 mom. i lagen om skoglig information får under samma förutsättningar uppgifter även lämnas ut för annan forskning som inte kan anses vara vetenskaplig forskning. I propositionen anses att när det gäller lärdomsprov och annan forskning är det fråga om artikel 6.1 f i dataskyddsförordningen (den rättsliga grunden för behandling av personuppgifter för mottagarens del). Bestämmelserna kan anses vara förenliga med det spelrum som artikel 6.3 (fastställande av villkor för utlämnande) och artikel 86 (sammanjämkning av offentlighet och skydd av personuppgifter) i dataskyddsförordningen tillåter.
För att möjliggöra ordnandet av informationstjänst innehåller 6 § i fastighetsdatasystemslagen en bestämmelse om rätt för Lantmäteriverket att lämna ut uppgifter i fastighetsdatasystemet. Dessutom tillämpas offentlighetslagen på utlämnandet av uppgifter ur myndighetens personregister. Enligt 4 § i lagen om livsmedels- och naturresursstatistik får Naturresursinstitutet trots vad som föreskrivs i 13 § i statistiklagen för vetenskaplig forskning och statistiska utredningar även lämna ut med identifikationsuppgifter försedda uppgifter om personers ålder, kön, utbildning och yrke under förutsättning att den som får uppgifterna har rätt enligt personuppgiftslagen att samla in och registrera dessa uppgifter. Fastighetsdatasystemlagen samt bestämmelserna om livsmedels- och naturresursstatistik kan anses vara förenliga med det spelrum som artikel 6.3 (fastställande av villkor för utlämnande) och artikel 86 (sammanjämkning av offentlighet och skydd av personuppgifter) i dataskyddsförordningen tillåter.
I bestämmelserna om behandling av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde hänvisas i huvudsak till offentlighetslagen när det gäller utlämnandet av uppgifter. Då offentlighetslagen tillämpas på utlämnandet av uppgifter är det inte nödvändigt att i denna proposition desto mera bedöma huruvida offentlighetslagens bestämmelser är förenliga med dataskyddsförordningen. I påföljdssystemlagen för fiskeripolitiken hänvisas åter inte alls inte offentlighetslagen. De registeransvariga som nämns i 38 § i påföljdssystemlagen för fiskeripolitiken är dock myndigheter på vilka offentlighetslagen tillämpas direkt med stöd av den aktuella allmänna lagen. Offentlighetslagen är en allmän förvaltningslag och förpliktar myndigheternas och vissa andra instanser. De förpliktelser i anslutning till behandlingen av personuppgifter som avses i offentlighetslagen kan således betraktas som sådana lagstadgade förpliktelser för den personuppgiftsansvarige som avses i artikel 6.1 c. Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. Bestämmelsen gör det möjligt att jämka samma två grundläggande rättigheter, dvs. skyddet av personuppgifter och offentlighetsprincipen. I propositionen anses att de bestämmelser som hänvisar till offentlighetslagen liksom specialbestämmelserna om utlämnande av personuppgifter i lagarna inom jord- och skogsbruksministeriets förvaltningsområde är förenliga med det spelrum som artiklarna 6.3 och 86 i dataskyddsförordningen tillåter. I anslutning till det ovanstående kan dessutom konstateras att i lagen om skoglig information föreskrivs om utlämnande av miljöinformation. Regleringen baserar sig på ett EU-direktiv, som utgör speciallagstiftning i förhållande till dataskyddsförordningen. Bakgrunden till utlämnandet av miljöinformation beskrivs i förarbetena till lagen om skoglig information (RP 170/2017 rd). I regleringen är det fråga om sådan sammanjämkning av handlingsoffentlighet och skydd av personuppgifter som artikel 86 i dataskyddsförordningen tillåter.
Korrekta och aktuella uppgifter
Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
I bestämmelserna om behandling av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde ingår i regel inga specialbestämmelser om att uppgifterna ska vara korrekta eller aktuella. Det finns några specialbestämmelser om vilken instans som svarar för att uppgifterna är korrekta.
I 8 § i fastighetsdatasystemslagen finns en bestämmelse om skadeståndsansvar för en skada på grund av ett fel eller en brist i uppgifter som lämnats ut ur fastighetsdatasystemet. I bestämmelsen hänvisas till fastighetsregisterlagens (fastighetsregistret) och jordabalkens (lagfarts- och inteckningsregistrets) egna skadeståndsbestämmelser samt till skadeståndslagen (424/1974). När det gäller skadeståndsbestämmelser bör man lägga märke till att i artikel 82 i dataskyddsförordningen bestäms om rätt till ersättning när en överträdelse av dataskyddsförordningen har orsakat materiell eller immateriell skada. Artikeln tillåter inte något nationellt spelrum, men nationella bestämmelser får tillämpas i den mån som det inte bestäms något annat i dataskyddsförordningen om någon ersättningsrelaterad omständighet. Vid konflikter mellan unionsrätten och den nationella rätten kan företrädesprincipen bli tillämplig, om det inte kan säkerställas på något annat sätt att unionsrätten tillgodoses. Enligt principen har en bestämmelse i ett grundfördrag eller en sådan bestämmelse i en unionsrättsakt som har direkt rättsverkan företräde framför en nationell bestämmelse som står i konflikt med den oberoende av den nationella bestämmelsens ställning i den nationella författningshierarkin. I propositionen anses att för att fastighetsdatasystemslagens och fastighetsregisterlagens bestämmelser ska vara informativa bör de ändras så att av dem framgår att de nationella skadeståndsbestämmelserna ska tillämpas om det inte bestäms något annat i dataskyddsförordningen. Annat ansvar än sådant som avses i dataskyddsförordningen kommer i praktiken i fråga främst i sådana fall där en skada som orsakats av en felaktig registeruppgift beror på fel hos någon annan uppgiftstyp i registret än en personuppgift (till exempel en uppgift som gäller en sammanslutning) eller skadan beror på någon verksamhet som inte ska tolkas som överträdelse av förordningen.
I lagen om skoglig information finns en specialbestämmelse om korrekthet och aktualitet. I 7 § 1 och 2 mom. i lagen om skoglig information föreskrivs följande om korrekt information om skogstillgångar:
”Informationen om skogstillgångar grundar sig på uppskattningar, mätningar, kartläggningar och kalkyler som görs med olika metoder. Uppgifternas exakthet får variera beroende på vilka uppgifter det är fråga om, vilken metod som har använts vid insamlingen av uppgifterna och från vilken tidpunkt uppgifterna är. Informationen om skogstillgångar får inte innehålla väsentliga brister, fel eller feltolkningar. I informationssystemet ska registreras uppgifter om vilken datainsamlingsmetod eller uppgiftskälla som använts samt uppgiftens datum.
Information om skogstillgångar som har registrerats i informationssystemet ska uppdateras regelbundet med beaktande av målområdets egenskaper samt skogscentralens tillgängliga personresurser och ekonomiska resurser och behovet av att använda uppgifterna i anslutning till skötseln av skogscentralens offentliga förvaltningsuppgifter.”
I förarbetena till lagen om skoglig information (RP 261/2010 rd, s. 29–31) beskrivs i detalj särdragen hos informationen om skogstillgångar och orsakerna till varför det var nödvändigt att föreskriva särskilt om uppgifternas korrekthet. Utmärkande för informationen om skogstillgångar är att det beror på datainsamlingsmetoden hur exakt en uppgift är. Dessutom utvecklas insamlingsmetoderna för information om skogstillgångar hela tiden. I förarbetena till lagen om skoglig information anses att regleringen kompletterar personuppgiftslagens 9 § 2 mom., som gäller uppgifternas korrekthet. Å andra sidan måste det konstateras att informationen om skogstillgångar beskriver skogar och inte personers egenskaper eller levnadsförhållanden. Information om skogstillgångar kan dock vara personuppgifter när informationen gäller en fastighet när ägaren eller innehavaren av besittningsrätten är en fysisk person. Det är emellertid inte fråga om personuppgifter om informationen om skogstillgångar inte har kopplats eller inte är avsedda att kopplats till en fysisk person. Information om skogstillgångar är sådan miljöinformation som avses i artikel 2 i Europaparlamentets och rådets direktiv 2003/4/EG om allmänhetens tillgång till miljöinformation och om upphävande av rådets direktiv 90/313/EEG (nedan miljöinformationsdirektivet). I artikel 8 i direktivet sägs följande:
”1. Medlemsstaterna skall, så långt det är möjligt inom ramen för deras befogenheter, se till att all information som sammanställs av dem eller för deras räkning är aktuell, korrekt och jämförbar.
2. Offentliga myndigheter skall, om så begärs, besvara en sådan begäran om information som avses i artikel 2.1b, genom att informera sökanden om var denne kan finna information, såvida den finns tillgänglig, om mätmetoder, inklusive metoder för analys, provtagning och förbehandling av prover, som använts vid sammanställningen av informationen, eller genom att hänvisa till en använd standardmetod.”
Av den ovannämnda artikeln framgår att miljöinformation ska så långt det är möjligt vara aktuell, korrekt och jämförbar. Av artikeln framgår likaså att miljöinformationens kvalitet påverkas av till exempel mätmetoderna och metoderna för analys av informationen. Ett väsentligt inslag i informationens karaktär när det gäller skogstillgångar är att uppgifternas exakthet kan variera. I propositionen anses att 7 § 1 mom. i lagen om skoglig information är förenlig med artikel 5.1 d i dataskyddsförordningen. Skogscentralen vet naturligtvis vilka inexaktheter som kan förekomma i informationen om skogstillgångar och kan beakta dem vid skötseln av förvaltningsärenden. När det gäller informationen om skogstillgångar vidtas således alla åtgärder som är möjliga för att säkerställa att alla personuppgifter som är inexakta och felaktiga med tanke på syftena med behandlingen stryks eller rättas omedelbart. Behandlingens syfte beaktas också när uppgifter utlämnas till registrerade och utomstående. I 14 § i lagen om skoglig information finns en specialbestämmelse om hur såväl registrerade som utomstående ska informeras om eventuella fel i informationen om skogstillgångar. Med stöd av vad som anförts ovan anses att den nuvarande bestämmelsen i lagen om skoglig information är förenlig med såväl de registrerades som utomståendes intresse och således förenlig med dataskyddsförordningen. Med att bestämmelsen är förenlig med dataskyddsförordningen avses här å ena sidan att informationen om skogstillgångar är korrekt i förhållande till de ändamål för vilka den behandlas på det sätt som avses i artikel 5.1 i förordningen och å andra sidan att det är fråga om allmänna villkor som avses i artikel 6.3 och som gäller lagligheten hos den personuppgiftsansvariges behandling av uppgifter.
Enligt 91 § 3 mom. i lagen om strukturstöd för renhushållning och naturnäringar tillämpas personuppgiftslagen på registrerades rätt att granska de uppgifter om sig själva som finns i informationssystemet för övervakning, på rättelse av fel och brister i uppgifterna samt på utplånande av föråldrade och onödiga uppgifter. Till denna del föreslås att bestämmelsen ändras så att hänvisningen börjar avse dataskyddsförordningen.
Enligt 14 § i lagen om verkställighet av jordbruksstöd ansvarar sökandena (dvs. de registrerade) solidariskt för stödansökan och för att de uppgifter som ingår i den är fullständiga och korrekta. Bestämmelsen hänför sig till 16 § i lagen om verkställighet av jordbruksstöd, där det bestäms om de sökandes skyldighet att lämna uppgifter. Beviljandet av stöd grundar sig i stor utsträckning just på de uppgifter som lämnas i ansökan, och därför är det nödvändigt att de sökande lämnar myndigheterna tillräckliga uppgifter om förutsättningarna för beviljande och utbetalning av stöd. I 16 § åläggs sökanden att meddela den behöriga myndigheten, om stödansökan är eller har blivit felaktig. Sökanden är likaså skyldig att meddela sådana förändringar i förhållandena som kan påverka stödet. Syftet med bestämmelserna om verkställighet av jordbruksstöd är att säkerställa att beviljandet av stöd baserar sig på korrekta uppgifter. I propositionen anses att ovannämnda bestämmelser är i linje med artikel 5.1 d i dataskyddsförordningen, eftersom syftet med bestämmelserna är att säkerställa att uppgifterna är exakta och att inexakta och felaktiga uppgifter rättas utan dröjsmål.
Enligt 12 § i informationssystemslagen ska en uppgift som konstaterats vara oriktig antecknas som oriktig. I propositionen anses att det är fråga om en sådan åtgärd för att tillförsäkra en laglig och rättvis behandling som avses i artikel 6.3 i dataskyddsförordningen.
Personuppgifters bevarandetid
I bestämmelserna om behandling av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde föreskrivs i allmänhet om bevarandetider. Bestämmelserna om bevarandetid har i vissa fall kopplats till en viss tidsfrist. Exempelvis enligt 33 § i fiskerifondslagen bevaras uppgifterna i informationssystemet till och med den 31 december 2033. I bestämmelsens förarbeten (se detaljmotivering RP 118/2014 rd) förtydligas det att denna bevarandetid för uppgifterna är nödvändig med tanke på återkrav av stödet. Bevarandetiden har också kunnat kopplas till behovet av uppgifterna för vissa specificerade användningsändamål. I vissa bestämmelser är bevarandetiden kopplad till både en tidsfrist och behovet av uppgifterna för något användningsändamål. Dessutom finns det i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde exempel på även varaktig förvaring av uppgifter, men där är det inte fråga om uppgifter som beskriver en person utan om information om skogstillgångar. Exempelvis uppgifter om terrängen eller var en skogsväg finns ändras i allmänhet inte.
I bestämmelserna om behandling av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde har bevarandetiden kunnat kopplas till en tidsfrist som börjar löpa då aktörens godkännande upphör eller då aktören har anmält att verksamheten upphör eller den dag då examen upphör att gälla. Uppgifter kan förvaras en viss tid från till exempel det att beslutet om att bevilja stöd fattas. Enligt 12 § i informationssystemslagen om landsbygdsnäringsförvaltningens informationssystem avförs uppgifterna i landsbygdsnäringsförvaltningens informationssystem senast tio år från det att uppgifterna om en kund senast har behandlats. Uppgifter avförs dock inte, om det är nödvändigt att bevara dem för att fullgöra ett åliggande som grundar sig på lag, för att ett ärende är under behandling eller för att utföra kontroll enligt Europeiska unionens lagstiftning eller någon annan lagstiftning, eller om det i Europeiska unionens lagstiftning krävs att uppgifterna bevaras. Uppgifter ska avföras så snart det inte finns någon lagstadgad grund att behandla dem.
I lagarna om stöd för upphörande med att bedriva jordbruk, avträdelsestöd för lantbruksföre-tagare, avträdelsepension, generationsväxlingspension för lantbruksföretagare och avträdelse-ersättning för lantbruksföretagare hänvisas i fråga om förvaringen av handlingar till 218 § i lagen om pension för arbetstagare (395/2006) i tillämpliga delar. På grund av kraven på lagring av uppgifter i Europeiska unionens dataskyddsförordning kan en sådan allmän hänvisning till en paragraf i en annan lag vara problematisk. Av denna orsak föreslås att det fogas en uttrycklig bestämmelse om förvaring av handlingar och uppgifter till lagarna.
I propositionen föreslås att till de nämnda lagarna om stöd för upphörande med att bedriva jordbruk, avträdelsestöd för lantbruksföretagare, avträdelsepension, generationsväxlingspension för lantbruksföretagare och avträdelseersättning för lantbruksföretagare fogas bestämmelser om förvaring av uppgifter. Det föreslås att handlingar och uppgifter ska förvaras under avträdarens eller pensionssökandens livstid och fem år därefter. Om avträdelsestöd har beviljats flera avträdare på grund av samma avträdelse, ska handlingarna och uppgifterna förvaras så att de handlingar och uppgifter som gäller alla som avträtt samma gårdsbruksenhet förvaras under samtliga avträdares livstid och fem år därefter. Exempelvis avträdelsestöd ändras till en lika stor ålderspension enligt lagen om pension för lantbruksföretagare (1280/2006) när åldern för ålderspension uppnås. Handlingarna och uppgifterna är således av betydelse för grunderna för bestämmande av ålderspensionen och handlingarna kan behövas även när avträdaren börjar få ålderspension.
Enligt 5.1 e i dataskyddsförordningen ska i fråga om personuppgifter iakttas kravet att de inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikel 6.3 är det möjligt att bestämma om uppgifternas lagringstid nationellt. I propositionen anses att med beaktande av personuppgifternas användningsändamål i ovannämnda fall kan bestämmelserna om uppgifternas bevarandetid anses förenliga med dataskyddsförordningen.
Nödvändigheten av bestämmelser som kompletterar dataskyddsförordningen
I betänkandet av justitieministeriets Tatti-arbetsgrupp (justitieministeriets publikationer 35/2017) konstateras i fråga om nödvändigheten av bestämmelser som kompletterar data-skyddsförordningen följande:
”Det är sannolikt att när det sektorspecifika arbetet fortsätter kommer man att upptäcka många andra områden där det behövs reglering i en speciallag eller också i dataskyddslagen, som utgör allmän lag. Det bör då påpekas att enligt den allmänna dataskyddsförordningen förutsätts det i många fall nationell speciallagstiftning för att den rättsliga grunden för behandling av personuppgifter eller behandlingssättet ska vara lagenligt. Då måste man å ena sidan undvika alltför detaljerad reglering, men å andra sidan se till regleringen är tillräckligt exakt och noggrant avgränsad med tanke på skyddet av den registrerades personuppgifter och den registrerades rättigheter. Riksdagens grundlagsutskott har också fäst uppmärksamhet vid det sistnämnda i sin utlåtandepraxis på senare tid (GrUU 38/2016 rd; GrUU 5/2017 rd).”
I skäl 41 i dataskyddsförordningens ingress konstateras följande:
”När det i denna förordning hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament, utan att detta påverkar krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. En sådan rättslig grund eller lagstiftningsåtgärd bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol (nedan kallad domstolen) och Europeiska domstolen för de mänskliga rättigheterna.”
I skäl 45 i dataskyddsförordningens ingress konstateras följande:
”Behandling som grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Denna förordning medför inte något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandlingens syfte bör också fastställas i unionsrätten eller i medlemsstaternas nationella rätt. Därtill skulle man genom denna grund kunna ange denna förordnings allmänna villkor för laglig personuppgiftsbehandling och precisera kraven för att fastställa vem den personuppgiftsansvarige är, vilken typ av personuppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut, ändamålsbegränsningar, lagringstid samt andra åtgärder för att tillförsäkra en laglig och rättvis behandling.”
När det gäller bestämmelserna inom jord- och skogsbruksministeriets förvaltningsområde kan man konstatera att en viktig utgångspunkt i dem har varit 10 § i grundlagen, enligt vilken bestämmelser om skydd för personuppgifter utfärdas genom lag. I regel är uppgifter som gäller registerföring kopplade till myndighetsverksamhet, varvid det i allmänhet är fråga om den personuppgiftsansvariges lagstadgade skyldighet. I vissa avseenden hänför sig behandlingen av personuppgifter till något annat än myndigheternas verksamhet, till exempel när enskilda sköter offentliga förvaltningsuppgifter. Enligt 124 § i grundlagen får offentliga förvaltningsuppgifter anförtros andra än myndigheter endast genom lag och överföringen av uppgifter ska uppfylla kraven i den bestämmelsen.
Inom jord- och skogsbruksministeriets förvaltningsområde finns det bestämmelser om behandling av personuppgifter i flera speciallagar. Specialbestämmelserna är dock i regel begränsade till att det föreskrivs om registeransvarig, personregistrets datainnehåll och användningsändamål samt om bevarandetider. I vissa fall är det fråga om att det i en lag har föreskrivits om registrering som hänför sig till någon verksamhet, varvid EU-lagstiftning finns i bakgrunden. De personregister som avses i påföljdssystemlagen för fiskeripolisen är exempel på sådan lagstiftning.
I bestämmelserna om registeransvarig är det delvis fråga om gemensamma registeransvariga, varför specialbestämmelser är nödvändiga. Exempelvis informationssystemslagen är en så kallad paraplylag om hanteringen av kunduppgifter. Lagen tillämpas på hanteringen av uppgifter som förts in i jordbruks-, livsmedels- och landsbygdsnäringsförvaltningens informationssystem samt på handlingar som upprättats inom jordbruks-, livsmedels- och landsbygdsnäringsförvaltningen och på uppgifter i dem. Lagen innehåller bestämmelser om vilka myndighet som är registeransvariga liksom bestämmelser om vilka myndigheter som kan använda och uppdatera uppgifter i den omfattning som deras uppgifter förutsätter. Den behandling av personuppgifter som sker under informationssystemslagens ”paraply” i samband med skötseln av lagstadgade uppgifter baserar sig på flera speciallagar.
I den mån det finns specialbestämmelser om behandling av personuppgifter i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde föreskrivs det oftast i samma sammanhang om bevarandetiden för personuppgifter. Det är nödvändigt att föreskriva om förvaringen av handlingar till exempel när det är fråga om statligt stöd. Europeiska unionens regler om statligt stöd utgår ifrån att de finska myndigheterna med hjälp av handlingar kan påvisa att inga stöd har betalats ut i strid med de reglerna. I vissa avseenden kan det åter finnas grunder för exceptionellt lång bevarandetid. Exempelvis vissa uppgifter om skogstillgångar kan förvaras varaktigt i systemet för skoglig information. Det är uppgifter som delvis är oförändrade eller ändras långsamt och de uppdateras inte bara för någons höga nöjes skull utan de behövs för att centralen ska kunna göra sitt arbete.
Även om specialreglering finns i tiotals olika lagar, finns det relativt få bestämmelser om be-handling av personuppgifter i enskilda lagar. Relativt sett mest specialbestämmelser finns det i lagen om skoglig information. Det beror bland annat på att det är fråga om en sådan offentlig förvaltningsuppgift som avses i 124 § i grundlagen, varvid skötseln av uppgiften ska uppfylla vissa villkor och det ska föreskrivas om överföring av uppgiften genom lag. En del av Finlands skogscentrals offentliga förvaltningsuppgifter är förenade med utövning av offentlig makt medan en del inte är det. Som exempel på de sistnämnda kan nämnas utbildning, rådgivning och information som främjar skogsbruket, där information om skogstillgångar behövs i större utsträckning än vad som är nödvändigt vid skötseln av enbart uppgifter som inbegriper utövning av offentlig makt. När det gäller systemet för skoglig information har det dessutom varit nödvändigt att föreskriva som sammanföring av uppgifter och kvaliteten på informationen om skogstillgångar. Bland annat av ovannämnda orsaker räckte personuppgiftslagens bestämmelser inte till som rättslig grund för behandling av personuppgifter i systemet för skoglig information. Behovet är detsamma även i fortsättningen, när dataskyddsförordningen börjar tillämpas och den föreslagna dataskyddslagen har trätt i kraft.
Inom jord- och skogsbruksministeriets förvaltningsområde kan en grund för att föreskriva om behandling av personuppgifter vara att det är fråga om att sköta en offentlig förvaltningsuppgift. Det finns vissa bestämmelser i speciallagar om Finlands viltcentrals behandling av personuppgifter. Merparten av de lagar som granskats i denna proposition hänför sig dock till myndighetsuppgifter. Exempelvis den lagstiftning som hänför sig till växtproduktion, djurhälsa och jordbruk baserar sig i huvudsak på EU-lagstiftning. I EU-lagstiftningen förutsätts då att verksamheten i fråga övervakas på ett visst sätt och att uppgifter om övervakningen finns tillgängliga i informationssystem.
Vid granskningen av lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde har det inte framkommit några bestämmelser där man skulle ha upprepat personuppgiftslagens bestämmelser eller avvikit från personuppgiftslagens definitioner. Regleringen i dataskyddsförordningen liknar i hög grad den gällande personuppgiftslagen. Skillnaden är att regleringen i dataskyddsförordningen i många avseenden är mera detaljerad än personuppgiftslagens reglering. Dataskyddsförordningen innehåller också ny reglering. I specialbestämmelserna inom ministeriets förvaltningsområde har det inte framkommit någon sådan reglering som skulle överlappa dataskyddsförordningen och således vara onödig. Det kan konstateras att specialbestämmelserna inom jord- och skogsbruksministeriets förvaltningsområde kompletterar den allmänna lagstiftningen.
I lagarna inom jord- och skogsbruksministeriets förvaltningsområde finns det många bestämmelser som hänvisar till personuppgiftslagen och offentlighetslagen. Hänvisningarna till personuppgiftslagen ändras så att de börjar avse dataskyddsförordningen och den föreslagna dataskyddslagen. Vid beredningen av denna proposition var det stora antalet hänvisningar iögonenfallande. I avsnitt 12.4.4 i Lainkirjoittajan opas konstateras följande:
”I princip utarbetas ny reglering så att den stämmer överens med offentlighetslagen, så att man inte behöver hänvisa till offentlighetslagen som allmän lag. Om man vill att regleringen ska gälla till exempel endast i 4 § 1 mom. i offentlighetslagen avsedda myndigheters verksamhet, behövs i allmänhet ingen allmän hänvisning till offentlighetslagen. Det kan dock vara nödvändigt med en hänvisning, om det i lagen föreskrivs om saker som redan föreskrivits i offentlighetslagen, såsom utlämnande av sekretessbelagda uppgifter. ”
I avsnitt 12.5.1 i Lainkirjoittajan opas, som gäller personuppgiftslagen som allmän lag, kon-stateras att man ska vara återhållsam med att hänvisa till allmänna lagar.
I speciallagarna inom jord- och skogsbruksministeriets förvaltningsområde hänvisas i regel till både offentlighetslagen och personuppgiftslagen. Då kompletterar specialbestämmelserna i allmänhet främst personuppgiftslagen, men inte offentlighetslagen. Uppdraget att bereda denna proposition omfattade endast det nationella genomförandet av Europeiska unionens dataskyddslagstiftning. I uppdraget ingick inte att se över bestämmelserna i anslutning till offentlighetslagen. När man beaktar att dataskyddsförordningen ska börja tillämpas i maj 2018, skulle det inte ens ha funnits tillräckligt med tid att se över offentlighetslagens bestämmelser. I propositionen anses att en eventuell översyn av eventuella onödiga hänvisningar borde göras samtidigt i fråga om de bestämmelser som hänvisar till såväl offentlighetslagen som dataskyddsförordningen och den föreslagna dataskyddslagen. I propositionen anses att en lämplig tidpunkt vore i samband med att offentlighetslagens bestämmelser ses över. Av ovannämnda orsaker föreslås inte i denna proposition någon utgallring av hänvisningar till den allmänna lagstiftningen om offentlighet för och skydd av personuppgifter.
I propositionen anses att bestämmelserna om skydd av personuppgifter inom jord- och skogsbruksministeriets förvaltningsområde uppfyller kraven i dataskyddsförordningens ingress (skä 41) på att lagstiftningen bör vara tydlig och precis och dess tillämpning bör vara förutsägbar. Dessutom anses det i propositionen att bestämmelserna är förenliga med förordningen också därför att avsikten i dataskyddsförordningen inte har varit att ta ställning till de krav som följer av respektive medlemslands grundlag. Likaså uppfyller bestämmelserna inom jord- och skogsbruksministeriets förvaltningsområde kravet i skäl 45 att bestämmelserna ska precisera förordningens allmänna villkor för behandling av personuppgifter och att bestämmelserna ska tillförsäkra en laglig och rättvis behandling.
2.7.2
2.7.2 Artikel 7 i dataskyddsförordningen
I artikel 7 i dataskyddsförordningen bestäms om den registrerades samtycke. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. I artikel 7 bestäms också om lämnande av samtycke i vissa situationer när samtycke lämnas skriftligen. I artikeln bestäms dessutom om återkallande av samtycke. I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns i regel inga bestämmelser där det föreskrivs om hur samtycke lämnas eller återkallas. Det enda undantaget utgör 13 a § i lagen om skoglig information, där det föreskrivs om förfarandet beroende på om samtycke ges i skogscentralens elektroniska tjänst eller skriftligt. Samtycket ska uppfylla personuppgiftslagens krav. Det är inte nödvändigt att föreskriva särskilt om samtycke, eftersom personuppgiftslagen tillämpas på skogscentralens behandling av personuppgifter. I fortsättningen, då dataskyddsförordningen tillämpas, ska samtycke som ges i förfarandet enligt 13 a § i lagen om skoglig information uppfylla dataskyddsförordningens krav. Lagstiftningen behöver inte ändras i detta avseende.
I dataskyddsförordningens ingress (skäl 43) fästs uppmärksamhet vid situationer där det råder ojämlikhet mellan den personuppgiftsansvarige och den som lämnar samtycke. Enligt ingressen gäller detta särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. De enda bestämmelser i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde som hänför sig till samtycke gäller samtycke som grund för utlämnandet av uppgifter. Myndigheter eller organisationer som sköter en offentlig förvaltningsuppgift behandlar personuppgifter i sin egen verksamhet, men då är behandlingsgrunden någon annan grund som föreskrivs i personuppgiftslagen.
2.7.3
2.7.3 Artikel 9 i dataskyddsförordningen
I artikel 9.1 i dataskyddsförordningen bestäms följande om behandling av särskilda kategorier av personuppgifter:
”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.”
I artikel 9.2 i dataskyddsförordningen bestäms om undantag från förbudet mot behandling av särskilda kategorier av personuppgifter. Det är möjligt att behandla dessa uppgifter när vissa villkor är uppfyllda, till exempel på grund av samtycke (artikel 9.2 a) och av hänsyn till ett allmänt intresse (artikel 9.2 g). I artikel 9.2 g i dataskyddsförordningen bestäms följande om ett allmänt intresse som grund för behandling av personuppgifter:
”Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen”.
Även i dataskyddsförordningens ingress (skälen 53 och 54) hänvisas till ett viktigt allmänt intresse som behandlingsgrund. Av skälen framgår dock inte desto närmare vad som avses med ett viktigt allmänt intresse. I propositionen anses att det är fråga om ett viktigt allmänt intresse, om myndigheten behandlar särskilda kategorier av personuppgifter för att sköta en lagstadgad uppgift och det av lagen då uttryckligen framgår att behandlingen av särskilda kategorier av personuppgifter är nödvändig för att sköta den lagstadgade uppgiften.
I 6 § 1 mom. i förslaget till dataskyddslag anges dessutom vissa undantag från tillämpningen av artikel 9.1 i dataskyddsförordningen. Enligt 1 mom. 2 punkten tillämpas artikel 9.1 i data-skyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige. För att skydda den registrerades rättigheter måste ändå lämpliga skyddsåtgärder vidtas, till exempel på de sätt som anges i 6 § 2 mom. i förslaget till dataskyddslag.
I allmänhet är det inte nödvändigt att behandla särskilda kategorier av personuppgifter för att sköta förvaltningsärenden inom jord- och skogsbruksministeriets förvaltningsområde. I sam-band med vissa enstaka förvaltningsärenden är det dock nödvändigt att behandla uppgifter om personers hälsotillstånd. Enligt 109 § 1 mom. i lagen om strukturstöd för renhushållning och naturnäringar har jord- och skogsbruksministeriet, Landsbygdsverket samt närings-, trafik- och miljöcentralen trots sekretessbestämmelserna rätt att av andra myndigheter eller andra som sköter offentliga uppdrag få sådana uppgifter om sökanden eller stödtagaren, dennes hälsotillstånd, ekonomiska situation och affärs- eller yrkesverksamhet eller om finansiering med offentliga medel eller andra omständigheter som är nödvändiga för behandlingen av stödärendet. I 55 a § i skoltlagen hänvisas till 109 § i lagen om strukturstöd för renhushållning och naturnäringar i fråga om rätten att få upplysningar samt utlämnande av information.
Ovannämnda bestämmelser inom jord- och skogsbruksministeriets förvaltningsområde, där det förutsätts att uppgifter om hälsotillstånd behandlas, kan på ovannämnda grunder anses uppfylla villkoren i dataskyddsförordningen och förslaget till dataskyddslag, eftersom behandlingen beror på en lagstadgad uppgift och eftersom skyddsåtgärder ska ombesörjas. I propositionen anses att det inte är nödvändigt att bedöma huruvida de bestämmelser som gäller utlämnande av uppgifter trots sekretessbestämmelserna är förenliga med dataskyddsförordningen, eftersom det inte bestäms om offentlighet eller sekretess för uppgifter i dataskyddsförordningen.
2.7.4
2.7.4 Artikel 10 i dataskyddsförordningen
I artikel 10 i dataskyddsförordningen bestäms följande om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser:
”Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.”
Beträffande den gällande lagstiftningen kan följande konstateras. Enligt 11 § i personuppgiftslagen är det förbjudet att behandla känsliga personuppgifter. Som känsliga betraktas personuppgifter som beskriver eller vilkas syfte är att beskriva bland annat en brottslig gärning eller ett straff eller någon annan påföljd för ett brott (11 § 1 mom. 3 punkten).
I dataskyddsförordningen bestäms om särskilda kategorier av personuppgifter (artikel 9) i stället för om känsliga personuppgifter. Uppgifter om en brottslig gärning, ett straff eller någon annan påföljd för ett brott är inte sådana särskilda kategorier av personuppgifter som avses i artikel 9 dataskyddsförordningen. I artikel 10 i dataskyddsförordningen ställs däremot särskilda krav på behandling av dessa uppgifter.
Utifrån ordalydelsen i artikel 10 i dataskyddsförordningen kan man konstatera att där är det fråga om åtminstone sådana personuppgifter enligt vilka en person har dömts till straff för ett brott eller en överträdelse eller en person har förelagts bötesstraff eller ordningsbot. I den svenska utredningen om det nationella ikraftsättandet av dataskyddsförordningen (SOU 2017:39, s. 193) granskas den engelska och den franska översättningen av överträdelse (”cri-minal convictions” och ”condamnations péna-les et aux infractions”). I utredningen konstateras följande: det som avses med termen överträdelser är överträdelser som innefattar brott. Av ordalydelsen i artikel 10 eller ingressen i dataskyddsförordningen framgår inte huruvida och i vilken utsträckning artikeln tillämpas på misstänkta brott eller överträdelser. I artikel 10 i dataskyddsförordningen hänvisas också till säkerhetsåtgärder i samband med fällande domar i brottmål och överträdelser. I propositionen anses att i artikel 10 i dataskyddsförordningen avses straffrättsliga säkringsåtgärder. Enligt förarbetena till revideringen av straffrättens allmänna läror är straffrättsliga (processuella) säkringsåtgärder internering i tvångsinrättning, förverkandepåföljder (konfiskation), körförbud med anledning av brott, näringsförbud, jaktförbud samt djurhållningsförbud (RP 44/2002 rd). Även i ovannämnda svenska utredning (SOU 2017:39, s. 193) anses att med säkerhetsåtgärder avses straffprocessuella tvångsåtgärder. Med stöd av vad som anförts ovan är det inte nödvändigt att granska administrativa påföljder (inkl. administrativa säkringsåtgärder) anslutning till artikel 10 i dataskyddsförordningen.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ordalydelsen i artikel 10 eller ingressen i dataskyddsförordningen ger inget svar på vad som avses med behandling av personuppgifter under kontroll av myndighet. Eftersom det i vilket fall som helst måste föreskrivas genom lag om behandling av personuppgifter, bedöms artikel 10 i dataskyddsförordningen i denna proposition genom att det fästs uppmärksamhet vid att det föreskrivs på behörigt sätt på lagnivå om behandlingen av personuppgifter som gäller brottsliga gärningar, straff och därmed sammanhängande påföljder.
I 7 § i förslaget till dataskyddslag ingår bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Enligt bestämmelsen är behandling tillåter bland annat är det är fråga om behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I 6 § 2 mom. i förslaget till dataskyddslag föreskrivs om skyddsåtgärder i samband med behandlingen av särskilda kategorier av personuppgifter. Dessa skyddsåtgärder tillämpas enligt 7 § 2 mom. i förslaget till dataskyddslag också på behandling av personuppgifter som rör fällande domar i brottmål och förseelser eller därmed sammanhängande säkerhetsåtgärder. I 6 § 2 mom. i förslaget till dataskyddslag nämns flera skyddsåtgärder. En av dem är kryptering av personuppgifter. Nedan granskas de sekretessbestämmelser som hänför sig till den gällande lagstiftningen och som kan betraktas som sådana skyddsåtgärder som avses ovan.
När det gäller den allmänna lagstiftningen kan det konstateras att till de uppgifter som avses i artikel 10 i dataskyddsförordningen hänför sig 24 § 1 mom. 28 punkten i offentlighetslagstiftningen, enligt vilken sekretessbelagda är ”en förvaltningsmyndighets handlingar och register med uppgifter om en dömd, en häktad eller en person som annars berövats sin frihet, om det inte är uppenbart att utlämnandet av uppgifter inte äventyrar personens framtida utkomst, anpassning i samhället eller säkerhet, och om det finns grundad anledning att lämna ut uppgiften”. Enligt nämnda bestämmelse i offentlighetslagen är sekretessbelagda också uppgifter som registrerats i till exempel straffregistret, bötesregistret, justitieförvaltningens riksomfattande informationssystem samt registret över djurhållningsförbud. Enligt 24 § 1 mom. 3 punkten i offentlighetslagen är sekretessbelagda handlingar anmälan om brott till polisen eller någon annan förundersökningsmyndighet, en åklagare eller en kontroll- och tillsynsmyndighet, handlingar som har mottagits eller uppgjorts för förundersökning och åtalsprövning samt stämningsansökan, stämning och svaromål på en stämning i brottmål, tills ärendet har tagits upp till behandling vid ett domstolssammanträde eller åklagaren beslutat att låta bli att väcka åtal eller ärendet avskrivits, om det inte är uppenbart att utlämnandet av uppgifter ur en sådan handling inte äventyrar brottsutredningen eller undersökningens syfte eller utan vägande skäl vållar den som har del i saken skada eller lidande eller hindrar domstolen från att utöva sin rätt att sekretessbelägga handlingar eller lagen om offentlighet vid rättegång i allmänna domstolar (370/2007). Till artikel 10 i dataskyddsförordningen hänför sig också till exempel bestämmelserna i den nämnda lagen om offentlighet vid rättegång i allmänna domstolar.
I jord- och skogsbruksministeriets lagstiftning finns det några exempel på bestämmelser med stöd av vilka myndigheter och organisationer som sköter offentliga förvaltningsuppgifter be-handlar personuppgifter som gäller brottsliga gärningar, straff och påföljder i samband med brott. I 64 § i påföljdssystemlagen för fiskeripolitiken föreskrivs om det s.k. överträdelseregistret. I registret införs uppgifter om straff och påföljder för gärningar som strider mot den gemensamma fiskeripolitiken. I registret införs straff och påföljder som bestämts både i administrativt förfarande och i en straffprocess. Bestämmelser om skyldighet att föra detta register ingår i EU-lagstiftningen. På medlemsstatsnivå och genom nationell lag har Landsbygdsverket ålagts att föra registret. I 58 § (förundersökningsmyndighetens, åklagarens och domstolens anmälningsskyldighet) i påföljdssystemlagen för fiskeripolitiken bestäms följande:
”Om ett brottmål som gäller en gärning eller försummelse som avses i 49 eller 51 § har kommit till förundersökningsmyndigheten för utredning av någon annan orsak än en polisanmälan av en i 2 kap. avsedd tillsynsmyndighet eller Landsbygdsverket, ska förundersökningsmyndigheten informera verket om detta och sända de handlingar som erhållits och upprättats för förundersökningen till Landsbygdsverket.
Förundersökningsmyndigheten, åklagaren och domstolen ska informera Landsbygdsverket om de beslut och domar som gäller gärningar och försummelser enligt 49 och 51 §.”
Enligt 32 § 1 mom. i lagen om utövning av veterinäryrket för Livsmedelssäkerhetsverket re-gister över veterinärer och i 2 mom. föreskrivs om de uppgifter som ska föras in i registret. Enligt 3 mom. kan Livsmedelssäkerhetsverket i veterinärregistret föra in uppgifter som förutsätts av skötseln av tillsynsuppgifterna enligt den lagen och som gäller varning eller bötes- eller fängelsestraff som en utövare av veterinäryrket tilldelats eller ådömts i sin yrkesutövning samt avsättning eller skiljande från tjänsteutövning. Dessa uppgifter kan i likhet med uppgifterna enligt 2 mom. föras in i registret även om beslutet i respektive fall inte vunnit laga kraft.
Enligt lagen om utövning av veterinäryrket utplånas de uppgifter som avses i 32 § 3 mom. ur veterinärregistret när tio år har förflutit från det att ifrågavarande beslut eller avgörande meddelades, om inte i matrikellagen (1010/1989) anges en längre tid för utplånandet av en anteckning. Registeranteckningar om straff utplånas också ur veterinärregistret när den gärning som var orsak till att straffet utdömdes inte längre är straffbar. Om en uppgift i veterinärregistret grundar sig på ett beslut som ännu inte vunnit laga kraft och beslutet senare upphävs, ska uppgiften utplånas omedelbart så snart beslutet om upphävande vunnit laga kraft.
Andra exempel på behandlingen av personuppgifter som hör till tillämpningsområdet för artikel 10 i dataskyddsförordningen är bestämmelserna om djurhållningsförbud och jaktförbud.
Enligt 4 § i lagen om registret över djurhållningsförbud (21/2011) får trots sekretessbestämmelserna uppgifter ur registret lämnas ut för tillsynen över att djurhållningsförbud iakttas, till i 34, 34 a och 35—37 § i djurskyddslagen nämnda myndigheter som sörjer för tillsynen (1 punkten) och för att registreras i det informationssystem som avses i lagen om landsbygdsnäringsförvaltningens informationssystem och användas för fullgörandet av sådana uppgifter inom jordbruks-, livsmedels- och landsbygdsnäringsförvaltningen där djurhållningsförbud i särskilt föreskrivna fall ska eller kan beaktas. Bestämmelser som tillåter behandling av djurhållningsförbud finns i 17 § i lagen om vissa programbaserade ersättningar till jordbrukare (1360/2014), i 16 § i lagen om nationella stöd till jordbruket och trädgårdsodlingen (1559/2001) och i 8 § i lagen om Europeiska unionens direktstöd till jordbruket (193/2013).
Enligt 78 a § i jaktlagen (615/1993) ska domstolen göra anmälan till den som ansvarar för jägarregistret (dvs. Finlands viltcentral) och till polisen på den persons hemort som meddelats jaktförbud om sitt beslut att utfärda jaktförbud. I 7 b § i lagen om jaktvårdsavgift föreskrivs om uppgifter som ska antecknas i jägarregistret. Jaktförbud som är i kraft är en av de uppgifter som ska antecknas i registret. I 7 c § i lagen om jaktvårdsavgift föreskrivs åter om vilka uppgifter som trots sekretessbestämmelserna får lämnas ut ur jägarregistret. Med stöd av den bestämmelsen får till exempel uppgifter om jaktförbud lämnas ut till jaktvårdsföreningarna för tillsynen.
Även i unionsrätten finns krav på att anmäla överträdelser till kommissionen. Exempelvis enligt punkt E.4 i bilaga I till kommissionens genomförandebeslut i enlighet med direktivet 2010/63/EU om skydd av djur som används för vetenskapliga ändamål (2012/707/EU) ska medlemsstaterna informera kommissionen om överträdelser av bestämmelserna. Information ska lämnas om arten av överträdelser och om rättsliga och administrativa åtgärder som vidtagits till följd av dessa överträdelser under rapporteringsperioden. I den mån som det bestäms någon annanstans i lagstiftningen om till exempel skyddsåtgärder i samband med behandling av uppgifterna i fråga ska de naturligtvis iakttas hos myndigheter och sådana som sköter offentliga förvaltningsuppgifter inom jord- och skogsbruksministeriets förvaltningsområde i den mån det hör till deras lagstadgade uppgifter att behandla sådana uppgifter. Enligt jord- och skogsbruksministeriets uppfattning gäller dataskyddsförordningens artikel inte administrativa påföljder. Om man senare kommer fram till ett sådant resultat att administrativa påföljder hör till tillämpningsområdet för artikel 10 i dataskyddsförordningen, anses i propositionen även då att det vore ändamålsenligt att föreskriva om behöriga skyddsåtgärder genom en allmän lag som hör till justitieministeriets förvaltningsområde. I detta sammanhang kan det konstateras att vid justitieministeriet pågår ett projekt med att bereda allmän lagstiftning som gäller administrativa påföljder av straffkaraktär (OM038:00/2017).
I propositionen anses att det föreskrivs på behörigt sätt i jord- och skogsbruksministeriets lagstiftning om i samband med skötseln av vilka uppgifter det är möjligt att behandla uppgifter som gäller brottsliga gärningar, straff eller påföljder för brott. Såsom konstaterats tidigare i detta kapitel innehåller förslaget till dataskyddslag en bestämmelser som gäller behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. I propositionen anses att sekretessbestämmelserna i 24 § 1 mom. 3 och 28 punkten i offentlighetslagen kan betraktas som sådana skyddsåtgärder som avses i artikel 10 i dataskyddsförordningen. I propositionen anses att det inte är nödvändigt att ändra lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde med avseende på artikel 10 i dataskyddsförordningen.
2.7.5
2.7.5 Kapitel III i dataskyddsförordningen
I kapitel III i dataskyddsförordningen bestäms om den registrerades rättigheter. I artikel 12 i dataskyddsförordningen finns en bestämmelse om information och procedurbestämmelser om utövandet av den registrerades rättigheter. Artiklarna 13 och 14 i dataskyddsförordningen innehåller bestämmelser om information till den registrerade. I artikel 15 i dataskyddsförordningen bestäms om den registrerades rätt till tillgång. Det sistnämnda motsvarar den registrerades rätt till insyn enligt personuppgiftslagen. Lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde har inga specialbestämmelser om de ovannämnda sakerna.
I kapitel III i dataskyddsförordningen bestäms om bland annat följande rättigheter som tillkommer den registrerade:
rätt till rättelse (artikel 16),
rätt till radering (artikel 17),
rätt till begränsning av behandling (artikel 18) och
rätt att göra invändningar mot behandling av personuppgifter (artikel 21).
Artikel 23 i dataskyddsförordningen tillåter att utövandet av de ovannämnda rättigheterna begränsas i unionsrätten eller i en medlemsstats nationella rätt när vissa villkor är uppfyllda. I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde är det i regel fråga om skötsel av lagstadgade uppgifter. Många lagstadgade uppgifter är förenade med utövning av offentlig makt. I det följande bedöms behovet av specialbestämmelser med avseende på skötseln av lagstadgade uppgifter.
Enligt artikel 16 i dataskyddsförordningen ska den registrerade ha rätt att av den personupp-giftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Enligt artikeln ska, med beaktande av ändamålet med behandlingen, den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Till denna del kan det konstateras att artikel 16 har kopplingar till artikel 5.1 d, där det bland annat konstateras att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas ska raderas. I propositionen anses att när man beaktar procedurbestämmelserna i artikel 12 i dataskyddsförordningen, tycks det inte finns något behov av sådana begränsningar av den registrerades rättigheter som avses i artikel 23 i dataskyddsförordningen när det gäller myndigheternas lagstadgade uppgifter.
I artikel 17 i dataskyddsförordningen bestäms om rätt till radering. Bestämmelserna om den registrerades rättigheter i artikel 17.1 och 17.2 ska inte gälla i den utsträckning som behandling är nödvändig ”För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige” (artikel 17.3 b). Med beaktande av ovannämnda undantag finns det inget behov av specialbestämmelser inom jord- och skogsbruksministeriets förvaltningsområde.
I artikel 18.1 i dataskyddsförordningen bestäms följande om den registrerades rätt att begränsa behandlingen av personuppgifter:
”Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen be-gränsas om något av följande alternativ är tillämpligt:
a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den person-uppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.
b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.
c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.”
I artikel 18.2 i dataskyddsförordningen konstateras att om ”behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat”. I det utkast till proposition som var på remiss ansågs att bestämmelsen tillåter behandling av personuppgifter om det är fråga om att utföra en uppgift som baserar sig på unionsrätten eller nationell rätt. Den ståndpunkten baserade sig på den svenska utredningen i anslutning till dataskyddsförordningen (SOU 2017:39, s. 122 och 123). I den svenska utredningen konstateras att det ska tydliggöras att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning eller om det är fråga om en uppgift som följer av lag eller annan författning och som utgör ett led i myndighetsutövning som utförs av den personuppgiftsansvarige (förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, 4 §, SOU 2017:39 s. 41). Dataskyddsombudsmannen konstaterade i sitt utlåtande i fråga om motiveringen i jord- och skogsbruksministeriets utkast till proposition att enbart den omständigheten att behandlingen av personuppgifter baserar sig på en lagstadgad uppgift är enligt ombudsmannens åsikt inte en tillräcklig grund för att begränsa tillämpningen av artikel 18. Ombudsmannen hänvisade i sitt utlåtande till möjligheten att begränsa den registrerades rätt med stöd av artikel 23, förutsatt att de andra villkoren i den artikeln är uppfyllda.
I förslaget till dataskyddslag intogs ingen bestämmelse som skulle innebära undantag från artikel 18 i dataskyddsförordningen för den offentliga sektorns del. Den allmänna lagen tycks således få undantag från artikel 18 endast i den mån det är fråga om behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål (27 § i förslaget till dataskyddslag), för vetenskapliga och historiska forskningsändamål samt statistiska ändamål (31 § i förslaget till dataskyddslag) samt för arkivändamål av allmänt intresse (32 § i förslaget till dataskyddslag). I detta sammanhang kan det konstateras att i Sverige är avsikten att i den allmänna lagen ta in ett allmänt bemyndigande som gör det möjligt att begränsa den registrerades rättigheter med stöd av artikel 23 samt artikel 89.2 och 89.3 i dataskyddsförordningen (Regeringens proposition 2017/18:105, förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, 5 kap. 3 §).
Jord- och skogsbruksministeriet känner till att avsikten är att i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) ta in en bestämmelse som innebär att man avviker från rättigheterna enligt artikel 18 i dataskyddsförordningen (VM144:00/2017). Avvikelsen gäller samtliga leda i artikel 18.1. Likaså är avsikten att i vissa speciallagar inom social- och hälsovårdsministeriets förvaltningsområde ta in en bestämmelse om undantag från artikel 18 (STM/3551/2017). I det sistnämnda utkastet till proposition gäller specialbestämmelsen inte samtliga led i artikel 18.1 i dataskyddsförordningen.
I skäl 67 i dataskyddsförordningen, som hänför sig till artikel 18, konstateras följande:
”Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man till-fälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.”
Förvaltningslagens syfte är att genomföra och främja god förvaltning samt rättsskydd i förvaltningsärenden. Enligt artikel 18.1 i dataskyddsförordningen får den registrerade kräva att behandlingen av hans eller hennes personuppgifter begränsas om den registrerade bestrider personuppgifternas korrekthet. I propositionen anses att i den mån bestämmelserna om utredning av ärenden och hörande av parter i 6 kap. i förvaltningslagen tillämpas, är det inte nödvändigt att tillämpa artikel 18.1 a i dataskyddsförordningen. Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. Där sägs också att i all offentlig verksamhet ska lag noggrant iakttas. De föreslagna bestämmelserna, enligt vilka artikel 18 i dataskyddsförordningen inte ska tillämpas på behandling av personuppgifter, innebär att behandlingen av personuppgifter inte i dessa fall begränsas på det sätt som avses i dataskyddsförordningen. Den registrerade kan alltså göra sådana invändningar som avses i artikel 18.1 a och b och den personuppgiftsansvarige är skyldig att avgöra ärendena enligt förvaltningslagen.
I propositionen anses att i den mån det är fråga om att den registrerade påstår att uppgifterna inte är korrekta, kan den registrerade kräva att uppgifterna rättas med stöd av artikel 16 i dataskyddsförordningen. I 25 § i förvaltningslagen föreskrivs om gemensam behandling av ärenden. Den personuppgiftsansvarige ska direkt med stöd av förvaltningslagen se till att ett eventuellt annat pågående förvaltningsärende och kravet på att uppgifterna ska rättas behandlas gemensamt, om de har koppling till varandra. I propositionen anses att innan ett ärende som gäller uppgifternas korrekthet, har den personuppgiftsansvarige inte rätt att lämna ut dessa uppgifter till utomstående. Detta baserar sig på att utlämnande är ett sätt att behandla personuppgifter och då måste kraven i artikel 5 i dataskyddsförordningen iakttas (här korrekthet).
I propositionen anses att i den mån den registrerade anser att behandlingen av hans eller hennes personuppgifter är olaglig, kan han eller hon antingen inleda ärendet i enlighet med artikel 77 i dataskyddsförordningen (dvs. lämna in klagomål till en tillsynsmyndighet) eller alternativt kan den registrerade med stöd av förvaltningslagen inleda krav på att den olagliga behandlingen av personuppgifter ska upphöra. I den sistnämnda situationen ska den personuppgiftsansvarige avgöra saken med iakttagande av förvaltningslagens procedurbestämmelser.
Såsom redan konstaterats genomför och främjar just förvaltningslagens bestämmelser god förvaltning samt rättsskydd i förvaltningsärenden. I fråga om den registrerades rättsskydd kan dessutom konstateras att i ovannämnda fall kan den registrerade utnyttja andra rättigheter som anges i kapitel III (den registrerades rättigheter) och i kapitel VIII (rättsmedel, ansvar och sanktioner) i dataskyddsförordningen. Av denna orsak anser man att det i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde borde föreskrivas om undantag från artikel 18.1 a och b i dataskyddsförordningen i den mån det är fråga om behandling av personuppgifter som hänför sig till verksamhet på vilken allmän förvaltningslagar tillämpas. Bestämmelserna tas in delvis i organisationslagarna och delvis i de materiella lagarna. Dessutom tas en sådan bestämmelse in i informationssystemslagen. I propositionen anses att utöver de ovan anföra allmänna legislativa specialvillkor som hänför sig till myndigheternas verksamhet är fastighetsdatasystemet och dess samhälleliga betydelse förenat med särskilda grunder för att det nationella spelrum som dataskyddsförordningen tillåter ska utnyttjas i fråga om fastighetsdatasystemet. I propositionen föreslås det undantag från samtliga led i artikel 18.1 i dataskyddsförordningen i fråga om uppgifterna i fastighetsdatasystemet. I detta avseende är det således nödvändigt att begränsa den registrerades rätt enligt förordningen att begränsa behandlingen av hans eller hennes personuppgifter.
Fastighetsdatasystemet innehåller de uppgifter som avses i fastighetsregisterlagen (392/1985) och de uppgifter som skall antecknas i lagfarts- och inteckningsregistret samt andra uppgifter i enlighet med vad som bestäms någon annanstans i lag. Fastighetsindelningen (fastighetsregistret) lägger i praktiken grunden för ägandet av fast egendom och fastighetssystemet. Lagfarts- och fastighetsregistret innehåller åter uppgifter om fastigheters ägare (lagfart), inteckningar som riktar sig mot fastigheten samt särskilda rättigheter (t.ex. legorätt och avtal om delning av besittningen). Lagfarts- och inteckningsregistret är ett offentligt tillförlitligt register.
Fastighetsdatasystemets uppgifter om fastighetsenheter samt deras innehav och användning som säkerheter utgör tillsammans en så kallad basregisterhelhet. Tillförlitliga fastighets- samt lagfarts- och inteckningsregister som upprätthålls kontinuerligt är i praktiken en absolut förutsättning för ett oavbrutet fungerande kreditgivnings- och säkerhetssystem och för att rättskyddet för parter i rättshandlingar som gäller fastigheter ska tillgodoses.
Nämnda uppgifter i fastighetsdatasystemet utgör i praktiken grund för kreditgivning, och således är det kritiskt för myndigheternas och kreditinstitutens verksamhet att uppgifterna är kontinuerligt tillgängliga. Ett fullskaligt utnyttjande av rätten till begränsning enligt artikel 18 i dataskyddsförordningen kunde därför i praktiken äventyra centrala processer i anslutning till fastighetsomsättning och säkerhetspraxis i samhället. Av ovan anförda orsaker anses ett undantag från tillämpningen av artikel 18 nödvändigt.
I artikel 23 i dataskyddsförordningen föreskrivs följande:
”1. Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten,
b) försvaret,
c) den allmänna säkerheten,
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,
e) andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,
f) skydd av rättsväsendets oberoende och rättsliga åtgärder,
g) förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,
h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,
i) skydd av den registrerade eller andras rättigheter och friheter,
j) verkställighet av civilrättsliga krav.
2. Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.”
Såsom redan konstaterats ovan ska man avvika från tillämpningen av artikel 18 inom jord- och skogsbruksministeriets tillämpningsområde i den mån det är fråga om personuppgiftsansvariga som ska iaktta förvaltningslagen. Av de grunder som nämns i artikel 23.1 i dataskyddsförordningen är det då fråga om ”andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse” (led e) och ”en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g”.
I propositionen anses att när det gäller artikel 18.1 a och b i dataskyddsförordningen finns det tillräckliga grunder till undantag i fråga om lagstadgade uppgifter. Med lagstadgade uppgifter avses här alltså myndighetsuppgifter och offentliga förvaltningsuppgifter. Dessutom är saken begränsad till endast en artikel (artikel 18) i dataskyddsförordningen och även där till endast två led. För fastighetsdatasystemets del ska undantaget gälla samtliga led i artikel 18.1. Beträffande artikel 18.1 d kan man dock konstatera att i praktiken är den inte tillämplig när grunden för behandling av personuppgifter är en lagstadgad uppgift. I bestämmelsen hänvisas till den registrerades rätt enligt artikel 21 att invända mot behandling av personuppgifter. Denna rätt föreligger inte när grunden för behandling av personuppgifter är en lagstadgad uppgift.
I fråga om artikel 18.1 a i dataskyddsförordningen kan det konstateras att en registrerad kan även för närvarande inleda ett ärende där han eller hon kräver att felaktiga uppgifter ska rättas. I 29 § i personuppgiftslagen föreskrivs om rättelse av uppgifter. En personuppgiftsansvarig på vilken förvaltningslagen tillämpas ska naturligtvis iaktta den lagen vid behandlingen av personuppgifter. I fråga om artikel 18.1 b i dataskyddsförordningen kan det åter konstateras att den registrerade kan med stöd av förvaltningslagen framställa krav till myndigheten på att lagstridig behandling av personuppgifter ska upphöra. Alternativt kan den registrerade framföra klagomål. Den nya rätt som dataskyddsförordningen medför innebär egentligen bara det att behandlingen av personuppgifter inte begränsas på det sätt som avses i artikel 4.3 i dataskyddsförordningen, dvs. att informationssystemen förses med nya funktioner som gör det möjligt att stoppa behandlingen av uppgifter eller flytta uppgifter till ett annat informationssystem.
För fastighetsdatasystemets del ska undantaget gälla samtliga led i artikel 18.1.
I artikel 23 i dataskyddsförordningen bestäms att en sådan begränsning ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. I propositionen anses att detta villkor uppfylls. De centrala delarna i den registrerades rättsskydd har tillgodosetts genom att myndigheter och de som sköter offentliga förvaltningsuppgifter iakttar allmänna förvaltningslagar. Även om den registrerade inte kan utöva just den rätt som avses i artikel 18 i dataskyddsförordningen, kan den registrerade i anslutning till sitt ärende (till exempel felaktiga uppgifter eller olaglig behandling) utöva till exempel följande rättigheter:
- den registrerades rätt till tillgång (artikel 15.)
- rätt till rättelse (artikel 16) och
- rätt att lämna in klagomål till en tillsynsmyndighet (artikel 77).
Dessutom säkerställs den registrerades rättsskydd av andra förvaltningsbestämmelser (bestämmelser om tjänsteansvar samt laglighetsövervakning).
Enligt artikel 18 i dataskyddsförordningen har den registrerade alltså rätt att kräva att behandlingen av hans eller hennes personuppgifter begränsas. I artikel 18.2 bestäms att om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, behandlas bland annat för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat. I propositionen anses att om en myndighet eller en enskild genom lag har tilldelats en förvaltningsuppgift, kan denna förvaltningsuppgift vara ett allmänintresse för en medlemsstat, dvs. i detta fall Finland. Om dessa förvaltningsuppgifter inte vore ett allmänintresse, skulle det inte ha föreskrivits om skötseln av dem genom lag. Det ankommer på varje medlemsstat att fastställa vad som är dess allmänintresse. Likaså kan man anse att det är ett allmänintresse för en medlemsstat, dvs. Finland, att en registrerad inte genom krav baserade på artikel 18 i onödan kan äventyra skötseln av en sådan uppgift hos en myndighet eller en organisation inom den indirekta statsförvaltningen som grundar sig på unionslagstiftning eller nationell rätt. I propositionen anses att på ovannämnt sätt sammanjämkas den registrerades rätt och ett viktigt allmänintresse för medlemsstaten.
I artikel 20 i dataskyddsförordningen bestäms om rätt till dataportabilitet. Enligt artikel 20.3 ska den rätten inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Med beaktande av ovannämnda undantag finns det inget behov av specialbestämmelser inom jord- och skogsbruksministeriets förvaltningsområde.
I artikel 21.1 i dataskyddsförordningen bestäms följande om rätten att göra invändningar mot behandling av personuppgifter:
”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”
Ovannämnda artikel 6.1 e och f gäller följande situationer där personuppgifter behandlas:
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e).
Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).
I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde är grunden för be-handling av personuppgifter huvudsakligen lagstadgade uppgifter (artikel 6.1 c i dataskydds-förordningen). Artikel 21 i dataskyddsförordningen är inte tillämpliga i fråga om lagstadgade uppgifter. Med stöd av vad som anförts ovan anses att det inte finns något behov av sådana begränsningar som nämns i artikel 23 i dataskyddsförordningen i fråga om artikel 21.
2.7.6
2.7.6 Kapitel IV i dataskyddsförordningen
I kapitel IV i dataskyddsförordningen bestäms om personuppgiftsansvarig och personuppgiftsbiträde. Med personuppgiftsbiträde avses enligt artikel 4.8 i dataskyddsförordningen ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. I definitionen hänvisas till de situationer där den personuppgiftsansvarige har lagt ut uppgifter i anslutning till registerföringen.
Av bestämmelserna i kapitel IV i dataskyddsförordningen hänför sig bestämmelserna om gemensamt personuppgiftsansvariga och personuppgiftsbiträde till vissa bestämmelser inom jord- och skogsbruksministeriets förvaltningsområde. I övrigt finns det inga bestämmelser med anknytning till kapitel IV i dataskyddsförordningen i lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde.
I artikel 26 i dataskyddsförordningen bestäms följande om gemensamt personuppgiftsansvariga:
”1. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.
3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.”
Utifrån bestämmelsen ovan kan man konstatera att det bestäms om gemensamt registeransvariga i jord- och skogsbruksministeriets lagstiftning. Det är inte möjligt för myndigheter eller instanser som sköter en offentlig förvaltningsuppgift att vara gemensamt registeransvariga enbart genom ett inbördes arrangemang mellan de registeransvariga. Myndighetsverksamhet och skötsel av offentliga förvaltningsuppgifter baserar sig på lag.
Inom jord- och skogsbruksministeriets förvaltningsområde finns det några exempel på hur gemensamt registeransvariga har angetts på lagnivå. I 5 § i informationssystemslagen anges de registeransvariga för landsbygdsnäringsförvaltningens informationssystem och till vilka delar dessa ansvarar för att uppgifterna i informationssystemet är riktiga. I 92 § i lagen om fiske anges de registeransvariga för fiskeriförvaltningens informationssystem och till vilka delar de ansvarar för att uppgifterna i informationssystemet är riktiga. I 38 § i påföljdssystemlagen för fiskeripolitiken finns en motsvarande bestämmelse. I propositionen anses att dessa bestämmelser är förenliga med artikel 26 i dataskyddsförordningen.
I artikel 28 i dataskyddsförordningen bestäms om personuppgiftsbiträdens förpliktelser, dvs. uppgifter i anslutning till utläggning av registerföringsuppgifter. I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns ingen reglering som överlappar artikel 28. I lagstiftningen finns några exempel på utläggning av registerföring. I 7 a § i lagen om viltvårdsavgift finns en bestämmelse om utläggning av uppgifter i anslutning till jägarregistret. Bestämmelser om möjlighet till utläggning finns också i 7 § i lagen om ett system för identifiering av djur. När det gäller dessa bestämmelser kan man konstatera att där är det fråga om att en offentlig förvaltningsuppgift som avses i 124 § i grundlagen överförs på en enskild. Av dataskyddsförordningens ingress (skäl 41) framgår att avsikten med de bestämmelser i dataskyddsförordningen som hänför sig till lagstiftningsåtgärder inte är att påverka krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten. Av denna orsak anses i propositionen att de bestämmelser om utläggning av registerföring som hänför sig till 124 § i grundlagen är förenliga med dataskyddsförordningen. Dataskyddsförordningens bestämmelser blir tillämpliga på sådana utlagda registerföringsuppgifter utan att det behöver föreskrivas särskilt om saken.
2.7.7
2.7.7 Kapitel V i dataskyddsförordningen
I kapitel V i dataskyddsförordningen bestäms om överföring av personuppgifter till tredjeländer eller internationella organisationer. De villkor som anges i kapitlet i fråga ska vara upp-fyllda för att överföring av personuppgifter till tredjeländer och internationella organisationer ska vara förenlig med dataskyddsförordningen.
I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns flera exempel på bestämmelser som gäller överföring av personuppgifter till tredjeländer eller internationella organisationer. Sådana finns till exempel i 9 § i informationssystemslagen, i 52 § i lagen om animaliska biprodukter, i 40 § i lagen om medicinsk behandling av djur, i 32 § i lagen om växtskyddsmedel och i 33 § i lagen om utövning av veterinäryrket. Med undantag av den sistnämnda gäller bestämmelserna utlämnande av uppgifter trots sekretessbestämmelserna. I de bestämmelser inom jord- och skogsbruksministeriets förvaltningsområde som gäller utlämnande av uppgifter till tredjeländer och internationella organisationer bestäms inte desto noggrannare om villkoren för utlämnande eller förfarandet vid utlämnande och sålunda är det inte nödvändigt att ändra bestämmelserna. För närvarande tillämpas 5 kap. i personuppgiftslagen på utlämnande. I fortsättningen tillämpas kapitel V i dataskyddsförordningen.
2.7.8
2.7.8 Kapitel VIII i dataskyddsförordningen
I kapitel VIII i dataskyddsförordningen bestäms om rättsmedel, ansvar och påföljder. I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns inga specialbestämmelser om rättsmedel eller påföljder i anslutning till behandlingen av personuppgifter. Till denna del finns det inga behov av att ändra ministeriets lagstiftning.
I artikel 82 i dataskyddsförordningen bestäms följande om ansvar och rätt till ersättning:
”1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personupp-giftsbiträdet för den uppkomna skadan.
2. Varje personuppgiftsansvarig som medverkat vid behandlingen ska ansvara för skada som orsakats av behandling som strider mot denna förordning. Ett personuppgiftsbiträde ska an-svara för skada uppkommen till följd av behandlingen endast om denne inte har fullgjort de skyldigheter i denna förordning som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.
3. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska undgå ansvar enligt punkt 2 om den visar att den inte på något sätt är ansvarig för den händelse som orsakade skadan.
4. Om mer än en personuppgiftsansvarig eller ett personuppgiftsbiträde, eller både en person-uppgiftsansvarig och ett personuppgiftsbiträde, har medverkat vid samma behandling, och om de enligt punkterna 2 och 3 är ansvariga för eventuell skada som behandlingen orsakat ska varje personuppgiftsansvarig eller personuppgiftsbiträde hållas ansvarig för hela skadan för att säkerställa att den registrerade får effektiv ersättning.
5. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, i enlighet med punkt 4, har betalat full ersättning för den skada som orsakats ska den personuppgiftsansvarige eller personuppgiftsbiträdet ha rätt att från de andra personuppgiftsansvariga eller personuppgiftsbiträdena som medverkat vid samma behandling återkräva den del av ersättningen som motsvarar deras del av ansvaret för skadan i enlighet med de villkor som fastställs i punkt 2.
6. Domstolsförfaranden för utövande av rätten till ersättning ska tas upp vid de domstolar som är behöriga enligt den nationella rätten i den medlemsstat som avses i artikel 79.2.”
I lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde finns det flera exempel på hur gemensamt personuppgiftsansvarigas ansvar för att uppgifterna är riktiga bestäms. Saken granskas i avsnitt 2.7.6 ovan. I samband med dessa bestämmelser har det dock inte föreskrivits om ersättning för skador, och därför anses bestämmelserna inte innehålla någon sådan reglering som borde granskas med avseende på artikel 82 i dataskyddsförordningen.
I 11 § i fastighetsregisterlagen bestäms om ersättning för skada som orsakats av en oriktig uppgift i fastighetsregistret. Dessutom bestäms det i 8 § i fastighetsdatasystemlagen om ersättning för skada på grund av ett fel eller en brist i uppgifter som lämnats ut ur fastighetsdatasystemet. I propositionen anses att det är nödvändigt att till de nämnda lagarna foga en bestämmelse av vilken det framgår att artikel 82 i dataskyddsförordningen tillämpas på ersättning för skada som orsakats av överträdelse av förordningen.
2.7.9
2.7.9 Kapitel IX i dataskyddsförordningen
Kapitel IX i dataskyddsförordningen innehåller bestämmelser om särskilda behandlingssituationer. Artikel 85 gäller yttrandefriheten. I detta avseende finns inga specialbestämmelser i jord- och skogsbruksministeriets lagstiftning. Av bestämmelserna i kapitlet hänför sig däremot artikel 86, som gäller behandling av personuppgifter och handlingsoffentlighet, till lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde. I avsnitt 2.7.1 (underrubriken Utlämnande av uppgifter) i den allmänna motiveringen granskas huruvida bestämmelserna om utlämnande i ministeriets lagstiftning är förenliga med förordningen.
I artikel 87 i dataskyddsförordningen föreskrivs om behandling av identifikationsnummer, dvs. personbeteckning. I detta avseende iakttas personuppgiftslagen i jord-och skogsbruksministeriets lagstiftning. I fortsättningen iakttas bestämmelserna i den nya allmänna lagen (förslaget till dataskyddslag) i fråga om personbeteckning. I 6 § i fastighetsdatasystemlagen finns en bestämmelse om personbeteckning. I propositionen anses att det inte längre finns något behov av den specialbestämmelsen.
Artikel 85 i förordningen gäller yttrandefrihet och artikel 88 behandling i anställningsförhål-landen. Jord- och skogsbruksministeriets lagstiftning innehåller inga specialbestämmelser i detta avseende.
Artikel 89 i dataskyddsförordningen gäller arkivering, vetenskaplig och historisk forskning samt statistiska ändamål. I detta avseende iakttas den gälla allmänna lagstiftningen i jord- och skogsbruksministeriets lagstiftning. Enligt 1 § i lagen om livsmedels- och naturresursstatistik tillämpas statistiklagen på grunderna för insamling, organisering och bearbetning av uppgifter, framställning av statistik samt på sekretess för och utlämnande av uppgifter, om inte något annat föreskrivs nedan i den aktuella lagen. Lagen innehåller inga egentliga bestämmelser om behandling av personuppgifter. I 3 § föreskrivs om skyldighet att lämna uppgifter. Lagens 3 § gäller för det första skyldighet för vissa privata aktörer att lämna uppgifter. Dessutom gäller bestämmelsen skyldighet för vissa myndigheter samt aktörer som sköter offentliga förvaltningsuppgifter samt Lantbruksföretagarnas pensionsanstalt att lämna uppgifter till Naturresursinstitutet trots sekretessbestämmelserna. Det sistnämnda har att göra med handlingsoffentlighet. Med stöd av artikel 86 i dataskyddsförordningen är det möjligt att sammanjämka bestämmelser om skydd av personuppgifter och offentlighet och sekretess för handlingar. Enskilda aktörers skyldighet att lämna uppgifter gäller i huvudsak andra än fysiska personer. Naturresursinstitutet ska dock i den mån som de uppgifter som lämnats det är personuppgifter iaktta de allmänna bestämmelserna om skydd av personuppgifter (för närvarande personuppgiftslagen och i fortsättningen dataskyddsförordningen och den föreslagna dataskyddslagen) och statistiklagen.
Artikel 90 i dataskyddsförordningen gäller tystnadsplikt i vissa fall och artikel 91 kyrkor och religiösa samfund. I detta avseende finns det inga specialbestämmelser i jord- och skogsbruksministeriets lagstiftning.
2.7.10
2.7.10 Dataskyddsdirektivet
Enligt artikel 2 i dataskyddsdirektivet ska dataskyddsdirektivet tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den punkten nämns behandling av personuppgifter ”i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. I dataskyddsdirektivet avses med behörig myndighet
”en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten”.
Avsikten är att genomföra dataskyddsdirektivet genom en allmän lag. Betänkandet av arbets-gruppen för genomförandet av dataskyddsdirektivet innehåller ett utkast till regeringens pro-position till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (nedan RP-utkastet som gäller dataskyddsdirektivet). Huvudpunkterna i betänkandet beskrivs i avsnitt 2.6 i den allmänna motiveringen i denna proposition. I avsnitt 5.2 i den allmänna motiveringen i RP-utkastet som gäller dataskyddsdirektivet konstateras följande:
”För att lagen ska bli tillämplig är det nödvändigt att beakta såväl dess materiella som dess organisatoriska tillämpningsområde. Lagen ska tillämpas av myndigheter vilkas behörighet omfattar att förebygga, förhindra, avslöja, utreda och lagföra brott samt att döma ut och verkställa straffrättsliga påföljder. Sådana myndigheter är bland annat polisen, Gränsbevakningsväsendet, Tullen, åklagarna, domstolarna och Brottspåföljdsverket. Dessa myndigheter ska emellertid tillämpa den föreslagna lagen endast då att de behandlar personuppgifter i ovannämnda syften, dvs. till exempel i samband med utredning av brott eller handläggning av ett brottmål i domstolen. Exempelvis när polisen behandlar personuppgifter i samband med ett ansökningsärende ska den allmänna dataskyddsförordningen och den nationella lagstiftning som kompletterar den tillämpas i stället för den föreslagna lagen.”
Avsikten är således att den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (nedan förslaget till lag om genomförande av dataskyddsdirektivet) ska tillämpas på polisens och andra behöriga myndigheters behandling av personuppgifter i brottmål.
Av lagstiftningen inom jord- och skogsbruksministeriets förvaltningsområde innehåller jakt- och fiskeövervakningslagen reglering beträffande vilken det måste utredas om den helt och hållet eller endast delvis hör till tillämpningsområdet för förslaget till lag om genomförande av dataskyddsdirektivet. Med tanke på tillämpningsområdet för förslaget till lag om genomförande av dataskyddsdirektivet är det å ena sidan av betydelse vad som är syftet med behandlingen av personuppgifter och å andra sidan huruvida personuppgifterna behandlas av en behörig myndighet som avses i 3 § i förslaget till lag om genomförande av dataskyddsdirektivet. Av dataskyddsdirektivets ingress (skäl 11) framgår att en myndighet antingen kan vara behörig eller inte vara behörig beroende på vilka uppgifter myndigheten sköter.
I 1 § i jakt- och fiskeövervakningslagen sägs att ”syftet med jakt- och fiskeövervakning enligt denna lag är att främja och övervaka att de av statens områden som är i Forststyrelsens besittning används lagenligt och att förebygga och, i den omfattning det ingår i jakt- och fiskeövervakningen, utreda brott i anslutning till detta”
I 2 § i jakt- och fiskeövervakningslagen definieras jakt- och fiskeövervakning som följer:
”Med jakt- och fiskeövervakning avses i denna lag och i bestämmelser som utfärdats med stöd av den tillsyn över efterlevnaden av
1) bestämmelserna om jakt, fiske, naturskydd, behandling av vilda djur, uppgörande av öppen eld och nedskräpning,
2) bestämmelserna om förebyggande av terrängtrafikens negativa effekter med tanke på naturnäringarna, naturen och ett allmänt nyttjande av naturen för rekreation samt något annat allmänt intresse och om rätten att färdas i terrängen med motordrivna fordon,
3) sjötrafikbestämmelserna om skydd för fisket och andra näringar, naturen och ett allmänt nyttjande av naturen för rekreation samt något annat allmänt intresse,
4) bestämmelserna om skjutvapen och skjutförnödenheter, på det sätt som föreskrivs i skjut-vapenlagen (1/1998).
I jakt- och fiskeövervakningen ingår dessutom bevakning av statens områden och övriga egendom som är i Forststyrelsens besittning.
Med avvikelse från 1 mom. omfattar jakt- och fiskeövervakningen inte tillsyn över att lagen om verkställighet av Europeiska gemenskapens gemensamma fiskeripolitik (1139/1994) och bestämmelser som utfärdats med stöd av den iakttas.”
I förarbetena till jakt- och fiskeövervakningslagen konstateras följande i detaljmotiveringen till 2 § 2 mom. (RP 147/2005 rd):
”Enligt 2 mom. ingår i jakt- och fiskeövervakningen enligt denna lag dessutom övervakning av statens skogsegendom och övriga egendom som är i Forststyrelsens besittning. Avsikten med bestämmelsen är att få till stånd en allmän tillsyn över användningen av statens områden och att förebygga skadegörelse, snatteri och andra liknande förseelser som riktar sig mot egendomen. ”
I början av grundlagsutskottets utlåtande om jakt- och fiskeövervakningslagen konstateras följande (GrUU 46/2005 rd):
”Regeringen föreslår en lag om Forststyrelsens jakt- och fiskeövervakning. Syftet är att främja och övervaka att statens områden i Forststyrelsens besittning används lagenligt och på ett hållbart sätt och att förebygga och utreda brott i områdena.”
I 13 § i jakt- och fiskeövervakningslagen föreskrivs följande:
”En jakt- och fiskeövervakare ska göra en summarisk förundersökning enligt 11 kap. 2 § i förundersökningslagen (805/2011) för att utreda ett brottmål som avses i denna lag, om ärendet är enkelt och klart och gärningen enligt allmän straffpraxis inte kan förutses medföra strängare straff än böter. I fråga om förundersökning gäller vad som särskilt föreskrivs om den.
Om en undersökning kräver mer ingående åtgärder än summarisk förundersökning eller förutsätter att någon anländer till ett särskilt förhör eller om det har varit nödvändigt att ta till maktmedel vid övervakningen, skall undersökningen utan dröjsmål överföras till polisen. Jakt- och fiskeövervakaren skall dock ta hand om de åtgärder som är nödvändiga för att förundersökningen skall kunna inledas och tryggas.”
Vanliga brottsbeteckningar vid förundersökning som görs som ett led i jakt- och fiskeövervakning är
olovlig fångst (28 kap. 10 § i strafflagen (39/1889))
fiskeförseelse (12 kap. 118 § i lagen om fiske)
jaktförseelse (10 kap. 74 § i jaktlagen)
skjutvapenförseelse (9 kap. 103 § i skjutvapenlagen (1/1998))
terrängtrafikförseelse (4 kap. 25 § i terrängtrafiklagen (1710/1995))
naturskyddsförseelse (8 kap. 58 § i naturvårdslagen (1096/1996))
sjötrafikförseelse (5 kap. 24 § i sjötrafiklagen (463/1996))
djurskyddsförseelse (6 kap. 54 § i djurskyddslagen)
brott mot avfallslagen (15 kap. 147 § i avfallslagen (646/2011))
räddningsförseelse (15 kap. 106 § i räddningslagen (379/2011))
snatteri (28 kap. 3 § i strafflagen)
lindrig skadegörelse (35 kap. 3 § i strafflagen).
De brottsbeteckningar som undersöks ska naturligtvis hänföra sig till jakt- och fiskeövervakning som definieras i 2 § i jakt- och fiskeövervakningslagen. Om brottsbeteckningen är snatteri, kan det till exempel vara fråga om att någon olovligt tagit en julgran på statens mark. Om brottsbeteckningen är lindrig skadegörelse, kan det till exempel vara fråga om att någon förstört ett plantbestånd med fyrhjuling. Om brottsbeteckningen åter är räddningsförseelse, kan det vara fråga om att någon gjort upp öppen eld utan markägarens tillstånd.
Summarisk förundersökning som görs som ett led i jakt- och fiskeövervakningen betyder ett enkelt och klart brottmål, där inget annat straff än böter förväntas. För summarisk förunder-sökning används informationssystemet för polisärenden (PATJA). Användningen av informationssystemet för polisärenden baserar sig på 14 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003), som tillåter att jakt- och fiskeövervakarna och vissa andra myndigheter som nämns i lagen lämnar ut uppgifter till polisens personregister genom registrering vid direkt anslutning. En bestämmelse med samma innehåll föreslås ingå i den nya lag om behandling av personuppgifter i polisens verksamhet [utkast till regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet 21.12.2017; (SM064:00/2015)] som håller på att utarbetas.
I detaljmotiveringen till 1 § i RP-utkastet som gäller dataskyddsdirektivet konstateras följande:
”Exempelvis polisen har flera uppgifter som hör till tillämpningsområdet för den föreslagna lagen, såsom förundersökning av brott. Polisen sköter emellertid även andra uppgifter än sådana som har anknytning till brottsbekämpning, till exempel när man behandlar passansökningar. Den föreslagna lagen ska inte tillämpas på sådan behandling, utan den allmänna dataskyddsförordningen och den nationella lagstiftning som kompletterar den. Till lagens tillämpningsområde ska inte heller höra behandling av personuppgifter inom personalförvaltning, asylärenden, invandring, gränskontroll, eller bankers behandling av personuppgifter. Behandlingsåtgärder som gäller dessa ärenden och situationer hör till den allmänna dataskyddsförordningens tillämpningsområde.”
Med stöd av vad som anförts ovan anses i propositionen att när det gäller ovannämnda summarisk förundersökning är Forststyrelsens jakt- och fiskeövervakare en sådan behörig myndighet som avses i förslaget till lag om genomförande av dataskyddsdirektivet. I förslaget till genomförandelag har intagits den definition av behörig myndighet som finns i artikel 2.7 b i dataskyddsdirektivet.
På en myndighet som har till uppgift att förhindra brott kan det också ankomma andra uppgifter än tillsynsuppgifter på vilka dataskyddsförordningen ska tillämpas. Exempelvis i inrikesministeriets utkast till regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhets föreslås att de tillståndsadministrativa uppgifter och tillsynsuppgifter i anslutning till dem som föreskrivits för polisen ska höra till dataskyddsförordningens tillämpningsområde. I detaljmotiveringen till 1 § i RP-utkastet som gäller dataskyddsdirektivet nämns att till exempel gränskontrollen och Tullens tillsynsuppgift hör till dataskyddsförordningens tillämpningsområde. Dessutom kan det konstateras att myndigheter i allmänhet regelmässigt har övervakningsuppgifter. En myndighet kan i samband med en tillsynskontroll konstatera att lagen inte har följts i fråga om någon verksamhet. I vissa fall kan en inspektion ge upphov till en brottsmisstanke. Det betyder ändå inte nödvändigtvis att syftet med tillsynen är att förhindra brott.
Utifrån de förarbeten till jakt- och fiskeövervakningslagen som nämns tidigare i detta kapitel tycks det vara så att för jakt- och fiskeövervakningens del är det allmänt fråga om att övervaka att lagen följs, och som ett led i detta kan det också bli fråga om att förebygga brott (RP 147/2005 rd och GrUU 46/2005 rd). Jakt- och fiskeövervakning kan emellertid jämföras med tillsyn som utförs av andra myndigheter i det avseendet att jakt- och fiskeövervakningsåtgärder inte nödvändigtvis leder till förundersökning eller till att ärendet överförs till polisen för prövning. Det har konstaterats ovan att till exempel gränskontroll och Tullens tillsynsåtgärder hör till dataskyddsförordningens tillämpningsområde. Även om jakt- och fiskeövervakarna helt klart är sådana myndigheter som avses i förslaget till lag om genomförande av dataskyddsdirektivet när det gäller summarisk förundersökning, betyder det inte att jakt- och fiskeövervakarna är sådana behöriga myndigheter som avses i förslaget till lag om genomförande av dataskyddsdirektivet i fråga om alla andra uppgifter enligt jakt- och fiskeövervakningslagen. På behandlingen av personuppgifter i anslutning till skötseln av dessa andra uppgifter ska dataskyddsförordningen och den föreslagna dataskyddslagen tillämpas när personuppgifter inte behandlas i de syften som anges i artikel 1.1 i dataskyddsdirektivet.
Forststyrelsens jakt- och fiskeövervakare är dock sådan behörig myndighet som avses i förslaget till lag om genomförande av dataskyddsdirektivet inte bara i fråga om summarisk förundersökning utan också när det gäller jakt- och fiskeövervakningsuppgifter i anslutning till förebyggandet av brott, eftersom förebyggandet av brott enligt 1 § i lagförslaget är en uppgift som hör till lagens tillämpningsområde. Även på behandling av personuppgifter som utförs i samband med polisens övervakningsuppgifter ska enligt inrikesministeriets RP-utkast tillämpas lagen om genomförande av dataskyddsdirektivet, när personuppgifter behandlas för att förebygga brott eller i andra syften enligt artikel 1.1 i dataskyddsdirektivet.
Det har redan konstaterats att avsikten är att i den nya lagen om behandling av personuppgifter i polisens verksamhet ta in en bestämmelse om rätt för Forststyrelsens jakt- och fiskeövervakare att lämna ut uppgifter till polisens personregister genom registrering vid direkt anslutning. Eftersom dataskyddsförordningen och den föreslagna dataskyddslagen i regel ska tillämpas på behandling av personuppgifter i anslutning till jakt- och fiskeövervakningen och eftersom det är nödvändigt att i lagen inta hänvisningar till de nämnda lagarna, anses i propositionen att med tanke på informationen bör i jakt- och fiskeövervakningslagen även intas en hänvisning om att på behandling av personuppgifter som gäller förebyggande av brott och summarisk förundersökning tillämpas den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Dessutom föreslås en bestämmelse om att på behandling av personuppgifter ska tillämpas vad som föreskrivs om behandlingen av personuppgifter i polisens verksamhet. Bestämmelserna tas in i en ny 17 a §.
2.7.11
2.7.11 Förslaget till dataskyddslag och vissa organisationer
I propositionen är det nödvändigt att bedöma hur förslaget till dataskyddslag ska tillämpas på Finlands skogscentral och Finlands viltcentral, som ansvarar för styrning som ankommer på jord- och skogsbruksministeriet. De sköter bägge offentliga förvaltningsuppgifter. Enligt 25 § (Administrativa påföljdsavgifter) i förslaget till dataskyddslag får administrativa påföljdsavgifter enligt artikel 83 i dataskyddsförordningen inte påföras statliga myndigheter, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli. En förteckning med samma innehöll över aktörer som ska betraktas som myndigheter finns också i 2 § 2 mom. i förvaltningslagen (434/2003). Enligt detaljmotiveringen i regeringens proposition som gäller 25 § i förslaget till dataskyddslag får administrativa påföljdsavgifter inte påföras de myndigheter som avses i 2 § i förvaltningslagen.
Bestämmelser om Finlands viltcentral finns i viltförvaltningslagen (158/2011). I 1 § föreskrivs att viltcentralen är en självständig offentligrättslig inrättning. Sålunda kan den inte påföras administrativa påföljdsavgifter, eftersom den är en sådan myndighet som avses i 2 § i förvaltningslagen.
Bestämmelser om Finlands skogscentral, som bildades av de regionala skogscentralerna, finns i skogscentralslagen. I 1 § i skogscentralslagen beskrivs skogscentralens verksamhet, men där sägs inget om organisationsform. Skogscentralen har således inte definierats som en självständig offentligrättslig inrättning i skogscentralslagen. Vid den tidpunkt då lagen stiftades ansågs detta ändamålsenligt bland annat för att skogscentralen – liksom dess föregångare skogscentralerna – bedrev affärsverksamhet vid sidan av de offentliga förvaltningsuppgifterna. Dessa verksamheter var ekonomiskt och funktionellt separerade och hade egna anställda. Den dåvarande linjen stöddes också av 2 § om tillämpningsområde i förvaltningslagen och förarbetena till den lagen. I förarbetena sågs de regionala skogscentralerna, som föregick skogscentralen, som offentligrättsliga föreningar, alltså inte som offentligrättsliga inrättningar. Om de skogscentraler som föregick skogscentralens skulle ha ansetts vara självständiga offentligrättsliga inrättningar, skulle de också ha varit sådana myndigheter som avses i 4 § 1 mom. i offentlighetslagen.
I samband med riksdagsbehandlingen av skogscentralslagen konstaterade grundlagsutskottet i sitt utlåtande (GrUU 53/2010 rd) att skogscentralen ”är inte en myndighet, utan kan främst karakteriseras som en självständig offentligrättslig inrättning som hör till den indirekta statsförvaltningen.” Eftersom det ändå inte föreskrivs särskilt för skogscentralens del om den organisationsform som utskottet nämner, borde utgångspunkten när administrativa påföljdsavgifter enligt förslaget till dataskyddslag påförs vara en ordagrann tolkning. Skogscentralen kunde således påföras administrativa påföljdavgifter, om skogscentralslagen inte preciseras. Detta vore inte ändamålsenligt, när den jämförs med viltcentralen, som är av samma typ.
Den nuvarande situationen är mycket annorlunda jämfört med när skogscentralen inledde sin verksamhet. Skogscentralen bedriver inte längre affärsverksamhet, eftersom den har sålt sin affärsverksamhet och sina skogstillgångar till privata aktörer i slutet av 2016. Skogscentralen får inte heller längre bedriva affärsverksamhet efter den ändring av skogscentralslagen som trädde i kraft vid ingången av 2017. Dessutom är innehållet i 2 § 3 mom. i förvaltningslagen (Denna lag tillämpas vid statens affärsverk, offentligrättsliga föreningar samt på enskilda då de sköter offentliga förvaltningsuppgifter.”) inte längre tillämpligt på skogscentralen, eftersom dess verksamhet numera innebär endast skötsel av offentliga förvaltningsuppgifter. För att Finlands viltcentral och skogscentralen ska behandlas på samma sätt med avseende på påförandet av administrativa påföljdsavgifter, är det nödvändigt att ändra skogscentralslagens bestämmelser så att det föreskrivs att skogscentralen är en självständig offentligrättslig inrättning. Det föreslås att en mening om saken fogas till 1 § 1 mom. i skogscentralslagen. Samtidigt måste innehållet i 15 § 1 mom. i skogscentralslagen ändras så att enligt bestämmelsen tillämpas även offentlighetslagen direkt på skogscentralen. Detta klarlägger skogscentralens verksamhet som en sådan självständig offentligrättslig inrättning som avses i 1 §. Samtidigt utökas bestämmelsen med hänvisningar till dataskyddsförordningen och dataskyddslagen.
2.7.12
2.7.12 Lagstiftningen om stöd för upphörande med att bedriva jordbruk och trädgårdsodling
Avträdelsestöd kan beviljas för upphörande med att bedriva jordbruk. Syftet med stödet är att möjliggöra generationsväxling i rätt tid före åldern för ålderspension. För närvarande finns det flera lagar om avträdelsestöd, för när villkoren för stödet har förändrats avsevärt har det stiftats nya lagar, men även de gamla har fortsatt att gälla, eftersom det fortfarande har betalats ut avträdelsestöd med stöd av dem. Den senaste lagen är lagen om stöd för upphörande med att bedriva jordbruk (612/2006). Avsikten är att avsluta systemet med avträdelsestöd så att stöd inte längre beviljas efter 2018 på grund av Europeiska unionens bestämmelser om statligt stöd.
I denna proposition föreslås att en del av lagarna om avträdelsestöd ändras på grund av data-skyddsförordningen. Lagen om stöd för nedläggning av växthusproduktion och äppelodling (1297/1994) och lagen om stöd för nedläggning av jordbruksproduktion (1340/1996) är dock sådana att de kan upphävas som onödiga. Inga stöd beviljas eller betalas längre ut med stöd av lagarna.
I detta avseende är det nödvändigt att beakta att det fortfarande finns växthusodlares förbindelser att upphöra med att bedriva växthusproduktion enligt 6 § i lagen om stöd för nedläggning av växthusproduktion och äppelodling som är i kraft. I denna proposition föreslås emellertid att det föreskrivs att dessa förbindelser ska upphöra att gälla samtidigt som lagen upphävs, eftersom förbindelserna numera saknar betydelse. Nedläggningsstöd enligt den aktuella lagen beviljades i form av en engångsersättning på grund av nedläggningar åren 1995–1998. För att få nedläggningsstöd förutsattes att företagaren förband sig att varaktigt upphöra med växthusproduktion. Ett stödvillkor var att företagets växthus skulle förstöras eller varaktigt tas ur odlingsbruk på annat därmed jämförbart sätt. Stödet betalades ut först när de åtgärder som förutsattes för att stödet skulle beviljas hade vidtagits. Stödet har beviljats 299 personer på grund av nedläggning av växthusproduktionen, och av dem har 287 börjat få ålderspension. De som ännu inte har börjat få ålderspension får inte heller längre stöd med stöd av den aktuella lagen, utan de sista posterna betalades ut 2003. Medelåldern hos dem som fått stödet är 76 år. Ingen har beviljats nedläggningsstöd på grund av upphörande med äppelodling. Med beaktande av antalet växthusföretagare som fått stöd och som är livet och deras ålder saknar förbindelserna om nedläggning av växthusproduktion praktisk betydelse.