Senast publicerat 03-11-2021 14:10

Regeringens proposition RP 9/2018 rd Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att det stiftas en dataskyddslag. Genom lagen kompletteras och preciseras Europeiska unionens allmänna dataskyddsförordning. I propositionen föreslås det samtidigt att personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen upphävs.

Den föreslagna lagen är en allmän lag som ska tillämpas på behandling av personuppgifter. I och med att den kompletterar och preciserar den allmänna dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med den allmänna dataskyddsförordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för den prövningsmarginal som den nationella lagstiftaren ges i den allmänna dataskyddsförordningen.

Den föreslagna lagen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om särskilda behandlingssituationer.

I propositionen föreslås dessutom ändringar i strafflagen och i lagen om verkställighet av böter.

De föreslagna lagarna avses träda i kraft den 25 maj 2018.

ALLMÄN MOTIVERING

1 Inledning

Syftet med denna proposition är att komplettera och precisera Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan det gamla dataskyddsdirektivet), som upphävs genom den allmänna dataskyddsförordningen, har genomförts i Finland 1999 genom personuppgiftslagen (523/1999). Den allmänna dataskyddsförordningen trädde i kraft den 24 maj 2016 och börjar tillämpas den 25 maj 2018. Den allmänna dataskyddsförordningen är som sådan tillämplig rätt i medlemsstaterna.

Europaparlamentet och rådet antog samtidigt med den allmänna dataskyddsförordningen även direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan det nya dataskyddsdirektivet). Förordningen och direktivet utgör tillsammans en del av det så kallade dataskyddspaketet, med vilket avsikten är att modernisera och förenhetliga EU:s dataskyddslagstiftning. Till samma övergripande reform hör även två förslag som lagts fram av kommissionen den 10 januari 2017; förslaget till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG samt förslaget till Europaparlamentets och rådets förordning om respekt för privatlivet och skydd av personuppgifter i samband med elektronisk kommunikation och om upphävande av direktiv 2002/58/EG.

EU:s gällande dataskyddslagstiftning består av det år 1995 antagna gamla dataskyddsdirektivet samt av vissa andra rättsakter som gäller skydd av personuppgifter, såsom Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter samt Europaparlamentets och rådets direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation). Skyddet av personuppgifter är också en grundläggande rättighet som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna, som antogs år 2000. Dessutom har EU-domstolen meddelat flera avgöranden som inverkar på tolkningen och tillämpningen av lagstiftningen om skyddet av personuppgifter, t.ex. Lindqvist (C-101/01), Satakunnan Markkinapörssi och Satamedia (C-73/07), Google Spain (C 131/12) och Schrems (C-362/14).

Avsikten med den övergripande reformen har varit att skapa en tidsenlig, stark, enhetlig och heltäckande ram för dataskyddet inom Europeiska unionen. Reformen har varit behövlig med tanke på informationsteknikens snabba utveckling och medlemsstaternas splittrade lagstiftning om skyddet av personuppgifter och den oenhetliga tillämpningen av denna lagstiftning.

Även om den allmänna dataskyddsförordningen är en nationellt direkt tillämplig rättsakt, ger den medlemsstaterna i vissa frågor nationellt handlingsutrymme i likhet med direktiv. I den allmänna dataskyddsförordningen finns vissa skyldigheter för medlemsstaterna, såsom skyldigheten att föreskriva om vissa frågor som gäller den nationella tillsynsmyndigheten. Dessutom ska medlemsstaterna förena skyddet av personuppgifter enligt den allmänna dataskyddsförordningen med vissa andra rättigheter, t.ex. yttrandefriheten.

Det nationella handlingsutrymmet förpliktar dock inte direkt till alla delar medlemsstaterna att utfärda nationell lagstiftning som kompletterar eller preciserar den allmänna dataskyddsförordningen, utan beslut om saken har överlämnats åt den nationella lagstiftaren att bedöma. Det föreslås att det nationella handlingsutrymmet i syfte att komplettera den allmänna dataskyddsförordningen utnyttjas i en situation där upphävandet av personuppgiftslagen medför behov av nationell lagstiftning, t.ex. för att den rättsliga grunden för behandling av personuppgifter i vissa situationer eller förutsättningarna för vetenskaplig forskning ska bibehållas så långt möjligt så som de är nu.

Det nationella handlingsutrymmet kan också utnyttjas senare t.ex. vid utfärdande av speciallagstiftning.

I den allmänna lag som gäller skydd av personuppgifter och som kompletterar den allmänna dataskyddsförordningen ska det föreskrivas om tillsynsmyndigheten i enlighet med vad som förutsätts i den allmänna dataskyddsförordningen. I den allmänna lagen ska det tas in bestämmelser om den rättsliga grunden för behandling i vissa fall, om rättssäkerhet och påföljder samt om behandling av uppgifter i särskilda situationer t.ex. vid vetenskaplig forskning och för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Den föreslagna lagens struktur följer den allmänna dataskyddsförordningens struktur. Till skillnad från genomförandet av det gamla dataskyddsdirektivet, möjliggör det nationella handlingsutrymmet enligt den allmänna dataskyddsförordningen inte stiftande av en heltäckande lag. Genom nationell lagstiftning är det endast möjligt att komplettera och till vissa delar precisera den allmänna dataskyddsförordningen. Den föreslagna dataskyddslagen består således av vissa paragrafer som kompletterar den allmänna dataskyddsförordningen. Dataskyddslagen ska således läsas parallellt med den allmänna dataskyddsförordningen, eftersom det materiella innehållet i lagstiftningen om skyddet för personuppgifterna huvudsakligen kommer från den allmänna dataskyddsförordningen.

2 Nuläge

2.1 Lagstiftning och praxis

2.1.1 2.1.1 Allmänt

Grundlagen

Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Begreppet privatliv kan förstås som ett allmänbegrepp för en persons privata krets. Utgångspunkten för skyddet för privatlivet är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående (RP 309/1993 rd). Rätten till privatliv innebär att personen har rätt att leva sitt privatliv utan inblandning av utomstående.

Närmare bestämmelser om skydd för personuppgifter utfärdas enligt 10 § 1 mom. i grundlagen genom lag. Enligt grundlagsutskottets praxis begränsas lagstiftarens handlingsutrymme både av den här bestämmelsen och av att skyddet för personuppgifter delvis omfattas också av skyddet för privatlivet, som tas upp i samma moment. Lagstiftaren ska således tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna över lag. Bestämmelsen hänför sig till ett behov att lagstiftningsmässigt trygga individens rättssäkerhet och integritetsskydd vid behandling av personuppgifter.

Den aktuella grundlagsbestämmelsen fick sitt nuvarande innehåll i och med reformen av de grundläggande fri- och rättigheterna (8 § i Regeringsformen för Finland), och i samband med grundlagsreformen år 2000 togs den in som 10 § i grundlagen i oförändrad form.

För att garantera skyddet för privatlivet förutsätter man av tradition inte bara att staten avhåller sig från att kränka medborgarnas privatliv utan också att staten vidtar aktiva åtgärder för att skydda privatlivet mot inblandning av andra individer. Bestämmelsen om skydd för privatlivet förutsätter tillsammans med grundlagens 22 § om respekt för de grundläggande fri- och rättigheterna att lagstiftaren upprätthåller ett effektivt skydd för de intressen som tryggas i grundlagens 10 §.

Grundläggande rättigheter och friheter som hör nära samman med skyddet av personuppgifter är utöver skyddet för privatlivet även rätt till heder, rätt till likabehandling, rätt till personlig integritet, rätt till människovärdig behandling, rätt till trygghet samt jämlikhet och förbud mot diskriminering och rätt till medinflytande i frågor som gäller dem själva, religionsfrihet och samvetsfrihet, yttrandefrihet och offentlighet.

Personuppgiftslagen

Bestämmelser om grunderna för behandling av personuppgifter finns i personuppgiftslagen, som trädde i kraft den 1 juni 1999. Dessutom föreskrivs det i lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, om rätten att ta del av myndigheternas offentliga handlingar, handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta dela av en handling.

Genom personuppgiftslagen anpassades den allmänna lagstiftningen om behandling av personuppgifter till det gamla dataskyddsdirektivet. Vid beredningen av personuppgiftslagen beaktades även reformen från 1995 av de grundläggande fri- och rättigheterna i regeringsformen, enligt vilken det om skydd för personuppgifter stadgas närmare i lag. Genom personuppgiftslagen har således kravet på närmare reglering uppfyllts.

Syftet med personuppgiftslagen är enligt dess 1 § att genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet samt övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten vid behandling av personuppgifter samt att främja utvecklandet och iakttagandet av god informationshantering. Personuppgiftslagen är en allmän lag som gäller behandling av personuppgifter, dvs. den tillämpas om inte något annat föreskrivs någon annanstans i lag.

I Finland finns det ovanligt rikligt med gällande speciallagstiftning om behandling av personuppgifter. Det finns flera hundra specialförfattningar som gäller behandling av personuppgifter. Största delen av den gällande speciallagstiftningen reglerar myndigheternas behandling av personuppgifter.

2.1.2 2.1.2 Lagens tillämpningsområde

För närvarande tillämpas den gällande personuppgiftslagen i princip på all behandling av personuppgifter. Det gamla dataskyddsdirektivet har genomförts genom personuppgiftslagen. Direktivets tillämpningsområde omfattar inte situationer där personuppgifter behandlas i sådan verksamhet som inte omfattas av tillämpningsområdet för gemenskapsrätten. Sådan verksamhet omfattar t.ex. verksamhet som anges i avdelningarna V och VI i fördraget om Europeiska unionen, nedan EU-fördraget, och sådan behandling av personuppgifter som gäller allmän säkerhet, försvaret, statens säkerhet (även statens ekonomiska välstånd, när behandlingen har anknytning till frågor som gäller statens säkerhet) och statens verksamhet på det straffrättsliga området.

2.1.3 2.1.3 Behandlingens rättsliga grund

För närvarande föreskrivs det om den rättsliga grunden för behandlingen av personuppgifter dvs. om de allmänna förutsättningarna för behandling i 8 § i personuppgiftslagen. De allmänna förutsättningarna för behandling av personuppgifter gäller i regel all behandling av personuppgifter. Personuppgiftslagens 8 § grundar sig på artikel 7 i det gamla dataskyddsdirektivet, där de principer som gör att uppgiftsbehandling kan tillåtas anges. De förutsättningar för laglig behandling av personuppgifter som anges i artikel 6 i den allmänna dataskyddsförordningen motsvarar till innehållet de principer enligt artikel 7 i det gamla dataskyddsdirektivet som gör att uppgiftsbehandling kan tillåtas.

Bestämmelser om de allmänna förutsättningarna för behandling av personuppgifter finns i detalj i 8 § i personuppgiftslagen. Personuppgifter får behandlas endast om någon av förutsättningarna i 8 § uppfylls. Vid behandling av känsliga personuppgifter ska dessutom någon av förutsättningarna i 12 § i personuppgiftslagen uppfyllas. I 4 kap. i personuppgiftslagen föreskrivs dessutom om vissa situationer där personuppgifter behandlas, såsom vetenskaplig forskning, statistikföring och släktforskning.

2.1.4 2.1.4 Barns åldersgräns avseende informationssamhällets tjänster

Enligt 6 § 3 mom. i grundlagen ska barn bemötas som jämlika individer och de ska ha rätt till medinflytande enligt sin utvecklingsnivå i frågor som gäller dem själva. Personuppgiftslagen innehåller inte bestämmelser om åldersgräns för barn, och inte heller i övrigt innehåller personuppgiftslagen uttryckliga bestämmelser om behandlingen av barns personuppgifter.

Den registrerades rättigheter gäller normalt varje fysisk person. Minderåriga barns självbestämmanderätt i fråga om sina personuppgifter bestäms enligt de allmänna och särskilda bestämmelser som fastställer minderåriga barns självbestämmanderätt. Sådana bestämmelser ingår förutom i grundlagen och personuppgiftslagen även i t.ex. Förenta nationernas (nedan FN) konvention om barnets rättigheter. Enligt artikel 3.1 i FN:s konvention om barnets rättigheter ska barnets bästa komma i främsta rummet vid alla åtgärder som rör barn, vare sig de vidtas av offentliga eller privata välfärdsinstitutioner, domstolar, administrativa myndigheter eller lagstiftande organ.

Enligt artikel 12.1 i konventionen ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad.

Enligt artikel 13 i konventionen ska barnet ha rätt till yttrandefrihet. Denna rätt innefattar frihet att oberoende av territoriella gränser söka, motta och sprida information och tankar av alla slag, i tal, skrift eller tryck, i konstnärlig form eller genom annat uttrycksmedel som barnet väljer. Utövandet av denna rätt får underkastas vissa inskränkningar. Inskränkningarna ska dock vara föreskrivna i lag och nödvändiga för att respektera andra personers rättigheter eller anseende eller för att skydda den nationella säkerheten, den allmänna ordningen eller den allmänna hälsan eller sedligheten.

Enligt artikel 24.1 och 24.2 i europeiska unionens stadga om de grundläggande rättigheterna har barn rätt till det skydd och den omvårdnad som behövs för deras välfärd. De ska fritt kunna uttrycka sina åsikter. Dessa åsikter ska beaktas i frågor som rör barnen i förhållande till deras ålder och mognad. Vid alla åtgärder som rör barn, oavsett om de vidtas av offentliga myndigheter eller privata institutioner, ska barnets bästa komma i främsta rummet.

2.1.5 2.1.5 Tillsynsmyndigheter

I Finland har datasekretessmyndigheternas uppgifter anvisats två olika myndigheter. För behandlingen av ärenden som gäller skydd av personuppgifter har en datasekretessnämnd och en dataombudsmannatjänst funnits sedan 1987. Bestämmelser om datasekretessmyndigheternas uppgifter och behörighet fanns förutom i personregisterlagen (471/1987) även i lagen om datasekretessnämnden och dataombudsmannen (474/1987).

En dataombudsmannatjänst inrättades i syfte att följa, ge anvisningar om och övervaka inrättandet och användningen av personregister och utlämnandet av registeruppgifter. Dataombudsmannens främsta uppgift är fortfarande att vara en styrande och rådgivande myndighet. Det föreskrevs att det till datasekretessnämndens uppgifter hör att besluta om skyldigheter och förbud enligt personregisterlagstiftningen. Till datasekretessnämndens uppgifter hör framför allt de beslut om tillstånd och föreskrifter vilka fastslås i personuppgiftslagen.

Den gällande lagen om datasekretessnämnden och dataombudsmannen (389/1994) motsvarar till sitt innehåll i huvuddrag den tidigare lag som gällde datasekretessmyndigheterna. De ändringar som gjordes i lagen var till största delen tekniska ändringar som till väsentlig del berodde på ikraftträdande av statens tjänstemannalagstiftning. Dessutom flyttades en del av bestämmelserna i lag 471/1987 till förordningen om datasekretessnämnden och dataombudsmannen (432/1994).

Bestämmelserna om datasekretessmyndigheterna bedömdes på nytt i samband med genomförandet av det gamla dataskyddsdirektivet. Enligt artikel 28 i det gamla dataskyddsdirektivet skulle varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter ska utöva sin verksamhet fullständigt oberoende. Det gamla dataskyddsdirektivet genomfördes genom personuppgiftslagen, som innehåller vissa bestämmelser om datasekretessmyndigheternas uppgifter och befogenheter. Bestämmelser om datasekretessmyndigheternas uppgifter ingår vidare i lagen om datasekretessnämnden och dataombudsmannen.

Liksom i den tidigare lagstiftningsreformen 1994, var även de ändringar som gjordes i bestämmelserna om datasekretessmyndigheterna i personuppgiftslagen till väsentlig del tekniska ändringar, som delvis berodde på det gamla dataskyddsdirektivet, men även på utvecklingen av den nationella lagstiftningen och de praktiska erfarenheter man fått (RP 96/1998 rd).

Genom personuppgiftslagen ändrades datasekretessmyndigheternas behörighet så att datasekretessmyndigheterna föreskrevs behörighet att i ärenden som gällde rätt till insyn och rättelse av en uppgift fatta beslut som var bindande för den registeransvarige. Datasekretessnämndens behörighet ändrades så att nämndens allmänna behörighet enligt personregisterlagen att ge undantagslov slopades och ersattes med en mer exakt definierad behörighet att bevilja tillstånd. Ett sådant tillstånd kan beviljas om inte någon annan i 8 eller 12 § i personuppgiftslagen föreskriven rättslig grund för behandling blir tillämplig och om förutsättningarna i 43 § i personuppgiftslagen uppfylls. Dessutom föreskrevs det att datasekretessnämndens ska behandla frågor som gäller behandlingen av personuppgifter och som med avseende på lagens tillämpningsområde är principiellt viktiga.

Dataombudsmannen

Inom justitieministeriets förvaltningsområde finns en dataombudsmannatjänst. Behörighetsvillkor för dataombudsmannen är juris kandidatexamen, god förtrogenhet med datasekretessfrågor samt i praktiken visad ledarförmåga och erfarenhet av ledarskap. Dataombudsmannen utnämns till tjänsten för viss tid, högst fem år. Den som har utnämnts till dataombudsman är fri från skötseln av en annan tjänst eller befattning under den tid han eller hon är dataombudsman.

Byråchefen biträder dataombudsmannen och är ställföreträdare för honom. Byråchefen kan på förordnande av dataombudsmannen föra talan på dennes vägnar. Tjänsten som byråchef är inte en visstidstjänst. Behörighetsvillkor för byråchef vid dataombudsmannens byrå är juris kandidatexamen, tillräcklig förtrogenhet med datasekretessfrågor och i praktiken visad ledarförmåga. Dataombudsmannen har en byrå med tjänstemän som föredragande och annan personal. Dataombudsmannens byrå utöver sin verksamhet på det sätt som förutsätts i det gamla dataskyddsdirektivet fullständigt oberoende.

Dataombudsmannens uppgifter

Enligt 5 § i lagen om datasekretessnämnden och dataombudsmannen ska dataombudsmannen behandla och avgöra ärenden som gäller behandling av personuppgifter och kreditupplysningar så som föreskrivs i personuppgiftslagen och kreditupplysningslagen (527/2007) samt sköta övriga uppgifter som följer av de nämnda lagarna. Dataombudsmannen ska följa den allmänna utvecklingen i fråga om behandlingen av personuppgifter och kreditupplysningar samt ta nödvändiga initiativ, Dataombudsmannen ska sköta den informationsverksamhet som hör till ombudsmannens verksamhetsområde samt det internationella samarbete som har samband med behandlingen av personuppgifter. I detta syfte har dataombudsmannen med stöd av 7 och 8 § i lagen om datasekretessnämnden och dataombudsmannen rätt att höra sakkunniga och begära utlåtanden av dem samt vid behov få handräckning av polisen när han fullgör de åligganden som ankommer på honom.

Bestämmelser om dataombudsmannens uppgifter finns också i 9 kap. i personuppgiftslagen. Enligt 38 § 1 mom. i personuppgiftslagen ska dataombudsmannen ge anvisningar och råd om behandlingen av personuppgifter samt övervaka behandlingen av personuppgifter så att målen för personuppgiftslagen nås. Dataombudsmannens främsta uppgift är att genom preventiva åtgärder inverka på att behandlingen av personuppgifter sker i enlighet med lag. Dataombudsmannens styrnings- och övervakningsuppgifter i anknytning till tillämpningen av personuppgiftslagen är riksomfattande och omfattar den offentliga och privata sektorns registeransvariga och registrerade. Dataombudsmannen ska beakta förutom den registrerades intressen även den registeransvariges och tredje mans intressen (RP 96/1998 rd). I 40 § 1 mom. i personuppgiftslagen preciseras det att dataombudsmannen ska främja god informationshantering samt i första hand genom anvisningar och råd sträva efter att ett lagstridigt förfarande inte fortgår eller upprepas.

Dataombudsmannen kan med stöd av 40 § 3 mom. i personuppgiftslagen meddela närmare anvisningar om hur personuppgifter ska skyddas mot olaglig behandling. Detta har ansetts nödvändigt eftersom personuppgiftslagens 32 § inte innehåller närmare bestämmelser om tekniska eller andra åtgärder som ska vidtas för att skydda behandlingen av personuppgifter (RP 96/1998 rd). Bestämmelsen i fråga tillämpas även i enlighet med 2 § 5 mom. i personuppgiftslagen i fråga om behandling av personuppgifter för redaktionella samt konstnärliga eller litterära syften.

I 36 och 37 § i personuppgiftslagen föreskrivs det i enlighet med artikel 18 i det gamla dataskyddsdirektivet om anmälningsplikt gentemot dataombudsmannen. Med stöd av anmälningsplikten övervakar dataombudsmannen på förhand behandlingen av personuppgifter. Bland annat vissa registeransvariga som behandlar personuppgifter med automatisk databehandling, de som på uppdrag utför databehandling och de som bedriver näringsverksamhet är skyldiga att göra en anmälan om behandlingen av personuppgifter till dataombudsmannen. När det gäller den allmänna anmälningsplikt som man gått in för i personuppgiftslagen har det dock föreskrivits vissa undantag. I 41 § 1 mom. i personuppgiftslagen föreskrivs det i enlighet med artikel 28.2 i det gamla dataskyddsdirektivet om skyldighet att höra dataombudsmannen vid beredningen av reformer av sådan lagstiftning eller förvaltning som gäller skydd av fri- och rättigheter vid behandlingen av personuppgifter. Avsikten är att bereda dataombudsmannen tillfälle att bli hörd redan vid beredningen av reformer av sådan lagstiftning och förvaltning som gäller behandlingen av personuppgifter. Härigenom betonas även det att dataombudsmannens främsta uppgift är att genom sina åtgärder på förhand verka för att personuppgifter behandlas enligt lag (RP 96/1998 rd).

Enligt 41 § 2 mom. i personuppgiftslagen ska allmänna åklagaren höra dataombudsmannen innan åtal väcks för sekretessbrott, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av kommunikationshemlighet eller dataintrång vilka riktar sig mot personregister samt innan åtal väcks för personregisterbrott. När domstolen behandlar ett mål som gäller ett sådant brott ska den bereda dataombudsmannen tillfälle att bli hörd.

Enligt 42 § i personuppgiftslagen kan de registeransvariga eller sammanslutningar som företräder dem utarbeta branschspecifika uppförandekodexar för tillämpningen av personuppgiftslagen och för främjandet av god informationshantering. Dataombudsmannen ger vid behov råd och anvisningar om utarbetandet av uppförandekodexar samt kan även granska förslagen till uppförandekodexar.

Dataombudsmannens befogenheter

Dataombudsmannen har enligt sina i lag föreskrivna uppgifter befogenhet att ge allmänna anvisningar och råd om behandlingen av personuppgifter samt övervaka behandlingen av personuppgifter så att målen för personuppgiftslagen nås.

Bestämmelser om dataombudsmannens beslutanderätt finns i 40 § 2 mom. i personuppgiftslagen, med stöd av vilket dataombudsmannen är skyldig att avgöra ett ärende som gäller rätten till insyn och rättelse av uppgift samt bestämma att den registrerades rätt till insyn tillgodoses eller att en uppgift rättas. Beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen.

Vid behov kan dataombudsmannen enligt 40 § 1 mom. i personuppgiftslagen föra saken till datasekretessnämnden för avgörande eller anmäla ärendet för åtal. Enligt 8 § i lagen om datasekretessnämnden och dataombudsmannen är polisen skyldig att vid behov ge dataombudsmannen handräckning när han fullgör de åligganden som ankommer på honom.

I 39 § i personuppgiftslagen föreskrivs det om datasekretessmyndigheternas rätt att få information och utöva tillsyn. Dataombudsmannen har utan hinder av sekretessbestämmelserna rätt att få information om de personuppgifter som är föremål för behandling samt all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. Rätten att få information är omfattande och i enlighet med artikel 28.3 i det gamla dataskyddsdirektivet gäller den också andra än registeransvariga. Rätten att få information har utsträckts till att gälla all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. Enligt 39 § 3 mom. i personuppgiftslagen övervakar dataombudsmannen i fråga om behandling för redaktionella samt konstnärliga eller litterära syften att skyldigheten att skydda uppgifterna enligt 32 § iakttas. Dataombudsmannen har rätt att i detta syfte erhålla behövliga uppgifter om skyddet av registren. Dataombudsmannen har enligt 39 § 2 mom. i personuppgiftslagen rätt att inspektera personregister och att därvid anlita sakkunniga. Dataombudsmannen och de sakkunniga har för inspektionen rätt att få tillträde till lokaliteter som den registeransvarige och den som handlar på hans uppdrag har i sin besittning och i vilka personuppgifter behandlas eller personregister förs. De ska även få tillgång till sådana upplysningar och anordningar som behövs för inspektionen. I lokaler som omfattas av hemfriden får inspektion utföras endast om det i det föreliggande fallet finns specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter. En inspektion ska utföras så att den inte i onödan vållar den registeransvarige olägenhet eller kostnader.

I 38 § 3 mom. i personuppgiftslagen föreskrivs det i enlighet med artikel 28.6 i det gamla dataskyddsdirektivet att datasekretessmyndigheterna kan utöva de befogenheter som avses i 9 kap. i personuppgiftslagen också då personuppgiftslagen enligt 4 § inte tillämpas på behandlingen av personuppgifter. Datasekretessmyndigheterna samarbetar med datasekretessmyndigheterna i Europeiska unionens övriga medlemsstater och ger vid behov handräckning.

Dataombudsmannens uppgifter och behörighet enligt den nationella speciallagstiftningen

Bestämmelser om dataombudsmannens uppgifter och behörighet finns förutom i personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen även i flera lagar i vilka dataombudsmannen har getts tillsynsuppgifter och olika rättigheter för att främja skyddet av personuppgifter. Nationellt finns det dessutom flera hundra författningar med bestämmelser om behandlingen av personuppgifter, men inte särskilt om övervakningen av efterlevnaden av dessa författningar. Dataombudsmannen ska också vara behörig när bestämmelser i någon annan lag tillämpas vid sidan av personuppgiftslagen på behandling av personuppgifter (RP 96/1998 rd).

I 5 § i lagen om datasekretessnämnden och dataombudsmannen hänvisas det till övervakning av behandlingen av kreditupplysningar. Bestämmelser om denna övervakning finns i kreditupplysningslagen, i fråga om vilken den allmänna tillsynen över efterlevnaden av lagen utövas av dataombudsmannen. Utöver behandlingen av personkreditupplysningar övervakar dataombudsmannen även behandlingen av företagskreditupplysningar. Med stöd av 1 mom. 2 punkten i kreditupplysningslagens 35 § om föreskrifter har dataombudsmannen rätt att ålägga den som bedriver kreditupplysningsverksamhet att inom en viss tid rätta till vad som obehörigen har gjorts eller försummats vid behandlingen av företagskreditupplysningar. Dataombudsmannen har dessutom med stöd av kreditupplysningslagens 35 § 1 mom. 3 punkt rätt att ålägga den som bedriver kreditupplysningsverksamhet att vidta åtgärder för att fullgöra sina i 3 kap. i kreditupplysningslagen föreskrivna skyldigheter. Kreditupplysningslagens 3 kap. innehåller bestämmelser om allmänna förutsättningar för bedrivande av kreditupplysningsverksamhet (8 §), krav som gäller ledningen och personalen (9 §), förpliktelser som avser tjänster (10 §) och jämlikt bemötande av registrerade (11 §). I 34 § i kreditupplysningslagen föreskrivs dessutom om dataombudsmannens rätt att få information och göra inspektioner.

Dataombudsmannen har i vissa lagar föreskrivits rätt att för den registrerades räkning kontrollera att behandlingen av personuppgifter om honom eller henne är lagenlig, om rätten till insyn enligt personuppgiftslagen har inskränkts. Sådana bestämmelser finns i 36 § i lagen om förhindrande och utredning av penningtvätt och av finansiering av terrorism (503/2008), 1 kap. 28 § i utsökningsbalken (705/2007), 31 § i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015), 42 § i lagen om behandling av personuppgifter vid gränsbevakningsväsendet (579/2005), 123 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014), 29 § i lagen om behandling av personuppgifter inom Tullen (639/2015) och 45 § i lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Enligt 56 § i säkerhetsutredningslagen (726/2014) har dataombudsmannen rätt att ta del av en säkerhetsutredning som har gjorts med stöd av säkerhetsutredningslagen för att kontrollera att behandlingen av personuppgifter är laglig.

I vissa lagar föreskrivs det om skyldigheten att underrätta dataombudsmannen om beslut att inrätta ett personregister och om väsentliga ändringar i personregistret. Enligt 110 § 4 mom. i lagen om militär disciplin och brottsbekämpning inom försvarsmakten ska dataombudsmannen när det gäller riksomfattande temporära personregister underrättas om beslutet att inrätta ett register och om väsentliga ändringar i registret senast en månad innan registret inrättas eller ändras. I beslutet om inrättande ska ändamålet med personregistret anges. Enligt 8 § i lagen om behandling av personuppgifter inom Tullen ska när ett riksomfattande personregister inrättas eller väsentligt ändras dataombudsmannen underrättas senast en månad innan registret inrättas eller ändras.

I vissa lagar föreskrivs det om skyldigheten att höra dataombudsmannen. Åklagaren ska enligt 38 kap. 10 § i strafflagen (39/1889) höra dataombudsmannen innan åtal väcks för sekretessbrott, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av kommunikationshemlighet eller dataintrång, om brottet i fråga riktar sig mot ett personregister, samt innan åtal väcks för personregisterbrott. När domstolen behandlar ett mål som gäller ett sådant brott ska den bereda dataombudsmannen tillfälle att bli hörd. Enligt 3 § 2 mom. i lagen om statistikväsendet vid forsknings- och utvecklingscentralen för social- och hälsovården (409/2001) ska forsknings- och utvecklingscentralen höra dataombudsmannen innan ett beslut om insamlingen av uppgifter fattas. Bestämmelser om skyldighet att höra dataombudsmannen innan uppgifter lämnas ut för vetenskaplig forskning finns i 4 § i lagen om riksomfattande personregister för hälsovården (556/1989) och i 30 § i läkemedelslagen (395/1987).

Den huvudsakliga tillsynen över efterlevnaden av informationssamhällsbalken (917/2014) utövas av Kommunikationsverket. Enligt 305 § i informationssamhällsbalken ska dataombudsmannen utöva tillsyn över efterlevnaden av bestämmelserna i 18 kap. om behandling av sammanslutningsabonnenters förmedlingsuppgifter, bestämmelserna i 20 kap. om behandling av lokaliseringsuppgifter, bestämmelserna i 197—199 § om kontaktinformationstjänster, bestämmelserna i 200 och 202—204 § om direktmarknadsföring samt bestämmelserna i 40 kap. om rätt att få information och om tystnadsplikt i fråga om lokaliseringsuppgifter. I 315 och 316 § i informationssamhällsbalken finns det bestämmelser om dataombudsmannens rätt att få information.

En slags skyldighet att underrätta dataombudsmannen om kränkning av informationssäkerheten för personuppgifter finns i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009). I den lagens 16 § 2 mom. föreskrivs om skyldigheten för leverantörer av identifieringstjänster att underrätta dataombudsmannen om hot eller störningar som riktas mot verksamheten eller skyddet av uppgifter, om hotet eller störningen är riktat mot skydd av uppgifter som avses i 32 § i personuppgiftslagen. Enligt 42 b § i den lagen ska dataombudsmannen övervaka att bestämmelserna om personuppgifter i lagen iakttas.

I 60 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) finns bestämmelser om befolkningsregistercentralens skyldighet att lämna in en rapport till dataombudsmannen. Enligt bestämmelsen ska befolkningsregistercentralen minst en gång om året lämna in en detaljerad rapport till dataombudsmannen om behandlingen av uppgifter som registrerats i loggregistret och av händelseuppgifter. I 55 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster föreskrivs om utlämnande av uppgifter i användarregistret till dataombudsmannen och datasekretessnämnden för övervakning av dataskyddet. I 58 § i den lagen föreskrivs om utlämnande av uppgifter i loggregistret till dataombudsmannen och datasekretessnämnden för övervakning av dataskyddet samt i 59 § om utlämnande av händelseuppgifter till dataombudsmannen och datasekretessnämnden för övervakning av dataskyddet.

Enligt 22 § i lagen om integritetsskydd i arbetslivet (759/2004) övervakar arbetarskyddsmyndigheterna tillsammans med dataombudsmannen att den lagen iakttas.

I vissa lagar hänvisas det i fråga om dataombudsmannens övervakningsuppgifter till dataombudsmannens i lag föreskrivna behörighet. Sådana bestämmelser finns i 20 § i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007), 24 § i lagen om elektroniska recept ((61/2007) och i 16 § i lagen om Finlands skogscentrals system för skoglig information (419/2011). I 31 § 3 mom. i biobankslagen (688/2012) finns i fråga om tillsynsuppgifterna en hänvisning till lagen om datasekretessnämnden och dataombudsmannen.

Samiska språklagen (1086/2003) tillämpas på dataombudsmannen och datasekretessnämnden. I den lagen föreskrivs det bl.a. om samernas rätt att använda sitt eget språk hos domstolar och andra myndigheter samt om det allmännas skyldighet att tillgodose och främja samernas språkliga rättigheter.

Dataombudsmannen och datasekretessnämnden har inte behörighet att för en annan myndighets räkning tolka om en handling är offentlig eller sekretessbelagd. Beslut om tillämpningen av sekretessbestämmelserna i offentlighetslagen fattas av myndigheten i fråga. I sista hand avgörs ärendet av förvaltningsdomstolen. Till exempel Tysklands och Storbritanniens tillsynsmyndigheter har behörighet även när det gäller öppenheten i myndighetsverksamheten och offentligheten för myndigheternas handlingar.

Dataombudsmannens uppgifter som grundar sig på EU-förordningar

Enligt 5 § i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017) är dataombudsmannen den nationella tillsynsmyndighet som avses i Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (nedan Europolförordningen). Enligt artikel 42.1 i Europolförordningen ska den nationella tillsynsmyndigheten kontrollera att den berörda medlemsstatens överföring, sökning och utlämning till Europol av personuppgifter är laglig och undersöka att sådan överföring, sökning eller utlämning inte kränker den berörda registrerades rättigheter. De nationella tillsynsmyndigheterna ska övervaka de nationella enheternas och sambandsmännens verksamhet i den utsträckning denna verksamhet har betydelse för skyddet av personuppgifter. Artikel 44.1 i Europolförordningen förpliktar till samarbete mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Enligt artikel 44.2 i Europolförordningen ska Europeiska datatillsynsmannen och tillsynsmyndigheterna utbyta relevant information och bistå varandra i samband med revision. Enligt artikel 45 i Europolförordningen ska den nationella tillsynsmyndigheten tillsammans med andra medlemsstaters nationella tillsynsmyndigheter och Europeiska datatillsynsmannen delta i samarbetsnämndens arbete.

Dataombudsmannen är en sådan nationell tillsynsmyndighet som avses i Europaparlamentets och rådets förordning (EU) nr 603/2013 som gäller Eurodacsystemet (nedan Eurodacförordningen). Enligt artikel 30.1 i Eurodacförordningen ska den nationella tillsynsmyndigheten kontrollera att behandlingen av personuppgifter, inklusive överföringen av dem till det centrala systemet, sker på lagligt sätt i enlighet med förordningen. Enligt artikel 32.1 i Eurodacförordningen ska den nationella tillsynsmyndigheten och Europeiska datatillsynsmannen samarbeta. Enligt artikel 32.4 i Eurodacförordningen ska den nationella tillsynsmyndigheten delta i den samordningsgrupp som övervakar Eurodacsystemet tillsammans med Europeiska datatillsynsmannen och andra medlemsstaters nationella tillsynsmyndigheter. Den nationella tillsynsmyndigheten ska göra en granskning enligt artikel 32.2 i förordningen varje år.

Dataombudsmannen är sådan nationell tillsynsmyndighet som avses i Europaparlamentets och rådets förordning (EG) nr 1987/2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (nedan SIS II-förordningen). Enligt artikel 44.1 i SIS II-förordningen ska den nationella tillsynsmyndigheten övervaka att behandlingen av personuppgifter i SIS II inom deras territorium och överföringen från deras territorium är lagenliga, inbegripet utbyte och ytterligare behandling av tilläggsinformation. Enligt artikel 46 i SIS II-förordningen ska den nationella tillsynsmyndigheten delta i den samordningsgrupp som övervakar SIS II tillsammans med Europeiska datatillsynsmannen och andra medlemsstaters nationella tillsynsmyndigheter. Enligt artikel 44.2 i SIS II-förordningen ska den nationella tillsynsmyndigheten se till att granskning av behandlingen av uppgifter i SIS II genomförs minst vart fjärde år i enlighet med internationella redovisningsstandarder.

Dataombudsmannen är sådan nationell tillsynsmyndighet som avses i Europaparlamentets och rådets förordning (EG) nr 767/2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (nedan VIS-förordningen). Enligt artikel 41.1 i VIS-förordningen ska den nationella tillsynsmyndigheten övervaka lagligheten i den berörda medlemsstatens behandling av personuppgifter, inbegripet överföringen av dem till och från informationssystemet för viseringar. Enligt artikel 43.1 i VIS-förordningen ska den nationella tillsynsmyndigheten samarbeta med nationella tillsynsmyndigheter och Europeiska datatillsynsmannen. Enligt artikel 43.3 i VIS-förordningen ska den nationella tillsynsmyndigheten delta i den samordningsgrupp som övervakar VIS-systemet tillsammans med Europeiska datatillsynsmannen och andra medlemsstaters nationella tillsynsmyndigheter samt i enlighet med artikel 41.2 i VIS-förordningen se till att en granskning av behandlingen av uppgifter i det nationella systemet görs minst vart fjärde år i enlighet med internationella revisionsstandarder.

Dataombudsmannen är den nationella tillsynsmyndighet som avses i rådets förordning (EG) nr 515/1997 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen (nedan förordningen om tullinformationssystemet) och i Europaparlamentets och rådets förordning (EG) nr 766/2008 om ändring av den förordningen. Enligt artikel 37.1 i förordningen om tullinformationssystemet ska den nationella tillsynsmyndigheten oberoende övervaka lagligheten i den berörda medlemsstatens behandling av personuppgifter. Enligt artikel 37.4 i den förordningen ska tillsynsmyndigheten delta i den samordningsgruppen som övervakar tullinformationssystemet tillsammans med Europeiska datatillsynsmannen och andra medlemsstaters nationella tillsynsmyndigheter.

Verksamheten vid Dataombudsmannens byrå

Verksamheten vid Dataombudsmannens byrå kan indelas i förebyggande verksamhet och efterhandstillsyn. Tyngdpunkten i verksamheten ligger i enlighet med de i personuppgiftslagen föreskrivna uppgifterna i den förebyggande verksamheten, för vilket byrån i regel har använt ungefär hälften av sina resurser. Den förebyggande verksamheten omfattar anvisningar och rådgivning till och konsultering för registeransvariga samt annan allmän övervakning, förhandsövervakning genom anmälningsförfarande, informationstjänst, samarbete med intressegrupper, information och produktion av styrningsmaterial, lämnande av utlåtanden om reformer av lagstiftning och förvaltning, om uppförandekodexar och om ansökningar om forskningstillstånd av Institutet för hälsa och välfärd, anordnande av utbildning samt internationell verksamhet. Efterhandstillsynen omfattar meddelande om ålägganden i ärenden som gäller tillgodoseende av registrerades rättigheter, förande av ärenden till datasekretessnämnden för behandling eller till polisen för undersökning samt inspektionsverksamhet. Inspektionsverksamheten är övervakning som delvis sker både i förväg och i efterhand.

Vid Dataombudsmannens byrå har det under åren 2013—2016 anhängiggjorts ungefär 3400—3900 ärenden per år. Efter att den allmänna dataskyddsförordningen antogs har antalet ärenden som anhängiggjorts vid Dataombudsmannens byrå ökat med 25 procent per år. Det föregående året, alltså 2016, var motsvarande ökning 10 procent. I och med att den registrerades rättsliga ställning och påföljdssystemet genom förordningen stärks är det sannolikt att allmänhetens medvetenhet om lagstiftningen om skyddet för personuppgifter ökar och att efterfrågan för myndigheten kommer att fortsätta öka. Även de personuppgiftsansvariga och personuppgiftsbiträdena kommer förmodligen att behöva mer handledning och rådgivning när lagstiftningen ändras.

Vid dataombudsmannens byrå utgör medborgarnas begäranden om åtgärder det viktigaste och med tanke på antalet ärenden mest betydande delområdet inom byråns avgörandeverksamhet. Begärandena om åtgärder gäller antingen åläggande om tillgodoseende av den registrerades rättigheter eller allmänna rådgivningsärenden. Till exempel antalet ärenden som gäller beslut om rätten till insyn och rättelse av uppgift har tredubblats från ca 100 ärenden till ca 300 ärenden under 2007—2014. År 2016 blev ca 385 ärenden om rätt till insyn och rättelse av uppgift anhängiga vid dataombudsmannens byrå. Antalet anhängiga ärenden om rättelse av uppgift ökade betydligt genom EU-domstolens avgörande av den 13 maj 2014 i målet Google vrs. Spanien (C-131/12). I avgörandet i fråga ansåg EU-domstolen att sökmotorleverantören var en sådan registeransvarig som avses i det gamla dataskyddsdirektivet. Således var sökmotorleverantören skyldig enligt artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna att ur förteckningen över sökresultat avlägsna sådana vid tidpunkten för bedömningen felaktiga eller ofullständiga personuppgifter som visas till följd av en sökning på den registrerade namn.

Vid Dataombudsmannens byrå har antalet ärenden fyrdubblats sedan år 2000, medan antalet anställda och resurserna på byrån har förblivit så gott som oförändrade. Våren 2017 uppgick antalet årsverken på dataombudsmannens byrå till 21,64, medan antalet årsverken i början av 2000-talet var ungefär 20.

Dataombudsmannen deltar i stor utsträckning i internationellt samarbete med anknytning till behandling av personuppgifter. Dataombudsmannens byrå deltar i det arbete som utförs av den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter (Article 29 Working Party, nedan arbetsgruppen för skydd av personuppgifter) som avses i artikel 29 i det gamla dataskyddsdirektivet samt bedriver nära samarbete med de andra nordiska ländernas tillsynsmyndigheter. Den oberoende arbetsgruppen för skydd av personuppgifter ska ge kommissionen yttranden och rekommendationer i frågor som rör skyddet av personuppgifter. Närmare bestämmelser om de uppgifter arbetsgruppen för skydd av personuppgifter har finns i artikel 30 i det gamla dataskyddsdirektivet. I anslutning till arbetsgruppen för skydd av personuppgifter finns olika underarbetsgrupper, av vilka dataombudsmannens byrå har deltagit särskilt i arbetet inom arbetsgrupperna Future of Privacy, co-operation och Technology. Dataombudsmannen deltar även i dataskyddsmyndigheternas internationella samarbete utanför EU, t.ex. i dataskyddsmyndigheternas världskonferens, som ordnas varje år.

Dataombudsmannens byrå deltar dessutom i olika EU-tillsynsorgans verksamhet. Med stöd av ovannämnda bestämmelser deltar dataombudsmannen i verksamheten vid Europols gemensamma tillsynsmyndighet, Europols gemensamma överklagandekommitté, den gemensamma tillsynsmyndigheten för Schengens informationssystem, Tullinformationssystemets gemensamma tillsynsmyndighet samt samordningsgruppen för gemensam tillsyn. Dessutom deltar dataombudsmannen i den gemensamma tillsynen över Eurodacsystemet och i den gemensamma tillsynsgruppen för informationssystemet för viseringar.

Datasekretessnämnden

I Finland finns vid sidan av dataombudsmannen en annan datasekretessmyndighet, nämligen datasekretessnämnden. Datasekretessnämnden är en oberoende myndighet som finns i samband justitieministeriet och som utses av statsrådet för tre år i sänder. Bestämmelser om datasekretessnämnden finns förutom i personuppgiftslagen även i lagen och förordningen om datasekretessnämnden och dataombudsmannen. Datasekretessnämnden inrättades genom personregisterlagen 1987. Datasekretessnämnden har varit verksam utan avbrott alltsedan dess, trots att datasekretessnämndens uppgifter förändrades betydligt i och med antagandet av det gamla dataskyddsdirektivet och stiftandet av personuppgiftslagen i slutet av 1990-talet, då datasekretessnämndens allmänna behörighet att bevilja undantagslov enligt personregisterlagen slopades.

Datasekretessnämnden har en ordförande, en vice ordförande och fem andra medlemmar. Var och en av dem har dessutom en personlig suppleant. Datasekretessnämndens ordförande och övriga medlemmar handlar under tjänsteansvar. Datasekretessnämndens medlemmar och deras suppleanter ska enligt förordningen om datasekretessnämnden och dataombudsmannen vara förtrogna med registerverksamhet. Dessutom krävs av ordföranden, vice ordföranden och någon annan medlem och dennes suppleant juris kandidatexamen. I nämnden ska även god datateknisk sakkunskap vara företrädd. Datasekretessnämnden kan ha en sekreterare med uppdraget som huvudsyssla och sekreterare med uppdraget som bisyssla. Sekreterarna ska ha juris kandidatexamen.

Datasekretessnämnden behandlar enligt 38 § i personuppgiftslagen frågor som gäller behandlingen av personuppgifter och som med avseende på lagens tillämpningsområde är principiellt viktiga och utövar beslutanderätt i datasekretessfrågor i enlighet med vad som föreskrivs i personuppgiftslagen.

I 43 § i personuppgiftslagen föreskrivs det om datasekretessnämndens behörighet att bevilja tillstånd. Enligt 1 mom. i den paragrafen kan datasekretessnämnden bevilja ett sådant tillstånd som avses i 8 § 1 mom. 9 punkten i personuppgiftslagen för behandling av personuppgifter, om behandlingen behövs för att i andra än enskilda fall skydda den registrerades vitala intressen eller för att utföra en uppgift som gäller ett allmänt intresse eller för att utöva sådan offentlig makt som hör till den registeransvarige eller tredje man till vilken uppgifterna lämnas ut. Tillstånd kan också beviljas för att genomdriva ett berättigat intresse hos den registeransvarige eller tredje man till vilken uppgifterna lämnas ut, under förutsättning att sådan behandling av uppgifter inte äventyrar någons integritetsskydd och rättigheter. Enligt paragrafens 2 mom. kan datasekretessnämnden av skäl som gäller ett viktigt allmänt intresse bevilja ett sådant tillstånd som avses i 12 § 13 punkten i personuppgiftslagen för behandling av känsliga personuppgifter. Ett ärende som gäller ansökan om tillstånd blir anhängigt på ansökan av den registeransvarige.

Förutsättningarna för beviljande av tillstånd är således i 43 § 1 mom. i personuppgiftslagen i princip de samma som anges som förutsättning för behandling av personuppgifter i artikel 7 d—f i det gamla dataskyddsdirektivet. I förarbetet till personuppgiftslagen ansågs tillståndsförfarandet nödvändigt för att bedömningen av om förutsättningarna blivit uppfyllda inte ska vara beroende av den registeransvarige och för att få till stånd en enhetlig tillämpningspraxis (RP 96/1998 rd).

Enligt paragrafens 3 mom. kan datasekretessnämnden bevilja ett tillstånd för viss tid eller tills vidare och till det ska fogas föreskrifter som behövs för att skydda den registrerades personliga integritet. Föreskrifterna kan på ansökan av dataombudsmannen eller den som fått tillstånd ändras eller kompletteras, om detta behövs på grund av förändrade förhållanden.

I 44 § i personuppgiftslagen finns bestämmelser om datasekretessnämndens behörighet att meddela föreskrifter. Endast dataombudsmannen kan inleda ett i paragrafen avsett ärende som gäller föreskrifter vid datasekretessnämnden. Datasekretessnämnden kan med stöd av den paragrafen på ansökan av dataombudsmannen förbjuda sådan behandling av personuppgifter som strider mot personuppgiftslagen eller de bestämmelser eller föreskrifter som utfärdats med stöd av den. Datasekretessnämnden kan likaså förplikta den som saken gäller att i andra ärenden än de som avses i 40 § 2 mom. i personuppgiftslagen inom utsatt tid rätta det som har utförts i strid med lag eller som har försummats. Dessutom kan den bestämma att registerverksamheten ska upphöra, om de lagstridiga åtgärderna eller försummelserna väsentligen äventyrar den registrerades integritetsskydd eller hans intressen eller rättigheter, om det inte föreskrivits om registret i lag. Datasekretessnämnden kan också återkalla ett tillstånd som avses i 43 § i personuppgiftslagen, då förutsättningar för beviljande av tillstånd inte längre föreligger eller den registeransvarige handlar i strid med tillståndet eller föreskrifter som fogats till det.

Datasekretessnämnden kan med stöd av 46 § i personuppgiftslagen förelägga vite för att förstärka skyldigheten att lämna uppgifter enligt 39 § 1 och 3 mom. och beslut som fattats med stöd av 44 §, på det sätt som anges i viteslagen (1113/1990). Datasekretessnämndens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Även dataombudsmannen får överklaga beslut som datasekretessnämnden fattat med stöd av 43 § i personuppgiftslagen.

Datasekretessnämndens verksamhet

Under åren 2012—2016 behandlades 3—11 ärenden per år i datasekretessnämnden. Utöver egentliga ansökningsärenden har datasekretessnämnden lämnat förvaltningsdomstolarna och högsta förvaltningsdomstolen utlåtanden om besvär över nämndens beslut samt om andra ärenden som hör till dess verksamhetsområde. Datasekretessnämndens beslut har i största delen av fallen inte ändrats i besvärsinstanserna.

Under de senaste åren har en stor del av de ärenden som nämnden behandlat bestått av sådana tillståndsansökningar från registeransvariga som avses i 43 § i personuppgiftslagen. I största delen av fallen har grunden för beviljande av tillstånd varit ett berättigat intresse hos den registeransvarige eller den tredje man till vilken uppgifterna lämnas ut. Datasekretessnämnden har då i enlighet med bestämmelserna till tillståndet fogat de föreskrifter som behövs för att skydda den registrerades personliga integritet, i syfte att kunna balansera de berättigade intressena hos den registeransvarige eller hos den tredje man till vilka uppgifterna lämnats ut och den registrerade intressen och rättigheter, på det sätt som förutsätts i artikel 7 f i det gamla dataskyddsdirektivet. Efter ikraftträdandet av den allmänna dataskyddsförordningen har datasekretessnämnden börjat bevilja tillstånd för viss tid så att tillståndens giltighetstid går ut när den allmänna dataskyddsförordningen blir tillämplig.

Artikel 7 i det gamla dataskyddsdirektivet förutsatte inte att alla de grunder för behandling som nämns där skulle tas in i den nationella lagstiftningen som sådana. Således har t.ex. artikel 7 f, som gäller berättigade intressen, inte genomförts i den nationella personuppgiftslagen som sådan. Personuppgiftslagens 8 § 1 mom. 5 punkt (anknytningskrav), 6 punkt (behandling på basis av ett koncernförhållande) och 8 punkt (behandling av uppgift som beskriver en persons ställning och uppgifter inom ett offentligt samfund eller inom näringslivet) grundar sig till stor del på just artikel 7 f i det gamla dataskyddsdirektivet. Däremot till den del behandling av personuppgifter är möjlig när det endast föreligger ett berättigat intresse som inte omfattas av de punkter i 8 § 1 mom. i personuppgiftslagen som det hänvisas till ovan har det krävts tillstånd av datasekretessnämnden.

Datasekretessnämnden har under årens lopp t.ex. beviljat flera indrivningsbyråer tillstånd att vid yrkesmässig indrivningsverksamhet behandla uppgifter som fås med hjälp av befolkningsdatasystemets direktförfrågningsfunktion och som gäller sådana personer i fråga om vilka bolaget inte har något indrivningsuppdrag. Datasekretessnämnden har i sitt avgörande ansett att behandling av uppgifter som fås med hjälp av direktförfrågan har behövts för tillgodoseende av ett berättigat intresse hos de indrivningsbyråer som ansökt om tillstånd, så att en indrivningsåtgärd har kunnat riktas mot rätt person.

Datasekretessnämnden har likaså med hänsyn till ett berättigat intresse beviljat några företag tillstånd för viss tid att behandla personuppgifter i syfte att skapa och driva gatuvytjänster. Även då har förutsättningen varit att den som beviljas tillstånd ska bedriva verksamheten i enlighet med de tillståndsvillkor som datasekretessnämnden ställt. Gemensamt för ovan beskrivna fall har varit att den registeransvarige har samlat in personuppgifter vid sidan av sin verksamhet utan egentlig avsikt att behandla sådana uppgifter. Att skapa ovan beskrivna gatuvytjänst skulle i praktiken vara omöjligt utan att behandla personuppgifter när bilderna tas. Fall där datasekretessnämnden inte har beviljat sökanden tillstånd enligt 43 § i personuppgiftslagen har ofta handlat om behandling av känsliga personuppgifter. Beviljande av tillstånd förutsätter enligt lagen då ett skäl som gäller ett viktigt allmänt intresse.

Datasekretessnämnden har även meddelat ett mindre antal beslut om föreskrifter enligt 44 § i personuppgiftslagen. Ändå, behandlade datasekretessnämnden t.ex. år 2011 ett flertal ärenden om föreskrifter som gällde registeransvariga som beviljar snabblån. Dessutom har datasekretessnämnden när det gäller ärenden om föreskrifter behandlat bl.a. frågor som hänfört sig till begreppen redaktionell behandling och registeransvarig.

Ålands landskapslagstiftning

Landskapet Åland har sin egen landskapslag som gäller behandling av personuppgifter, landskapslag (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Syftet med lagen är enligt dess 1 § 1 mom. att skydda fysiska personer mot att deras personuppgifter används på ett kränkande sätt samt att främja en god informationshantering inom myndigheterna. Lagen tillämpas enligt 1 § 2 mom. på sådan myndighetsbehandling av personuppgifter som är automatiserad. Lagen tillämpas också på behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register eller en del av ett sådant. Med myndighetsbehandling av personuppgifter avses sådan behandling av personuppgifter på vilken landskapslagar ska tillämpas enligt bestämmelserna om landskapets lagstiftningsbehörighet i 18 § i självstyrelselagen för Åland. Landskapet Åland har en egen dataombudsman, nämligen Datainspektionen, som administrativt lyder under Ålands landskapsregering. Datainspektionen leds av chefen för Datainspektionen. Bestämmelser om Datainspektionen finns i landskapslag (89:2007) om Datainspektionen. Enligt den lagens 1 § ska Datainspektionen följa den allmänna utvecklingen i fråga om behandlingen av personuppgifter och ta nödvändiga initiativ. Datainspektionen ska också ge anvisningar och råd om behandlingen av personuppgifter.

Den allmänna tillsynen över landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen utövas enligt lagens 26 § av Datainspektionen. I 27 § i den lagen föreskrivs om Datainspektionens rätta att få information och inspektionsrätt. Paragrafen motsvarar i huvudsak bestämmelserna om dataombudsmannens och datasekretessnämndens tillgång till information och inspektionsrätt. Enligt den lagens 28 § ska Datainspektionen först genom påpekanden eller liknande förfaranden försöka åstadkomma att den olagliga behandlingen av personuppgifter inte fortsätter. Om den olagliga behandlingen fortsätter trots det eller om saken är brådskande får Datainspektionen förbjuda behandlingen av personuppgifter. Om behandlingen äventyrar den registrerades integritetsskydd, får Datainspektionen besluta att verksamheten ska upphöra.

2.1.6 2.1.6 Rättssäkerhet och påföljder

Artikel 24 i det gamla dataskyddsdirektivet förutsatte att medlemsstaterna ska anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt och särskilt besluta om de sanktioner som ska användas vid överträdelse av de bestämmelser som antagits för att genomföra direktivet. Personuppgiftslagens 48 § innehåller straffbestämmelser och paragrafen uppfyller för sin del den skyldighet i artikel 24 i det gamla dataskyddsdirektivet enligt vilken medlemsstaterna ska fastställa de sanktioner som ska tillämpas vid överträdelser av de bestämmelser som antagits i enlighet med direktivet (RP 96/1998 rd).

I Finland har datasekretessmyndigheterna inte befogenheter att påföra administrativa påföljdsavgifter eller andra administrativa påföljder av straffkaraktär. I Finlands rättsordning är det dock i sig vanligt att myndigheter kan ha befogenhet att påföra administrativa påföljdsavgifter. Enligt 46 § i personuppgiftslagen kan dataombudsmannen förelägga vite för att förstärka skyldigheten att lämna information enligt personuppgiftslagens 39 § 1 och 3 mom. och beslut som fattas med stöd av 40 § 2 mom. och datasekretessnämnden för att förstärka skyldigheten att lämna uppgifter enligt 39 § 1 mom. och beslut som fattats med stöd av 44 §, på det sätt som anges i viteslagen. På dataombudsmannen och datasekretessnämnden tillämpas liksom även på andra myndigheter förvaltningslagen och annan lagstiftning som allmänt tillämpas på den offentliga förvaltningen.

Bestämmelser om straff för personregisterbrott finns enligt 48 § 1 mom. i personuppgiftslagen i 38 kap. 9 § i strafflagen och bestämmelser om straff för dataintrång i personregister i 38 kap. 8 § i strafflagen. Straff för brott mot den tystnadsplikt som avses i 33 § i personuppgiftslagen utdöms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen ska bestraffas enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

I 38 kap. 1 § i strafflagen föreskrivs det om sekretessbrott och i samma kapitels 2 § om sekretessförseelse. För sekretessbrott döms den som i strid med tystnadsplikt som anges i lag eller förordning eller som en myndighet särskilt har ålagt med stöd av lag röjer en omständighet som ska hållas hemlig och som han fått kännedom om på grund av sin ställning, i sin befattning eller vid fullgörandet av ett uppdrag eller utnyttjar en sådan hemlighet till sin egen eller någon annans nytta. En förutsättning är dessutom att gärningen inte utgör brott enligt 40 kap. 5 § i strafflagen. I den paragrafen föreskrivs det om brott mot tjänstehemlighet och brott mot tjänstehemlighet av oaktsamhet.

I 38 kap. 8 § i strafflagen föreskrivs om dataintrång. Enligt den paragrafen ska den som genom att göra bruk av en användaridentifikation som han eller hon inte har rätt till eller genom att annars bryta säkerhetsarrangemang obehörigen tränger in i ett informationssystem där information eller data behandlas, lagras eller överförs elektroniskt eller med någon annan sådan teknisk metod eller i en särskilt skyddad del av ett sådant system, för dataintrång dömas till böter eller fängelse i högst två år. I 38 kap. 8 a § i strafflagen föreskrivs dessutom om grovt dataintrång.

I 38 kap. 9 § i strafflagen föreskrivs om personregisterbrott. Den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med personuppgiftslagens bestämmelser om ändamålsbundenhet, allmänna förutsättningar för behandling, personuppgifternas relevans och felfrihet, känsliga uppgifter, personbeteckning eller behandling av personuppgifter för särskilda ändamål eller bryter mot särskilda bestämmelser om behandling av personuppgifter ska dömas till böter eller fängelse i högst ett år. På personregisterbrott tillämpas inte juridiska personers straffansvar. Således har personer som dömts enligt bestämmelsen i praktiken varit fysiska personer.

I 48 § 2 mom. i personuppgiftslagen föreskrivs dessutom om personregisterförseelse. Den som i strid med personuppgiftslagen uppsåtligen eller av grov oaktsamhet försummar att iaktta vad som bestäms om angivande av ändamålet med behandlingen av personuppgifter, uppgörande av registerbeskrivning, lämnande av upplysningar om behandlingen av uppgifter, rättelse av en uppgift i ett personregister, den registrerades förbudsrätt eller om anmälningar till dataombudsmannen, och därmed äventyrar den registrerades integritetsskydd eller hans rättigheter ska, om inte strängare straff för gärningen bestäms någon annanstans i lag, för personregisterförseelse dömas till böter. För personregisterförseelse ska likaså dömas den som lämnar en datasekretessmyndighet en oriktig eller vilseledande upplysning i ett ärende som gäller behandling av personuppgifter, bryter mot bestämmelserna om skydd av personuppgifter och om förstöring av personregister eller bryter mot lagakraftvunna föreskrifter som datasekretessnämnden meddelat med stöd av 43 § 3 mom.

2.1.7 2.1.7 Yttrandefrihet

Enligt 12 § 1 mom. i grundlagen har var och en yttrandefrihet. Till yttrandefriheten hör rätten att framföra, sprida och ta emot information, åsikter och andra meddelanden utan att någon i förväg hindrar detta. Närmare bestämmelser om yttrandefriheten utfärdas genom lag. Bestämmelser om sådana begränsningar i fråga om bildprogram som är nödvändiga för att skydda barn kan utfärdas genom lag. Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas enligt paragrafen genom lag.

Skyddet för personuppgifter samt yttrandefriheten är båda grundläggande rättigheter som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 11 i stadgan har var och en rätt till yttrandefrihet. Denna rättighet innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Mediernas frihet och mångfald ska respekteras. Bestämmelser om skydd för personuppgifter finns i artikel 8 i stadgan.

Enligt artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser. Denna artikel hindrar inte en stat att kräva tillstånd för radio-, televisions- eller biografföretag. Eftersom utövandet av de nämnda friheterna medför ansvar och skyldigheter, får det underkastas sådana formföreskrifter, villkor, inskränkningar eller straffpåföljder som är föreskrivna i lag och som i ett demokratiskt samhälle är nödvändiga med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra att förtroliga underrättelser sprids eller för att upprätthålla domstolars auktoritet och opartiskhet. I artikel 8 i Europakonventionen garanteras var och en rätt till respekt för privat- och familjeliv.

Nuförtiden tillämpas personuppgiftslagen endast i begränsad omfattning på behandling av personuppgifter för redaktionella samt litterära och konstnärliga syften. Bestämmelserna i personuppgiftslagen grundar sig på artikel 9 i det gamla dataskyddsdirektivet och på det regleringssätt som tillämpades i personregisterlagen, som gällde före personuppgiftslagen. I personuppgiftslagen utvidgades bestämmelserna på det sätt som förutsätts i det gamla dataskyddsdirektivet till att gälla förutom redaktionella syften även behandling av personuppgifter för konstnärliga och litterära syften.

I fråga om behandling av personuppgifter för redaktionella samt konstnärliga eller litterära syften tillämpas utöver de allmänna bestämmelserna i 1 kap. och ikraftträdelse- och övergångsbestämmelserna i 11 kap. dessutom bestämmelserna i 32 § om skyldigheter för den registeransvarige och den som behandlar personuppgifter att skydda personuppgifterna som sig bör. I förarbetena till personuppgiftslagen konstateras det att det av ett redaktionellt register vid massmedium förutsätts att dess användarkrets begränsats så att det är tillgängligt endast för sådana som utför redaktionellt arbete.

Dataombudsmannen ska övervaka att skyldigheten att skydda uppgifterna enligt 32 § i personuppgiftslagen iakttas. Dataombudsmannen har rätt att för skötseln av denna uppgift erhålla behövliga uppgifter av den registeransvarige och förelägga vite för att förstärka skyldigheten att lämna information. Dataombudsmannen har behörighet att i fråga om behandling av personuppgifter för redaktionella samt konstnärliga och litterära syften ge anvisningar och råd samt meddela närmare anvisningar om hur personuppgifter ska skyddas mot olaglig behandling. Det gamla dataskyddsdirektivet möjliggör inte undantag från bestämmelserna om uppförandekodexar, så bestämmelserna om branschspecifika uppförandekodexar i 42 § i personuppgiftslagen tillämpas även i tillämpliga delar på behandling av personuppgifter för redaktionella samt konstnärliga och litterära syften.

Även när personuppgifter behandlas för redaktionella samt konstnärliga och litterära syften kan datasekretessnämnden på ansökan av dataombudsmannen förplikta den som saken gäller att inom utsatt tid rätta det som har utförts i strid med lag. Datasekretessnämnden kan förena beslutet med vite. Datasekretessmyndigheternas beslut får överklagas i enlighet med 45 § i personuppgiftslagen. På behandling av personuppgifter för redaktionella samt konstnärliga och litterära syften tillämpas bestämmelserna om skadeståndsskyldighet i personuppgiftslagens 47 § och bestämmelserna om personregisterförseelse i dess 48 § 2 mom.

I personregisterlagen, som föregick nuvarande personuppgiftslag, ingick en bestämmelse enligt vilken det i fråga om rätten att utge tryckskrifter föreskrivs särskilt. Bestämmelsen syftade på de bestämmelser i 10 § i regeringsformen som gällde före reformen av de grundläggande fri- och rättigheterna, där tryckfriheten tryggades som en grundläggande rättighet för medborgarna samt på tryckfrihetslagen, där det ingår närmare bestämmelser om tryckfriheten. I personuppgiftslagen föreskrivs det inte särskilt om rätten att offentliggöra personuppgifter för redaktionella syften. Det ansågs inte behövligt att ta in en sådan bestämmelse i personuppgiftslagen bl.a. för att vars och ens yttrandefrihet tryggas i den i samband med reformen av de grundläggande rättigheterna reviderade 10 § i regeringsformen. Yttrandefriheten har inte i bestämmelsen bundits till någon viss kommunikationsform, utan den tryggas oberoende av metoden för yttrandet eller offentliggörandet.

Nationellt har rätten till yttrandefrihet kompletterats med olika slag av efterhandsövervakning. Sådana bestämmelser ingår i lagen om yttrandefrihet i masskommunikation (460/2003), nedan yttrandefrihetslagen, och i strafflagen.

Yttrandefrihetslagen innehåller närmare bestämmelser om hur den i grundlagen tryggade yttrandefriheten utövas i masskommunikation. Lagen tillämpas på publikations- och programverksamhet som utövas i Finland. Dessutom tillämpas vissa av den lagens bestämmelser på en enskild person som i ett elektroniskt kommunikationsnät har en hemsida. En del av den lagens bestämmelser tillämpas också på verksamhet som enbart gäller teknisk framställning, sändning, förmedling eller distribution av en publikation eller ett nätmeddelande.

Yttrandefrihetslagen innehåller också bestämmelser som ska beaktas när det gäller förening av skyddet för personuppgifter och utövande av yttrandefriheten. Dessa är bestämmelserna om skyldighet för utgivare och dem som utövar programverksamhet, genmäle och rättelse, ansvar för innehållet i ett publicerat meddelande, tvångsmedel samt påföljder och åtalsrätt.

Strafflagen innehåller bestämmelser om brott mot yttrandefriheten. Enligt ett betänkande (24.5.2004) av en arbetsgrupp vid riksåklagarämbetet som behandlat brott mot yttrandefriheten kan endast sådana brott i fråga om vilka bestraffningen är begränsning av yttrandefriheten betraktas som brott mot yttrandefriheten. Som viktiga bestämmelser när det gäller skyddet för personuppgifter kan man nämna strafflagens 11 kap. 10 § om hets mot folkgrupp, strafflagens 24 kap. 8 och 8 a § om spridande av information som kränker privatlivet samt strafflagens 24 kap. 9 och 10 § om kriminalisering av ärekränkning.

2.1.8 2.1.8 Vetenskaplig och historisk forskning

Enligt 16 § 3 mom. i grundlagen är vetenskapens, konstens och den högsta utbildningens frihet tryggad. Enligt den regeringsproposition som gäller grundlagen (RP 1/1998 rd) motsvarar 16 § bestämmelserna i 13 § i den föregående regeringsformen. Enligt regeringens proposition till riksdagen med förslag till ändring av grundlagarnas stadganden om de grundläggande fri- och rättigheterna (RP 39/1993 rd) skapar man genom vetenskapens, konstens och den högsta undervisningens frihet förutsättningar för kulturens utveckling. Bestämmelsen har också ett nära samband med paragrafen om den grundläggande rättigheten yttrandefrihet.

Till vetenskapens frihet, som tryggas i grundlagen, hör utövarens rätt att välja sitt forskningsobjekt och sin forskningsmetod. Vetenskapens inriktning ska i första hand bestämmas genom vetenskapskritik från den vetenskapliga gemenskapen. Vetenskapens, konstens och den högsta utbildningens frihet tryggas också i universitetens och högskolornas autonomi enligt lag.

Personuppgiftslagen innehåller utöver principer av mer allmän karaktär även flera bestämmelser som uttryckligen hänför sig till behandling av personuppgifter för vetenskapliga syften. I 7 § i personuppgiftslagen föreskrivs det om ändamålsbundenhet. Enligt den paragrafen får personuppgifter användas eller i övrigt behandlas endast på ett sätt som inte strider mot de ändamål med behandlingen som avses i 6 § i personuppgiftslagen. Senare behandling av personuppgifter för historisk forskning eller för vetenskapliga eller statistiska syften anses dock inte stå i strid med de ursprungliga ändamålen.

Enligt 11 § i personuppgiftslagen är behandling av känsliga personuppgifter i regel förbjuden. Enligt 12 § 1 mom. 6 punkten i personuppgiftslagen utgör förbudet mot behandling av känsliga uppgifter dock inte hinder för behandling av uppgifter för historisk eller vetenskaplig forskning eller för statistikföring. Enligt 13 § 1 mom. 3 punkten i personuppgiftslagen får även en personbeteckning behandlas för historisk eller vetenskaplig forskning eller för statistikföring. I förarbetena till personuppgiftslagen konstateras det att vid historisk och vetenskaplig forskning samt statistikföring är en entydig individualisering i allmänhet nödvändig åtminstone när personregister samkörs.

I 4 kap. i personuppgiftslagen föreskrivs det om behandling av personuppgifter för särskilda ändamål. Enligt personuppgiftslagens 14 § får personuppgifter behandlas för historisk eller vetenskaplig forskning på andra grunder än de som nämns i lagens 8 § 1 mom., om forskningen inte kan bedrivas utan uppgifter med hjälp av vilka personer kan individualiseras och det på grund av det stora antalet uppgifter, uppgifternas ålder eller av någon annan sådan orsak inte är möjligt att inhämta samtycke av de registrerade. I den paragrafen förutsätts det dessutom att användningen av personregistret grundas på en tillbörlig forskningsplan och att det finns en ansvarig ledare eller en grupp som ansvarar för forskningen. En förutsättning är också att personregistret används och att det ur registret lämnas ut uppgifter enbart för historisk eller vetenskaplig forskning och verksamheten även i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående, och att personregistret förstörs eller överförs till arkivering eller uppgifterna i registret ges en sådan ändrad form att den som uppgifterna hänför sig till inte kan identifieras efter det att personuppgifterna inte längre behövs för att bedriva forskningen eller för att säkerställa riktigheten av dess resultat.

Vad som föreskrivs i personuppgiftslagens 14 § 1 mom. tillämpas i kompletterande syfte också när behandlingen av personuppgifter grundar sig på 8 § 1 mom., t.ex. på den registrerades entydiga samtycke. I det gamla dataskyddsdirektivet förutsattes det att lämpliga skyddsåtgärder ska vidtas när det gäller senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål. Detta krav har ansetts uppfyllt genom bestämmelserna i 4 kap. i personuppgiftslagen.

Enligt 27 § 1 mom. 3 punkten i personuppgiftslagen finns den rätt till insyn som avses i 26 § i personuppgiftslagen inte, om de personuppgifter som ingår i registret används uteslutande för historisk eller vetenskaplig forskning eller statistikföring. Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 27 § 1 mom. inte omfattas av rätten till insyn, har den registrerade rätt att få veta vilka övriga uppgifter som registrerats om honom.

Inskränkning av rätten till insyn i enlighet med 27 § 1 mom. 3 punkten i personuppgiftslagen när personuppgifter uteslutande används för historisk eller vetenskaplig forskning eller statistikföring har ansetts möjlig med stöd av artikel 13.2 i det gamla dataskyddsdirektivet. Enligt den bestämmelsen får medlemsstaterna i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik. I lagstiftningen ska då lämpliga rättsliga garantier iakttas, i synnerhet det att uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer.

När personuppgifter ur myndigheters personregister lämnas ut för forskningsändamål ska även offentlighetslagen iakttas vid sidan om eventuell speciallagstiftning. I offentlighetslagen finns det bestämmelser om rätten att ta del av myndigheternas offentliga handlingar samt om tystnadsplikt för den som är verksam vid en myndighet, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling liksom om myndigheternas skyldigheter för att offentlighetslagens syfte ska nås.

I 27 § i offentlighetslagen föreskrivs det om utlämnande av uppgifter ur en handling som överförts till ett arkiv. Enligt den paragrafens 1 mom. får uppgifter ur en sekretessbelagd myndighetshandling som har överförts till ett arkiv i den ordning som föreskrivs i arkivlagen (831/1994) lämnas ut för forskning eller något annat godtagbart ändamål, om inte den myndighet som har överfört handlingen har bestämt något annat. Prövningen av om uppgifter ska utlämnas ska utgå från att den vetenskapliga forskningens frihet tryggas. Enligt den paragrafens 2 mom. ska den som erhållit en handling ge en skriftlig förbindelse om att han eller hon inte kommer att använda handlingen för att skada eller skymfa den som handlingen gäller eller hans eller hennes närstående eller för att kränka andra intressen som sekretessplikten är avsedd att skydda.

I 24 § i offentlighetslagen föreskrivs det om sekretessbelagda myndighetshandlingar. I 28 § i offentlighetslagen finns det bestämmelser om att en myndighet, om inte något annat föreskrivs genom lag, i enskilda fall kan bevilja tillstånd att ta del av en sekretessbelagd handling för vetenskaplig forskning eller statistikföring eller för ett sådant planerings- eller utredningsarbete som en myndighet utför, om det är uppenbart att de intressen som sekretessplikten är avsedd att skydda inte kränks om uppgifter lämnas ut. Prövningen av om tillstånd ska beviljas ska utgå från att den vetenskapliga forskningens frihet tryggas. Om uppgifter har lämnats ut till en myndighet med samtycke av den vars intressen sekretessplikten är avsedd att skydda, får tillstånd inte beviljas i strid med de villkor för användning och utlämnande som uppställts i samtycket. Om tillstånd behövs för handlingar som finns hos flera myndigheter som är underställda samma ministerium, fattar ministeriet beslut om beviljande av tillstånd efter att vid behov ha hört myndigheterna. Bestämmelserna i offentlighetslagen är viktiga i synnerhet för registerforskningen.

Ett tillstånd kan beviljas för viss tid och till detta ska fogas föreskrifter som behövs för att skydda allmänna och enskilda intressen. Ett tillstånd kan återkallas när skäl därtill prövas föreligga. I förarbetena till offentlighetslagen konstateras det att det skulle vara ändamålsenligt om dataombudsmannen reserverades tillfälle att bli hörd innan tillstånd utfärdas, om det är fråga om utlämnande av personuppgifter ur ett personregister som förs av en myndighet eller om personuppgifterna kommer att införas i ett personregister (RP 30/1998 rd).

All forskning kan inte betraktas som vetenskaplig forskning. Till exempel personuppgiftslagens bestämmelser om opinions- och marknadsundersökningar skiljer sig från bestämmelserna om vetenskaplig forskning, och i regel betraktas opinions- och marknadsundersökningar inte som vetenskaplig forskning. Begreppet vetenskaplig forskning har inte definierats i personuppgiftslagen eller i dess förarbeten. I förarbetena till personuppgiftslagen konstateras det uttryckligen att det i lagen inte ska ingå någon definition av historisk eller vetenskaplig forskning, utan meningen är att de ska förstås så som de i allmänhet förstås.

Historisk forskning kan enligt regeringens proposition 96/1998 t.ex. bestå av forskning som föregår vetenskaplig forskning eller bestå av en självständig undersökning, som inte uppfyller kraven på vetenskaplig forskning. Vetenskaplig forskning som avses i 24 § i personuppgiftslagen ska dessutom enligt förarbetena uppfylla de allmänna kriterierna för vetenskaplig forskning. I synnerhet när det gäller sådan forskning som omfattar känsliga uppgifter ska också det allmänt godkända forskningsetiska principerna iakttas.

2.1.9 2.1.9 Statistikföring

Personuppgiftslagen innehåller flera bestämmelser som uttryckligen hänför sig till behandling av personuppgifter för statistikföring. Även i övrigt när personuppgifter behandlas för statistikföring blir personuppgiftslagens bestämmelser tillämpliga, om inte något annat föreskrivs i speciallagstiftningen. Bestämmelserna i personuppgiftslagens 7 § om ändamålsbundenhet och 12 § 1 mom. 6 punkten om behandling av känsliga personuppgifter för vetenskaplig forskning tillämpas också på behandling av personuppgifter för statistikföring.

Behandling av personuppgifter för statistikföring förutsätter att den grund för behandling som anges i personuppgiftslagen föreligger. Bestämmelser om de allmänna förutsättningarna för behandling finns i 8 § i personuppgiftslagen. Behandling av personuppgifter för statistikföring kan t.ex. grunda sig på den paragrafens 1 mom. 1 punkt (den registrerades samtycke) eller 4 punkt (det föreskrivs om behandlingen i lag eller behandlingen föranleds av en uppgift eller förpliktelse som anvisas den registeransvarige i lag eller som påförts honom med stöd av lag). Dessutom kan behandling av personuppgifter för statistikföring grunda sig på 15 § i personuppgiftslagen.

I 15 § i personuppgiftslagen föreskrivs det om särskilda grunder för behandling som gäller statistikföring. Enligt den paragrafen får personuppgifter behandlas för statistiska syften på andra grunder än de som nämns i 8 § 1 mom., om de förutsättningar som anges i momentet uppfylls. I det gamla dataskyddsdirektivet förutsätts det att lämpliga skyddsåtgärder ska vidtas när det gäller senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål. Dessa ansågs kunna uppfyllas genom bestämmelserna i 4 kap. i personuppgiftslagen.

Förutsättningen enligt personuppgiftslagens 15 § 1 mom. är att statistiken inte kan uppgöras eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter används, och att uppgörandet av statistik hör till den registeransvariges verksamhetsområde. Dessutom ska registret användas enbart för statistiska syften och uppgifter inte lämnas ut ur registret på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik. Alla förutsättningar som nämns i den paragrafen ska uppfyllas för att personuppgifter ska få behandlas för statistiska syften.

Den viktigaste lagen inom speciallagstiftningen om statistikföring är statistiklagen (280/2004). I statistiklagen föreskrivs det om de förfaringssätt och principer för insamling av uppgifter samt planering och framställning av statistik som ska tillämpas när statliga myndigheter framställer statistik. På insamling, utlämnande, skydd och övrig bearbetning av uppgifter vid statistikframställning tillämpas dock offentlighetslagen och personuppgiftslagen.

2.1.10 2.1.10 Arkivering som är förenlig med allmänt intresse

På förvaring av register i anslutning till myndigheters verksamhet tillämpas arkivlagen i enlighet med dess 1 §. Arkivlagen innehåller bestämmelser om arkivfunktionen och organiseringen av den och om framställning, förvaring och användning av handlingar. I 5 kap. i arkivlagen finns bestämmelser om Riksarkivets uppgifter i fråga om privata arkiv. I lagens 17 § föreskrivs det att ett privat arkiv eller handlingar som hör till det med stöd av ett avtal som ingås med arkivets ägare kan övertas för att förvaras och vårdas av Riksarkivet, ett landsarkiv eller något annat arkiv som avses i arkivlagen. Enligt lagens 18 § kan arkivverket föra register över privata arkiv och därtill hörande handlingar som är av betydelse för den vetenskapliga forskningen.

I 35 § i personuppgiftslagen föreskrivs om överföring av personuppgifter till arkiv. Enligt paragrafens 1 mom. gäller i fråga om användning och skydd av personregister som har överförts till arkivverket eller ett därmed jämförbart arkiv samt om utlämnande av uppgifter som finns i sådana register vad som bestäms särskilt. På sådan arkivering har således inte personuppgiftslagen tillämpats. När arkivverket eller ett arkiv som är jämförbart med det lämnar ut personuppgifter ur privata personregister ska dock personuppgiftslagens bestämmelser om behandling och utlämnande av personuppgifter beaktas, om det inte med hänsyn till åldern och arten av uppgifter är uppenbart onödigt med avseende på de registrerades integritetsskydd.

Med arkivverket avses i 35 § i personuppgiftslagen Riksarkivet, om vilket det föreskrivs i arkivlagen. Andra därmed jämförbara arkiv är enligt den regeringsproposition som gäller personuppgiftslagen bl.a. utrikesministeriets arkiv, krigsarkivet, arkivet vid Suomalaisen kirjallisuuden Seura samt fackförbundens arkiv (RP 96/1998 rd). Bestämmelser om Riksarkivet och dess uppgifter finns i lagen om Riksarkivet (1145/2016).

Enligt 35 § 2 mom. i personuppgiftslagen kan ett personregister som är betydelsefullt för vetenskaplig forskning eller av någon annan orsak överföras till arkivet vid en högskola eller en sådan inrättning eller myndighet till vars uppgifter det enligt lag hör att bedriva forskning, om Riksarkivet har beviljat tillstånd till detta. Riksarkivet kan bevilja en sammanslutning, en stiftelse och en inrättning tillstånd att till sitt arkiv överföra personregister som har tillkommit i den egna verksamheten och som uppfyller ovan nämnda villkor. Riksarkivet ska i sitt tillståndsbeslut ge föreskrifter om hur skyddet av registren ska ordnas och om hur användningen av personuppgifter ska övervakas. Riksarkivet ska, innan ovan avsedda tillstånd beviljas, bereda dataombudsmannen tillfälle att ge utlåtande.

Även i 34 § i personuppgiftslagen hänvisas det till arkivering. Enligt den paragrafen ska ett personregister som inte längre behövs för den registeransvariges verksamhet förstöras, om det inte särskilt bestäms att de registrerade uppgifterna ska bevaras eller om registret inte ska överföras till ett arkiv på det sätt som avses i 35 §.

2.2 Den internationella utvecklingen samt lagstiftningen i utlandet och i EU

2.2.1 2.2.1 Europarådet

Det första rättsligt bindande instrumentet för skydd av personuppgifter var Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS nr 108, dataskyddskonventionen). Europarådet antog konventionen 1981. Den ålägger parterna i konventionen att i sin nationella lagstiftning föreskriva om åtgärder för att säkerställa att individens rättigheter respekteras vid behandlingen av personuppgifter. Dataskyddskonventionen tillämpas på automatisk behandling av personuppgifter och gäller all behandling av personuppgifter, inklusive behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. Dataskyddskonventionen har fungerat som modell också för det gamla dataskyddsdirektivet och med stöd av det har det utfärdats en mängd rekommendationer om behandling av personuppgifter.

För närvarande har konventionen ratificerats av 47 medlemsstater i Europarådet och av fyra stater utanför Europarådet. Alla medlemsstater i EU är parter i konventionen. I Finland trädde konventionen i kraft år 1992. Dataskyddskonventionen kompletterades 2001 med ett tilläggsprotokoll om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (ETS nr 181). Tilläggsprotokollet har ratificerats av 36 medlemsstater i Europarådet, inklusive Finland. Dessutom har tilläggsprotokollet ratificerats av fyra stater utanför Europarådet. Tilläggsprotokollet trädde i kraft för Finlands del 2012.

Samtidigt med förhandlingarna om den allmänna dataskyddsförordningen har det inom Europarådet också utarbetats ett utkast till protokoll, som har som syfte att anpassa konventionen till nuvarande och kommande dataskyddsutmaningar. EU förbereder en anslutning till den reviderade konventionen. Protokollet om ändring av konventionen har ännu inte godkänts.

Enligt artikel 8 i Europakonventionen (FördrS 19/1990) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Artikeln har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter.

2.2.2 2.2.2 Europeiska unionens allmänna dataskyddsförordning

Nuförtiden finns det bestämmelser om skydd för personuppgifter i Europeiska unionens primärrätt, i artikel 16 i fördraget om Europeiska unionens funktionssätt, nedan EUF-fördraget. Enligt artikel 16.1 har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 16.2 ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. I primärrätten föreskrivs det också att oberoende myndigheter ska kontrollera att bestämmelserna om skydd av personuppgifter följs. Europaparlamentet och rådet har antagit den allmänna dataskyddsförordningen med stöd av artikel 16 i EUF-fördraget, liksom även det nya dataskyddsdirektivet, vilket tillämpas på områdena för polissamarbete och straffrättsligt samarbete.

Enligt artikel 16 i EUF-fördraget påverkar de bestämmelser som antas på grundval av den artikeln inte tillämpningen av de särskilda bestämmelser som anges i artikel 39 i fördraget om Europeiska unionen, nedan EU-fördraget. Enligt artikel 39 i EU-fördraget ska rådet i enlighet med artikel 16 i EUF-fördraget och med avvikelse från punkt 2 i den artikeln anta ett beslut om bestämmelser om skydd för enskilda personer i fråga om behandling av personuppgifter i medlemsstaterna, när dessa utövar verksamhet som omfattar den gemensamma utrikes- och säkerhetspolitiken, samt bestämmelser om den fria rörligheten för sådana uppgifter. Oberoende myndigheter ska kontrollera att dessa bestämmelser följs. Rådet har ännu inte fattat beslut om de bestämmelser som ska tillämpas inom den gemensamma utrikes- och säkerhetspolitiken.

Den allmänna dataskyddsförordningen

Den allmänna dataskyddsförordningen (General Data Protection Regulation, GDPR) har trätt i kraft den 24 maj 2016 och den börjar tillämpas den 25 maj 2018. Den allmänna dataskyddsförordningen tillämpas från och med det datumet i alla EU:s medlemsstater. Genom den allmänna dataskyddsförordningen upphävs det gamla dataskyddsdirektivet från 1995. Den allmänna dataskyddsförordningen ska i princip tillämpas på all behandling av personuppgifter. Den föreslagna dataskyddslagen eller nationell speciallagstiftning kan dessutom bli tillämplig. När polisen, åklagare, domstolar, Brottspåföljdsmyndigheten, Tullen, gränskontrollmyndigheter och andra behöriga myndigheter behandlar personuppgifter i brottmål tillämpas dock som allmän lag den föreslagna lagen för genomförande av det nya dataskyddsdirektivet. Den lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten.

Kommissionens förslag till dataskyddspaket från 2012 är den största ändringen av lagstiftningen som gäller skyddet av personuppgifter i Europa på över 20 år. Europeiska kommissionen har genom detta lagstiftningsprojekt strävat efter att förenhetliga, stärka och uppdatera den europeiska lagstiftningen om skyddet av personuppgifter. Detta syns bl.a. i att individens rättigheter stärks och att övervakningen av genomförandet effektiviseras. Övervakningen av genomförandet effektiviseras bl.a. genom stärkande av tillsynsmyndighetens befogenheter och genom olika institutionella arrangemang. Syftet med den allmänna dataskyddsförordningen är också att stärka den inre marknaden. Dessa syften återspeglas bl.a. i åtgärder som stärker en enhetlig, övergripande och tidsenlig ram för dataskyddet. Kommissionen har dessutom haft som ambitiöst mål att fastställa globala standarder för skyddet av personuppgifter.

Målet att skapa en enhetlig och övergripande ram för dataskyddet och att stärka den inre marknaden återspeglas förutom i skapandet av en samarbetsmekanism för dataskyddsmyndigheterna också i arten av lagstiftningsinstrument som valts. Förordningen träder i kraft som sådan i alla medlemsstater. En förordning avviker som lagstiftningsinstrument från ett direktiv, vilket förutsätter nationell lagstiftning för genomförande av direktivet. Som lagstiftningsinstrument tillåter en förordning i princip inte nationell lagstiftning, inte ens lagstiftning i enlighet med förordningen. Det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger bör bedömas med detta som utgångspunkt.

Rättslig grund

Den allmänna dataskyddsförordningen har antagits med stöd av bestämmelserna om skydd av personuppgifter i artikel 16.1 i EUF-fördraget. Genom Lissabonfördraget infördes artikel 16.1 i unionens primärrätt. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Det gamla dataskyddsdirektivet antogs däremot med stöd av artikel 100a om den inre marknadens funktion i fördraget om upprättandet av Europeiska gemenskapen (senare artikel 95 i fördraget om upprättandet av Europeiska gemenskapen, nuvarande artikel 114 i EUF-fördraget). Denna förändring understryker att målet är att skydda personuppgifter. Trots det är syftet med den allmänna dataskyddsförordningen också att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna. Till exempel extra villkor som ställs på behandling av personuppgifter kan anses vara ett hinder för det fria flödet.

Skyddet av personuppgifter har stärkts inom unionens lagstiftningsramverk också när Europeiska unionens stadga om de grundläggande rättigheterna blev rättsligt bindande 2009. I artikel 7 i stadgan tryggas skyddet för privatlivet och i artikel 8 skyddet av personuppgifter. Enligt artikel 8 i stadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs. Eftersom skyddet av personuppgifter är en grundläggande rättighet som erkänns i artikel 8 i stadgan, ska förutsättningarna i artikel 52.1 i stadgan uppfyllas om skyddet av personuppgifter begränsas.

Tillämpningsområde

Tillämpningsområdet för den allmänna dataskyddsförordningen är omfattande. Den allmänna dataskyddsförordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Om personuppgifter behandlas genom annan behandling än automatisk är det avgörande med tanke på tillämpningen om uppgifterna ingår i eller kommer att ingå i ett register. Förordningen tillämpas både inom den privata och inom den offentliga sektorn. Dessutom tillämpas förordningen på personuppgiftsansvariga som är etablerade utanför unionen, om varor eller tjänster erbjuds direkt till registrerade inom unionen. Detsamma gäller situationer där beteendet hos registrerade övervakas inom unionen. En sådan situation kan föreligga t.ex. vid profilering.

Tillämpningsområdet för förordningen behandlas närmare i avsnitten 2.3.2, 5.1 och 7.1.

Principer för behandling av personuppgifter

Trots samhällets utveckling och digitalisering är de allmänna principer för behandling av personuppgifter som ingår i det gamla dataskyddsdirektivet fortfarande giltiga. Motsvarande principer för behandling av personuppgifter ingår även i den allmänna dataskyddsförordningen.

Viktiga principer för behandling av personuppgifter är principen om ändamålsbegränsning; principen om uppgiftsminimering; principen om korrekthet, laglighet och öppenhet; principen om lagringsminimering samt principen om integritet och konfidentialitet. Med ändamålsbegränsning avses att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt principen om uppgiftsminimering ska de personuppgifter som samlas in vara adekvata, relevanta och behövas för de ändamål för vilka de behandlas. Personuppgifter får således inte samlas in endast för det syftet att användningen av dem kan visa sig vara nyttig i framtiden. Principen om uppgifternas korrekthet innebär att den personuppgiftsansvarige ska säkerställa att uppgifterna är korrekta. Uppgifter som är felaktiga ska rättas eller raderas utan dröjsmål.

Principen om laglighet, korrekthet och öppenhet förutsätter att personuppgifterna behandlas på ett lagligt och öppet sätt i förhållande till den registrerade. Med öppen behandling av personuppgifter avses att den registrerade får information om behandling av personuppgifter som rör honom eller henne. De grundläggande faktorerna för öppenhet omfattar krav enligt vilka uppgifterna ska vara lättåtkomliga och lättbegripliga samt utformade på ett tydligt sätt.

Enligt principen om lagringsminimering får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I principen om integritet och konfidentialitet betonas att säkerheten för behandlingen av personuppgifterna ska tryggas.

En ny princip i förhållande till det gamla dataskyddsdirektivet och personuppgiftslagen är principen om ansvarsskyldighet. Den personuppgiftsansvarige ska kunna visa att behandlingen av personuppgifter överensstämmer med den allmänna dataskyddsförordningen. Några särskilda bestämmelser om ansvarsskyldighet utöver bestämmelsen i artikel 5.2 finns inte i den allmänna dataskyddsförordningen, men skyldigheten gäller all behandling av personuppgifter.

Betydelse av ansvarsskyldigheten framhävs av den s.k. riskbaserade tillämpning som man gått in för i den allmänna dataskyddsförordningen. I den allmänna dataskyddsförordningen framträder den s.k. riskbaserade tillämpningen starkare än i nuvarande lagstiftning om skydd för personuppgifter. Den centrala tanken med riskbaserad tillämpning är att den personuppgiftsansvarige och personuppgiftsbiträdet kan anpassa åtgärderna för att skydda personuppgifter efter den risk som är förknippad med behandlingen. Den personuppgiftsansvarige och personuppgiftsbiträdet ska således kunna visa att de åtgärder som valts för att skydda personuppgifterna är proportionella mot de risker som är förknippade med behandlingen. Den riskbaserade tillämpningen gäller dock inte den registrerades rättigheter. Den registrerade har samma rättigheter att få veta för vilket ändamål personuppgifterna behandlas, oberoende av vilka risker behandlingen innebär.

Principerna för behandling av personuppgifter gäller all behandling av personuppgifter. De mer detaljerade bestämmelserna i den allmänna dataskyddsförordningen ger uttryck för mål som överensstämmer med de allmänna principerna. Till exempel bestämmelserna om den registrerades rätt till tillgång till uppgifter som samlats in om honom eller henne i artikel 15 i den allmänna dataskyddsförordningen ger uttryck för öppenhetsprincipen vid behandling av personuppgifter.

Laglig behandling av personuppgifter

Det ska finnas en rättslig grund för behandlingen av personuppgifter. Artikel 6 i den allmänna dataskyddsförordningen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter. Artikel 6 i förordningen är direkt tillämplig lagstiftning, med undantag av artikel 6.1 c och e. När det gäller dessa led är behandling av personuppgifter möjlig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandlingen av personuppgifter inom den offentliga sektorn ska i regel grunda sig på dessa rättsliga grunder för behandling.

I den allmänna dataskyddsförordningen föreskrivs det också noggrannare än nu om förutsättningarna för samtycke.

Vid behandling av uppgifter som hör till särskilda kategorier av personuppgifter (tidigare känsliga personuppgifter), ska dessutom något av leden i artikel 9.2 i den allmänna dataskyddsförordningen uppfyllas. I vissa situationer är behandling av uppgifter som hör till särskilda kategorier av personuppgifter möjlig direkt med stöd av något av leden i artikel 9.2 i den allmänna dataskyddsförordningen. Så är det t.ex. när den registrerade uttryckligen har gett sitt samtycke till behandlingen av personuppgifterna. I vissa situationer förutsätter tillämpningen av artikel 9.2 att det föreskrivs om behandlingen i medlemsstatens lagstiftning eller i unionsrätten. I dataskyddslagen föreslås det bestämmelser om vissa situationer där särskilda kategorier av personuppgifter behandlas. Inom ramen för det nationella handlingsutrymme som ges i artikel 9.2 i den allmänna dataskyddsförordningen är det också möjligt att utfärda speciallagstiftning.

De registrerades rättigheter

Ett av målen i den allmänna dataskyddsförordningen är att stärka de registrerades rättigheter. Den registrerade har redan nu med stöd av personuppgiftslagen rätt att få uppgift om t.ex. ändamålet med behandlingen, den registeransvarige och vart uppgifter i regel lämnas ut. Den registrerade har också t.ex. rätt att få veta vilka uppgifter om honom eller henne som har registrerats och på motsvarande sätt få veta att uppgifter om honom eller henne inte har registrerats.

Bestämmelserna om registrerades rättigheter i den allmänna dataskyddsförordningen är dock mer detaljerade än för närvarande. Registrerades rättigheter har också utvecklats så att de bättre motsvarar det digitaliserade samhällets strukturer. Den allmänna dataskyddsförordningen innehåller t.ex. bestämmelser om en del nya rättigheter för registrerade, såsom registrerades rätt till dataportabilitet. I den allmänna dataskyddsförordningen föreskrivs det bl.a. om att uppgifterna i regel ska tillhandahållas den registrerade på elektronisk väg.

En del av den registrerades rättigheter är bundna till den rättsliga grunden för behandling av personuppgifter. Till exempel rätten till dataportabilitet gäller endast situationer där behandlingen av personuppgifter grundar sig på samtycke eller på ett avtal. I framtiden har registrerade i vissa situationer också rätt att invända mot behandling av sina personuppgifter.

Till skillnad från nuläget fästs det särskild vikt vid barns ställning i den allmänna dataskyddsförordningen. Detta framgår t.ex. av åldersgränsen i fråga om informationssamhällets tjänster. Även i ingressen till förordningen betonas det att när behandlingen av personuppgifter riktar sig till barn ska information om behandlingen tillhandahållas på ett enkelt språk som barnet kan förstå.

Den registrerade har rätt att föra ett ärende till tillsynsmyndigheten för behandling, om han eller hon anser att behandlingen av personuppgifter som rör honom eller henne strider mot den allmänna dataskyddsförordningen. Den registrerade har också rätt till ersättning, om han eller hon har lidit skada till följd av överträdelsen av förordningen. Den registrerade, liksom den personuppgiftsansvarige och personuppgiftsbiträdet, har också rätt att överklaga ett rättsligt bindande beslut från tillsynsmyndigheten. I Finland överklagas dataombudsmannens beslut hos förvaltningsdomstolen.

Den personuppgiftsansvariges skyldigheter

Ett syfte med den allmänna dataskyddsförordningen är göra skyddet av personuppgifter till en integrerad del av de organisatoriska förfarandena och den tekniska utvecklingen. I förordningen föreskrivs det t.ex. om inbyggt dataskydd och dataskydd som standard. Den personuppgiftsansvarige ska också redan när behandling av personuppgifter planeras bedöma de tekniska och organisatoriska åtgärderna så att dataskyddsprinciperna genomförs effektivt.

Förordningen medför vissa nya skyldigheter för personuppgiftsansvariga. Nya skyldigheter är bl.a. skyldigheten att genomföra en konsekvensbedömning och därpå följande förhandssamråd med tillsynsmyndigheten, skyldighet att utnämna ett dataskyddsombud i vissa fall och skyldighet att anmäla en personuppgiftsincident till tillsynsmyndigheten och den registrerade.

Den riskbaserade tillämpningen framgår av de personuppgiftsansvarigas nya skyldigheter. Till exempel ska en konsekvensbedömning genomföras under situationer med hög risk och skyldigheten att utnämna ett dataskyddsombud har när det gäller den privata sektorn begränsats till situationer där det är fråga om omfattande behandling av särskilda kategorier av personuppgifter och personuppgifter som rör fällande domar i brottmål och överträdelser eller om att den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning.

Den allmänna dataskyddsförordningen medför också skyldigheter för personuppgiftsbiträdet. Personuppgiftsbiträdet behandlar uppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska t.ex. föra ett register över behandling i enlighet med artikel 30.2 i den allmänna dataskyddsförordningen. Personuppgiftsbiträdet ska också i enlighet med artikel 32 i den allmänna dataskyddsförordningen svara för säkerheten i samband med behandlingen. I förordningen förskrivs i detalj också om avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Tillsynsmyndighet

I den allmänna dataskyddsförordningen föreskrivs det om tillsynsmyndigheten och tillsynsmyndighetens befogenheter. Ett syfte med den allmänna dataskyddsförordningen har varit att stärka tillsynsmyndigheten oberoende och befogenheter. Den mest betydande förändringen när det gäller tillsynsmyndighetens befogenheter följer av myndighetens befogenheter att påföra administrativa sanktionsavgifter, vilka kan bli påfallande höga.

Den allmänna dataskyddsförordningen ger också en ram för samarbetet mellan myndigheter. Myndigheterna kan samarbeta inom ramen för den s.k. mekanismen för enhetlighet. Syftet med mekanismen för enhetlighet är att förenhetliga tolkningspraxisen i fråga om förordningen inom unionen. Genom den allmänna dataskyddsförordningen inrättas dessutom Europeiska dataskyddsstyrelsen, som har behörighet att anta rättsligt bindande beslut i vissa ärenden. Den nationella tillsynsmyndigheten ska i en sådan situation i samband med beslutsfattandet iaktta Europeiska dataskyddsstyrelsens beslut.

Även om det föreskrivs om tillsynsmyndighetens uppgifter och befogenheter i den allmänna dataskyddsförordningen, ska medlemsstaterna bl.a. föreskriva om tillsynsmyndighetens inrättande och om kvalifikationer och villkor för lämplighet som krävs av myndighetspersonerna. En stor del av bestämmelserna i den föreslagna dataskyddslagen gäller tillsynsmyndigheten.

Överföringar av personuppgifter till tredjeländer

Den allmänna dataskyddsförordningen innehåller också bestämmelser om överföring av personuppgifter till tredjeländer. Liksom för närvarande får personuppgifter överföras till tredjeländer, om kommissionen har fattat beslut om adekvat skyddsnivå. Personuppgifter får överföras till tredjeländer även till sådana personuppgiftsansvariga eller personuppgiftsbiträden som tillgodosett den registrerades rättigheter, dvs. vidtagit lämpliga skyddsåtgärder. Dessutom ska lagstadgade rättigheter och effektiva rättsmedel för registrerade finnas tillgängliga.

Den personuppgiftsansvarige kan tillgodose den registrerades rättigheter också t.ex. genom att använda sig av bindande företagsbestämmelser, standardiserade bestämmelser av kommissionen eller en dataskyddsmyndighet eller genom de uppförandekoder som avses i förordningen. Uppgifter får överföras till tredjeländer också i undantagsfall som gäller särskilda situationer, såsom om överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Nationellt handlingsutrymme

Den allmänna dataskyddsförordningen är betydligt mer detaljerad än det gamla dataskyddsdirektivet. Så som det framgår ovan är även lagstiftningsinstrumentets karaktär annorlunda. Även om dataskyddsförordningen är nationellt direkt tillämplig lagstiftning, ger förordningen i vissa frågor den nationella lagstiftaren handlingsutrymme i likhet med direktiv. Den nationella prövningsmarginalen gäller särskilt behandlingen av personuppgifter inom den offentliga sektorn. Detta framgår t.ex. av det nationella handlingsutrymme som grunderna för behandling av personuppgifter möjliggör. Den nationella prövningsmarginalen gäller i viss utsträckning också behandlingen av personuppgifter inom den privata sektorn.

Den allmänna dataskyddsförordningen kan kompletteras och tillämpningen av den preciseras genom nationell lagstiftning på det sätt som anges i förordningen.

Den allmänna dataskyddsförordningen innehåller också vissa skyldigheter för medlemsstaterna, såsom att föreskriva om inrättande av tillsynsmyndighet. Medlemsstaterna ska också förena skyddet för yttrandefriheten med skyddet för personuppgifter. I artikel 23 i den allmänna dataskyddsförordningen ges medlemsstaterna dessutom möjlighet att begränsa den registrerades rättigheter i vissa situationer. Det är möjligt att begränsa den registrerades rättigheter t.ex. om det är nödvändigt för den nationella säkerheten. Dessutom kan den nationella lagstiftaren begränsa den registrerades rättigheter i vissa särskilda situationer som avses i kapitel IX i förordningen, t.ex. när personuppgifter behandlas för vetenskapliga forskningsändamål.

En närmare redogörelse för det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger finns i samband med detaljmotiveringen.

Riksdagen har informerats om beredningen av den allmänna dataskyddsförordningen genom en U-skrivelse (U 21/2012 rd) och kompletterande U-skrivelser i anslutning till den (UK 9/2013 rd, UK 36/2014 rd, UK 3/2015 rd, UK 10/2015 rd, UK 22/2015 rd ja UK 45/2015 rd). Dessutom har flera faktapromemorior om den allmänna dataskyddsförordningen lämnats till riksdagen i samband med beredningen inom rådet för rättsliga och inrikes frågor. Förvaltningsutskottet har lämnat flera utlåtanden om den allmänna dataskyddsförordningen (FvUU 11/2012 rd, FvUU 6/2013 rd, FvUU 30/2014 rd, FvUU 22/2014 rd, FvUU 36/2014 rd, FvUU 2/2015 rd, FvUU 10/2015 rd och FvUU 25/2015 rd). Även grundlagsutskottet har lämnat utlåtande om den allmänna dataskyddsförordningen (GrUU 12/2012 rd).

2.2.3 2.2.3 OECD:s dataskyddsrekommendation

Organisationen för ekonomiskt samarbete och utveckling (OECD) godkände 1980 en rekommendation om skydd för personlig integritet och internationell överföring av personuppgifter (Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of the Personal Data 23.8.1980). Rekommendationen innehåller bl.a. allmänna principer för insamling av personuppgifter, arten av uppgifter, den registrerades rätt till insyn, informationssäkerhet och internationell överföring av uppgifter, och dessa principer ska staterna beakta i sin lagstiftning. OECD:s dataskyddsrekommendation utarbetades samtidigt som dataskyddskonventionen och i samarbete med den kommitté som utarbetade konventionen. Rekommendationen uppdaterades 2013 med anledning av den tekniska utvecklingen och den avsevärt större ekonomiska och samhälleliga betydelse personuppgifterna fått.

2.3 Bedömning av nuläget

2.3.1 2.3.1 Allmänt

Det har redan gått över två årtionden sedan det gamla dataskyddsdirektivet antogs. Under denna tid har det skett stora förändringar i samhället särskilt på grund av den snabba tekniska utvecklingen. Digitaliseringen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen av delning och insamling av personuppgifter har ökat avsevärt jämfört med 1990-talet. Allt fler fysiska personer gör sina personliga uppgifter allmänt tillgängliga, t.ex. med hjälp av olika sociala medietjänster. Databehandlingsmetoderna har effektiviserats avsevärt under årens lopp. Detta har förbättrat rörligheten för personuppgifter inom EU, men har också lett till berättigad oro över fysiska personers integritetsskydd och skyddet av personuppgifter.

Medlemsstaterna har kunnat genomföra det gamla dataskyddsdirektivet i sin nationella lagstiftning på väldigt olika sätt. Det har också funnits skillnader i tillämpningen av lagstiftningen. Medlemsstaternas splittrade dataskyddslagstiftning har ansetts utgöra ett hinder för det fria flödet av personuppgifter på den inre marknaden. Skillnader mellan medlemsstaternas lagstiftning kan därför utgöra ett hinder för att bedriva ekonomisk verksamhet på unionsnivå, de kan snedvrida konkurrensen och hindra myndigheterna att fullgöra sina skyldigheter enligt unionsrätten. I enlighet med vad som konstateras i skäl 9 i den allmänna dataskyddsförordningen är målen och principerna för det gamla dataskyddsdirektivet fortfarande giltiga, men det har inte kunnat förhindra bristande enhetlighet i genomförandet av dataskyddet, rättsosäkerhet eller allmänt spridda uppfattningar om att betydande risker kvarstår för fysiska personer, särskilt med avseende på användning av internet.

Genom den allmänna dataskyddsförordningen har man för avsikt att säkerställa en konsekvent och enhetlig tillämpning av bestämmelserna om skydd för fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter inom EU. För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom EU bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. Den allmänna dataskyddsförordningen förenhetligar ändå inte till alla delar bestämmelserna om skyddet av personuppgifter inom EU, eftersom medlemsstaterna t.ex. vad gäller behandlingen av personuppgifter för att fullgöra en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige bör tillåtas att behålla eller införa nationella bestämmelser för att närmare fastställa och komplettera tillämpningen av bestämmelserna i den allmänna dataskyddsförordningen. Fortfarande har medlemsstaterna inom ramen för den allmänna dataskyddsförordningen möjlighet att behålla och stifta sektorsspecifika lagar på områden som kräver mer specifika bestämmelser.

Avsikten med den allmänna dataskyddsförordningen är å en sidan att säkerställa skyddet för fysiska personer i samband med behandling av personuppgifter, å andra sidan att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden.

2.3.2 2.3.2 Lagens syfte och tillämpningsområde

När det gamla dataskyddsdirektivet genomfördes genom personuppgiftslagen, begränsades lagens tillämpningsområde inte till tillämpningsområdet för gemenskapsrätten. Till skillnad från det gamla dataskyddsdirektivet är den allmänna dataskyddsförordningen direkt tillämplig lagstiftning. Därför kan den allmänna dataskyddsförordningen inte på samma sätt som det gamla dataskyddsdirektivet genomföras separat. Frågan om tillämpningsområdet kan således inte lösas på motsvarande sätt som vid genomförandet av det gamla dataskyddsdirektivet.

Enligt artikel 2.2 i den allmänna dataskyddsförordningen ska förordningen inte tillämpas på sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Förordningen ska inte heller tillämpas på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Den allmänna dataskyddsförordningen är således tillämplig på all behandling av personuppgifter som omfattas av unionsrätten, men faller utanför tillämpningsområdet för det nya dataskyddsdirektivet. Den allmänna dataskyddsförordningen tillämpas inte heller på den behandling av personuppgifter som sker i unionens institutioner. Dessutom faller sådan behandling av personuppgifter som sker med stöd av undantaget för hushåll utanför förordningens tillämpningsområde.

Den grundläggande principen för EU:s befogenheter är principen om tilldelade befogenheter. Enligt principen om tilldelade befogenheter ska unionen endast handla inom ramen för de befogenheter som medlemsstaterna har tilldelat den i fördragen för att nå de mål som fastställs där. EU:s befogenheter är begränsade befogenheter som medlemsstaterna har överlåtit på unionen. Den allmänna befogenheten tillhör fortfarande medlemsstaterna. Detta klargörs i artiklarna 4 och 5 i EU-fördraget, där det sägs att varje befogenhet som inte har tilldelats unionen i fördragen ska tillhöra medlemsstaterna. Medlemsstaterna har alltså överfört en del av sina befogenheter till EU då de godkände bestämmelserna i fördraget. Av bestämmelserna om mål och rättsliga grunder inom de olika politikområdena framgår det i princip hurdana befogenheter som tilldelats EU och i vilken omfattning. Det är emellertid inte alltid klart med stöd av en bestämmelse om den rättsliga grunden hur en befogenhet fördelas mellan EU och dess medlemsstater.

Den allmänna dataskyddsförordningen tillämpas t.ex. inte på sådan behandling av personuppgifter som hänför sig till den nationella säkerheten. Den nationella säkerheten omfattas inte av unionsrätten och således inte av förordningens tillämpningsområde. Gränsdragningen i fråga om de delområden som omfattas av unionsrätten är dock inte klar. Om det kan visas att frågan har ett tillräckligt samband med unionens lagstiftning t.ex. till följd av implementering eller undantag, blir unionens lagstiftning tillämplig (Booker Aquacultural, C-20/00 och C-64/00; ERT C-260/89).

I ett fall som gällde behandling av personuppgifter (C-101/01) var det fråga om verksamhet som väsentligen var ideell och religiös, inte ekonomisk. Även om det gamla dataskyddsdirektivet har antagits med den inre marknaden som rättslig grund, ansåg Europeiska gemenskapernas domstol (nuvarande EU-domstolen) att behandlingen i fråga omfattades av unionslagstiftningen och fäste vikt vid att motsatt tolkning skulle innebära en risk för att gränserna för det nämnda direktivets tillämpningsområde skulle bli synnerligen osäkra och vaga, vilket skulle motverka direktivets huvudsakliga syfte. EU-domstolen betonade också att det under dessa omständigheter inte är lämpligt att tolka uttrycket "verksamhet som inte omfattas av gemenskapsrätten" så, att det har en sådan räckvidd att det från fall till fall måste kontrolleras huruvida den specifika verksamhet som är i fråga direkt påverkar den fria rörligheten mellan medlemsstaterna.

I fallet Åkerberg Fransson (C-617/10) ansåg EU-domstolen däremot att trots att de åtgärder som vidtas av medlemsstaterna inte är fullständigt bestämda av unionsrätten förblir nationella myndigheter och domstolar behöriga att tillämpa nationella normer för skydd av grundläggande rättigheter förutsatt att tillämpningen av dessa normer inte undergräver den skyddsnivå som föreskrivs i stadgan. Vidare konstaterade EU-domstolen att varje bestämmelse i en nationell rättsordning eller varje lagstiftnings-, förvaltnings- eller domstolspraxis som kan leda till att unionsrättens verkan försvagas är oförenlig med de krav som följer av unionsrättens karaktär.

EU-domstolen har också ansett att det i en situation där direktivet lämnade medlemsstaterna möjlighet att begränsa de rättigheter och skyldigheter som anges i direktivet i enlighet med nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem, kom de nationella åtgärderna för begränsning att omfattas av direktivets och samtidigt även unionsrättens tillämpningsområde (Tele2Sverige, AB C-203/15).

Enligt artikel 51.1 i Europeiska unionens stadga om de grundläggande rättigheterna ska medlemsstaterna iaktta bestämmelserna i stadgan när de tillämpar unionsrätten. EU-domstolen har ansett att denna förutsättning även kan föreligga i en situation där tillämplig nationell lagstiftning inte har utfärdats för att införliva direktivet med nationell rätt, utan även en annan form av samband med EU-rätten är tillräckligt (Åkerberg Fransson, C-617/10 och Tele2 Sverige AB, C-203/15).

2.3.3 2.3.3 Rättslig grund för behandling av personuppgifter i vissa fall

Grunden för den nationella prövningsmarginalen finns i artikel 6 i den allmänna dataskyddsförordningen. Genom den ges medlemsstaterna möjlighet att nationellt föreskriva om den rättsliga grunden för behandling av personuppgifter. Den rättsliga grunden för behandling av personuppgifter får fastställas i medlemsstatens lagstiftning när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c och e). Behandlingen av personuppgifter inom den offentliga sektorn ska i regel grunda sig på dessa rättsliga grunder för behandling av personuppgifter. Till övriga delar kan det inte utfärdas närmare bestämmelser i den nationella lagstiftningen och inte heller annan nationell reglering om den rättsliga grunden för behandling av personuppgifter, utan när personuppgifter behandlas på grundval av samtycke eller den personuppgiftsansvariges berättigade intresse (artikel 6.1 a och f), följer den rättsliga grunden för behandling av personuppgifter direkt av den allmänna dataskyddsförordningen. Således är det inte möjligt att nationellt föreskriva om den rättsliga grunden för behandlingen på ett mer heltäckande sätt än vad som föreslås till den del det redan föreskrivs om den rättsliga grunden i den allmänna dataskyddsförordningen. Bestämmelser om den rättsliga grunden för behandling av personuppgifter finns således i framtiden i den allmänna dataskyddsförordningen, i dataskyddslagen, i den nationella speciallagstiftningen och i eventuell unionsrätt.

För närvarande föreskrivs det om den rättsliga grunden för behandling av personuppgifter i 8 § i personuppgiftslagen mer detaljerat än i artikel 6 i den allmänna dataskyddsförordningen. Artikel 7 i det gamla dataskyddsdirektivet har genomförts i den nationella lagstiftningen rätt så detaljerat. Den allmänna dataskyddsförordningen kan genomföras endast till den del det finns ett direkt bemyndigande i förordningen. Således är behandling av personuppgifter med samtycke av den registrerade, för att fullgöra ett avtal, för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller någon annan och för ändamål som rör den personuppgiftsansvarige eller en tredje parts berättigade intressen möjlig direkt med stöd av den allmänna dataskyddsförordningen. Nationell lagstiftning som kompletterar den allmänna dataskyddsförordningen är däremot behövlig när behandlingen av personuppgifter grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

När bestämmelserna om de allmänna förutsättningarna för behandling av personuppgifter i 8 § i personuppgiftslagen bereddes har hänsyn tagits till att det genom speciallagstiftning kan utfärdas bestämmelser om behandlingen på ett sätt som avviker från eller kompletterar personuppgiftslagen. Utöver den föreslagna dataskyddslagens bestämmelser om den rättsliga grunden för behandling kan det i framtiden i speciallagstiftningen utfärdas bestämmelser som kompletterar den allmänna dataskyddsförordningen när det gäller den rättsliga grunden för behandling. Lagstiftningen ska då utarbetas inom ramen för vad som anges i artikel 6.1 c och e och artikel 6.2—6.4 i den allmänna dataskyddsförordningen.

Allmänna förutsättningar för behandling av personuppgifter

Enligt 8 § 1 mom. 1 punkten i personuppgiftslagen får personuppgifter behandlas med den registrerades entydiga samtycke. Detta motsvarar artikel 6.1 a i den allmänna dataskyddsförordningen, enligt vilket behandlingen av personuppgifter är laglig om den registrerade har lämnat sitt samtycke till det. I den allmänna dataskyddsförordningen preciseras dessutom att samtycke kan lämnas för ett eller flera specifika ändamål. I artikel 4.11 som gäller definition av samtycke förutsätts det att samtycket är otvetydigt. Dessutom föreskrivs det om villkor för samtycke i artikel 7 i den allmänna dataskyddsförordningen. För närvarande finns det inte motsvarande bestämmelser om villkor för samtycke i personuppgiftslagen.

Enligt 8 § 1 mom. 2 punkten i personuppgiftslagen får personuppgifter behandlas på uppdrag av den registrerade eller för att fullgöra ett sådant avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Enligt personuppgiftslagen ska den registrerade vara part i avtalet (på finska osallisena sopimuksessa) och enligt den allmänna dataskyddsförordningen ska den registrerade vara part i avtalet (på finska sopimuksessa osapuolena). Den finskspråkiga formuleringen i personuppgiftslagen överensstämmer med den finskspråkiga varianten i det gamla dataskyddsdirektivet. Den engelska versionen av den allmänna dataskyddsförordningen överensstämmer dock med det gamla dataskyddsdirektivet, så rättsläget förändras inte till denna del. Artikel 6.1 b i den allmänna dataskyddsförordningen innehåller inget omnämnande av ”på uppdrag av den registrerade”, till övriga delar motsvarar artikel 6.1 b bestämmelsen i 8 § 1 mom. 2 punkten.

Enligt 8 § 1 mom. 3 punkten i personuppgiftslagen får personuppgifter behandlas om behandlingen i ett enskilt fall är nödvändig för att skydda den registrerades vitala intressen. Den bestämmelsen blir således inte tillämplig om behandlingen av personuppgifter har behövts för att skydda den registrerades vitala intressen i andra än enskilda fall. I sådana fall har datasekretessnämndens tillstånd enligt 43 § 1 mom. i personuppgiftslagen behövts för behandling av personuppgifter. Artikel 6.1 d i den allmänna dataskyddsförordningen gäller inte endast enskilda fall, så möjligheten att behandla personuppgifter med stöd av denna behandlingsgrund utvidgas. Dessutom möjliggör bestämmelsen i fråga behandling av personuppgifter inte bara för att skydda intressen som är av grundläggande betydelse för den registrerade utan också för att skydda intressen som är av grundläggande betydelse för en annan fysisk person. I framtiden följer den rättsliga grunden för behandling för ovannämnda ändamål direkt av den allmänna dataskyddsförordningen. Således är det tillståndsförfarande som nämns ovan inte behövligt och inte ens möjligt i framtiden.

Enligt 8 § 1 mom. 4 punkten i personuppgiftslagen får personuppgifter behandlas om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift eller förpliktelse som anvisas den registeransvarige i lag eller som påförts honom med stöd av lag. Med behandling som bestämts i lag avses i bestämmelsen i fråga behandling som föreskrivs i någon annan lag. I motiven till regeringens proposition som gäller personuppgiftslagen konstateras det att behandlingen av personuppgifter inte kan basera sig på en nationell förordning eller en uppgift eller förpliktelse som förordnats med stöd av en sådan förordning. Detta beror på 10 § 1 mom. i grundlagen, enligt vilket närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.

I motiven konstateras det dessutom att förslaget motsvarar artikel 7 stycke c i det gamla dataskyddsdirektivet, enligt vilket personuppgifter får behandlas om behandlingen är nödvändig för att fullgöra förpliktelse som enligt lag åvilar den registeransvarige (RP 96/1998 rd, s. 40). Enligt artikel 6.1 c i den allmänna dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Denna rättsliga grund för behandling ska fastställas i medlemsstatens nationella rätt eller i unionsrätten. Personuppgifter kan således inte behandlas direkt med stöd av artikel 6.1 c. I skäl 41 i den allmänna dataskyddsförordningen förtydligas det att när det i den allmänna dataskyddsförordningen hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament. Detta påverkar dock inte krav som uppställs i den konstitutionella ordningen i den berörda medlemsstaten.

Enligt 8 § 1 mom. 5 punkten i personuppgiftslagen får personuppgifter behandlas om den registrerade har en saklig anknytning till den registeransvariges verksamhet. Personuppgifter får behandlas om den registrerade på grund av ett kund-, eller tjänstgöringsförhållande, ett medlemskap eller något annat därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet. Bestämmelsen i fråga har ansetts möjlig med stöd av artikel 7 f i det gamla dataskyddsdirektivet. Bestämmelsen tillåter behandling av personuppgifter om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd. I den allmänna dataskyddsförordningen finns inte motsvarande anknytningskrav som rättslig grund för behandling av personuppgifter. På samma sätt som enligt det gamla dataskyddsdirektivet får personuppgifter dock enligt den allmänna dataskyddsförordningen behandlas för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. I skäl 47 i den allmänna dataskyddsförordningen förtydligas det att ett sådant berättigat intresse kan finnas till exempel när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige i sådana situationer som att den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.

Enligt 8 § 6 punkten i personuppgiftslagen får personuppgifter behandlas om det är fråga om uppgifter om kunder hos eller arbetstagare vid en koncern eller någon annan ekonomisk sammanslutning och dessa uppgifter behandlas inom nämnda sammanslutning. I regeringens proposition som gäller personuppgiftslagen (RP 96/1998 rd) har detta motiverats med att motsvarande bestämmelse i tiden hade tagits in i personregisterlagen, som föregick personuppgiftslagen, eftersom anknytningskravet enligt lagen inte nödvändigtvis uppfylldes i fråga om personal- och kundregister vid koncerner och andra ekonomiska sammanslutningar och eftersom man inte ansåg det vara nödvändigt att föreskriva om tillstånd för att få föra sådana register.

I den regeringspropositionen konstateras det också att många stora registeransvariga numera för ett gemensamt koncernregister. En decentralisering av registren så att varje juridisk person själv för sina register innebär stora kostnader för de registeransvariga. Denna bestämmelse har ansetts vara möjlig med stöd av artikel 7 f i det gamla dataskyddsdirektivet som gäller berättigade intressen hos den registeransvarige. I regeringspropositionens motiv konstateras att det faktum att ett gemensamt register förs över anställda vid en koncern eller annan ekonomisk sammanslutning inte kan anses äventyra den registrerades integritetsskydd. Samma gäller gemensamma kundregister och behandling av uppgifter som anknyter till dessa inom sammanslutningen, förutsatt att vid behandlingen iakttas övriga allmänna principer som gäller behandling av personuppgifter, om vilka föreskrivs i den föreslagna lagens 2 kap. I motiven betonas det att vid behandlingen av uppgifter om kunder ska särskild uppmärksamhet fästas vid aktsamhetsplikten, om vilken föreskrivs i 5 § i lagförslaget och ändamålsbundenhetsprincipen, om vilken föreskrivs i 7 § (RP 96/1998 rd, s. 41).

Den allmänna dataskyddsförordningen innehåller inte till denna del en lika noga avgränsad rättslig grund för behandling. Den rättsliga grunden för behandling av personuppgifter när det gäller behandling inom en koncern följer av artikel 6.1 f i den allmänna dataskyddsförordningen, enligt vilket personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Enligt skäl 48 i den allmänna dataskyddsförordningen kan personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. Nytt jämfört med nuläget är den personuppgiftsansvariges avvägning enligt artikel 6.1 f i den allmänna dataskyddsförordningen av när den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

I skäl 48 i den allmänna dataskyddsförordningen konstateras det att de allmänna principerna för överföring av personuppgifter, inom en koncern, till företag i tredjeland inte påverkas. Detta förändrar dock inte nuläget. I motiven i regeringspropositionen har det konstaterats att bestämmelsen om överföring av uppgifter inom en koncern omfattar all slags behandling av uppgifter som avses i punkten i fråga, förutom överföring av personuppgifter till länder utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, i fråga om vilket ska tillämpas 22 och 23 § i lagförslaget som gäller överföring av personuppgifter till länder utanför Europeiska unionens medlemsstaters territorier eller Europeiska ekonomiska samarbetsområdet (RP 96/1998 rd, s. 41).

Enligt 8 § 1 mom. 7 punkten i personuppgiftslagen får personuppgifter behandlas om behandlingen behövs för betalningstjänst, databehandling eller andra därmed jämförbara uppgifter som utförs på uppdrag av den registeransvarige. I regeringspropositionen har det konstaterats att den som på uppdrag behandlar uppgifter inte har självständig rätt att behandla uppgifter, utan hans rätt ska alltid grunda sig på den registeransvariges rätt. Den som får ett sådant uppdrag att behandla uppgifter har rätt att på uppdrag behandla uppgifter också utan särskild reglering. Punkten har tagits in i personuppgiftslagen för tydlighetens skull (RP 96/1998 rd, s. 41). I motiven i regeringspropositionen förtydligas det inte vilken punkt i artikel 7 i det gamla dataskyddsdirektivet som har genomförts genom bestämmelsen i fråga. Den allmänna dataskyddsförordningen innehåller inte motsvarande rättsliga grund för behandling av personuppgifter. Bestämmelser om förhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet finns däremot i artikel 28 i den allmänna dataskyddsförordningen.

Med stöd av 8 § 1 mom. 8 punkten i nuvarande personuppgiftslag får sådana uppgifter behandlas som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund eller inom näringslivet, om det är fråga om en allmänt tillgänglig uppgift och dessa uppgifter behandlas för att trygga rättigheter och intressen hos den registeransvarige eller en sådan tredje man till vilken uppgifterna lämnas ut. I den allmänna dataskyddsförordningen finns inte motsvarande rättsliga grund för behandling. Det föreslås att det dock föreskrivs om motsvarande grund genom dataskyddslagen inom ramen för det nationella handlingsutrymmet.

Enligt 8 § 1 mom. 9 punkten i personuppgiftslagen är behandling av personuppgifter tillåten även när datasekretessnämnden för behandlingen beviljat ett tillstånd som avses i 43 § 1 mom. Tillstånd har kunnat beviljas om behandlingen behövs för att i andra än enskilda fall skydda den registrerades vitala intressen eller för att utföra en uppgift som gäller ett allmänt intresse eller för att utöva sådan offentlig makt som hör till den registeransvarige eller tredje man till vilken uppgifterna lämnas ut. Tillstånd har också kunnat beviljas för att genomdriva ett berättigat intresse hos den registeransvarige eller tredje man till vilken uppgifterna lämnas ut, under förutsättning att sådan behandling av uppgifter inte äventyrar någons integritetsskydd och rättigheter. Genom tillståndsförfarandet har artikel 7 d, e och f i det gamla dataskyddsdirektivet genomförts. Dessa punkter motsvarar artikel 6.1 d, e och f i den allmänna dataskyddsförordningen. Av dessa lämnar led d, som gäller skydd av intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, och led f, som gäller den personuppgiftsansvariges berättigade intressen, inget nationellt handlingsutrymme. Tillståndsförfarandet ansågs behövligt när personuppgiftslagen stiftades, för att frågan om huruvida förutsättningarna uppfylls inte ska vara beroende av den registeransvariges ensidiga bedömning i fall där det inte finns några särskilda bestämmelser om behandling av uppgifter i enlighet med artikel 7 stycke d—f i det gamla dataskyddsdirektivet. I framtiden kommer i första hand den personuppgiftsansvarige att ansvara för frågan om det finns ett berättigat intresse liksom om förutsättningarna för skydd av intressen som är av grundläggande betydelse uppfylls. Medlemsstaterna har inte nationellt handlingsutrymme att införa mer detaljerade bestämmelser för att anpassa bestämmelserna i den allmänna dataskyddsförordningen med hänsyn till behandling för att iaktta artikel 6.1 d och f i förordningen.

Bestämmelserna om laglig behandling i artikel 6 i den allmänna dataskyddsförordningen motsvarar till väsentliga delar artikel 7 i det gamla dataskyddsdirektivet, där det föreskrivs om principer som gör att uppgiftsbehandling kan tillåtas. Till skillnad från nuläget följer dock den rättsliga grunden för behandling i princip direkt av den allmänna dataskyddsförordningen, vilket medför ovan beskrivna förändringar.

Behandling av särskilda kategorier av personuppgifter

Vid behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska utöver den rättsliga grund för behandling av personuppgifter som anges i artikel 6 i den allmänna dataskyddsförordningen även något av förutsättningarna i artikel 9.2 uppfyllas. En del av förutsättningarna i artikel 9.2 i den allmänna dataskyddsförordningen är direkt tillämpliga, medan en del förutsätter nationell lagstiftning, där lämpliga skyddsåtgärder fastställs.

För närvarande finns det i 11 § i personuppgiftslagen bestämmelser om förbud mot behandling av känsliga personuppgifter och anges det vad som avses med känsliga uppgifter. Enligt 11 § i personuppgiftslagen avses med känsliga uppgifter personuppgifter som beskriver eller vilkas syfte är att beskriva 1) ras eller etniskt ursprung, 2) någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund, 3) en brottslig gärning eller ett straff eller någon annan påföljd för ett brott, 4) någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom, 5) någons sexuella inriktning eller beteende eller 6) någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.

Bestämmelser liknande personuppgiftslagens 11 § om förbud mot behandling av känsliga personuppgifter finns i artikel 9 i den allmänna dataskyddslagen, som gäller behandling av särskilda kategorier av personuppgifter. Även om de uppgifter som hör till särskilda kategorier av personuppgifter och som avses i den allmänna dataskyddsförordningen i huvudsak motsvarar de känsliga personuppgifter som avses i personuppgiftslagen finns det dock skillnader mellan dessa uppgifter. Till skillnad från personuppgiftslagen ska enligt den allmänna dataskyddsförordningen genetiska och biometriska uppgifter som behandlas för att entydigt identifiera en fysisk person betraktas som särskilda personuppgifter som omfattas av förbudet mot behandling. Däremot omfattas någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit inte av förbudet mot behandling enligt den allmänna dataskyddsförordningen, vilket de för närvarande gör enligt personuppgiftslagen. Detta ändrar dock inte det att handlingar som innehåller uppgifter om en klient hos socialvården samt de förmåner eller stödåtgärder eller den socialvårdsservice denne erhållit är sekretessbelagda handlingar enligt 24 § i offentlighetslagen.

För närvarande finns det bestämmelser om undantag från förbudet mot behandling av känsliga personuppgifter i 12 § i personuppgiftslagen. Enligt personuppgiftslagen får känsliga personuppgifter behandlas om den registrerade har gett sitt uttryckliga samtycke till det. Uppgifterna får dessutom behandlas om uppgifterna gäller någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund som den registrerade själv offentliggjort eller om behandling av uppgifter behövs för att skydda den registrerades eller någon annan persons vitala intressen, om den registrerade är förhindrad att ge sitt samtycke. Behandling av känsliga uppgifter är också tillåten också om det behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk eller om behandlingen av uppgifterna regleras i lag eller föranleds av en uppgift som direkt har ålagts den registeransvarige i lag.

Med stöd av 12 § i personuppgiftslagen får känsliga personuppgifter också behandlas när uppgifterna behandlas för historisk eller vetenskaplig forskning eller för statistikföring. Det är också tillåtet att behandla uppgifter som gäller religiös övertygelse eller politisk eller samhällelig uppfattning i den verksamhet som föreningar eller sammanslutningar som representerar sådana övertygelser eller uppfattningar bedriver, om uppgifterna gäller medlemmarna i dessa föreningar eller sammanslutningar eller personer som har regelbundna kontakter till dem och dessa har samband med föreningarnas och sammanslutningarnas syften och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke. Likaså är det tillåtet att behandla uppgifter som gäller medlemskap i fackförbund i den verksamhet som bedrivs av fackföreningar eller förbund som bildas av dessa, om uppgifterna gäller medlemmarna i dessa organisationer eller personer som har regelbundna kontakter till organisationerna och dessa har samband med organisationernas syften och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke. Sådan behandling av uppgifter som gäller medlemskap i ett fackförbund är också möjlig om den behövs för att den registeransvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område.

Förbudet enligt 11 § i personuppgiftslagen mot behandling av känsliga personuppgifter utgör heller inget hinder för att en verksamhetsenhet inom hälsovården eller en yrkesutbildad person inom hälsovården behandlar uppgifter som de i denna verksamhet erhållit om den registrerades hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller andra uppgifter som är nödvändiga för vården av honom. Förbudet utgör inte heller något hinder för att en försäkringsinrättning behandlar uppgifter som den i försäkringsverksamheten erhållit om den försäkrades och ersättningssökandens hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller andra därmed jämförbara åtgärder eller sådana uppgifter om den försäkrades, ersättningssökandens eller skadevållarens brottsliga gärning, straff eller annan påföljd för brottet, vilka är nödvändiga för att utreda försäkringsinrättningens ansvar. Förbudet mot behandling av känsliga personuppgifter utgör inget hinder för en socialvårdsmyndighet eller en annan myndighet eller anstalt som beviljar sociala förmåner eller en privat serviceproducent att behandla uppgifter som myndigheten, anstalten eller serviceproducenten i sin verksamhet har erhållit om den registrerades behov av socialservice eller socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är behövliga med avseende på den registrerades omvårdnad. Enligt 12 och 13 § i personuppgiftslagen får känsliga personuppgifter dessutom behandlas med tillstånd av datasekretessnämnden.

Den allmänna dataskyddsförordningens bestämmelser om behandling av uppgifter som hör till särskilda kategorier av personuppgifter följer till sin struktur personuppgiftslagens bestämmelser om känsliga personuppgifter. Först föreskrivs det om förbud mot behandling av personuppgifterna i fråga, därefter om situationer där uppgifterna i fråga får behandlas. I artikel 9.2 i den allmänna dataskyddsförordningen anges sådana situationer där personuppgifter behandlas på vilka det förbud mot behandling som anges i artikel 9.1 inte tillämpas. I situationer som avses i artikel 9.2 i den allmänna dataskyddsförordningen kan således uppgifter som hör till särskilda kategorier av personuppgifter behandlas. En del av de situationer som tas upp i artikel 9.2 är direkt tillämpliga, medan en del förutsätter att det föreskrivs om behandlingen i medlemsstatens lagstiftning, som också ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande rättigheter och friheter.

Uppgifter som hör till särskilda kategorier av personuppgifter får med stöd av artikel 9.2 a i den allmänna dataskyddsförordningen behandlas, om den registrerade uttryckligen har lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål. Detta motsvarar 12 § 1 punkten i den gällande personuppgiftslagen. I artikel 9.2 i den allmänna dataskyddsförordningen preciseras dock att samtycke kan lämnas för ett eller flera specifika ändamål. Enligt artikel 9.2 c i den allmänna dataskyddsförordningen får uppgifter som hör till särskilda kategorier av personuppgifter behandlas, om behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. Detta motsvarar 12 § 3 punkten i den gällande personuppgiftslagen. I den allmänna dataskyddsförordningen preciseras det att den andra person vars grundläggande intressen behandlingen av personuppgifter är avsedd att skydda ska vara en fysisk person. I den allmänna dataskyddsförordningen preciseras att den registrerade kan vara fysiskt eller rättsligt förhindrad att ge sitt samtycke.

Enligt artikel 9.2 d i den allmänna dataskyddsförordningen får uppgifter som hör till särskilda kategorier av personuppgifter även behandlas om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke. För närvarande ger 12 § 7 och 8 punkten i personuppgiftslagen motsvarande möjlighet att behandla känsliga personuppgifter. Bestämmelserna i 12 § 7 punkten tillåter dock endast behandling av uppgifter som gäller religiös övertygelse eller politisk eller samhällelig uppfattning. På motsvarande sätt tillåter 12 § 8 punkten endast behandling av uppgifter som gäller medlemskap i fackförbund. I artikel 9.2 d i den allmänna dataskyddsförordningen avgränsas inte de uppgifter som hör till särskilda kategorier av personuppgifter och som den personuppgiftsansvarige får behandla med stöd av den bestämmelsen. Möjligheten att behandla personuppgifter begränsas både i den allmänna dataskyddsförordningen och i personuppgiftslagen till behandling som gäller medlemmar i dessa organ eller personer som på grund av organets ändamål har regelbunden kontakt med detta. I artikel 9.2 d i den allmänna dataskyddsförordningen nämns dessutom tidigare medlemmar. I personuppgiftslagen och i den allmänna dataskyddsförordningen förutsätts dessutom att personuppgifter inte får lämnas ut utanför det organet utan den registrerades samtycke. I den allmänna dataskyddsförordningen preciseras vidare att behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ.

Enligt artikel 9.2 e i den allmänna dataskyddsförordningen får uppgifter som hör till särskilda kategorier av personuppgifter även behandlas om de på ett tydligt sätt har offentliggjorts av den registrerade. För närvarande är det enligt 12 § 2 punkten i personuppgiftslagen tillåtet att behandla sådana uppgifter om någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund som den registrerade själv offentliggjort. Artikel 9.2 e i den allmänna dataskyddsförordningen utvidgar således denna möjlighet till behandling till att gälla även andra särskilda kategorier av personuppgifter än de som gäller någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund. Uppgifterna ska dock på ett tydligt sätt ha offentliggjorts av den registrerade. Personuppgiftslagen innehåller inte motsvarande krav på tydligt offentliggörande.

Enligt artikel 9.2 f i den allmänna dataskyddsförordningen får uppgifter som hör till särskilda kategorier av personuppgifter dessutom behandlas, om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet. Motsvarande bestämmelse ingår i personuppgiftslagen. I 12 § 4 punkten i personuppgiftslagen nämns dock inte särskilt domstolarnas dömande verksamhet. Enligt personuppgiftslagen får känsliga personuppgifter däremot behandlas för att avgöra rättsliga anspråk. Personuppgiftslagen begränsar således inte avgörandet av rättsliga anspråk till domstolarna.

I ovannämnda situationer får uppgifter som hör till särskilda kategorier av personuppgifter behandlas direkt med stöd av artikel 9.2 i den allmänna dataskyddsförordningen. I 12 § i den gällande personuppgiftslagen anges motsvarande grunder för behandling av känsliga personuppgifter. I 12 § i personuppgiftslagen nämns dessutom sju andra situationer där känsliga personuppgifter får behandlas. Behandling i dessa andra situationer, som avses i 12 § i personuppgiftslagen, är inte möjlig direkt med stöd av artikel 9.2 i den allmänna dataskyddsförordningen. Bestämmelser om dessa andra situationer där personuppgifter behandlas kan dock utfärdas genom nationell lag. Detta är möjligt inom ramen för den nationella prövningsmarginal som ges i artikel 9.2 b och g—j i den allmänna dataskyddsförordningen. Detta gäller dock inte 12 § 13 punkten i personuppgiftslagen, enligt vilken behandling av känsliga personuppgifter är möjlig med tillstånd av datasekretessnämnden.

2.3.4 2.3.4 Barns åldersgräns avseende informationssamhällets tjänster

Artikel 8 i den allmänna dataskyddsförordningen

Enligt den allmänna dataskyddsförordningens artikel 8.1 som gäller barns samtycke avseende informationssamhällets tjänster är behandling av personuppgifter med samtycke vid erbjudande av informationssamhällets tjänster direkt till ett barn lagenlig, om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

I artikel 8.3 i den allmänna dataskyddsförordningen preciseras det att punkt 1 inte ska påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller effekten av ett avtal som gäller ett barn.

Således om den nationella lagstiftningen inte föreskriver någon annan åldersgräns, är erbjudande av informationssamhällets tjänster direkt till ett barn utan samtycke eller godkännande av den person som har föräldraansvar för barnet i Finland tillåtet endast till barn som är 16 år eller äldre. Med den person som har föräldraansvar för barnet avses barnets föräldrar och andra personer eller organ som har rätt att axla en del av eller hela föräldraansvaret. Enligt skäl 38 i den allmänna dataskyddsförordningen förtydligas det att samtycke från den person som har föräldraansvar över ett barn inte bör krävas för förebyggande eller rådgivande tjänster som erbjuds direkt till barn.

Enligt artikel 4.25 i förordningen avses med informationssamhällets tjänster alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535, Enligt definitionen i direktiv (EU) 2015/1535 avses med informationssamhällets tjänster alla tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. På distans avser tjänster som tillhandahålls utan att parterna är närvarande samtidigt. På elektronisk väg avser en tjänst som sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter, och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. På individuell begäran av en tjänstmottagare avser en tjänst som tillhandahålls genom överföring av uppgifter på individuell begäran.

I 3 § 29 punkten i informationssamhällsbalken definieras ”informationssamhällets tjänster” som elektroniska tjänster som utförs på individuell begäran av en mottagare, på distans och vanligtvis mot ersättning. I förarbetena till lagen konstateras det att trots att definitionen har förkortats är avsikten inte att ändra definitionen i sak jämfört med definitionen i lagen om tillhandahållande av informationssamhällets tjänster (458/2002). I direktiv 2000/31/EG om elektronisk handel, som den upphävda lagen om tillhandahållande av informationssamhällets tjänster och de bestämmelser som senare tagits in i informationssamhällsbalken grundar sig på hänvisas det i fråga om definitionen av informationssamhällets tjänster till direktiv 98/34/EG, ändrat genom direktiv 98/48/EG. Sistnämnda direktiv har upphävts och ersatts med direktiv (EU) 2015/1535, som det i sin tur hänvisas till i definitionen av informationssamhällets tjänster i den allmänna dataskyddsförordningen.

Behovet av särskilt skydd av barn betonas förutom i artikel 8 även i flera skäl i ingressen till den allmänna dataskyddsförordningen. Till exempel bör all information och kommunikation som riktar sig till barn utformas på ett tydligt och enkelt språk som barnet lätt kan förstå (skäl 58). Mot barn får man inte heller rikta profilering, som enligt förordningen avser automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne (skäl 71 i ingressen).

Barns åldersgräns i annan lagstiftning

Enligt 14 § i förvaltningslagen har en minderårig som har fyllt femton år och hans eller hennes vårdnadshavare eller någon annan laglig företrädare rätt att var för sig föra talan i ett ärende som gäller den minderåriges person eller personliga fördel eller rätt. Dataombudsmannen har i sina anvisningar om rätt till insyn med hänvisning till ovannämnda bestämmelse i förvaltningslagen konstaterat att åtminstone barn som fyllt 15 år har rätt till insyn i myndighetsverksamhet. I sina anvisningar har dataombudsmannen ansett att inom socialvården har också 12 år fyllda barn rätt att kontrollera sina uppgifter.

I 162 § i informationssamhällsbalken föreskrivs det att i ärenden som gäller samtycke, nekande och utnyttjande av rätt att få information när det gäller behandling av lokaliseringsuppgifter företräds den som är yngre än 15 år av vårdnadshavaren. Bestämmelser om företrädande av barn finns dessutom i lagen angående vårdnad om barn och umgängesrätt (361/1983). En omyndig som inte är minderårig företräds av dennes intressebevakare, om detta inte är omöjligt med tanke på det tekniska utförandet av tjänsten. Bestämmelser om företrädande av ovannämnda omyndiga person finns i lagen om förmyndarverksamhet (442/1999).

Huruvida förälderns samtycke behövs när en minderårig gör inköp beror enligt konsumentombudsmannens riktlinjer förutom på barnets ålder även på varans pris och kvalitet. Det ligger på säljarens ansvar att kontrollera köparens ålder och att försäkra sig om att föräldrarna godkänner köpet. Om ett barn har köpt en vara utan samtycke av föräldrarna eller köpt på kredit, kan föräldern kräva att säljaren häver köpet. En person som inte fyllt 18 år får utan en förälders eller vårdnadshavares godkännande köpa endast vanliga och obetydliga varor, t.ex. produkter som har köpts med fickpengar, till ett rimligt pris och som barn i samma ålder i allmänhet köper. Barn som fyllt 15 år får däremot använda sina inkomster från t.ex. sommarjobb till större inköp.

2.3.5 2.3.5 Tillsynsmyndigheter

Bestämmelser om tillsynsmyndigheternas oberoende ställning, behörighet, uppgifter, befogenheter, samarbete och enhetlighet finns i kapitlen VI—VII i den allmänna dataskyddsförordningen. Enligt den allmänna dataskyddsförordningen ska medlemsstaterna föreskriva om inrättande av tillsynsmyndighet och om vissa frågor som gäller tillsynsmyndigheter, såsom om kvalifikationer och villkor för lämplighet som krävs av myndighetspersoner. Den allmänna dataskyddsförordningen innehåller inte bestämmelser om tillsynsmyndighetens organisationsstruktur eller antalet tillsynsmyndigheter, utan detta får medlemsstaterna besluta om.

Av artikel 51 i den allmänna dataskyddsförordningen följer att tillsynsmyndigheten är ansvarig för att övervaka tillämpningen av förordningen, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter samt att underlätta det fria flödet av sådana uppgifter inom unionen. Medlemsstaternas tillsynsmyndigheter ska bidra till en enhetlig tillämpning av förordningen i hela unionen. För det ändamålet ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen på det sätt som anges i förordningen. I syfte att främja en enhetlig tillämpning av den allmänna dataskyddsförordningen föreskrivs det i förordningen om inrättande av Europeiska dataskyddsstyrelsen, som är ett oberoende unionsorgan som ska ha ställning som juridisk person.

Tillsynsmyndigheten ska ha behörighet att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende. Tillsynsmyndighetens fullständiga oberoende är såväl i det gamla dataskyddsdirektivet som i den allmänna dataskyddsförordningen en viktig förutsättning för myndigheter som övervakar skyddet av personuppgifter. Enligt artikel 54 i den allmänna dataskyddsförordningen ska tillsynsmyndigheten vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter. Kravet på att den myndighet som övervakar skyddet av personuppgifter ska vara oberoende ingår också i artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16.2 i EUF-fördraget.

EU-domstolen har i sin avgörandepraxis bedömt om tillsynsmyndigheter är oberoende när det gäller skydd av personuppgifter. Domstolen har ansett att det med tanke på säkerställandet av oberoendet är viktigt att tillsynsmyndigheternas beslut inte kan påverkas utifrån vare sig direkt eller indirekt. Däremot har domstolen inte ansett att det är tillräckligt att tillsynsmyndighetens ledamöter är oberoende i sin verksamhet. Övervakningen ska vara objektiv, effektiv och tillförlitlig, för att stärka rättsskyddet för dem som berörs av tillsynsmyndighetens beslut (C-518/07, C-614/10 och C-288/12).

Med tanke på de nationella bestämmelserna om tillsynsmyndigheterna är artikel 54 i den allmänna dataskyddsförordningen av väsentlig betydelse. I den artikeln åläggs medlemsstaterna att föreskriva om inrättandet av en tillsynsmyndighet. Varje medlemsstat ska föreskriva om tillsynsmyndighetens inrättande samt om de kvalifikationer och de villkor för lämplighet som krävs för att någon ska kunna utnämnas till ledamot av en tillsynsmyndighet. Dessutom ska medlemsstaterna föreskriva om regler och förfaranden för att utse tillsynsmyndighetens ledamot eller ledamöter samt om mandattiden för varje tillsynsmyndighets ledamot eller ledamöter, vilken inte får understiga fyra år. För den första mandattiden efter ikraftträdandet av den allmänna dataskyddsförordningen får ett stegvist tillsättningsförfarande med kortare perioder för några av ledamöterna tillämpas om detta är nödvändigt för att säkerställa myndighetens oberoende.

Medlemsstaterna ska enligt artikel 54 i den allmänna dataskyddsförordningen också föreskriva om huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder. I medlemsstaternas lagstiftning ska det också föreskrivas om vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot handlingar, yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

Den allmänna dataskyddsförordningen innehåller bestämmelser om medlemsstaternas tillsynsmyndigheters uppgifter och behörighet. Bestämmelserna om tillsynsmyndighetens uppgifter och behörighet är direktiv tillämplig rätt i medlemsstaterna. Tillsynsmyndighetens behörighet grundar sig huvudsakligen på artikel 58 i den allmänna dataskyddsförordningen. Artikel 58 i den allmänna dataskyddsförordningen utgör dock inget hinder för medlemsstaterna att föreskriva om att tillsynsmyndigheten ska ha ytterligare befogenheter utöver dem som avses i artikel 58.1—58.3. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII i förordningen. Dessutom får det i medlemsstaternas lagstiftning krävas att tillsynsmyndigheten ger tillstånd till behandling enligt artikel 36.5 i förordningen.

I artikel 57 i den allmänna dataskyddsförordningen föreskrivs det i detalj om tillsynsmyndighetens uppgifter.

2.3.6 2.3.6 Rättssäkerhet och påföljder

Rättssäkerhet

I den allmänna dataskyddsförordningen förutsätts det att utdömandet av sanktioner, inbegripet administrativa sanktionsavgifter, bör underkastas adekvata rättssäkerhetsgarantier i överensstämmelse med allmänna principer inom unionsrätten och Europeiska unionens stadga om de grundläggande rättigheterna. Dessa principer inbegriper krav på ett effektivt rättsligt skydd och korrekt rättsligt förfarande. Enligt skäl 149 i den allmänna dataskyddsförordningen bör medlemsstaterna kunna fastställa bestämmelser om straffrättsliga påföljder för överträdelser av förordningen, inbegripet för överträdelser av nationella bestämmelser som antagits i enlighet med och inom ramen för förordningen. Dessa straffrättsliga påföljder kan även inbegripa en möjlighet att förverka den vinning som gjorts genom överträdelser av den allmänna dataskyddsförordningen. Utdömandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem.

Förbudet mot dubbel straffbarhet kan anses ingå i de i 21 § 2 mom. i grundlagen tryggade garantierna för en rättvis rättegång (RP 309/1993 rd, GrUU 9/2012 rd, s. 3 och GrUU 17/2013 rd, s. 3). Förbud mot att bli straffad två gånger för samma gärning finns också i tilläggsprotokoll 7 till Europakonventionen. Enligt artikel 4 i tilläggsprotokollet får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat. Liknande förbud ingår också i artikel 14.7 i den internationella konventionen om medborgerliga och politiska rättigheter (FördrS 7—8/1976) och i artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna.

I Europadomstolens avgörandepraxis har tillämpningsområdet för ne bis in idem-förbudet inte begränsats till domar som gäller straffrättsliga påföljder, utan det omfattar också administrativa påföljder av straffkaraktär. Till exempel skatteförhöjning och tullhöjning kan utgöra sådana administrativa påföljder av straffkaraktär. Likaså ska de administrativa sanktionsavgifter som avses i artikel 83 i den allmänna dataskyddsförordningen betraktas som sådana administrativa påföljder av straffkaraktär. När det gäller administrativa påföljdsavgifter bör man dessutom notera att förfarandet i fråga om dem inte får strida mot den oskuldspresumtion som avses i 21 § i grundlagen.

Administrativa påföljdsavgifter kan i vissa fall omfattas av begreppet åtal enligt artikel 6 i Europakonventionen och av förbudet mot att bli lagförd eller straffad två gånger enligt artikel 4 i tilläggsprotokoll 7 till konventionen. I sådana fall ska de krav på behandling av åtal för brott som anges i artikel 6 i konventionen iakttas. Ändring i ett beslut om påförande av administrativ påföljdsavgift ska också kunna sökas i enlighet med de nationella procedurbestämmelserna.

Grundlagsutskottet har av hävd ansett att en avgift som påförs för en lagstridig gärning inte är en skatt eller avgift enligt grundlagens 81 §, utan en ekonomisk påföljd av straffnatur. Utskottet har också jämställt denna påföljd med en straffrättslig påföljd (GrUU 31/2014 rd, GrUU 28/2014 rd, GrUU 14/2013 rd, GrUU 9/2012 rd och GrUU 55/2005 rd).

Påföljder

I skäl 11 i den allmänna dataskyddsförordningen konstateras det att ett effektivt skydd av personuppgifter inom hela EU förutsätter att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna. I kapitel VIII i den allmänna dataskyddsförordningen föreskrivs det om rättsmedel, ansvar och sanktioner.

Påföljdssystemet i den allmänna dataskyddsförordningen grundar sig i hög grad på administrativa påföljder. Detta är en betydande förändring jämfört med nuläget, eftersom den nationella datasekretessmyndigheten med stöd av personuppgiftslagen inte har haft möjlighet att påföra den registeransvarige eller den som behandlar personuppgifter administrativa påföljdsavgifter. Däremot har tyngdvikten i påföljdssystemet i fråga om dataskyddet till stor del legat på det straffrättsliga systemet.

Artikel 83 i den allmänna dataskyddsförordningen innehåller allmänna villkor för påförande av administrativa sanktionsavgifter. Administrativa sanktionsavgifter ska enligt artikel 83.2 i den allmänna dataskyddsförordningen, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a—h och j i förordningen. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till omständigheterna i artikel 83.2.

Enligt artikel 83.4 i den allmänna dataskyddsförordningen ska det vid överträdelse av vissa bestämmelser i förordningen påföras administrativa sanktionsavgifter på högst 10 000 000 euro eller, om det gäller företag, två procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. En sådan sanktionsavgift ska påföras vid överträdelse av personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarnas 8, 11, 25—39, 42 och 43, vid överträdelse av certifieringsorganets skyldigheter enligt artiklarna 42 och 43 samt vid överträdelse av övervakningsorganets skyldigheter enligt artikel 41.4.

Enligt artikel 83.5 i den allmänna dataskyddsförordningen kan det vid överträdelse av vissa andra bestämmelser i förordningen påföras administrativa sanktionsavgifter på högst 20 000 000 euro eller, om det gäller företag, fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. En sådan högre sanktionsavgift kan påföras vid överträdelse av de grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9 i den allmänna dataskyddsförordningen samt vid överträdelse av registrerades rättigheter enligt artiklarna 12—22. En sådan sanktionsavgift kan också påföras vid överträdelse av artiklarna 44—49 i förordningen och vid överträdelse av de skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX i förordningen. Sanktionsavgift kan dessutom påföras vid underlåtenhet att rätta sig efter ett föreläggande eller en tillfällig eller permanent begränsning av behandling av uppgifter eller ett beslut om att avbryta uppgiftsflödena som meddelats av tillsynsmyndigheten i enlighet med artikel 58.2 eller underlåtelse att ge tillgång till uppgifter i strid med artikel 58.1.

Enligt artikel 83.7 i den allmänna dataskyddsförordningen får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter nationellt kan påföras offentliga myndigheter och organ.

2.3.7 2.3.7 Yttrandefrihet

Den allmänna dataskyddsförordningen tillämpas på behandling av personuppgifter för journalistiska ändamål och för akademiskt, konstnärligt och litterärt skapande. Enligt artikel 85 i den allmänna dataskyddsförordningen ska medlemsstaterna förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten. Således ska medlemsstaterna för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa vissa undantag eller avvikelser från den allmänna dataskyddsförordningen. I skäl 153 i den allmänna dataskyddsförordningen preciseras det att undantag ska tillämpas särskilt vid behandling av personuppgifter inom det audiovisuella området och i nyhetsarkiv och pressarkiv.

De friheter eller undantag som det föreskrivs om nationellt kan gälla kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter). Det är möjligt att föreskriva om undantag och friheter om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. EU-domstolen har i målet Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07, konstaterat att för att hitta en harmonisk balans mellan två grundläggande rättigheter förutsätter skyddet för den grundläggande rättighet som avser privatlivet att de undantag och begränsningar som föreskrivits för skyddet av uppgifter ska genomföras helt och håller inom gränserna för det nödvändiga.

EU-domstolen har i sitt avgörande i målet Lindqvist C-101/01 konstaterat att bestämmelserna i det gamla dataskyddsdirektivet inte i sig utgör en begränsning som står i strid med den allmänna principen om yttrandefrihet, eller andra fri- och rättigheter, som gäller inom Europeiska unionen och som har en motsvarighet särskilt i artikel 10 i Europakonventionen. Det ankommer på de nationella myndigheter och domstolar som ska tillämpa de nationella bestämmelser genom vilka direktivet har införlivats att se till att det uppnås en korrekt jämvikt mellan de rättigheter och intressen som är i fråga. Europadomstolen har i målet Delfi AS mot Estland, 64699/09 konstaterat att artiklarna 8 och 10 i Europakonventionen i princip är likvärdiga och att samma prövningsrätt ska tillämpas på de båda artiklarna. Staterna har ofta omfattande prövningsrätt när det gäller att hitta en balans mellan konkurrerande rättigheter.

Förhållningssättet i den allmänna dataskyddsförordningen motsvarar förhållningssättet i det gamla dataskyddsdirektivet, eftersom det i den allmänna dataskyddsförordningen inte anges vilka undantag som är behövliga för att förena yttrandefriheten och informationsfriheten med skyddet av personuppgifter. Detta har överlämnats åt den nationella lagstiftaren att bedöma. Medlemsstaterna kan dock inte föreskriva om undantag eller friheter från den allmänna dataskyddsförordningens kapitel I (allmänna bestämmelser), kapitel VIII (rättsmedel, ansvar och sanktioner), kapitel X (delegerade akter) och kapitel XI (slutbestämmelser).

Karaktären av behandlingen av personuppgifter har förändrats betydligt sedan personuppgiftslagen stiftades. Detta gäller också behandling av personuppgifter för journalistiska ändamål och för akademiskt, konstnärligt och litterärt skapande. Även sätten att utöva yttrandefriheten har förändrats betydligt i och med digitaliseringen, den tekniska utvecklingen, webbpublikationer och sociala medier.

I den digitala miljön har journalistiken blivit alltmer interaktiv. Den tekniska utvecklingen har gjort det möjligt för var och en att delta i masskommunikation med hjälp av internet och mottagaren av meddelandet har fått en aktivare roll än tidigare. I enlighet med skäl 18 i den allmänna dataskyddsförordningen är förordningen inte tillämplig på fysiska personers behandling av personuppgifter som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll och därmed saknar koppling till yrkes- eller affärsmässig verksamhet. Privat verksamhet eller verksamhet som har samband med hushållet kan t.ex. omfatta aktivitet i sociala nätverk och internetverksamhet i samband med sådan verksamhet.

Att förena skyddet av personuppgifter med yttrandefriheten på det sätt man gått in för i personuppgiftslagen har under de senaste tjugo åren fungerat rätt så bra. Detta beror delvis också på det omfattande och fungerande nationella självregleringssystem för masskommunikation där den journalistiska verksamheten är förankrad i yrkesetiska regler, Journalistreglerna. Opinionsnämnden för massmedier övervakar att reglerna följs. Strafflagen och yttrandefrihetslagen tryggar i sista hand även skyddet för fysiska personers personuppgifter i publikationsverksamhet.

Under 2008—2017 har det vid dataombudsmannens byrå anhängiggjorts ca 200 ärenden som gällt förening av yttrandefriheten med skyddet av personuppgifter. Under de senaste åren har en betydande del av medborgarnas klagomål i ärenden som avses ovan gällt publicering av personuppgifter på webben och i olika masskommunikationsmedel. En del av de ärenden som behandlas har anhängiggjorts för att dataombudsmannen har ansett att behandlingen av personuppgifter inte omfattas av begränsningen av tillämpningsområdet enligt 2 § 5 punkten i personuppgiftslagen. Som exempel kan tas ett ärende som gällde publicering av beskattningsuppgifter (HFD 2009:82), om vilket högsta förvaltningsdomstolen begärde förhandsavgörande av EU-domstolen 2007.

Högst förvaltningsdomstolen konstaterade med hänsyn till EU-domstolens förhandsavgörande C-73/07 i sitt avgörande HFD 2009:82 i fråga om förening av yttrandefrihet och skydd för personuppgifter att bedömningen av avgränsningen av tillämpningsområdet enligt 2 § 5 mom. i personuppgiftslagen ska utgå från om verksamheten syftar till att sprida information, åsikter och idéer till allmänheten. Bedömningen ska göras med hänsyn till i vilken omfattning verksamheten kan anses främja en debatt av intresse för samhället snarare än stilla sådan nyfikenhet hos enskilda personer som inte har samband med samhällsdebatten.

Enligt avgörandet kan sådan behandling av uppgifter där ett personregister som upprättats i redaktionellt syfte publiceras som separata förteckningar i stor skala, i stort sett i sin helhet och så gott som sådant, även om det sker i delar och per kommun, inte betraktas som behandling av personuppgifter för redaktionella ändamål. Eftersom publiceringen av registrerade uppgifter i denna omfattning var jämförbar med publicering av hela det bakgrundsregister som bolaget samlar i redaktionellt syfte, var det inte enbart fråga om att sprida information, åsikter och idéer. En i ett demokratiskt samhälle nödvändig, öppen debatt av intresse för samhället eller kontrollen över utövande av samhällelig makt och friheten att framföra kritik förutsätter på det sätt som framgår av avgörandet inte att specifika personuppgifter som gäller enskilda personer publiceras i den omfattningen. Europadomstolens stora kammare meddelade sitt avgörande i målet den 27 juni 2017.

EU-domstolen ansåg i målet Google Spain, C-131/12, att driften av sökmotorn inte utgör behandling av personuppgifter för journalistiska ändamål. Webbplatsutgivarnas verksamhet kan utgöra verksamhet i journalistiskt syfte, däremot utgör sökmotorns sökresultat inte det. Domstolen avgörande har betydelse med tanke på omfattningen av tillämpningsområdet för undantag som gäller yttrandefriheten, men domstolen vägde i sitt avgörande inte skyddet av personuppgifter mot yttrandefriheten, utan den registrerades rättigheter mot den registeransvariges och den tredje mannens berättigade intressen.

Utifrån responsen i samband med beredningen av propositionen har det inte förekommit några problem i tillämpningen av gällande lagstiftning. I samband med genomförandet av den allmänna dataskyddsförordningen ska man således sträva efter att bibehålla en situation som motsvarar nuläget, där de bestämmelser som tillämpas på behandling av personuppgifter för journalistiska ändamål och för konstnärligt och litterärt skapande och i framtiden också för akademiskt skapande närmast gäller skyldigheten att skydda personuppgifter och på motsvarande sätt dataskyddsmyndighetens befogenheter som gäller dessa skyldigheter.

2.3.8 2.3.8 Vetenskaplig och historisk forskning

Den allmänna dataskyddsförordningen innehåller flera bestämmelser där det uttryckligen hänvisas till vetenskaplig och historisk forskning. Dessutom tillämpas förordningen i sin helhet på behandling av personuppgifter för vetenskapliga och historiska forskningsändamål.

Definitionen av vetenskaplig forskning i den allmänna dataskyddsförordningen överensstämmer nödvändigtvis inte helt med nuvarande nationella praxis. Enligt skäl 159 i den allmänna dataskyddsförordningen bör behandling av personuppgifter för vetenskapliga forskningsändamål i den allmänna dataskyddsförordningen ges en vid tolkning. Vetenskapliga forskningsändamål kan således också omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Behandlingen av personuppgifter bör dessutom ta hänsyn till unionens mål enligt artikel 179.1 i EUF-fördraget angående åstadkommandet av ett europeiskt forskningsområde. Vetenskapliga forskningsändamål bör enligt skälet i fråga också omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet. För att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål.

Vetenskaplig forskning nämns inte uttryckligen som behandlingsgrund i artikel 6.1 i den allmänna dataskyddsförordningen, men artikel 5.1 b innehåller en princip som överensstämmer med den gällande lagstiftningen och enligt vilken vetenskapliga forskningsändamål inte ska anses vara oförenliga med de ursprungliga ändamålen. När personuppgifter behandlas vid vetenskaplig forskning, blir det i fråga om artikel 6.1 sannolikt fråga om led a (samtycke), led c (behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige), led e (en uppgift av allmänt intresse) eller led f (berättigat intresse).

Enligt skäl 52 i den allmänna dataskyddsförordningen bör undantag från förbudet att behandla särskilda kategorier av personuppgifter även tillåtas om de föreskrivs i unionsrätten eller i medlemsstaternas nationella rätt och underkastas lämpliga skyddsåtgärder för att skydda personuppgifter och övriga grundläggande rättigheter, när allmänintresset motiverar detta. Ett sådant undantag kan införas t.ex. för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Behandlingen av personuppgifter ska alltid ha en rättslig grund som anges i personuppgiftslagen, även när uppgifter behandlas för vetenskaplig forskning. Således begränsas behandlingen i hög grad av de exakt avgränsade bestämmelserna om grunderna för behandling av personuppgifter i personuppgiftslagen. Grunderna för behandling av personuppgifter kommer dock i och med den allmänna dataskyddsförordningen att formuleras mer allmänt. Den personuppgiftsansvarige kan i framtiden behandla personuppgifter med stöd artikel 6.1 f i den allmänna dataskyddsförordningen. Enligt den bestämmelsen kan personuppgifter behandlas för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intressen. I första hand bedömer den personuppgiftsansvarige själv om ett berättigat intresse finns.

Begreppet vetenskaplig forskning ska vid tillämpningen av den allmänna dataskyddsförordningen bedömas utifrån skälen i ingressen till förordningen. Som vetenskaplig forskning betraktas enligt skälen i ingressen till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Detta kan till vissa delar vara en mer vid tolkning av vetenskaplig forskning än vad som tillämpats nationellt. Även detta kan för sin del vidga möjligheterna att behandla personuppgifter för vetenskaplig forskning.

Trots detta kommer utgångspunkten enligt 27 § i personuppgiftslagen till stor del att kvarstå, för att vetenskapens frihet inte ska äventyras eller förutsättningarna för att bedriva vetenskaplig forskning betydligt försvagas. Således är det motiverat att föreskriva undantag i fråga om artikel 15 på det sätt som artikel 89.2 möjliggör. Av detta följer att det är logiskt att göra undantag även från artiklarna 16, 18 och 21. Men även den registrerades självbestämmanderätt vad uppgifterna beträffar bör respekteras, och rätten att få uppgifter bör inte heller begränsas mer än vad som begränsas i personuppgiftslagen eller mer än vad som är behövligt. I enlighet med artikel 89.4 i den allmänna dataskyddsförordningen ska, om behandling enligt punkt 2 samtidigt har andra ändamål, undantagen endast tillämpas på behandling för de ändamål som avses i denna punkt.

I vissa fall följer möjligheten till undantag från den registrerades rättigheter direkt av den allmänna dataskyddsförordningen. Till exempel rätten att bli bortglömd enligt artikel 17 gäller inte om uppgifter behandlas för vetenskapliga eller historiska forskningsändamål enligt artikel 89.1, om rätten att bli bortglömd sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

Till den del möjligheten att göra undantag från den registrerades rättigheter vid behandling av personuppgifter t.ex. för vetenskapliga forskningsändamål följer direkt av förordningen, ingår de behövliga skyddsklausulerna i förordningen. Den personuppgiftsansvarige har också ansvarsskyldighet enligt artikel 5.2 i den allmänna dataskyddsförordningen, och således ska den personuppgiftsansvarige kunna visa att han eller hon följt förordningen när undantag gjorts från den registrerades rättigheter enligt de ovannämnda artiklarna. Till denna del är ingen ytterligare reglering behövlig eller ens möjlig.

I artikel 9 i den allmänna dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

Förbudet mot behandling av särskilda kategorier av personuppgifter tillämpas dock inte bl.a. om behandlingen enligt artikel 9.2 j är nödvändig för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. För att uppgifter som hör till särskilda kategorier av personuppgifter och som i huvudsak motsvarar de känsliga uppgifter som avses personuppgiftslagen även i fortsättningen ska kunna behandlas för vetenskapliga och historiska forskningsändamål bör det föreskrivas om detta i lag. I lagen bör det tas in behövliga skyddsklausuler genom vilka den registrerades grundläggande rättigheter skyddas.

Enligt artikel 4 i den allmänna dataskyddsförordningen får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. Bestämmelser om dessa kommer huvudsakligen att utfärdas i samband med speciallagstiftningen.

2.3.9 2.3.9 Statistikföring

Den allmänna dataskyddsförordningen ska tillämpas när personuppgifter behandlas för statistiska ändamål. Med statistiska ändamål avses enligt ingressen till den allmänna dataskyddsförordningen varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Ett statistiskt ändamål har som utgångspunkt att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person.

I den föreslagna allmänna lagen är det behövligt att ta in en behandlingsgrund för statistiska ändamål liknande den som finns i 15 § i personuppgiftslagen. Behandlingsgrunden följer i princip direkt av artikel 6 i den allmänna dataskyddsförordningen. Dessutom har det i 4 §, som gäller laglig behandling, föreslagits en 3 punkt som kompletterar artikel 6.1 e och med stöd av vilken personuppgifter även kan behandlas för statistiska ändamål. Behandling av särskilda kategorier av personuppgifter för statistiska ändamål förutsätter nationell lagstiftning som kompletterar artikel 9 i den allmänna dataskyddsförordningen. Därför innehåller den föreslagna lagens 6 § 7 punkt bestämmelser om behandling av särskilda kategorier av personuppgifter för statistiska ändamål.

För behandling av personuppgifter ska det även för närvarande alltid finnas en i lag föreskriven grund, även när uppgifter behandlas för statistiska ändamål. Behandlingen begränsas i hög grad av de exakt avgränsade bestämmelserna om grunderna för behandling av personuppgifter i personuppgiftslagen. Grunderna för behandling av personuppgifter kommer dock i och med den allmänna dataskyddsförordningen att ändras och delvis bli mer allmänt formulerade. Den personuppgiftsansvarige kan i framtiden behandla personuppgifter t.ex. direkt med stöd artikel 6.1 f i den allmänna dataskyddsförordningen. Enligt den bestämmelsen kan personuppgifter behandlas för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intressen. I första hand bedömer den personuppgiftsansvarige själv om ett berättigat intresse finns.

På motsvarande sätt som vid vetenskaplig och historisk forskning ska det i fråga om behandling av särskilda kategorier av personuppgifter även vid statistikföring iakttas vad som föreskrivs i artikel 9.2 j i den allmänna dataskyddsförordningen.

2.3.10 2.3.10 Arkivering som är förenlig med allmänt intresse

Den allmänna dataskyddsförordningen kommer även att tillämpas på arkivering. Enligt skäl 156 i den allmänna dataskyddsförordningen bör behandlingen av personuppgifter för arkivändamål av allmänt intresse omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt förordningen. Den allmänna dataskyddsförordningen tillämpas dock enligt skäl 27 och skäl 158 i ingressen inte på avlidna personers personuppgifter.

Offentliga myndigheter eller offentliga eller privata organ som innehar uppgifter av allmänt intresse kan vara tillhandahållare som, i enlighet med medlemsstaternas nationella rätt, har en rättslig skyldighet att förvärva, bevara, bedöma, organisera, beskriva, kommunicera, främja, sprida och ge tillgång till uppgifter av bestående värde för allmänintresset. Medlemsstaterna har också rätt att i enlighet med skäl 158 i den allmänna dataskyddsförordningen föreskriva att personuppgifter får vidarebehandlas för arkivering.

I artikel 9.2 j i den allmänna dataskyddsförordningen föreskrivs det att i artikel 9 avsedda särskilda kategorier av personuppgifter får behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse i enlighet med artikel 89.1 i förordningen, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Dessutom förutsätts det att lagstiftningen ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

På behandling som sker för arkivändamål av allmänt intresse tillämpas med stöd av artikel 89.1 i den allmänna dataskyddsförordningen lämpliga skyddsåtgärder i enlighet med förordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. När arkivändamål av allmänt intresse kan uppfyllas genom vidare behandling av uppgifter som inte längre medger identifiering av de registrerade ska ändamålet uppfyllas på det sättet.

Artikel 89.3 i den allmänna dataskyddsförordningen gör det möjligt att föreskriva om vissa undantag och skyddsåtgärder i den nationella lagstiftningen när personuppgifter behandlas för arkivändamål av allmänt intresse. I den nationella lagstiftningen får det föreskrivas om undantag från de rättigheter som avses i artiklarna 15, 16, 18, 19, 20 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Undantag kan dock föreskrivas endast i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen. Dessutom ska undantagen krävas för att uppnå dessa ändamål.

3 Målsättning och de viktigaste förslagen

3.1 Målsättning

Syftet med propositionen är att utfärda lagstiftning som behövs för att komplettera den allmänna dataskyddsförordningen, t.ex. bestämmelser om tillsynsmyndigheten. Det föreslås vidare att det nationella handlingsutrymme som är underkastat prövning och som den allmänna dataskyddsförordningen möjliggör utnyttjas för att bibehålla nuläget i så omfattande utsträckning som möjligt.

I denna proposition föreslås det att personuppgiftslagen upphävs. Samtidigt föreslås det att lagen om datasekretessnämnden och dataombudsmannen upphävs. I denna proposition föreslås att det stiftas en dataskyddslag, som kompletterar den allmänna dataskyddsförordningen. Vidare föreslås det att bestämmelserna i den allmänna dataskyddsförordningen tillämpas på ett heltäckande sätt på all behandling av personuppgifter, om inte något annat föreskrivs i lagen. Eftersom det är fråga om lagstiftning som kompletterar dataskyddsförordningen, bildar den föreslagna dataskyddslagen en enhetlig helhet tillsammans med dataskyddsförordningen.

I den mån det är möjligt har den gällande personuppgiftslagen varit utgångspunkten i propositionen. Dataskyddslagen som en allmän lag gäller behandling av personuppgifter på bred front inom samhällets olika sektorer. Att genomföra en sådan mycket generell och heltäckande reglering som den i personuppgiftslagen är dock inte möjligt i fråga om t.ex. de rättsliga grunderna. I vissa situationer följer den rättsliga grunden för behandlingen direkt av den allmänna dataskyddsförordningen. Målet är dock att dataskyddsförordningen tydligt förblir en allmän lag.

3.2 Lagens syfte och tillämpningsområde

Den föreslagna dataskyddslagen ska vara en allmän lag. Genom lagen kompletteras den allmänna dataskyddsförordningen och den ska tillämpas parallellt med den allmänna dataskyddsförordningen. Det materiella innehållet i bestämmelserna om skyddet för personuppgifter följer i huvudsak direkt av den allmänna dataskyddsförordningen. Dataskyddslagen preciserar den rättsliga grunden för behandling av personuppgifter, den innehåller sådana bestämmelser om tillsynsmyndigheten som kompletterar den allmänna dataskyddsförordningen och den föreskriver om vissa särskilda situationer som hänför sig till behandlingen av personuppgifter.

Till den del behandlingen av personuppgifter inte omfattas av tillämpningsområdet för vare sig den allmänna dataskyddsförordningen eller det s.k. direktivet om dataskydd i brottmål är det möjligt att alternativt antingen utvidga den allmänna dataskyddsförordningen att i tillämpliga delar gälla även denna behandling av personuppgifter eller bibehålla den nuvarande personuppgiftslagen så att den gäller behandling av personuppgifter till den del behandlingen inte omfattas av tillämpningsområdet för förordningen.

Om den gällande personuppgiftslagen eller någon annan allmän lag tillämpas på den behandling av personuppgifter som inte omfattas av tillämpningsområdet för den allmänna dataskyddsförordningen, blir det i gränsfall den personuppgiftsansvariges sak att bedöma om den allmänna dataskyddsförordningen eller personuppgiftslagen ska tillämpas. Det är också möjligt att en och samma personuppgiftsansvarig ska tillämpa såväl den allmänna dataskyddsförordningen som personuppgiftslagen när denne behandlar personuppgifter. Rättsläget blir i detta alternativ ytterst diffust och är svårt att hantera både för den personuppgiftsansvarige och för den registrerade.

Därför föreslås det att den allmänna dataskyddsförordningen med vissa begränsningar ska tillämpas även på sådan behandling av personuppgifter som inte omfattas av unionslagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget.

3.3 Rättslig grund för behandling av personuppgifter i vissa fall

Eftersom det i personuppgiftslagen finns mer detaljerade bestämmelser om den rättsliga grunden för behandlingen av personuppgifter än det finns i den allmänna dataskyddsförordningen, föreslås det att dataskyddslagen ska komplettera de rättsliga grunderna för behandling. Det föreslås dock inte i dataskyddslagen några heltäckande bestämmelser om den rättsliga grunden för behandling av personuppgifter, utan det ska även i fortsättningen vara möjligt att genom speciallagstiftning på vissa specialvillkor som framgår av förordningen föreskriva om den rättsliga grunden för behandling.

I propositionen föreslås det att personuppgifter får behandlas, om det är fråga om uppgifter som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen är proportionell mot det legitima mål som eftersträvas eller om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Bestämmelsen motsvarar bestämmelserna i personuppgiftslagen, dock med beaktande av tilläggskriterier enligt dataskyddsförordningen. Bestämmelsen främjar även tillgodoseendet av offentlighetsprincipen.

Vidare fastställs en allmän rättslig grund som gäller uppgifter av allmänt intresse i myndigheternas verksamhet i enlighet med artikel 6.3 i den allmänna dataskyddsförordningen samt en rättslig grund för vetenskaplig eller historisk forskning eller för statistikföring och för arkivändamål av allmänt intresse.

Behandling av personuppgifter som hör till särskilda kategorier av personuppgifter förutsätter i vissa fall bestämmelser om skyddsåtgärder i den nationella lagstiftningen. Eftersom någon möjlighet att behandla uppgifter som hör till särskilda kategorier av personuppgifter i alla situationer som tillåts i personuppgiftslagen inte direkt följer av den allmänna dataskyddsförordningen, föreslås sådana bestämmelser som gäller särskilda kategorier av personuppgifter och som även i fortsättningen möjliggör sådan behandling av personuppgifter.

Utifrån den nuvarande lagstiftningen finns det ett uppenbart behov att föreskriva om försäkringsbolags rätt att behandla inte bara vissa uppgifter som hör till särskilda kategorier av personuppgifter utan även uppgifter som hänför sig till fällande domar i brottmål och överträdelser i syfte att utreda försäkringsbolagets ansvar. Bestämmelser om motsvarande rätt finns för närvarande i personuppgiftslagen. Eftersom någon rätt för försäkringsbolag att behandla vissa i artikel 10 avsedda uppgifter som hänför sig till särskilda kategorier av personuppgifter inte följer direkt av den allmänna dataskyddsförordningen för att bolagen ska kunna utreda sitt ansvar, ska den rättsliga grunden för behandling för just det ändamålet tas in i den föreslagna lagen. På samma sätt som i personuppgiftslagen föreskrivs det om den rättsliga grunden för behandling för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk.

3.4 Åldersgräns för barn med avseende på informationssamhällets tjänster

I inlägg vid ett informationsmöte som ordnades av den arbetsgrupp som beredde förslaget till regeringsproposition samt i utlåtanden i ärendet betonades internets betydelse för unga, och åsikterna var att internet erbjuder unga en miljö för att lära sig att uttrycka sig och utveckla sin förmåga att hantera mänskliga relationer.

De som talar för en lägre åldersgräns har ansett att redan barn i åldern 13 år är vana att använda tjänster på internet, t.ex. för att uttrycka sig och för skolarbeten utan vårdnadshavarnas uttryckliga medverkan. Vid en undersökning från 2011 (EU Kids Online. The London School of Economics and Political Science) meddelade 77 % av barn i åldern 13—16 år att de har skapat en profil på någon tjänst på sociala medier. Internet kan erbjuda en tonåring som kämpar med sin sexuella identitet eller med en svår familjesituation möjligheter att söka hjälp och kamratstöd. Tekniken har ansetts stärka barnens ställning, eftersom barnen tack vare den inte är beroende av fullvuxna när de hämtar information särskilt om känsliga ämnen.

De som talar för en lägre åldersgräns har också anfört att en åldersgräns på 16 år leder till att sådana barn som är vana vid att använda informationssamhällets tjänster försöker kringgå åldersgränsen genom att ge tjänsten felaktig information om sin ålder i allt större utsträckning. Enligt den nämnda undersökningen använder 38 % av barn i åldern 9—12 år tjänster på sociala medier trots åldersgränser. Många av dem som tog ställning förhöll sig skeptiskt till den åldersgräns på 16 år som anges i artikel 8 i dataskyddsförordningen, och understödde i stället den lägsta möjliga åldersgränsen på 13 år. Med stöd av artikel 6 i FN:s konvention om barnets rättigheter har ett barn rätt till utveckling, och i samband med arbetsgruppens informationsmöte anfördes det att de sociala mediernas inverkan på utvecklingen är oerhört stor för närvarande.

Däremot understöddes en åldersgräns på 15 år i de ställningstaganden som gällde åldersgränsen för barn, eftersom just den åldersgränsen tillämpas i många andra nationella bestämmelser. En åldersgräns som är nära den på 16 år har dessutom ansetts vara motiverad, eftersom syftet med artikel 8 är att förbättra nivån på skyddet för barns personuppgifter, och med en högre åldersgräns kan man bättre försäkra sig om att barns personuppgifter behandlas lagligt.

I en utredning som gäller dataskyddsförordningens konsekvenser för företag noterades att av de företag som svarade på utredningen understödde 21 % en åldersgräns på 16 år, 27 % understödde en åldersgräns på 15 år, 12 % understödde en åldersgräns på 13 år och inget företag valde åldersgränsen 14 år. Det bör dock observeras att 13 % av de företag som deltog i enkäten inte svarade på frågan. Av de företag som svarade på enkäten bedömde 73 % att åldersgränsens betydelse för företaget är ytterst viktig eller viktig, och endast två företag bedömde att åldersgränsen inte har någon som helst betydelse för företagets verksamhet. Sammanlagt 13 % av företagen ansåg att åldersgränsen har liten betydelse för deras verksamhet. I en del av de temaintervjuer som gjordes i anknytning till utredningen av konsekvenserna för företag ansågs nivån på åldersgränsen vara en fråga som gäller barnets bästa. Med tanke på affärsmiljön är det utifrån svaren dock viktigt att åldersgränsen trots nivån är densamma i så många medlemsstater som möjligt.

Arbetsgruppen ansåg att det är möjligt att fastställa en åldersgräns på både 13 och 15 år. Det är önskvärt att åldersgränsen är så enhetlig som möjligt i EU. Det ser dessvärre ut som om det inte går att uppnå en enhetlig åldersgräns i EU. Med beaktande av de övriga nordiska ländernas lösningar i frågan och utifrån responsen från remissbehandlingen föreslås en åldersgräns på 13 år.

3.5 Tillsynsmyndighet

Enligt propositionen koncentreras de nationella myndighetsuppgifterna enligt den allmänna dataskyddsförordningen i fortsättningen hos en myndighet, dvs. dataombudsmannen. Dataombudsmannens byrå fortsätter med några små interna organisatoriska ändringar verksamheten vid den nuvarande dataombudsmannens byrå. Dataombudsmannen företräder även Finland i Europeiska dataskyddsstyrelsen, som inrättats genom den allmänna dataskyddsförordningen.

Datasekretessnämndens centrala uppgift har hänfört sig till det förfarande med förhandsgodkännande som angivits i syfte att genomföra artikel 7 f i det gamla dataskyddsdirektivet. Enligt den bestämmelsen får personuppgifter behandlas, om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige. Datasekretessnämnden har vid beviljande av tillstånd bedömt huruvida behandlingen av personuppgifter är nödvändig för att tillgodose den registeransvariges berättigade intressen. Motsvarande rättsliga grund för behandling av personuppgifter följer i fortsättningen direkt av den allmänna dataskyddsförordningen. När den allmänna dataskyddsförordningen blir tillämplig ska den personuppgiftsansvarige i första hand själv bedöma om behandlingen av personuppgifter i varje enskilt fall är tillåten med stöd av artikel 6.1 f. Medlemsstaterna kan inte utfärda preciserande bestämmelser om tillämpningen av underpunkt f. Datasekretessnämndens centrala uppgift som den tillståndsmyndighet som tar ställning till behandlingen av personuppgifter är således inte längre möjlig när tillämpningen av förordningen börjar. På grund av de förändringar som följer av den allmänna dataskyddsförordningen finns det inte längre något behov av en myndighet som datasekretessnämnden.

Dataombudsmannen är även i fortsättningen chef för dataombudsmannens byrå. Till följd av ett ökande antal ärenden och ärendenas karaktär och omfattning stärks dataombudsmannens byrå genom att det föreskrivs att det vid byrån utöver tjänsten som dataombudsman finns en eller flera tjänster som biträdande dataombudsman. En biträdande dataombudsman har inom sitt eget uppgiftsområde samma befogenheter som dataombudsmannen.

Vid dataombudsmannens byrå finns utöver dataombudsmannen och biträdande dataombudsmän dessutom en sakkunnignämnd. Sakkunnignämnden föreslås bestå av fem ledamöter med uppgiften som bisyssla och dess uppgift är att på begäran av dataombudsmannen ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter.

I gällande bestämmelser föreskrivs det om en permanent tjänst som byråchef, eftersom byråchefen har varit ställföreträdare för dataombudsmannen. I förslaget finns inte längre bestämmelser om en tjänst som byråchef, eftersom den allmänna dataskyddsförordningen innehåller en skyldighet att utfärda bestämmelser endast om frågor som gäller tillsynsmyndighetens ledamöter. Byråchefen ska inte vara ledamot av tillsynsmyndigheten, utan en del av myndighetens övriga personal. De administrativa uppgifter som hör till byråchefen eller till en motsvarande tjänst kvarstår oförändrade vid dataombudsmannens byrå. Byråchefen är inte längre ställföreträdare för dataombudsmannen, eftersom en biträdande dataombudsman är ställföreträdare för dataombudsmannen i enlighet med vad som bestäms särskilt.

Sådan behandling av personuppgifter som hänför sig till Ålands landskapslagar övervakas enligt förslaget till reviderad dataskyddslagstiftning för landskapet fortfarande av Datainspektionen i landskapet Åland. Förutom dataombudsmannen är således även Datainspektionen i landskapet Åland fortfarande verksam i Finland, och Datainspektionen har till uppgift att övervaka behandlingen av sådana personuppgifter som hänför sig till Ålands landskapslagar. Enligt 59 b § 3 mom. i självstyrelselagen för Åland (1144/1991) får medlemsstaterna enligt gemenskapsrätten i något fall där både landskapet och riket har behörighet utse endast en förvaltningsmyndighet, utser riket denna myndighet. När denna myndighet fattar ett beslut som annars skulle höra till landskapets behörighet, ska beslutet fattas i enlighet med landskapsregeringens ståndpunkt. Enligt artikel 51.3 i den allmänna dataskyddsförordningen ska en medlemsstat, om det finns fler än en tillsynsmyndighet i medlemsstaten, utse den tillsynsmyndighet som ska företräda dessa myndigheter i styrelsen. Medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 63. Följaktligen föreslås i lagen bestämmelser om att dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen.

Dataombudsmannens byrå kommer på samma sätt som för närvarande att omfattas av den av riksdagens justitieombudsman och justitiekanslern i statsrådet utövade högsta laglighetskontrollen samt av Statens revisionsverks tillsyn.

Avsikten är att inrätta en ny tjänst som underrättelseombudsman för tillsynen över underrättelseverksamhet. Underrättelseombudsmannen och dennes personal placeras administrativt sett i samband med dataombudsmannens byrå. Underrättelseombudsmannen är självständig och oberoende i sin verksamhet.

3.6 Rättssäkerhet och påföljder

I artikel 84.1 i den allmänna dataskyddsförordningen förutsätts att medlemsstaterna ska fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. I punkten förutsätts också att medlemsstaterna vidtar alla nödvändiga åtgärder för att säkerställa att de genomförs. Dessa sanktioner ska vara effektiva, proportionella och avskräckande. Dessa sanktioners art bör fastställas i medlemsstaternas nationella rätt, och de kan enligt skäl 152 i ingressen till förordningen vara antingen straffrättsliga eller administrativa.

Det är nödvändigt att i den föreslagna dataskyddslagen ta in en sådan bestämmelse om bestämmande av en administrativ påföljdsavgift som kompletterar den allmänna dataskyddsförordningen. Överträdelse av artikel 10 i den allmänna dataskyddsförordningen, som gäller behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser, nämns inte i artikel 83 i förordningen. Det är således inte möjligt att med stöd av den allmänna dataskyddsförordningen direkt påföra en administrativ påföljdsavgift för överträdelser som gäller artikeln i fråga. I propositionen föreslås således att på överträdelse av artikel 10 tillämpas vad som föreskrivs i artikel 83.5. Med beaktande av personuppgifternas särprägel och deras nära samband med de särskilda kategorier av personuppgifter som avses i artikel 9 i förordningen är det motiverat att för överträdelser av artikeln kunna påföra en sanktion enligt den högsta böteskategorin.

När den grundläggande ändringen av det påföljdssystem som gäller behandling av personuppgifter beaktas på grund av den allmänna dataskyddsförordningen, måste vissa ändringar även göras i strafflagen. Det föreskrivs nationellt om straffrättsliga påföljder endast till den del det är nödvändigt och till den del som påföljderna enligt kapitel VIII i den allmänna dataskyddsförordningen inte blir tillämpliga.

Den bestämmelse om straff för personregisterbrott som för närvarande ingår i strafflagen är mycket omfattande, och de flesta av de gärningar som är straffbara enligt bestämmelsen blir straffbara med stöd av artikel 83 i den allmänna dataskyddsförordningen. Det nuvarande personregisterbrottet ska således slopas som sådant och ersättas med en noggrannare avgränsad straffbestämmelse.

Det är nödvändigt att föreskriva att ett sådant förfarande är straffbart där t.ex. en person som är anställd hos den personuppgiftsansvarige eller personuppgiftsbiträdet uppsåtligen eller av grov oaktsamhet skaffar (spionerar på) personuppgifter i strid med deras användningsändamål. Det är i allmänhet inte möjligt att rikta påföljder till sådana personer direkt med stöd av den allmänna dataskyddsförordningen.

På användningen av tillsynsmyndighetens befogenheter enligt artikel 83 ska lämpliga nationella rättssäkerhetsgarantier, t.ex. effektiva rättsmedel och lämpliga förfaranden, tillämpas. På användningen av dataombudsmannens byrås befogenheter och på byråns verksamhet tillämpas allmän förvaltningsrättslig lagstiftning. Tillämpliga blir då således t.ex. de allmänna kraven beträffande behandlingen av ärenden enligt 5 kap. i förvaltningslagen och bestämmelserna om utredning av ärenden och hörande av parter enligt 6 kap. i den lagen. Dataombudsmannens beslut får överklagas genom besvär i enlighet med förvaltningsprocesslagen.

I propositionen föreslås att administrativa påföljdsavgifter inte får påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli. I detta sammanhang anses begreppet självständiga offentligrättsliga inrättningar även omfatta universitetsväsendet. I princip är statliga affärsverk inte längre verksamma på en konkurrensutsatt marknad utan producerar tjänster inom statsförvaltningen. Enligt den föreslagna lagen ska begränsningen inte gälla de privata aktörer som sköter sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen. Sådana aktörer kan inte ställas utanför tillämpningen av den administrativa påföljdsavgiften med stöd av artikel 83.7 i dataskyddsförordningen, enligt vilken endast myndigheter ges handlingsutrymme. En sådan administrativ påföljd av straffnatur som riktar sig till en myndighet är med avseende på den nuvarande rättsordningen ett främmande förfarande, som kräver någon form av systemändring som det hade varit nödvändigt att bereda i brådskande ordning. Inom den offentliga förvaltningen har en påföljdsavgift för myndigheterna kanske inte heller en likadan effekt som inom den privata sektorn med beaktande av att verksamheten är bunden till budgeten.

Det är inte nödvändigt att i detta skede utsträcka den administrativa påföljdsavgiften till att även gälla myndigheternas behandling av personuppgifter, eftersom myndigheterna är bundna av kravet på laglighet i förvaltningen, och myndigheterna ska även i övrigt iaktta de allmänna förvaltningslagarna. För myndigheternas behandling av personuppgifter gäller även straffrättsligt tjänsteansvar och skadeståndsansvar. Enligt 118 § 1 mom. i grundlagen svarar en tjänsteman för att hans eller hennes ämbetsåtgärder är lagliga. Även förvaltningsklagan kan anföras över myndigheternas verksamhet. Dataombudsmannens möjlighet att förelägga vite gäller enligt förslaget även myndigheter. Riksdagens justitieombudsman och justitiekanslern övervakar vidare lagligheten i myndigheternas och tjänstemännens verksamhet samt det att myndigheterna och tjänstemännen uppfyller sin skyldighet.

Effekten hos de påföljder som påförs en myndighet för brott mot dataskyddsförordningen måste dock följas. Dessutom måste utvecklingen hos aktörerna i gränszonen mellan den privata och offentliga sektorn bedömas. Påförandet av administrativa påföljdsavgifter på myndigheter bedöms i fortsättningen på nytt i ljuset av inkommen uppföljningsinformation och rättspraxis samt rekommendationer och riktlinjer på unionsnivå.

För den offentliga sektorn gäller avsevärt strängare bestämmelser än för den privata sektorn, och det innebär att det finns andra skillnader mellan den offentliga och den privata sektorn än det att den offentliga sektorn inte omfattas av risken för påföljdsavgift. En bedömning av konsekvenserna med avseende på konkurrensen i detta skede av beredningen resulterar endast i antaganden. En bedömning av konsekvenserna med avseende på konkurrensen är möjlig att uppskatta endast i ett senare skede, när man får mera avgörandepraxis i fråga om påföljdsavgifterna såväl inom unionen som i de enskilda medlemsstaterna.

Vid justitieministeriet pågår för närvarande ett utrednings- och beredningsprojekt som gäller administrativa påföljder av straffnatur och vars slutsatser kan användas vid den framtida bedömningen.

3.7 Yttrandefrihet

Det är nödvändigt att föreskriva undantag från vissa bestämmelser i den allmänna dataskyddsförordningen i syfte att samordna skyddet för personuppgifter och yttrandefriheten. Genom samordningen bör man säkerställa att den rätt att yttra sig som hänförs till yttrandefrihetens kärnområde inte begränsas.

Genom den föreslagna lagen föreskrivs det om vissa nödvändiga undantag för att samordna yttrandefriheten och skyddet för personuppgifter när personuppgifter behandlas för journalistiska ändamål eller för ändamål som avser akademiskt, konstnärligt eller litterärt skapande. I EU-domstolens rättspraxis har verksamhet vars enda syfte är att ge uttryck för information, åsikter och tankar för allmänheten betraktats som behandling av personuppgifter i journalistiskt syfte. EU-domstolen har framhävt att det däremot inte har någon betydelse om verksamheten eftersträvar vinst. Det har inte heller någon betydelse på vilket sätt uppgifterna överförs. Inom rättspraxisen har det dessutom betonats att de undantag som avser behandling av personuppgifter inte bara gäller massmedieföretag utan även alla personer som arbetar med journalism. Någon rättspraxis som motsvarar behandlingen av personuppgifter finns inte ännu för akademiskt skapande, eftersom akademiskt skapande först nyligen har tagits in i artikel 85 som gäller behandling och yttrande- och informationsfriheten i den allmänna dataskyddsförordningen. Genom en nationell lag är det inte heller möjligt att precisera eller definiera begrepp i den allmänna dataskyddsförordningen.

Målet är att behålla ett rättsläge som motsvarar det rådande rättsläget. Samordningen måste dock anpassas till den förändrade verksamhetsmiljön och till de bestämmelser om behandling av personuppgifter som följer av den allmänna dataskyddsförordningen. Artikel 85 i den allmänna dataskyddsförordningen gäller inte bara journalistiska ändamål samt konstnärligt eller litterärt skapande utan även akademiskt skapande, och detta innebär att de undantag som görs i skyddet för personuppgifter blir mer omfattande jämfört med 2 § 5 mom. i den gällande personuppgiftslagen.

Precis som för närvarande blir de förpliktelser som gäller skyddet för personuppgifter tillämpliga när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt och litterärt skapande. EU-domstolen har i målet Satakunnan Markkinapörssi Oy och Satamedia Oy, C-73/07, konstaterat att för att hitta en harmonisk balans mellan två grundläggande rättigheter förutsätter skyddet för den grundläggande rättighet som avser privatlivet att de undantag och begränsningar som föreskrivits för skyddet av uppgifter ska genomföras helt och hållet inom gränserna för det nödvändiga.

I propositionen föreslås ett undantag från artikel 5.1 c—e, som gäller principer för behandling av personuppgifter i den allmänna dataskyddsförordningen. Enligt artikel 5.1 c i den allmänna dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Det är inte ändamålsenligt att tillämpa principen för uppgiftsminimering när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dessa syften förutsätter vanligtvis omfattande datalager. Det föreslås således att det föreskrivs ett undantag från principen om uppgiftsminimering. Det ska beaktas att insamling och annan behandling av personuppgifter ska vara motiverad för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Enligt artikel 5.1 d i den allmänna dataskyddsförordningen ska personuppgifterna vara korrekta och vid behov uppdaterade. Enligt den nämnda underpunkten måste alla rimliga åtgärder vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). Den registrerades rättigheter enligt artiklarna 12—22 i den allmänna dataskyddsförordningen blir inte tillämpliga, och därför har den registrerade inte rätt att kräva att felaktiga uppgifter korrigeras med stöd av den allmänna dataskyddsförordningen. På grund av detta tillämpas inte denna princip när personuppgifter behandlas för de syften som anges i artikel 85. En enskild person har i vilket fall som helst rätt till genmäle och rättelse enligt 3 kap. i lagen om yttrandefrihet i masskommunikation. Vidare skyddar bestämmelserna om ärekränkning i strafflagen från spridande av osann information.

Enligt artikel 5.1 e i den allmänna dataskyddsförordningen ska personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast så länge som det behövs för att iaktta ändamålen med behandlingen. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt den allmänna dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). Det föreskrivs även ett undantag från principen om lagringsminimering när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Personuppgifter kan behövas t.ex. för journalistiskt bakgrundsmaterial under en lång period, och det är således inte alltid möjligt att entydigt fastställa hur länge uppgifterna ska lagras. De uppgifter som lagras ska dock vara nödvändiga för de ändamål som anges i artikel 85.

Det föreslås i propositionen att det föreskrivs ett undantag från artikel 6, som gäller laglig behandling av personuppgifter. I artikeln föreskrivs om de rättsliga grunderna för behandling av personuppgifter. I samband med beredningen av förslaget var ett av de alternativ som skulle bedömas möjligheten att använda den nationella prövningsmarginal som avses i artikel 6.1 e och som möjliggör sådana nationella bestämmelser som kompletterar förordningen för utförande av en uppgift av allmänt intresse. Detta anses inte vara motiverat. En rättslig grund av detta slag bör möjliggöra behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande när personuppgifter behandlas i situationer som avses i artikel 85 och personuppgifterna berörs av de undantag som föreskrivs i dataskyddslagen. Med avseende på tillämpningen av de undantag som föreslås i denna paragraf är det väsentligt att behandlingen av personuppgifter sker för de ändamål som anges i artikel 85. På grund av det undantag som föreslås från artikel 6 i den allmänna dataskyddsförordningen föreslås det även ett undantag från artikel 7, som gäller villkor för samtycke. Det bör beaktas att det undantag som ska föreskrivas inte har någon inverkan på att det i enlighet med rekvisitet för olaglighet i strafflagens straffbestämmelse om spridande av information som kränker privatlivet är tillåtet att lämna uppgifter med en persons samtycke.

I propositionen föreslås det även att det föreskrivs ett undantag från artikel 9, som gäller behandling av särskilda kategorier av personuppgifter, och från artikel 10, som gäller behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Dessa uppgifter motsvarar till stor del de känsliga personuppgifter som avses i 11 § i den gällande personuppgiftslagen. För journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande kan även personuppgifter som hör till särskilda kategorier av personuppgifter eller personuppgifter som rör fällande domar i brottmål samt överträdelser behandlas. I enlighet med det riskbaserade betraktelsesätt som finns i den allmänna dataskyddsförordningen ska relevanta skyddsåtgärder i vilket fall som helst iakttas på det sätt som föreskrivs i artiklarna 24, 25 och 32 i den allmänna dataskyddsförordningen vid behandling av dessa kategorier av uppgifter. De bestämmelser i strafflagen som gäller spridande av uppgifter som kränker privatlivet skyddar olagligt spridande av uppgifter även vad beträffar särskilda kategorier av personuppgifter och personuppgifter som rör fällande domar i brottmål samt överträdelser.

I förslaget föreslås även ett undantag från artikel 11.2 i den allmänna dataskyddsförordningen. Artikel 11.2 hänför sig till artiklarna 15—20, som gäller tillgodoseende av den registrerades rättigheter och som inte på det sätt som anförs här ska tillämpas när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Således tillämpas artikel 11.2 i den allmänna dataskyddsförordningen inte när personuppgifter behandlas för de syften som anges i artikel 85.

Det föreslås även ett undantag från kapitel III artiklarna 12—22, som gäller den registrerades rättigheter, i den allmänna dataskyddsförordningen. Enligt 2 § 5 mom. i personuppgiftslagen tillämpas bestämmelserna om den registrerades rättigheter inte på behandling av personuppgifter för redaktionella samt konstnärliga eller litterära syften. I personuppgiftslagen föreskrivna rättigheter för den registrerade är rätt att få information om behandling av uppgifter enligt 24 §, rätt till insyn enligt 26 och 28 §, rätt till rättelse av en uppgift enligt 29 §, begränsning av automatiserade beslut enligt 31 § och rätt att förbjuda behandling av personuppgifter för direktreklam och andra motsvarande syften enligt 30 §. Bestämmelser som motsvarar dessa rättigheter finns i artiklarna 13—17, 19, 21 och 22 i den allmänna dataskyddsförordningen. Bestämmelserna i den allmänna dataskyddsförordningen är dock mer detaljerade än bestämmelserna i personuppgiftslagen även till denna del. Genom dessa undantag bibehålls en situation som motsvarar nuläget.

Artikel 12 i den allmänna dataskyddsförordningen ska läsas tillsammans med artiklarna 13—22 och 34 i den allmänna dataskyddsförordningen. Eftersom dessa artiklar inte blir tillämpliga på behandlingen av personuppgifter i de situationer som avses i artikel 85 i förordningen blir inte heller artikel 12 tillämplig i de situationer som avser behandling i artikel 85.

I propositionen föreslås även ett undantag från artikel 18 som gäller begränsning av behandlingen av personuppgifter. Den registrerade kan med stöd av den allmänna dataskyddsförordningen kräva att behandlingen av hans eller hennes personuppgifter begränsas t.ex. i sådana fall där den registrerade bestrider personuppgifternas korrekthet. I personuppgiftslagen finns inte någon motsvarande bestämmelse. Tillämpning av artikeln på behandling av personuppgifter i sådana situationer som avses i artikel 85 kan resultera i ett förhandsingripande i yttrandefriheten, och därför tillämpas artikel 18 inte på behandling av personuppgifter i de situationer som avses i artikel 85.

Tillämpningen av artiklarna 20 och 21 i den allmänna dataskyddsförordningen beror på vilken rättslig grund enligt artikel 6 behandlingen av personuppgifter baserar sig på. Rätten till dataportabilitet enligt artikel 20 i den allmänna dataskyddsförordningen tillämpas när behandlingen av personuppgifter grundar sig på samtycke med stöd av artikel 6.1 a eller artikel 9.2 a eller på ett avtal med stöd av artikel 6.1 b. Rätten att göra invändningar enligt artikel 21 i den allmänna dataskyddsförordningen tillämpas när behandlingen grundar sig på artikel 6.1 e eller f. I personuppgiftslagen finns inte bestämmelser om motsvarande rättigheter. Rätten att göra invändningar gäller enligt personuppgiftslagen endast behandling av personuppgifter för direktmarknadsföring och motsvarande syften.

I enlighet med det föreslagna ska artikel 6 i den allmänna dataskyddsförordningen inte tillämpas när personuppgifter behandlas för de syften som anges i artikel 85. För tydlighetens skull vore det dock logiskt att föreskriva ett undantag från den registrerades rättigheter enligt artiklarna 20 och 21. Detta motsvarar dessutom nuläget, eftersom bestämmelserna om den registrerades rättigheter i personuppgiftslagen inte blir tillämpliga på behandlingen av personuppgifter för redaktionella samt konstnärliga eller litterära syften.

I 27 § 1 mom. föreslås undantag även från bestämmelserna om personuppgiftsansvariga och personuppgiftsbiträden i kapitel IV artiklarna 30 och 34.1—34.3 samt artiklarna 35 och 36 i den allmänna dataskyddsförordningen.

I artikel 30 i den allmänna dataskyddsförordningen föreskrivs om den personuppgiftsansvariges skyldighet att upprätta och föra register över behandlingen. För närvarande finns bestämmelser om den registeransvariges skyldighet att göra upp en registerbeskrivning i 10 § i personuppgiftslagen, som inte kommer att tillämpas när personuppgifter behandlas för redaktionella samt konstnärliga och litterära syften. För att nuläget ska bibehållas föreslås ett undantag från artikel 30 i den allmänna dataskyddsförordningen.

Artikel 34 i den allmänna dataskyddsförordningen, enligt vilken den personuppgiftsansvarige ska informera den registrerade om en personuppgiftsincident, tillämpas inte till övriga delar än i fråga om punkt 4 på behandling av personuppgifter i situationer som avses i artikel 85.

Vid behandling av personuppgifter för redaktionella syften har behandlingen begränsats så att den inte omfattas av tillämpningsområdet för personuppgiftslagen till den del det är fråga om den registrerades rättigheter. För att behålla ett läge som motsvarar nuläget blir en stor del av den registrerades rättigheter enligt den allmänna dataskyddsförordningen inte tillämpliga när personuppgifter behandlas i situationer som avses i artikel 85. En registrerad har t.ex. inte rätt att i enlighet med artikel 15 få information om att uppgifter om honom eller henne behandlas eller information om ändamålen med behandlingen av personuppgifterna, och inte heller rätt enligt artikel 17 att få den personuppgiftsansvarige att radera personuppgifterna om den registrerade. För att bibehålla ett läge som motsvarar nuläget måste den personuppgiftsansvariges skyldighet att informera den registrerade om personuppgiftsincidenter begränsas vid behandling av personuppgifter i situationer som avses i artikel 85 i den allmänna dataskyddsförordningen. Redaktionella register innehåller inte normalt heller de registrerades kontaktuppgifter, och därför kan det kräva orimlig ansträngning av den personuppgiftsansvarige att informera den registrerade på något annat sätt än genom ett offentligt meddelande.

Information till dataskyddsmyndigheten om personuppgiftsincidenter är i detta sammanhang ett tillräckligt rättsmedel. Artikel 34.4 i den allmänna dataskyddsförordningen ska dock tillämpas. Enligt den kan tillsynsmyndigheten kräva att den information som avses i artikel 34 ska lämnas till den registrerade, eller besluta att information inte behöver lämnas till den registrerade. Tillsynsmyndigheten kan således ålägga den personuppgiftsansvarige att informera den registrerade om personuppgiftsincidenter, om den bedömer att de rådande omständigheterna kräver detta. Artikel 34.4 i den allmänna dataskyddsförordningen blir tillämplig i sådana situationer där en personuppgiftsincident sannolikt medför hög risk för fysiska personers rättigheter och friheter. Tillämpning av denna bestämmelse på behandling av personuppgifter för journalistiska ändamål samt akademiskt, konstnärligt och litterärt skapande är motiverad, eftersom syftet med skyldigheten att anmäla personuppgiftsincidenter är att stärka dataskyddet. Betydelsen av lämpligt skydd för uppgifterna framhävs vid avvikelser i större utsträckning från den registrerades rättigheter. Artikel 34.4 blir således tillämplig i situationer där artikel 34 även i övrigt blir tillämplig.

Enligt artikel 35 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige i vissa situationer utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. I samband med yttrandefrihet ska en bedömning i regel göras med avseende på skyddet för det allmänna intresse som gäller offentliggörande av uppgifterna och det i strafflagen omfattade skyddet för individens privatliv och ära när det gäller den som är föremål för uppgifterna. Att det föreskrivs undantag förhindrar dock inte den personuppgiftsansvarige eller personuppgiftsbiträdet att göra en i artikel 35 i den allmänna dataskyddsförordningen avsedd konsekvensbedömning vid behandling av personuppgifter i sådana situationer som avses i artikel 85 i den allmänna dataskyddsförordningen.

En konsekvensbedömning av dataskyddet bör granskas tillsammans med den förpliktelse som gäller förhandssamråd enligt artikel 36. När de villkor som uppställs i den allmänna dataskyddsförordningen uppfylls ska den personuppgiftsansvarige i enlighet med det förfarande som anges i artikel 36 i förordningen höra tillsynsmyndigheten innan behandlingen av personuppgifter inleds. En sådan skyldighet är oförenlig med det förbud mot förhandskontroll som hör till yttrandefrihetens kärnområde.

I propositionen föreslås ett undantag även från artikel 56 som gäller den ansvariga tillsynsmyndighetens behörighet i kapitel VI om oberoende tillsynsmyndigheter i den allmänna dataskyddsförordningen. Enligt artikel 55.2 i den allmänna dataskyddsförordningen ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig, om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e. I sådana fall ska artikel 56 inte tillämpas. På samma sätt som i lagstiftning som utfärdats med stöd av artikel 6.1 c eller e är det även vid den samordning av yttrandefriheten och skyddet för personuppgifter som görs med stöd av artikel 85 i förordningen fråga om nationell lagstiftning. Detta framgår av skäl 153 i ingressen till den allmänna dataskyddsförordningen som gäller lagval och som anger att om de befrielser eller undantag som bestämts med stöd av artikel 85 varierar från en medlemsstat till en annan, ska den nationella rätten i den medlemsstat vars lag den personuppgiftsansvarige omfattas av tillämpas.

Eftersom ett undantag föreslås från artikel 56, föreslås det för tydlighetens skull ett undantag även från artiklarna 60—63 och 65—67 i kapitel VII, som gäller samarbete och enhetlighet. Artiklarna 68—76, som gäller Europeiska dataskyddsstyrelsen, ska tillämpas för att den nationella lagstiftningen inte ska utesluta möjligheten för sådana aktörer som i det syfte som avses i artikel 85 behandlar personuppgifter att införa uppförandekoder och certifikat som godkänts av Europeiska dataskyddsstyrelsen.

I propositionen föreslås dessutom ett undantag från artikel 58.2 f, som gäller tillsynsmyndighetens befogenheter och enligt vilken tillsynsmyndigheten har befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. Vid samordning av skyddet för personuppgifter och yttrandefriheten bör det beaktas att tillsynsmyndighetens befogenheter inte kan begränsa massmediernas centrala samhälleliga uppgifter eller rikta sig mot sådan verksamhet som begränsar användningen av yttrandefrihet i ett demokratiskt samhälle och i en rättsstat. Lagstiftningen och tolkningen av den bör respektera vars och ens rätt att ta emot och sprida information eller tankar utan myndigheternas inblandning.

Därför föreslås det att artikel 58.2 f i den allmänna dataskyddsförordningen inte ska tillämpas på sådan behandling av personuppgifter som sker i det syfte som avses i artikel 85. Med stöd av den nämnda bestämmelsen har tillsynsmyndigheten rätt att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. En befogenhet av detta slag i förhållande till betydelsen hos yttrandefrihet i ett demokratiskt samhälle kan betraktas som ett överdrivet ingrepp i yttrandefrihetens centrala innehåll. Tillsynsmyndigheten ska dock ha befogenhet att förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i den allmänna dataskyddsförordningen och om så krävs på ett specifikt sätt och inom en specifik period. Detta motsvarar bestämmelserna i den gällande personuppgiftslagen.

I propositionen föreslås ett begränsat undantag från artikel 27 i den allmänna dataskyddsförordningen som gäller skyldigheten för personuppgiftsansvariga som inte är etablerade i unionen att utse en företrädare i unionen. Enligt artikeln ska en personuppgiftsansvarig eller ett personuppgiftsbiträde utse en företrädare som är etablerad i någon av medlemsstaterna. Skyldigheten gäller situationer där dessa inte är etablerade i unionen och tjänster tillhandahålls registrerade som är etablerade i unionen eller det är fråga om uppföljning av registrerades beteende. Det kan t.ex. vara fråga om profilering. I artikeln föreskrivs om vissa undantag från denna skyldighet. Med stöd av 27 § i dataskyddslagen blir artikeln inte heller tillämplig i en situation där chefredaktören för ett massmedium har ansvar enligt yttrandefrihetslagen för innehållet i ett publicerat meddelande.

I sådana situationer som avses i artikel 85 i den allmänna dataskyddsförordningen blir således förordningens artiklar 5(1)(f), 8, 23, 28, 29, 32, 33, 37, 38 samt 40—43 tillämpliga på behandlingen av personuppgifter. På den ovannämnda behandlingen av personuppgifter tillämpas dessutom i tillämpliga delar artiklarna 5.1 a—b och 5.2, 24—26, 31, 39, 40, 42, 57, 58, 64 och 70 i den allmänna dataskyddsförordningen.

3.8 Vetenskaplig och historisk forskning

När personuppgifter behandlas för vetenskaplig och historisk forskning ger artikel 89.2 i den allmänna dataskyddsförordningen medlemsstaterna en möjlighet att genom nationell lagstiftning göra undantag från vissa av den registrerades rättigheter (artiklarna 15, 16, 18 och 21) till den del rättigheter av detta slag sannolikt förhindrar att vissa syften uppnås eller försvårar detta i stor utsträckning och undantag av detta slag är nödvändiga för att dessa syften ska uppnås. Undantag förutsätter dessutom att de villkor och skyddsåtgärder som avses i artikel 89.1 ska tillämpas. Undantagen ska alltså vara nödvändiga och motiverade, och dessutom ska förekomsten av villkor och skyddsåtgärder beaktas.

I propositionen föreslås att den utgångspunkt som anges i 27 § i personuppgiftslagen till stor del ska bibehållas. Det föreslås således ett undantag med avseende på artikel 15, när undantag behövs på det sätt som förutsätts i artikel 89.2. Rätten att kontrollera uppgifter om en själv kan uteslutas när de tilläggsvillkor som föreslås blir beaktade och tilläggsvillkoren i stor utsträckning motsvarar villkoren i 15 § i personuppgiftslagen. Av detta följer att det är ändamålsenligt att göra undantag även från artiklarna 16, 18 och 21. I propositionen föreslås att undantag även från dessa rättigheter som den registrerade har dock är möjliga endast vid behov och med iakttagande av de lämpliga skyddsåtgärder som räknas upp i paragrafen.

I propositionen föreslås att det i fortsättningen fortfarande ska vara möjligt att behandla särskilda kategorier av personuppgifter för vetenskaplig och historisk forskning på det sätt som anges i artikel 9.2 j i den allmänna dataskyddsförordningen samt uppgifter som avses i artikel 10. Det föreslås att särskilda skyddsåtgärder ska tas in i lagen, och om dessa uppfylls är behandling av detta slag tillåten. De skyddsåtgärder som ingår i den allmänna dataskyddsförordningen och de skyddsåtgärder som föreslås i lagen kan anses uppfylla kraven i artikel 9.2 j.

3.9 Statistikföring

När personuppgifter behandlas för statistiska ändamål, ger artikel 89.2 i den allmänna dataskyddsförordningen medlemsstaterna en möjlighet att genom nationell lagstiftning göra undantag från vissa av den registrerades rättigheter (artiklarna 15, 16, 18 och 21) till den del som rättigheter av detta slag sannolikt förhindrar att vissa syften uppnås eller försvårar detta i stor utsträckning och undantag av detta slag är nödvändiga för att dessa syften ska uppnås. Undantag förutsätter dessutom att de villkor och skyddsåtgärder som avses i artikel 89.1 ska tillämpas. Undantagen ska alltså vara nödvändiga och motiverade, och dessutom ska förekomsten av villkor och skyddsåtgärder beaktas.

Även till denna del föreslås det att bestämmelserna i enlighet med 27 § i personuppgiftslagen till stor del ska bibehållas. I propositionen föreslås således ett undantag med avseende på artikel 15. Rätten att kontrollera uppgifter om en själv kan uteslutas när det gäller statistikföring om man beaktar ändamålet med statistikföringen och att ingreppet i integritetsskyddet är litet samt de tilläggsvillkor som föreslås och som i stor utsträckning motsvarar villkoren i 15 § i personuppgiftslagen. Av detta följer att det är ändamålsenligt att göra undantag även från artiklarna 16, 18 och 21 med iakttagande av relevanta skyddsåtgärder. I propositionen föreslås att undantag även från dessa rättigheter som den registrerade har dock är möjliga endast vid behov och med iakttagande av de lämpliga skyddsåtgärder som räknas upp i paragrafen.

Den registrerades grundläggande rättigheter och självbestämmanderätt vad uppgifterna beträffar bör dock respekteras. På grund av detta är det viktigt att det i lagen föreskrivs om relevanta skyddsåtgärder. Betydande skyddsåtgärder följer även av den allmänna dataskyddsförordningen. Det är viktigt att framhäva t.ex. den registrerades rätt att få information när undantag från den registrerades rättigheter görs. Till denna del tryggar artiklarna 13 och 14 i den allmänna dataskyddsförordningen på ett relevant sätt den registrerades rätt att få information, och det är inte nödvändigt att föreskriva preciserande bestämmelser till denna del.

Vidare föreslås det att det i den allmänna lagen tas in en paragraf som motsvarar 33 § i personuppgiftslagen om tystnadsplikt för den som deltar i behandlingen av personuppgifter. Genom denna skyldighet tillsammans med de skyldigheter som gäller dataskydd i dataskyddsförordningen säkerställs bl.a. att statistisk behandling förblir sekretessbelagd på det sätt som förutsätts i den allmänna dataskyddsförordningen.

I propositionen föreslås att det i fortsättningen fortfarande ska vara möjligt att behandla särskilda kategorier av personuppgifter för statistiska ändamål på det sätt som anges i artikel 9.2 j i den allmänna dataskyddsförordningen. Vidare föreslås det att även behandling av uppgifter som avses i artikel 10 är tillåten för statistiska ändamål. Det föreslås att särskilda skyddsåtgärder ska tas in i lagen, och om dessa uppfylls är behandling av detta slag möjlig. De skyddsåtgärder som ingår i den allmänna dataskyddsförordningen och de skyddsåtgärder som föreslås i lagen kan anses uppfylla kraven i artikel 9.2 j.

3.10 Arkivering som är av allmänt intresse

Den allmänna dataskyddsförordningen kommer att tillämpas på behandlingen av personuppgifter för arkivändamål av allmänt intresse. Arkivering har inte i den allmänna dataskyddsförordningen definierats som en självständig grund för behandling, men behandling för arkivändamål av allmänt intresse upprepas i många punkter i förordningen. Enligt artikel 5.1 b i den allmänna dataskyddsförordningen ska ytterligare behandling för arkivändamål av allmänt intresse dock inte enligt artikel 89.1 anses vara oförenlig med de ursprungliga ändamålen med behandlingen.

Med stöd av artikel 89.3 i den allmänna dataskyddsförordningen är det möjligt att föreskriva om undantag från vissa av den registrerades rättigheter när personuppgifter behandlas för arkivändamål av allmänt intresse. I detta fall ska det i lagen dessutom föreskrivas om lämpliga förutsättningar och skyddsåtgärder. Genomförande av behandling för arkivändamål av allmänt intresse förutsätter att det i vissa situationer är möjligt att göra undantag från den registrerades rättigheter enligt artikel 89.3. I den allmänna lagen föreslås en paragraf med stöd av vilken undantag får göras från den registrerades rättigheter för arkivändamål av allmänt intresse.

Den arkivlagstiftning som gäller myndigheter har redan länge varit föremål för ett mer omfattande reformeringsbehov och en mer omfattande granskning. Samtidigt med denna proposition bereds även en ny informationshanteringslag. Kommun- och reformministern tillsatte den 9 januari 2018 ett beredningsteam samt en ledningsgrupp som stöder teamets arbete. Dessa har som mål att bereda en ny allmän lag som reglerar informationshanteringen inom den offentliga förvaltningen, nämligen en lag om informationshantering inom den offentliga förvaltningen. I informationshanteringslagen sammanställs bestämmelser från offentlighetslagen, arkivlagen och informationsförvaltningslagen.

I lagförslaget har tagits in en uttrycklig rättslig grund för behandling av personuppgifter för vetenskaplig eller historisk forskning och statistikföring, liksom även för behandling av forskningsmaterial och kulturarvsmaterial samt innehålls- och referensinformation som gäller sådant material för allmännyttiga arkivändamål. Det föreslås vidare uttryckliga bestämmelser om behandling av särskilda kategorier av personuppgifter för ovan avsedda ändamål i lagens 6 §. De föreslagna bestämmelserna lämnar den personuppgiftsansvarige en omfattande prövningsmarginal för att bedöma vilka skyddsåtgärder som i varje enskilt fall är ändamålsenliga med avseende på behandlingen av personuppgifter.

4 Propositionens konsekvenser

Propositionen har inte några betydande ekonomiska eller andra samhälleliga konsekvenser. De konsekvenser som hör samman med reformen av dataskyddslagstiftningen följer direkt av den allmänna dataskyddsförordningen. Målet med den allmänna dataskyddsförordningen är att förbättra de registrerades rättsskydd och verksamhetsbetingelserna för näringslivet på den inre marknaden samt att säkerställa att lagstiftningen iakttas genom enhetliga förpliktelser och enhetlig övervakning. Bestämmelserna i den allmänna dataskyddsförordningen föranleder många slags kostnader för såväl tillsynsmyndigheterna som de personuppgiftsansvariga och personuppgiftsbiträdena inom både den privata och den offentliga sektorn.

Konsekvenser för myndigheterna

En viktig enskild konsekvens av den allmänna dataskyddsförordningen gäller organiseringen av tillsynsmyndigheten så att den effektivt kan sköta uppgifter i enlighet med den allmänna dataskyddsförordningen. Genom den föreslagna lagen föreskrivs om tillsynsmyndigheten, som ska sköta uppgifter i enlighet med den allmänna dataskyddsförordningen. Om myndighetsverksamheten ordnas i enlighet med kraven i den allmänna dataskyddsförordningen uppstår ekonomiska konsekvenser framförallt i form av personal- och lokalkostnader samt kostnader för allmän förvaltning och informationssystem.

För dataombudsmannens byrå har tilläggsresurser anvisats för genomförandet av dataskyddsförordningen i budgeten för 2017 till ett belopp av 80 000 euro och i budgeten för 2018 till ett belopp av 525 000 euro. Utöver detta behövs från och med 2019 ett årligt tillägg på 675 000 euro för genomförandet av dataskyddsförordningen.

Enligt en bedömning föranleder den allmänna dataskyddsförordningen ett behov av 16 årsverken från och med 2019 i tillsynsmyndighetens resurser, och i detta behov ingår en ökning på 8 årsverken jämfört med 2018. Den finansiering som krävs sköts inom ramen för anslag och årsverken i ramar och budgetar.

Utöver bestämmelser om den tillsynsmyndighet som avses i den allmänna dataskyddsförordningen har denna proposition även andra konsekvenser för tillsynsmyndighetens verksamhet. Propositionen har de mest betydande konsekvenserna för datasekretessnämndens verksamhet, eftersom den dras in i och med att dess centrala tillståndsuppgift slopas. Dataombudsmannens byrå stärks genom att det föreskrivs att det vid myndigheten utöver tjänsten som dataombudsman dessutom ska finnas en tjänst som biträdande dataombudsman samt en sakkunnignämnd.

Enligt en preliminär bedömning orsakar de arrangemang i sakkunnignämnden som följer av propositionen inga betydande ekonomiska merkostnader, eftersom sakkunnignämndens årliga behov av anslag kan bedömas motsvara datasekretessnämndens årliga utgifter på ca 15 000 euro. Tjänsten som biträdande dataombudsman och det behov av anslag som orsakas av ackrediteringsuppgiften har beaktats när det totala resursbehov som följer av den allmänna dataskyddsförordningen uppskattas.

Den allmänna dataskyddsförordningen kan i viss utsträckning påverka antalet ärenden vid förvaltningsdomstolarna på grund av tillsynsmyndighetens utvidgade behörighet och således en eventuell ökning av överklagbara beslut, men konsekvenserna kommer sannolikt inte att vara betydande.

Rättsregistercentralen har till uppgift att svara för verkställandet av de administrativa påföljdsavgifterna. Enligt en bedömning kommer påföljdsavgiften kvantitativt sett inte att bli en sådan uppgift för Rättsregistercentralen som kräver tilläggsresurser.

En översyn av speciallagstiftningen för varje ministeriums förvaltningsområde så att den är förenlig med den allmänna dataskyddsförordningen kan medföra utgifter för myndigheterna inom det berörda förvaltningsområdet och för de organisationer som sköter offentliga förvaltningsuppgifter. Det är dock svårt att uppskatta dessa utgifter. Enligt Kommunförbundets kostnadsförslag kommer de kostnader som följer av den allmänna dataskyddsförordningen att uppgå till ca 100 miljoner euro i kommunerna och samkommunerna. Utkastet till regeringsproposition utvärderades av delegationen för kommunal ekonomi och kommunalförvaltning i januari 2018.

Konsekvenser för företagen

Genom den föreslagna dataskyddslagen strävar man efter att bibehålla rättsläget oförändrat när det nationella handlingsutrymmet används (de bestämmelser som gäller t.ex. personbeteckning, vetenskaplig forskning och statistikföring, yttrandefrihet och behandling av uppgifter som försäkringsanstalter har fått). Dessa nationella lösningar gör att den administrativa börda som företagen orsakas av förordningen blir lättare.

Konsekvenserna för företagen följer i huvudsak av den allmänna dataskyddsförordningen. På basis av en utredning av konsekvenserna för företag gjord av Tammerfors universitet och finansierad av statsrådets utrednings- och forskningsverksamhet har de stora företagen som sin egen uppskattning lagt fram ett belopp på i genomsnitt 2,5 miljoner euro för kostnader av engångsnatur samt beredskapen för de nya förpliktelserna i förordningen. De stora företagen uppskattade att de nya kostnaderna efter inledningsfasen kommer att uppgå till ca 900 000 euro. De små och medelstora företagen har inte i samband med utredningen ännu kunnat uppskatta de utgifter som EU:s dataskyddsreform föranleder.

I utredningen av konsekvenserna för företag anses det att rättsosäkerhet följer av den allmänna dataskyddsförordningen. I den allmänna dataskyddsförordningen finns t.ex. fortfarande termer som inte preciserats. Vidare anses det att det exceptionellt omfattande handlingsutrymme som den allmänna dataskyddsförordningen tillåter leder till ett oklart rättsläge. Därför upplevs företagens verksamhetsmiljö som svår. I utredningen har det förts fram att dataskyddsmyndigheten ska ha tillräckliga resurser för att förverkliga en företagsvänlig juridisk företagsmiljö. Tillräckliga resurser för myndigheterna anses bidra till att klargöra den situation som upplevs som diffus.

Sammanlagt 90 företag deltog i utredningen, och av dessa sysselsätter ca 63 % mindre än 10 personer, ca 18 % av respondenterna sysselsätter 50—250 personer och ca 17 % av de företag som deltog i enkäten sysselsätter fler än 250 personer (Statsrådets utrednings- och forskningsverksamhet, artikelserie 10/2017, endast på finska). I och med att grundpopulationen för utredningen utgjordes av hela det finska företagsfältet kan materialet i fråga om sina egenskaper anses vara representativt för populationen, och det är möjligt att av materialet dra slutsatser som beskriver företagsfältet. Materialet har dock varit ytterst begränsat. Ytterst få svar på enkäten kom in i förhållandet till utskicket. Att lägga fram noggranna procentuella andelar av ett så litet material är främst åskådliggörande.

Dataskyddsförordningens konsekvenser för företagen

Justitieministeriet lät utföra en bedömning av förordningens konsekvenser för finska företag i samband med att den allmänna dataskyddsförordningen antogs. Utredningen EU:n yleisen tietosuoja-asetuksen vaikutukset suomalaisiin yrityksiin (15.1.2016) finns i statsrådets tjänst för projektinformation.

Enligt en konsekvensbedömning som Europeiska kommissionen har utarbetat medför harmoniseringen och förenklandet av Europeiska unionens dataskyddslagstiftning avsevärda besparingar. Kommissionen har i stor utsträckning konsulterat olika intressentgrupper i samband med den två år långa beredningen. Harmonisering av den nationella lagstiftningen i medlemsstaterna medför enligt kommissionens uppskattning en besparing på ca 2,3 miljarder euro på årsbasis för företagsvärlden (http://ec.europa.eu/justice/data-protection/document/ review2012/sec_2012_72_en. pdf). Den ekonomiska nyttan framhävs för sådana företag som har verksamhet i flera medlemsstater. Jämfört med nuläget minskas kostnaderna också av det faktum att företagen kan sköta sina ärenden med endast en dataskyddsmyndighet, fastän de är verksamma i flera medlemsstater.

Finlands näringsliv bedömer att förordningen medför betydande kostnader för företagen. Företagen kommer att föranledas kostnader vid fullgörandet av de förpliktelser som finns i förordningen.

I justitieministeriets utredning fästes vikt vid följande frågor:

De kostnader som företagen föranleds av dataskyddslagstiftningen kan delas in i sådana kostnader som föranleds företagen för att de iakttar lagstiftningen och som omedelbart aktualiseras i form av administrativa förpliktelser (administrative burden) och i sådana indirekta kostnader som beror på verksamhet i överensstämmelse med de incitament som utgörs av förpliktelser eller sanktioner i lagstiftningen, dvs. efterlevnadskostnader (compliance costs). De direkta kostnader som nämns först omfattar t.ex. fullgörandet av de administrativa förpliktelser som är bindande för ett företag som bedriver en viss form av verksamhet eller som i övrigt uppfyller vissa kriterier. Fullgörandet av förpliktelser av detta slag, t.ex. skyldigheten att utnämna ett dataskyddsombud, eller information om en viss situation som fastställs i förordningen, t.ex. anmälan av en personuppgiftsincident, medför både interna och externa administrativa kostnader för företagen, bl.a. i form av ökande lönekostnader och arvoden till externa tjänsteleverantörer.

En betydligt större ekonomisk inverkan än de ovan nämnda administrativa kostnaderna har de indirekta kostnader som förordningen ger upphov till. Ett företags compliance-förpliktelser grundar sig på en mycket mer omfattande grupp av förpliktelser som riktar sig mot ett företag p.g.a. förordningen än de administrativa förpliktelser som nämns ovan. Bakom de ökande compliance-kostnaderna ligger i första hand företagets riskprofil, som förändras i och med förordningen, och möjligheten att bli föremål för betydande administrativa påföljdsavgifter. Både ett företag som har förelagts böter till följd av försummelse av någon dataskyddsförpliktelse som grundar sig på förordningen, men även en sådan avtalspart till företaget som får bära påföljdsrisken efter det att risken har blivit överförd på parten genom en privaträttslig överenskommelse, kan bli föremål för böter som dataskyddsmyndigheterna förelägger. Enligt en bedömning i utredningen kommer dataskyddsförordningen uttryckligen att i väsentlig utsträckning inverka på företagens riskhanteringspraxis.

Sådana nya förpliktelser i förordningen som orsakar omedelbart inverkande kostnader och compliance-kostnader är förutom påföljdsnormerna den ansvarsskyldighet (accountability) som fastställts för företag och de på en allmän nivå rätt ospecificerade verksamhetsskyldigheter med omfattande inverkan som föranleds av det inbyggda kravet på dataskydd (privacy by design). I praktiken bildas compliance-kostnaderna bl.a. av de nya kostnader som föranleds företagen indirekt till följd av en noggrannare riskhantering på förhand samt som ökande transaktionskostnader i sådana situationer där ett företag förhandlar om anskaffning av tjänster som gäller genomförandet av dataskydd och datasäkerhet.

Den nytta som näringslivet drar av förordningen kan anses bli realiserad som både direkt och indirekt nytta.

Ett av förordningens centrala syften har varit att sänka de direkta kostnader som i form av administrativa förpliktelser föranleds företagen. Sett ur de EU-medlemsstaters perspektiv där det nuvarande gamla dataskyddsdirektivet har implementerats på ett sätt som skapar omfattande anmälnings- eller registreringsskyldigheter är detta ett faktum. I exempelvis Finland är de administrativa anmälningsskyldigheter som i och med förordningen minskar däremot mer begränsade i fråga om sina positiva verkningar sett ur företagens synvinkel, och de har större betydelse endast för de företag som har affärsverksamhet i många EU-medlemsstater. Detta trots att förordningen minskar alla slags företags administrativa kostnader genom att den minskar antalet anmälningar till finska myndigheter och genom att den eliminerar behovet att lämna in tillståndsansökningar till datasekretessnämnden.

Den fråga gällande förordningens ekonomiska konsekvenser som är den centralaste och svåraste att bedöma utkristalliseras i frågan om vilka de indirekta positiva verkningarna för näringslivet blir p.g.a. förordningen. Om förordningen leder till förverkligandet av de ovan specificerade mål som i och med förordningen inverkar på digitaliseringens avancemang och de nya innovationer som den möjliggör samt de mål som kopplas till det förstärkta förtroende hos konsumenter och användare av tjänster som är en förutsättning för innovationer, är det möjligt att dessa indirekta positiva verkningar av förordningen upphäver alla direkta och indirekta kostnaders betydelse för företagen.

Harmoniseringens betydelse

Ett företag som är verksamt i flera medlemsstater är för närvarande skyldigt att särskilt utreda de förpliktelser som beror på lagstiftningen i varje medlemsstat och som avviker från varandra. De förpliktelser för ett företag som i olika EU-medlemsstater avviker från varandra föranleder betydande kostnader för särskilt sådana företag som bedriver näthandel, tjänster på nätet, databehandlingstjänster och annan elektronisk affärsverksamhet. Att beakta de förändringar som beror på förpliktelserna i själva tjänsten och i införandet av tjänsten orsakar betydande kostnader särskilt när affärsverksamheten inleds eller tjänster börjar erbjudas, men även regelbundet efter detta.

Förordningen minskar i betydande utsträckning de nationella särdrag som gäller dataskyddslagstiftningen, och eliminerar dem delvis helt. En mer detaljerad nationell lagstiftning kommer att kvarstå främst i bestämmelserna om integritetsskyddet i arbetslivet, som med avseende på företagsverksamheten är av betydelse.

En minskning av särdragen påskyndar inledandet av unionsöverspännande affärsverksamhet och minskar kostnaderna för gränsöverskridande affärsverksamhet. Enhetliga bestämmelser ökar även rättssäkerheten på längre sikt, eftersom de minskar sådana problem som beror på konflikter mellan olika länders regelverk.

Sådana oklarheter i fråga om tolkningen som uppkommer när nya regelverk införs och bristen på rättspraxis som gäller tolkningen av nya normer försvagar rättssäkerheten och förutsägbarheten särskilt under de första åren när bestämmelserna är i kraft.

I kapitel VII i förordningen föreskrivs om dataskyddsmyndigheternas harmoniserade tillsyn. Harmoniserad tillsyn kan tänkas lätta på företagens administrativa förpliktelser, eftersom den minskar företagens behov och skyldigheter att uträtta sina ärenden med dataskyddsmyndigheten i flera olika medlemsstater.

De p.g.a. förordningen ökande administrativa förpliktelserna och de ekonomiska sanktionerna för brott mot förpliktelserna gör förvaltningsprocesser som hänför sig till dataskydd allt sannolikare. Om ett företag som en påföljd för försummelse av dataskyddet riskerar att åläggas en administrativ påföljdsavgift på t.o.m. flera miljoner euro i stället för anmärkning som för närvarande används eller förbud som riktar sig mot verksamhet i framtiden, är det avsevärt mycket mer sannolikt att företaget vill överklaga ett sådant myndighetsbeslut.

Om en viss medlemsstat har meddelat ett sådant beslut om sanktioner utfärdade av dataskyddsmyndigheten som avviker från hur man sannolikt hade agerat i en annan EU-medlemsstat i en motsvarande situation, väcks det i analogi med detta hos företagen allt lättare ett intresse att föra ett ärende till en annan europeisk dataskyddsmyndighet eller besvärsmyndighet för behandling på ett sätt som möjliggörs av den harmoniserade tillsynsmekanismen. På grund av detta kommer den harmoniserade tillsynsmekanismens verkningar sannolikt att bli ytterst betydelsefulla och de kommer att förändra den nuvarande tillsynspraxisen i väsentlig utsträckning.

Harmoniserad tillsyn förutsätter samarbete mellan dataskyddsmyndigheterna. Behandlingen av ett enskilt fall kan om det genomförs fel eller med för små resurser på grund av samarbetet dock dra ut på tiden i jämförelse med de nuvarande behandlingstiderna.

Enskilda frågor

Artiklarna 33 och 34 i förordningen ålägger den personuppgiftsansvarige att anmäla en personuppgiftsincident till både myndigheterna och den registrerade. Personuppgiftslagen innehåller inte någon motsvarande uttrycklig skyldighet att anmäla dataintrång till myndigheterna, den registrerade eller i övrigt. I finsk lagstiftning åläggs teleföretag en sektorspecifik skyldighet att berätta om dataintrång i enlighet med 275 § i lagen om tjänster inom elektronisk kommunikation (917/2014). Enligt förordningen ska en anmälan om personuppgiftsincident göras med låg tröskel, genomföras snabbt och ha ett omfattande datainnehåll. Dessa skyldigheter innebär betydande kostnader för företagen, eftersom det är så gott som omöjligt för företagen att helt och hållet förhindra personuppgiftsincidenter till följd av den tekniska utvecklingen. Även ett företag som följer alla regler kan bli föremål för personuppgiftsincidenter. Personuppgiftsincidenter ger upphov till direkta kostnader särskilt för utarbetandet av praxis som hänförs till anmälan och för anmälan i enskilda fall. Det att praxis utarbetas och anmälan görs förutsätter sannolikt att företaget anlitar externa dataskydds- och datasäkerhetssakkunniga. Förutom direkta kostnader kan skyldigheten att anmäla personsuppgiftsincidenter på ett betydande sätt skada företagens rykte, eftersom en stor grupp privatpersoner och bolag får information om personuppgiftsincidenten antingen direkt eller indirekt via anmälan. Denna skada på ryktet kan i betydande utsträckning försämra företagets framtida affärsverksamhet. Det är sannolikt att många företag försöker begränsa de skador som följderna av en personuppgiftsincident åstadkommer genom att anlita externa konsulters tjänster, t.ex. kommunikationsbyråers och datasäkerhetsbolags samt advokatbyråers tjänster, när de kommunicerar om personuppgiftsincidenten och förbereder sig för sina avtalsparters och kunders reaktioner. Detta ökar för sin del de direkta kostnader som föranleds av en anmälan om personuppgiftsincident.

I förordningen föreskrivs även om dataskyddsombudet. Artikel 37 i förordningen ålägger personuppgiftsansvariga och personuppgiftsbiträden att utnämna ett dataskyddsombud i vissa situationer. Personuppgiftslagen innehåller inte någon motsvarande skyldighet att utnämna en person som ansvarar för dataskyddet. Däremot åläggs en sektorspecifik skyldighet att utnämna en dataskyddsansvarig för närvarande i lagen om elektroniska recept (61/2007) och i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007). Den lagenliga skyldigheten gäller bl.a. apotek, tillhandahållare av hälso- och sjukvårdstjänster och Folkpensionsanstalten.

Skyldigheten att utnämna ett dataskyddsombud gäller både personuppgiftsansvariga och personuppgiftsbiträden. Skyldigheten gäller dock inte alla företag, utan den har begränsats att gälla behandling som är av särskild betydelse. Skyldigheten att utnämna ett dataskyddsombud gäller framför allt företag vars kärnverksamhet består av behandling av personuppgifter på ett sådant sätt som förutsätter regelbunden och systematisk övervakning av de registrerade. Skyldigheten gäller dessutom företag vars kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av personuppgifter och uppgifter som rör fällande domar i brottmål och överträdelser.

Skyldigheten att utnämna ett dataskyddsombud ökar företagens kostnader för den interna administrationen. Kostnadsökningen kan dock bli förhållandevis liten av tre orsaker. För det första gäller skyldigheten att utnämna ett dataskyddsombud särskilt företag som behandlar uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. Många av dessa företag är redan på basis av den nuvarande lagstiftningen skyldiga att utse ett dataskyddsombud. Förpliktelserna i förordningen ökar således inte i märkbar utsträckning företagens skyldigheter. För det andra har särskilt många stora och medelstora företag av administrativa orsakar utnämnt ett dataskyddsombud redan nu, fastän personuppgiftslagen inte ålägger dem att göra detta, eller har anvisat en eller flera arbetstagare i företaget motsvarande arbetsuppgifter. Detta är fallet särskilt i företag där behandling av uppgifter utgör en betydande del av affärsverksamheten. För det tredje främjar en koncentrering av uppgifter som gäller dataskydd, om den genomförs effektivt, ett effektivt fullgörande av de skyldigheter som anges i förordningen. Utnämning av ett dataskyddsombud kan således indirekt minska de indirekta och direkta kostnader som föranleds av behandling av uppgifter på lång sikt jämfört med att företaget fullföljer sina förpliktelser enligt förordningen genom att koncentrera uppgifter som gäller dataskydd hos en eller flera personer.

I utredningen om dataskyddsförordningens konsekvenser för företagen jämställdes dataskyddsombudets ställning med en Compliance Officer eller någon annan sakkunnig på mellannivå i ett företag. Enligt de stora företagens synpunkt har dataskyddsombudet en arbetsrättslig ställning som kan jämställas med en förtroendeman. Av de företag som svarade på enkäten uppskattade de stora företagen att kostnaderna för ett dataskyddsombud på årsbasis uppgår till i genomsnitt 70 000 euro. I små och medelstora företag kunde de framtida kostnaderna inte ännu uppskattas vid tidpunkten för enkäten. I små företag ansågs förpliktelsen dock öka företagarens ansvar och arbetsmängd.

5 Beredningen av ärendet

5.1 Beredningsskeden och beredningsmaterial

Justitieministeriet tillsatte i februari 2016 en bredbasig arbetsgrupp (den s.k. TATTI-arbetsgruppen), vars centrala uppgift var att bereda ett förslag till lagstiftning om användningen av det nationella handlingsutrymme som möjliggörs av den allmänna dataskyddsförordningen samt att bereda ett förslag om den nationella tillsynsmyndigheten. Arbetsgruppen hade till uppgift att bedöma behovet av en allmän lag lik personuppgiftslagen och att lägga fram förslag till den allmänna lag som eventuellt behövs.

Arbetsgruppens betänkande lämnades till justitieministeriet och publicerades den 21 juni 2017 (Justitieministeriets betänkanden och utlåtanden 35/2017, på finska med svenskt presentationsblad). Arbetsgruppen föreslog i sitt betänkande att personuppgiftslagen upphävs och att en ny allmän lag som gäller skydd av personuppgifter stiftas, nämligen dataskyddslagen, med vilken den allmänna dataskyddsförordningen preciseras och kompletteras. Arbetsgruppen föreslog vidare vissa ändringar i strafflagen och i lagen om verkställighet av böter.

Arbetsgruppen valde att i stor utsträckning ha personuppgiftslagen som utgångspunkt för bestämmelserna i sitt förslag. Arbetsgruppen föreslog att den allmänna dataskyddsförordningen i tillämpliga delar ska tillämpas även på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för unionslagstiftningen och som medlemsstaterna utför när de bedriver verksamhet som omfattas av tillämpningsområdet för avdelning V kapitel 2 i EU-fördraget. Utvidgningen av tillämpningsområdet för den allmänna dataskyddsförordningen ska enligt förslaget dock inte gälla sådana situationer där det i ett ärende som inte omfattas av tillämpningsområdet för unionsrätten har bestämts på annat sätt genom en nationell lag.

När personuppgifter behandlas med samtycke enligt den allmänna dataskyddsförordningen och informationssamhällets tjänster erbjuds direkt till ett barn, är behandlingen av ett barns personuppgifter lagenlig, om barnet är minst 16 år. Medlemsstaterna får i sin nationella rätt dock föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år. Arbetsgruppen ansåg att det är motiverat med bestämmelser om en lägre åldersgräns, men tyckte att en åldersgräns på såväl 13 som 15 år var möjlig.

När det gäller tillsynsmyndigheten föreslog arbetsgruppen att dataombudsmannen och dataombudsmannens byrå utvidgas till ett dataskyddsverk (tietosuojavirasto). Arbetsgruppen föreslog att när datasekretessnämndens verksamhet upphör ska en särskild påföljdsnämnd vara dataskyddsmyndighetens interna beslutsfattande organ. Nämnden ska avgöra de viktigaste påföljdsärendena, dvs. påförande av administrativa påföljdsavgifter eller begränsningar eller förbud som gäller behandlingen av personuppgifter.

Arbetsgruppen föreslog också att det i dataskyddslagen ska finnas bestämmelser om vissa undantag från bestämmelserna i den allmänna dataskyddsförordningen för samordnande av skyddet för personuppgifter och yttrandefriheten. Arbetsgruppen föreslog vidare att det i lagen ska föreskrivas om en möjlighet att göra undantag från vissa bestämmelser i den allmänna dataskyddsförordningen och om de skyddsåtgärder som möjliggör undantagen när personuppgifter behandlas för vetenskaplig eller historisk forskning eller för statistikföring.

Justitieministeriet skickade arbetsgruppens betänkande på remiss sommaren 2017, varefter regeringspropositionen har beretts vid justitieministeriet. Under beredningen har justitieministeriet diskuterat flera av bestämmelserna särskilt med bl.a. dataombudsmannen och företrädare för olika ministerier.

Under den fortsatta beredningen har förslaget kompletterats och till vissa delar omarbetats i förhållande till arbetsgruppens förslag. I propositionen föreslås det bl.a. att dataombudsmannen och dataombudsmannens byrå fortsätter som tillsynsmyndighet för dataskyddet och att det i anslutning till dataombudsmannens byrå ska finnas en sakkunnignämnd i stället för den påföljdsnämnd som föreslogs av arbetsgruppen. Sakkunnignämnden ska på begäran av dataombudsmannen ge utlåtanden om betydande frågor som gäller tillämpning av lagstiftningen om behandling av personuppgifter. I lagförslaget har vidare gjorts kompletteringar till den rättsliga grunden för behandling av personuppgifter samt de förutsättningar som ska uppfyllas för att uppgifter som hör till särskilda kategorier av personuppgifter ska kunna behandlas. Propositionen har även kompletterats med vissa bestämmelser om begränsning av den registrerades rättigheter. Genom de nya förslag som gäller förutsättningarna för behandling av personuppgifter och begränsning av den registrerades rättigheter eftersträvas en proposition som bättre motsvarar nuläget och att onödiga brister i bestämmelserna eller behov av sektorspecifik lagstiftning inte uppkommer.

Utkastet till regeringens proposition har bedömts av rådet för bedömning av lagstiftningen. Rådet för bedömning av lagstiftningen gav sitt utlåtande om utkastet till proposition den 8 februari 2018. Rådet fäste i sitt utlåtande vikt vid att det inte utifrån propositionsutkastet kan bilda sig en allmän uppfattning om dataskyddsförordningen och konsekvenserna av den. Rådet för bedömning av lagstiftningen ansåg vidare att konsekvensbedömningarna av propositionen är bristfälliga och att det i utkastet inte på ett omsorgsfullt sätt behandlas de konsekvenser som avser konkurrens och som följer av att risken för påföljder inte är detsamma för myndigheter och icke-myndigheter. Rådet ansåg att utkastet till proposition även är svårbegripligt och att det i utkastet inte närmare har preciserats lagens målgrupp eller på vilket sätt lagen ska tillämpas på varje målgrupp.

Vid den fortsatta beredningen av lagförslaget har rådets utlåtande beaktats som följer: Propositionens 4 kap. som gäller propositionens konsekvenser har kompletterats med bedömningar av dataskyddsförordningens konsekvenser för företag. Propositionen har även kompletterats med en allmän beskrivning av den allmänna dataskyddsförordningen och målen för dataskyddsförordningen i kapitel 2.2.2. I propositionen har vidare gjorts vissa andra kompletteringar och preciseringar utifrån rådets utlåtande.

TATTI-arbetsgruppen som beredde förslaget till regeringens proposition har i sitt slutliga betänkande i enlighet med sitt uppdrag föreslagit riktlinjer för utvecklingen av personuppgiftslagstiftningen bl.a. för att minska den onödiga detaljrikedom som finns i nuvarande speciallagstiftning. I det slutliga betänkandet föreslås även riktlinjer för användningen av det nationella handlingsutrymmet.

Riksdagen har informerats om beredningen av den allmänna dataskyddsförordningen genom en U-skrivelse (U 21/2012 rd) och kompletterande U-skrivelser i anslutning till den (UK 9/2013 rd, UK 36/2014 rd, UK 3/2015 rd, UK 10/2015 rd, UK 22/2015 rd och UK 45/2015 rd). Dessutom har flera faktapromemorior om den allmänna dataskyddsförordningen lämnats till riksdagen i samband med beredningen inom rådet för rättsliga och inrikes frågor. Förvaltningsutskottet har lämnats flera utlåtanden om den allmänna dataskyddsförordningen (FvUU 11/2012 rd, FvUU 6/2013 rd, FvUU 30/2014 rd, FvUU 22/2014 rd, FvUU 36/2014 rd, FvUU 2/2015 rd, FvUU 10/2015 rd och FvUU 25/2015 rd). Även grundlagsutskottet har lämnat utlåtande om den allmänna dataskyddsförordningen (GrUU 12/2012 rd).

5.2 Remissyttranden och hur de har beaktats

Justitieministeriet skickade ut betänkandet för en omfattande remissbehandling den 30 juni 2017 via tjänsten utlåtande.fi. Utlåtande lämnades av 105 instanser, varav 40 var myndigheter och 65 var sammanslutningar. Begäran om utlåtande och de inkomna utlåtandena finns på webbplatsen utlåtande.fi och i statsrådets tjänst för projektinformation. Även ett sammandrag har utarbetats av utlåtandena, och det har sparats i statsrådets tjänst för projektinformation.

Remissinstanserna understödde allmänt taget en allmän lag som preciserar och kompletterar den allmänna dataskyddsförordningen. Det ansågs att det handlingsutrymme som dataskyddsförordningen möjliggör kan användas på ett ändamålsenligt sätt genom en allmän lag och på detta sätt minska behovet av speciallagstiftning. På det hela taget framfördes det i utlåtandena många och mycket varierande ståndpunkter och förslag till ändringar. Det har under den fortsatta behandlingen inte ansetts nödvändigt eller inom ramen för det handlingsutrymme som förordningen möjliggör ens möjligt att till alla delar beakta ståndpunkterna och förslagen till ändringar.

Många remissinstanser fäste vikt vid att artikel 6.1 e upprepades oförändrad i 3 § 2 punkten i utkastet till dataskyddslag. Bestämmelsen ansågs vara för omfattande och otydlig. Remissinstanserna ansåg att begreppet allmänt intresse ytterligare ska preciseras i själva lagtexten och även i motiveringen. Många remissinstanser ansåg t.ex. att den uttryckliga grunden för behandling av personuppgifter för vetenskaplig eller historisk forskning som grundar sig på artikel 6.1 e i den allmänna dataskyddsförordningen ska tas in i dataskyddslagen. Utifrån remissbehandlingen föreslås det därför noggrannare bestämmelser om grunderna för behandling enligt artikel 6.1 e i den allmänna dataskyddsförordningen.

Många remissinstanser förde som sin ståndpunkt fram att de bestämmelser om särskilda kategorier av personuppgifter som arbetsgruppen föreslår är för snäva, och detta kan resultera i ett ökande behov av speciallagstiftning. Exempelvis social- och hälsovårdsministeriet ansåg att det är motiverat att utvidga bestämmelserna om särskilda kategorier av personuppgifter i dataskyddslagen till behandling inom social- och hälsovården. Utifrån remissresponsen har i propositionen tagits in flera sådana grunder för behandling som gäller särskilda kategorier av personuppgifter och som är av stor betydelse främst inom social- och hälsovårdsministeriets samt undervisnings- och kulturministeriets förvaltningsområde.

I arbetsgruppens betänkande anfördes att den åldersgräns för ett barn som avses i artikel 8 i den allmänna dataskyddsförordningen kan vara alternativt 13 eller 15 år. De flesta av remissinstanserna ansåg det vara motiverat att beakta vad de övriga nordiska länderna har beslutat i fråga om åldersgränsen, och de ansåg det vara önskvärt att åldersgränsen är enhetlig så långt möjligt inom EU. Remissinstansernas synpunkter var delade även om den åldersgräns på 13 eller 15 år som föreslogs av arbetsgruppen. Den lägsta möjliga åldersgränsen på 13 år fick dock mest understöd. Den lägre åldersgränsen understöddes av kommunikationsministeriet, Teknologiindustrin rf, Centralförbundet för Barnskydd rf, Electronic Frontier Finland — Effi ry, Kyrkostyrelsen, Förebyggande rusmedelsarbete EHYT rf, Kuluttajaliitto — Konsumenförbundet ry, Mannerheims Barnskyddsförbund, Suomen Asiakkuusmarkkinointiliitto ry, Suomen Tilaajavastuu Oy, Nationella audiovisuella institutet, Rädda Barnen rf, Allianssi ry, Akava, Suomen Lakimiesliitto — Finlands Juristförbund ry, Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry, Nationalbiblioteket, Justitiekanslersämbetet, Nokia Abp samt undervisnings- och kulturministeriet. I utlåtandena framhävdes särskilt barnens rätt till inflytande och det betonades att delaktighet i den digitala kulturen utgör för barn och ungdomar en betydande del av vardagen, uttryckssättet och inlärningen samt skapandet av kamratrelationer. Utifrån utlåtandena föreslås det i propositionen att den åldersgräns som avses i artikel 8 i den allmänna dataskyddsförordningen ska vara 13 år i Finland.

Lagförslaget har vidare utifrån remissresponsen kompletterats med vissa bestämmelser om begränsning av den registrerades rättigheter på det sätt som möjliggörs genom artikel 23 i den allmänna dataskyddsförordningen. Remissinstanserna ansåg att det i annat fall när personuppgiftslagen upphävs uppstår ett behov att i upp till tiotals speciallagar föreskriva undantag från den registrerades rättigheter.

Finansministeriet kritiserade i sitt utlåtande ändringen av namnet på dataombudsmannens byrå till dataskyddsverket. Enligt finansministeriet beskriver namnet dataombudsmannens byrå verksamhetsenhetens organisatoriska ställning bättre än det föreslagna dataskyddsverket, eftersom det finska namnet tietosuojavirasto och särskilt slutleden virasto endast ska användas för ett resultatstyrt ämbetsverk som är en bokföringsenhet, och något sådant har inte föreslagits. Vid den fortsatta behandlingen valde man att justera förslaget på det sätt som finansministeriet föreslår, nämligen så att dataombudsmannens organisationsstruktur förblir oförändrad, och att dataombudsmannens byrå åtminstone inte i detta skede utvidgas till ett ämbetsverk.

I TATTI-arbetsgruppens betänkande ingick inget förslag om huruvida de påföljdsavgifter som avses i artikel 83 i den allmänna dataskyddsförordningen ska kunna påföras myndigheter och organ inom den offentliga förvaltningen. Justitieministeriet anförde i sin begäran om utlåtande att remissinstanserna skulle ta ställning till denna fråga. Argumenten för och emot var delade, men en knapp majoritet ansåg dock att det inte är motiverat att utsträcka de administrativa påföljdsavgifterna till att även gälla myndigheter. Möjligheten att fullt ut kunna använda det handlingsutrymme som möjliggörs i artikel 83.7 i dataskyddsförordningen understöddes av finansministeriet, inrikesministeriet, undervisnings- och kulturministeriet, jord- och skogsbruksministeriet, Livsmedelssäkerhetsverket Evira, Östra Finlands universitet, Utvecklingscentret för teknologi och innovationer Tekes, Justitiekanslersämbetet, Jyväskylä universitet, museicentret i Kuopio, kommunikationsministeriet, Patent- och registerstyrelsen, Finlands Kommunförbund, Nationalbiblioteket, Landsbygdsverket, Nets Oy, Riksdagens justitieombudsmans kansli, Rättsregistercentralen, Rådet för Finlands Universitetsbibliotek FUN, Riksarkivet, CSC-Tieteen tietotekniikan keskus Oy, Museiverket, Trafiksäkerhetsverket Trafi, Befolkningsregistercentralen, Konkurrens- och konsumentverket, Riksdagens kansli och Kyrkostyrelsen. Vid den fortsatta beredningen valde man efter remissbehandlingen att föreslå att de administrativa påföljdsavgifter som avses i den allmänna dataskyddsförordningen inte i detta skede utsträcks att gälla myndigheter och organ inom den offentliga förvaltningen. Motiveringen till denna lösning behandlas närmare i avsnitt 3.6 och i detaljmotiveringen till 26 § i förslaget till dataskyddslag.

Remissinstanserna förhöll sig i huvudsak positivt till arbetsgruppens förslag om samordning av skyddet för personuppgifter och yttrandefriheten. Vissa av mediekoncernerna samt Finlands journalistförbund ansåg dock att det för att bevara status quo inom rättsläget är skäl att föreskriva nationella undantag från vissa andra bestämmelser i den allmänna dataskyddsförordningen när personuppgifter behandlas för exempelvis journalistiska ändamål. Under den fortsatta beredningen bedömdes nödvändigheten av dylika undantag noggrant och man valde att föreslå ett undantag även från artikel 30 i den allmänna dataskyddsförordningen i sådana situationer där personuppgifter behandlas för de ändamål som räknas upp i artikel 85.

Många av de kulturarvsorganisationer som lämnade in ett utlåtande ansåg att arbetsgruppens betänkande i många frågor var bristfälligt med avseende på deras verksamhet. Utifrån remissresponsen har propositionen till denna del kompletterats. I lagförslaget har för det första tagits in en grund för behandling av personuppgifter för arkivändamål av allmänt intresse. Vidare föreslås i dataskyddslagen en undantagsbestämmelse i enlighet med artikel 89.3 i den allmänna dataskyddsförordningen om den registrerades rättigheter när uppgifter behandlas för arkivändamål av allmänt intresse.

Dataombudsmannens byrå anförde i sitt utlåtande oro över att det på basis av arbetsgruppens förslag blir oklart vad som händer med ärenden som är anhängiga vid dataombudsmannens byrå när dataskyddslagen träder i kraft. Lagförslagets övergångsbestämmelser har vid den fortsatta behandlingen justerats och preciserats.

Fastän arbetsgruppen sist och slutligen valde att inte föreslå ändringar i offentlighetslagen, kommenterade flera av remissinstanserna trots det den bilaga till betänkandet som bedömde ändringar i offentlighetslagen. De flesta av dessa remissinstanser ansåg att det på grund av stiftandet av dataskyddslagen är nödvändigt att göra ändringar även i offentlighetslagen. Riksdagens justitieombudsmans kansli och Befolkningsregistercentralen ställde sig i huvudsak bakom minoritetens ställningstagande, som gällde förslagen till ändring av offentlighetslagen, i bilagan till betänkandet. I samband med den fortsatta beredningen fattades beslut om att behovet av ändring av offentlighetslagen bedöms separat.

6 Samband med andra propositioner

Propositionen har samband med genomförandet av direktivet om dataskydd vid behandling av personuppgifter i brottmål. Justitieministeriet har berett en regeringsproposition om allmän lagstiftning om detta och om ändring av lagstiftningen om justitieministeriets förvaltningsområde. När det gäller tillsynssystemet grundar sig det förslag som gäller genomförandet av det nya dataskyddsdirektivet dock direkt på förslaget till dataskyddslag. Samtidigt bereds sektorspecifik lagstiftning som verkställer direktivet om dataskydd i brottmål. Propositionen har vidare samband med Ålands landskapsstyrelses utredningsarbete, som gäller behovet av sådana ändringar i landskapets egen lagstiftning som följer av den allmänna dataskyddsförordningen.

Propositionen innehåller en laghänvisning till den gällande förvaltningsprocesslagen (586/1996), som ska upphävas genom en ny lag om rättegång i förvaltningsärenden. Propositionen lämnas till riksdagen i februari 2018.

Propositionen har även ett direkt samband med landskapsreformen (HE 15/2017 rd), eftersom avsikten är att landskapsmyndigheter ska nämnas i 25 § i dataskyddslagen.

DETALJMOTIVERING

1 Lagförslag

1.1 Dataskyddslag

1 kap. Allmänna bestämmelser

1 §.Lagens syfte. Paragrafen anger lagens syfte. Enligt bestämmelsen är syftet med lagen att precisera och komplettera den allmänna dataskyddsförordningen. Eftersom den allmänna dataskyddsförordningen nationellt är direkt tillämplig lagstiftning, kan den nationella tillämpningen av dataskyddsförordningen endast preciseras genom dataskyddslagen när det behövs eller är nödvändigt för att komplettera den allmänna dataskyddsförordningen. Den nationella lagstiftningen kan precisera förordningen endast inom ramen för det nationella spelrum som ges i den allmänna dataskyddsförordningen.

Syftet med den gällande personuppgiftslagen är att vid behandling av personuppgifter tillgodose skyddet för privatlivet och andra grundläggande fri- och rättigheter som tryggar integritetsskyddet samt att främja utveckling och iakttagande av god informationshantering. Genom personuppgiftslagen genomfördes personuppgiftsdirektivet, vars syfte bland annat var att trygga individens grundläggande fri- och rättigheter, särskilt rätten till privatliv vid behandlingen av personuppgifter. På grund av detta och reformen av de grundläggande fri- och rättigheterna är även personuppgiftslagens centrala syfte att tillgodose skyddet för privatlivet och andra grundläggande fri- och rättigheter som tryggar integritetsskyddet vid behandlingen av personuppgifter.

I artikel 1 i den allmänna dataskyddsförordningen föreskrivs om syftet med förordningen. Syftet med den allmänna dataskyddsförordningen är att skydda de grundläggande fri- och rättigheterna på ett allmännare plan, inte enbart att trygga individers rätt till privatliv vid behandlingen av personuppgifter. Genom den allmänna dataskyddsförordningen fastställs reglerna för skydd för fysiska personer vid behandling av personuppgifter samt de regler som gäller den fria rörligheten för personuppgifter. Genom förordningen skyddas fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter. Europeiska unionens stadga om de grundläggande rättigheterna som trädde i kraft efter att personuppgiftsdirektivet utfärdades har stärkt ställningen för skyddet för personuppgifter som en självständig grundläggande rättighet. Personuppgifter skyddas inte längre endast som en del av integritetsskyddet. Trots detta har skyddet för personuppgifter ofta utvärderats i samband med integritetsskyddet i Europeiska unionens domstols rättspraxis (t.ex. de förenade målen C-293/12 och C-594/12).

I artikel 1 i förordningen betonas dessutom att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

När den nationella tillämpningen av den allmänna dataskyddsförordningen preciseras genom dataskyddslagen har målen i den allmänna dataskyddsförordningen en omedelbar inverkan även på syftet med dataskyddslagen. När den nationella tillämpningen av den allmänna dataskyddsförordningen preciseras ska det ske i enlighet med målen i förordningen.

2 §.Tillämpningsområde. I 1 mom. anges lagens tillämpningsområde. I 1 mom. i paragrafen som gäller tillämpningsområdet konstateras att lagen tillämpas i enlighet med tillämpningsområdet för artikel 2 i dataskyddsförordningen. Enligt artikel 2 i den allmänna dataskyddsförordningen ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 2.2 i den allmänna dataskyddsförordningen undantas sådan behandling av personuppgifter från förordningens tillämpningsområde som utgör ett led i en verksamhet som inte omfattas av unionsrätten och behandling som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Behandling av personuppgifter som hör till tillämpningsområdet för dataskyddsdirektivet för brottsbekämpande myndigheter har undantagits från dataskyddsförordningens tillämpningsområde, likaså sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Dessutom har behandling av personuppgifter som sker i unionens institutioner, organ och byråer undantagits från dataskyddsförordningens tillämpningsområde.

I artikel 2.4 i den allmänna dataskyddsförordningen förtydligas även att förordningen inte påverkar tillämpningen av direktiv 2000/31/EG, särskilt bestämmelserna om tjänstelevererande mellanhänders ansvar i artiklarna 12—15 i det direktivet.

Dataskyddslagen tillämpas som ett komplement till den allmänna dataskyddsförordningen. Dataskyddslagen tillämpas således inte på sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll eller behandling av personuppgifter som omfattas av dataskyddsdirektivet för brottsbekämpande myndigheter. I paragrafen föreskrivs dessutom att den allmänna dataskyddsförordningen ska tillämpas på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för unionsrätten samt på behandling av personuppgifter som utförs i samband med den gemensamma utrikes- och säkerhetspolitik som avses i avdelning V kapitel 2 i EU-fördraget.

När den allmänna dataskyddsförordningen i princip tillämpas på sådan behandling av personuppgifter som har undantagits från dess tillämpningsområde, ska en del av bestämmelserna i den allmänna dataskyddsförordningen undantas från tillämpningen.

Kapitel VI—VIII i den allmänna dataskyddsförordningen ska ställas utanför tillämpningsområdet i den mån det är fråga om den så kallade mekanismen för en lucka och mekanismen för enhetlighet. Exempelvis i kapitel VI artikel 56 i den allmänna dataskyddsförordningen föreskrivs om den ansvariga tillsynsmyndighetens behörighet. Artiklarna som gäller mekanismen för en lucka och mekanismen för enhetlighet ska inte tillämpas eftersom de gäller situationer där den personuppgiftsansvarige behandlar personuppgifter inom flera medlemsländer och målet är att den allmänna dataskyddsförordningen ska tillämpas enhetligt inom EU. Behörig myndighet är då dataskyddsmyndigheten på den personuppgiftsansvariges huvudsakliga verksamhetsställe och flera medlemsstaters dataskyddsmyndigheter deltar i beslutsfattandet. Beslut som fattats inom ramen för systemet är bindande för den nationella dataskyddsmyndigheten. När det i princip är fråga om sådan behandling av personuppgifter som blir utanför dataskyddsförordningens tillämpningsområde behöver sådana ärenden inte bedömas i ett övernationellt beslutsförfarande, Det finns inte heller förutsättningar för en sådan bedömning eftersom det i princip handlar om frågor med starka nationell prägel.

Utvidgningen av den allmänna dataskyddsförordningens tillämpningsområde ska inte gälla situationer där det gäller andra bestämmelser i nationell lag i ett ärende som inte omfattas av unionsrättens tillämpningsområde.

I 2 mom. föreskrivs som komplettering till 1 mom. att dataskyddslagen inte tillämpas på sådan behandling av personuppgifter, om vilken föreskrivs i lagen om behandling av personuppgifter i brottmål och vid upprätthållande av den nationella säkerheten (xx/2018). Avsikten är att genom lagen genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter. Nämnda lag ska också tillämpas på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för ovan nämnda direktiv. Avsikten är att nämnda lag också ska gälla sådan behandling av personuppgifter som hänför sig till polisens, gränsbevakningsväsendets och försvarsmaktens uppgifter inom den nationella säkerheten. Därför behövs det i 2 mom. ett förtydligande att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter om vilken föreskrivs genom ovan nämnda lag. När det gäller organisationen i tillsynssystemet stöder sig förslaget som gäller genomförandet av dataskyddsdirektivet för brottsbekämpande myndigheter dock direkt på förslaget till dataskyddslag.

Till exempel den nationella säkerheten blir i princip utanför unionsrättens tillämpningsområde. Avsikten är att den aktuella lagen enligt 1 § 2 mom. 2 punkten i lagen om behandling av personuppgifter i brottmål och vid upprätthållande av den nationella säkerheten ska tillämpas på sådan behandling av personuppgifter som utförs av polisen när uppgifter behandlas i en sådan uppgift som avses i 1 § 1 mom. i polislagen och som har samband med skyddet för den nationella säkerheten. Polisens uppgift är enligt 1 kap. 1 § 1 mom. i polislagen att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga brott, avslöja och utreda brott och föra brott till åtalsprövning. Polisen ska upprätthålla säkerheten i samarbete med andra myndigheter.

När skyddspolisen behandlar personuppgifter för att utföra sin uppgift, dvs. skydda den nationella säkerheten, omfattas dess behandling av personuppgifter inte av unionsrättens tillämpningsområde. Den nationella säkerheten har undantagits från EU:s behörighet i fördraget om Europeiska unionen. Därför ska bestämmelser om personuppgifter som ska behandlas på grundval av den nationella säkerheten utfärdas i den nationella lagstiftningen. Den lag som avses i 2 mom. tillämpas även på sådan behandling av personuppgifter som utförs av en annan polisenhet, när uppgifter behandlas i en sådan uppgift som avses i 1 § 1 mom. i polislagen och har samband med skyddet för den nationella säkerheten.

Enligt 1 § 2 mom. 3 punkten i lagen om behandling av personuppgifter i brottmål och vid upprätthållande av den nationella säkerheten ska lagen tillämpas även på sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifter behandlas i samband med skyddet för den nationella säkerheten. I 3 § i gränsbevakningslagen föreskrivs om Gränsbevakningsväsendets uppgifter. Av dem hänför sig i synnerhet vissa tillsynsuppgifter och uppgifter inom det militära försvaret till skyddet för den nationella säkerheten.

Enligt 1 § 2 mom. 1 punkten i lagen om lagen om behandling av personuppgifter i brottmål och vid upprätthållande av den nationella säkerheten ska lagen dessutom tillämpas så sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning och som utförs för att utföra de uppgifter som anges i nämnda punkter i 2 § 1 mom. i lagen om försvarsmakten.

3 §.Tillämplig lag. I paragrafen föreskrivs om tillämplig lag för behandling av personuppgifter. I dataskyddsförordningen finns inga bestämmelser om lagval. Bestämmelserna om lagval lämpar sig för situationer med koppling till två eller flera medlemsstater. Så är fallet till exempel när den personuppgiftsansvarige är etablerad inom en medlemsstat och de registrerade vars personuppgifter behandlas är bosatta i en annan medlemsstat. Lagvalsregleringen har i praktiken betydelse endast i den mån det är fråga om lagstiftning som kompletterar den allmänna dataskyddsförordningen och utfärdas inom ramen för medlemsstatens prövningsrätt. Om det inte finns sådan reglering i den medlemsstat som anges av lagvalsregeln, tillämpas endast den allmänna dataskyddsförordningen.

Enligt 1 mom. ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland. Behandling av personuppgifter inom ramen för verksamheten vid ett verksamhetsställe förutsätter inte att den aktuella behandlingen av personuppgifter utförs vid verksamhetsstället i fråga.

I 2 mom. föreskrivs om tillämpliga skyddsåtgärder i en situation där personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Genom dataskyddslagen föreslås bestämmelser om omfattande möjligheter att avvika från vissa av den registrerades rättigheter när personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Med stöd av 2 mom. ska 31 § som gäller skyddsåtgärder för den registrerades rättigheter tillämpas även i det fall att en främmande stats lag annars ska tillämpas på behandlingen av personuppgifter. Lagens 31 § är till sin karaktär därmed så kallad internationellt tvingande reglering som ska tillämpas oberoende av lagvalet. Om det med stöd av tillämplig lag är möjligt att göra ett undantag från den registrerades rättigheter, kan ett undantag från dem göras endast under förutsättning att skyddsåtgärderna i 31 § i den lag som nu föreslås iakttas.

Lagvalsregleringen inverkar inte på hur behörig myndighet eller behörig domstol bestäms. Bestämmelser om myndighetens behörighet och hur den bestäms föreskrivs i den allmänna dataskyddsförordningen.

2 kap. Rättslig grund för behandling av personuppgifter i vissa fall

Enligt artikel 6.3 i den allmänna dataskyddsförordningen ska grunden för behandlingen fastställas antingen i enlighet med unionsrätten eller med en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av om behandlingen behövs (i förordningens svenska version används ordet nödvändig) för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och om behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Behandling av särskilda kategorier av personuppgifter förutsätter dessutom att någon av förutsättningarna i artikel 9.2 i dataskyddsförordningen uppfylls. I kapitlet tas in bestämmelser om grunden för behandlingen när det gäller den nationella preciseringen av den allmänna dataskyddsförordningen i fråga om artiklarna 6, 9 och 10.

4 §.Laglig behandling av personuppgifter. I paragrafen preciseras lagenligheten för behandling av personuppgifter inom ramen för det nationella spelrum som möjliggörs av den nationella dataskyddsförordningen i situationer enligt artikel 6.1 e där behandlingen av personuppgifter behövs (i förordningens svenska version används ordet nödvändig) för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Enligt den är behandling av personuppgifter laglig endast om något av villkoren i artikel 6.1 uppfylls.

I punkt 1 i paragrafen föreskrivs om den rättsliga grunden för behandling av personuppgifter i situationer där det är fråga om uppgifter som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen är proportionell mot det legitima mål som eftersträvas på det sätt som förutsätts i den allmänna dataskyddsförordningen.

I 8 § 1 mom. 8 punkten i den gällande personuppgiftslagen föreskrivs huvudsakligen om motsvarande allmänna förutsättning för behandling av personuppgifter. Denna grund för behandling av personuppgifter har ansetts vara möjlig med stöd av artikel 7 f i det gamla dataskyddsdirektivet som gäller berättigade intressen hos den registeransvarige. Behandlingsgrunden i personuppgiftslagen för sådan behandling av personuppgifter som avses i 1 mom. 1 punkten följer av den behandlingsgrund för att utföra en uppgift av allmänt intresse som ingår i artikel 6.1 e i den allmänna dataskyddsförordningen och möjliggör nationellt spelrum. Behandlingsgrunden för en persons ställning, uppgifter och skötseln av dessa uppgifter breddas jämfört med den nuvarande formuleringen genom att ”någon annan motsvarande verksamhet” fogas till behandlingsgrunden och orden ”allmänt tillgänglig uppgift” stryks i den.

Någon annan motsvarande verksamhet utvidgar med avseende på motsvarande punkt i personuppgiftslagen behandlingsgrundens tillämpningsområde så att den även gäller andra än offentliga samfund eller näringslivet. Det behandlingsvillkor som gäller en persons ställning, uppgifter eller skötseln av dessa uppgifter i den gällande personuppgiftslagen förutsätter inte att den personuppgiftsansvarige bedömer om behandlingen av personuppgifter är förenlig med allmänt intresse och proportionell mot det legitima mål som eftersträvas. Det har ansetts att de intressen som tryggar integritetsskyddet inte åsidosätter den registeransvariges/personuppgiftsansvariges eller en utomståendes intressen i situationer som avses i 8 § 1 mom. 8 punkten i personuppgiftslagen, eftersom det är fråga om uppgifter som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund eller inom näringslivet och uppgifterna är allmänt tillgängliga. I lagrummet förutsätts dock att behandlingen är förenlig med allmänt intresse och proportionell mot det legitima mål som eftersträvas. Detta villkor följer av artikel 6.3 i den allmänna dataskyddsförordningen. Behandlingsgrunden ger inte rätt till behandling av sådana personuppgifter som avses där för vilket ändamål som helst. Exempelvis en lista som på osakliga grunder samlats in med personuppgifter om offentliga personer kan inte berättigas med denna rättsliga grund för behandling av personuppgifter.

Proportionalitet bedöms förutom med stöd av mängden insamlade personuppgifter bland annat med stöd av behandlingsåtgärder. Paragrafens 1 mom. 1 punkt ger inte rätt att hålla personuppgifter tillgängliga för allmänheten. Sådan behandling av personuppgifter som avses i punkten ska också i alla andra avseende motsvarar de krav som ställs på personuppgiftsansvariga i den allmänna dataskyddsförordningen. Även den registrerades rättigheter enligt den allmänna dataskyddsförordningen ska tillämpas fullt ut. Den registrerade har enligt artikel 17 i den allmänna dataskyddsförordningen t.ex. rätt till radering (rätten att bli bortglömd) och enligt artikel 21 rätt att göra invändningar.

I paragrafens 2 punkt föreskrivs om den rättsliga grunden för behandlingen av personuppgifter för att utföra en uppgift av allmänt intresse i myndighetens verksamhet. I bestämmelsen förtydligas också att behandlingen ska behövas och vara proportionell. Syftet med bestämmelsen är att göra det möjligt för myndigheter att behandla personuppgifter när rätten till behandling inte direkt kan härledas från en uppgifts- och behörighetsbestämmelse som gäller myndigheten eller från mera detaljerad specialreglering, om sådan finns. Eftersom bestämmelsen förutsätter att behandlingen behövs i myndighetens verksamhet, möjliggör bestämmelsen sådan behandling av personuppgifter som är ändamålsenligt motiverad med avseende på myndighetens uppgifter och behörighet. Behandlingen ska dessutom stå i proportion till utförandet av myndighetens uppgift. Detta skulle klargöra att myndigheten alltid från fall till fall ska bedöma om en aktuell behandling av personuppgifter kan anses vara proportionell med hänsyn till syftet med behandlingen. Som i all behandling av personuppgifter ska även i denna bedömning tas hänsyn till principerna för behandling av personuppgifter i artikel 5 i den allmänna dataskyddsförordningen, t.ex. principen om uppgiftsminimering, enligt vilken personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Den personuppgiftsansvarige ska också bedöma behandlingens proportionalitet i förhållande till den registrerades intressen och grundläggande rättigheter. När den personuppgiftsansvarige behandlar personuppgifter med stöd av den personuppgiftsansvariges berättigade intressen i artikel 6.1 f i dataskyddsförordningen ska den personuppgiftsansvarige ta särskild hänsyn till om den registrerade är ett barn. På motsvarande sätt ska den personuppgiftsansvarige ta hänsyn till detta vid behandlingen av personuppgifter i enlighet med det föreslagna 2 mom.

Genom nationell lag kan fastställas och närmare ange för vilka uppgifter och syften ytterligare behandling av personuppgifter bör betraktas som förenlig och laglig, om behandlingen behövs för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra. Syftet med uppgiften är inte att skapa en rättslig grund för sådan ytterligare behandling av personuppgifter som står i strid med de ursprungliga ändamålen med behandlingen av personuppgifter. Om behandlingen är förenlig med de ändamål för vilka personuppgifterna ursprungligen samlats in, krävs det inte någon annan separat rättslig grund för behandlingen än den med stöd av vilken insamlingen av personuppgifter medgavs. Det är alltså inte fråga om en sådan situation som avses i skäl 50 i den allmänna dataskyddsförordningen där det i unionsrätten eller medlemsstaternas nationella rätt kan fastställas och närmare anges för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. När det föreskrivs om en sådan rättslig grund för behandlingen ska denna enligt artikel 6.4 i den allmänna dataskyddsförordningen bedömas med tanke på skyddet för de mål som ställs i artikel 23.1 i den allmänna dataskyddsförordningen. När det i någon annan lag föreskrivs om en rättslig grund för behandling av personuppgifter med stöd av vilken sådan ytterligare behandling av personuppgifter som står i strid med ändamålen är möjlig, ska denna alltid motiveras i detalj med särskild hänsyn till artikel 23 i den allmänna dataskyddsförordningen.

Den rättsliga grund för behandlingen som föreskrivs i lagrummet ska endast gälla myndigheters behandling av personuppgifter. När privaträttsliga samfund sköter offentliga förvaltningsuppgifter, ska antingen artikel 6.1 c eller f i den allmänna dataskyddsförordningen, enligt vilken personuppgifter får behandlas för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Led f i artikeln ska dock inte gälla för behandling som utförs av myndigheter när de fullgör sina uppgifter. Den föreslagna 3 § 2 punkten behövs därmed för att myndigheterna ska kunna behandla personuppgifter för att fullgöra andra uppgifter än sina lagstadgade skyldigheter. En sådan uppgift kan t.ex. vara myndigheternas planerings- och utredningsuppgifter.

Med stöd av lagrummet kan personuppgifter behandlas t.ex. för myndigheternas planerings- och utredningsuppgifter också i framtiden. För närvarande innehåller 16 § i personuppgiftslagen bestämmelser om myndigheternas möjligheter att på andra grunder än de som nämns i 8 § 1 mom. i personuppgiftslagen samla in och registrera personuppgifter i myndighetens personregister för planerings- och utredningsuppgifter. Det register som avses i 16 § i personuppgiftslagen får endast föras under en viss tid. När det gäller att samla in och registrera personuppgifter ska i tillämpliga delar då iakttas bestämmelserna i 14 § i personuppgiftslagen om behandling av personuppgifter för historisk eller vetenskaplig forskning. Bestämmelsen i personuppgiftslagen har ansetts behövlig därför att myndigheternas där avsedda planerings- och utredningsuppgift i allmänhet inte kan vara sådan historisk eller vetenskaplig forskning som avses i 14 §. En sådan planerings- och utredningsuppgift som avses i personuppgiftslagen kan anknyta till ett nytt fenomen som uppstått i samband med den samhälleliga utvecklingen, och skötseln av uppgifter i anknytning till fenomenet hör inte ännu klart till någon myndighets lagstadgade uppgifter och personuppgifter har därmed inte kunnat behandlas med stöd av 8 § 1 mom. 4 punkten i personuppgiftslagen. Sådana planeringsuppgifter och utredningar har ansetts motiverade av allmänt intresse. Då kan det finnas ett behov av att samla in och registrera även personuppgifter.

Paragraf 16 § i personuppgiftslagen har ansetts vara möjlig förutom med stöd av artikel 7 f i det gamla dataskyddsdirektivet även med stöd av led e i artikeln. Artikel 7 e i det gamla dataskyddsdirektivet tillåter behandling av personuppgifter när den behövs (i förordningens svenska version används ordet nödvändig) för att utföra en arbetsuppgift av allmänt intresse eller är ett led i myndighetsutövning som utförs av den registeransvarige. Medan det vid insamling och registrering av personuppgifter med stöd av 16 § i personuppgiftslagen i tillämpliga delar ska iakttas de krav för behandling av personuppgifter för historiska och vetenskaplig forskning som ställs i 14 §, har det i förarbetena till lagen ansetts att den registrerades rättigheter och friheter beaktas i den aktuella paragrafen så som det gamla dataskyddsdirektivet förutsätter. Med personuppgiftslagens rättsliga grund för behandling av personuppgifter som gäller myndigheternas utredningsuppgifter har dessutom genomförts artikel 7 f i det gamla dataskyddsdirektivet. Artikel 7 e i det gamla dataskyddsdirektivet motsvarar den föreslagna rättsliga grunden för behandling. Den rättsliga grunden för behandling följer alltså av artikel 6.1. e i den allmänna dataskyddsförordningen. Behandlingen av personuppgifter för att utföra en myndighets planerings- och utredningsuppgifter behövs för att utföra en uppgift av allmänt intresse. Vid behandlingen av personuppgifter med stöd av artikel 6.1 e i den allmänna dataskyddsförordningen har den registrerade med stöd av artikel 21 i den allmänna dataskyddsförordningen rätt att göra invändningar mot behandlingen av hans eller hennes personuppgifter. För närvarande innehåller personuppgiftslagen inte någon motsvarande möjlighet att göra invändningar mot behandlingen av personuppgifter när myndigheterna behandlar personuppgifter för planerings- eller utredningsuppgifter.

I 3 punkten föreskrivs om behandling av personuppgifter för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i den allmänna dataskyddsförordningen för vetenskaplig eller historisk forskning eller för statistikföring. Bestämmelsen grundar sig på bemyndigandet i artikel 6.2 i den allmänna dataskyddsförordningen enligt vilken det är möjligt att genom nationell lagstiftning specificera artikel 6.1 e i den allmänna dataskyddsförordningen i synnerhet i fråga om behandlingssituationerna i kap. IX. Genom den föreslagna bestämmelsen genomförs också kravet enligt artikel 6.3 i den allmänna dataskyddsförordningen att nationellt föreskriva om grunden för behandling enligt artikel 6.1 e. Bestämmelsen kompletterar och specificerar förordningen. Genom den specificeras innehållet i artikel 6.1 e vad gäller forskningssystemet och rättssystemet i Finland.

Bestämmelsen begränsar inte den krets av aktörer som kan åberopa denna behandlingsgrund. Personuppgifter kan med stöd av bestämmelsen behandlas av fysiska personer samt av offentliga och privata juridiska personer.

Behandling av personuppgifter för vetenskapliga eller historiska ändamål eller för statistikföring förutsätter att någon av behandlingsgrunderna enligt artikel 6.1 i den allmänna dataskyddsförordningen uppfylls. Utöver det föreslagna lagrummet kan personuppgifter därmed också behandlas i ovan nämnda situationer, om någon annan av behandlingsgrunderna enligt artikel 6.1 i den allmänna dataskyddsförordningen uppfylls. Behandling av personuppgifter för vetenskapliga forskningsändamål är således möjlig om t.ex. den registrerade har gett sitt samtycke till behandlingen eller det är fråga om ett sådant berättigat intresse för den personuppgiftsansvarige som avses i artikel 6.1 f i den allmänna dataskyddsförordningen.

Personuppgifter kan med stöd av lagrummet behandlas för vetenskaplig eller historisk forskning eller för statistikföring, om behandlingen behövs och står i proportion till det mål av allmänt intresse som eftersträvas. Vid bedömningen av behövlighet och proportionalitet ska särskild hänsyn i synnerhet tas till artikel 5 c och e i den allmänna dataskyddsförordningen som gäller principerna för behandling av personuppgifter. Den personuppgiftsansvarige har ansvarsskyldighet enligt artikel 5.1 f i den allmänna dataskyddsförordningen. Den personuppgiftsansvarige ska således kunna visa att behandlingen behövs och är proportionell. Ytterligare behandling av personuppgifter för sådana ändamål som avses i den föreslagna bestämmelsen ska alltid bedömas separat. Vid bedömningen ska t.ex. tas hänsyn till villkoren i forskningstillståndet för materialet och tidigare samtycken som getts i anknytning till materialet. Enligt skäl 33 i den allmänna dataskyddsförordningen är det ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att endast lämna sitt samtycke till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

Sådan behandling av personuppgifter för statistiska ändamål som avses i lagrummet kan t.ex. vara lönestatistik.

I 4 punkten föreskrivs om behandling av personuppgifter för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i den allmänna dataskyddsförordningen, om behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter i anknytning till beskrivningar av innehållet i dessa material behövs för arkivändamål och står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

Bestämmelsen grundar sig på bemyndigandet i artikel 6.2 i den allmänna dataskyddsförordningen enligt vilken det är möjligt att genom nationell lagstiftning specificera artikel 6.1 e i den allmänna dataskyddsförordningen i synnerhet i fråga om behandlingssituationerna i kap. IX. Genom den föreslagna bestämmelsen genomförs också kravet enligt artikel 6.3 i den allmänna dataskyddsförordningen att nationellt föreskriva om grunden för behandling enligt artikel 6.1 e. Bestämmelsen kompletterar och specificerar förordningen. Genom den specificeras innehållet i artikel 6.1 e vad gäller förhållandena i forskningssystemet och rättssystemet i Finland, där det t.ex. inte finns lagstiftning om samtliga betydande arkivaktörers ställning. Avsikten är dock inte att genom bestämmelsen begränsa området för behandling av personuppgifter i vetenskapliga och historiska forskningsändamål jämfört med vad det är direkt med stöd av artikel 6.1 e i den allmänna dataskyddsförordningen.

Genom bestämmelsen strävas inte heller efter att definiera omfattningen av sådan användning som följer av arkivändamål av allmänt intresse. Den slås i sista hand fast i EU-domstolens tolkningspraxis. Den kan i varje fall anses omfatta även annan behandling av material än förvaring. Arkivering av allmänt intresse inbegriper åtminstone organisering av material, definition av metadata och statistisk sammanställning.

Behandling av personuppgifter för arkivändamål förutsätter att åtminstone en av behandlingsgrunderna enligt artikel 6.1 i den allmänna dataskyddsförordningen uppfylls. Alla behandlingsgrunder i artikeln är likvärdiga. Arkivering är således möjlig, om någon av dessa behandlingsgrunder uppfylls. I den mån det ändå görs undantag från principen om ändamålsbegränsning för behandling av personuppgifter eller om lagringsminimering som avses i artikel 5 i den allmänna dataskyddsförordningen, förutsätter den allmänna dataskyddsförordningen att det är fråga om ett arkivändamål av allmänt intresse. Förvaring av personuppgifter för arkivändamål längre än deras ursprungliga användningsändamål är därmed möjlig endast om arkiveringen är av allmänt intresse. Vilken rättslig grund i artikel 6.1 behandlingen av personuppgifter baserar sig på har även inverkan på vilka rättigheter den registrerade har. I det föreslagna lagrummet specificeras hur behandlingsgrunden enligt artikel 6.1 e uppfylls när det gäller arkivändamål av allmänt intresse.

Kulturarvsmaterial registreras ofta i många olika minnesorganisationer: i bil, arkiv och museer. Dessa aktörer kan vara både myndigheter och privata aktörer. Bestämmelsen begränsar inte kretsen av sådana aktörer som kan behandla personuppgifter med stöd av behandlingsgrunden i punkt 4. Behandling av personuppgifter är således enligt den föreslagna punkten möjlig för såväl fysiska personer som för offentliga eller privata juridiska personer. Verksamhet av allmänt intresse och dess förhållande till den registrerades rättigheter är väsentlig. När det gäller myndigheter föreskrivs dock genom lag om arkiveringsuppgift. Forskningsmaterial uppstår i synnerhet i högskolornas och forskningsinstitutens verksamhet. Förutsättningarna för behandling av dessa material är de samma som för kulturarvsmaterial. Arkiveringen av dem förutsätter således behovsprövning och bedömning av proportionaliteten.

Behandlingen av personuppgifter innefattar tanken på personuppgifternas livscykel där det måste definieras en början och ett slut för ett personregister och för behandlingen av personuppgifter. Mot slutet av livscykeln kan materialet förstöras, anonymiseras eller arkiveras, om det finns sakliga grunder för arkiveringen. Utgångspunkten är dock att behandlingen av personuppgifter ska betjäna det primära ändamålet, och endast i undantagsfall kan materialet anses så betydande att det är motiverat att förvara det för något annat ändamål. Den personuppgiftsansvariges ansvar för att behandla arkiverat material som innehåller personuppgifter i enlighet med den allmänna dataskyddsförordningen består trots arkiveringen.

Med kravet i lagrummet på att behandlingen ska behövas och vara proportionell avses att legitimiteten för lagring av personuppgifter för varje personuppgift eller kategori av personuppgifter ska bedömas regelbundet i förhållande till ett arkiveringsbehov av allmänt intresse. På arkiveringsbehovet inverkar i synnerhet en eventuell användning av informationen för forskning eller något annat värde i anknytning till kulturarvet. Vid bedömningen ska särskild hänsyn i synnerhet tas till artikel 5 c och e i den allmänna dataskyddsförordningen som gäller principerna för behandling av personuppgifter. Artikel 5 c i förordningen innehåller principen om uppgiftsminimering enligt vilken personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 5.1 e i den allmänna dataskyddsförordningen ska personuppgifter förvaras i en form som möjliggör identifiering av den registrerade endast så länge som det behövs för att iaktta ändamålen med behandlingen. Personuppgifter kan förvaras längre tider, om personuppgifter behandlas endast för arkivändamål av allmänt intresse enligt artikel 89.1 förutsatt att de ändamålsenliga tekniska och organisatoriska åtgärder som krävs i den allmänna dataskyddsförordningen har genomförts för att skydda den registrerades rättigheter och friheter.

Regleringen ska gälla både kulturarvsmaterial som uppkommer i samband med annan verksamhet och forskningsmaterial som samlas inom ramen för forskning. Det finns ett brett spektrum av kulturarvsmaterial. De kan förutom material som samlats i människors verksamhet och berättar om verksamhetens historia och betydelse dessutom innehålla bland annat information om naturarv och konst. Kulturarvsmaterial kan t.ex. vara dokument, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material samt dokumentmaterial och enkätmaterial. Tillämpningen av den allmänna dataskyddsförordningen och den föreslagna dataskyddslagen förutsätter dock att kulturarvsmaterial eller innehålls- och referensinformationen som gäller sådant material innehåller personuppgifter. Med beskrivning av innehållet avses referensuppgifter och andra definitioner som gör att materialet kan sammanföras med ärenden och personer och syftar till att göra materialet mera informativt och tillgängligt.

Den föreslagna grunden för behandling av personuppgifter inbegriper också en möjlighet att behandla kulturarvsmaterial i syfte att göra materialen tillgängliga. Den personuppgiftsansvarige ska även för detta ändamål bedöma om behandlingen är behövlig och står i proportion till det eftersträvade målet. Den personuppgiftsansvarige ska vid bedömningen av om behandlingen är proportionell beakta den registrerades rättigheter och de allmänna principerna för behandling av personuppgifter. Om det har gjorts undantag från den registrerades rättigheter med stöd av 33 § i lagen, ska den personuppgiftsansvarige särskilt notera detta vid bedömningen av om behandlingen är proportionell. När t.ex. omfattande fotografimaterial görs tillgängliga kan den personuppgiftsansvarige t.ex. fästa uppmärksamhet vid materialets ålder och vid i vilken omfattning materialet görs tillgängligt.

5 §.Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn. I paragrafen föreskrivs att behandlingen av ett barns personuppgifter när informationssamhällets tjänster tillhandahålls ska vara lagenlig endast om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara lagenlig endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Bestämmelser om åldersgräns för barn kan utfärdas med stöd av artikel 8.1 i den allmänna dataskyddsförordningen. Om det inte utfärdas nationella bestämmelser om åldersgränsen för barn bestäms den direkt med stöd av artikel 8 i dataskyddsförordningen till 16 år. Den åldersgräns som anges i paragrafen ska endast gälla sådan behandling av personuppgifter där den rättsliga behandlingsgrunden för behandlingen är artikel 6.1.a i den allmänna dataskyddsförordningen, dvs. den registrerades samtycke.

Med person med föräldraansvar avses t.ex. enligt Bryssel II-förordningen (rådets förordning nr 2201/2003 av den 27 november 2003 om domstols behörighet och om erkännande och verkställighet av domar i äktenskapsmål och mål om föräldraansvar samt om upphävande av förordning (EG) nr 1347/2000) varje person som har föräldraansvar för ett barn. Med föräldraansvar avses enlig Bryssel II-förordningen alla rättigheter och skyldigheter som en fysisk eller juridisk person har tillerkänts genom en dom, på grund av lag eller genom en överenskommelse med rättslig verkan, med avseende på ett barn eller dess egendom. Föräldraansvar omfattar bland annat vårdnad och umgänge. Nationellt har personer med föräldraansvar i allmänhet ansetts vara barnets vårdnadshavare och intressebevakare.

Med informationssamhällets tjänster avses med stöd av artikel 4.25 i den allmänna dataskyddsförordningen alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535. Enligt nämnda bestämmelse avses med informationssamhällets tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Med ’på distans’ avses tjänster som tillhandahålls utan att parterna är närvarande samtidigt. Med ’på elektronisk väg’ avses en tjänst som sänds vid utgångspunkten och tas emot vid slutpunkten med hjälp av utrustning för elektronisk behandling och lagring av uppgifter, och som i sin helhet sänds, befordras och tas emot genom tråd, radio, optiska medel eller andra elektromagnetiska medel. Med ’på individuell begäran av en tjänstmottagare’ avses en tjänst som tillhandahålls genom överföring av uppgifter på individuell begäran.

I enlighet med artikel 8.3 i den allmänna dataskyddsförordningen påverkar de villkor som tillämpas på ett barns samtycke i fråga om informationssamhällets tjänster inte den nationella avtals- eller obligationsrätten, t.ex. ett barns behörighet att över huvud taget företa rättshandlingar.

6 §.Behandling av särskilda kategorier av personuppgifter. I paragrafen föreskrivs om behandling av särskilda kategorier av personuppgifter. I de situationer som föreskrivs i paragrafen är det möjligt att behandla personuppgifter som hör till särskilda kategorier av personuppgifter. På behandling av personuppgifter tillämpas således inte i de situationer som avses i paragrafen artikel 9.1 i den allmänna dataskyddsförordningen där behandling av sådana uppgifter förbjuds.

I artikel 9.2 i den allmänna dataskyddsförordningen föreskrivs om situationer där personuppgifter som hör till särskilda kategorier av personuppgifter kan behandlas. Vissa av strecksatserna i artikel 9.2 är direkt tillämpliga, vissa kräver lagstiftning i medlemsstaten. Inte heller då kan krav och principer som följer av den allmänna dataskyddsförordningen förbigås genom nationell lagstiftning. I den föreslagna 6 § föreskrivs om situationer enligt 12 § i den gällande personuppgiftslagen där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i den allmänna dataskyddsförordningen. Den allmänna dataskyddsförordningen förutsätter att medlemsstatens lagstiftning då innehåller även bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.

Vissa ändringar som gäller 12 § i personuppgiftslagen följer dock av att särskilda kategorier av personuppgifter inte innefattar uppgifter om brottsliga gärningar, straff eller andra påföljder för ett brott. Enligt personuppgiftslagen är ovan nämnda uppgifter känsliga uppgifter. Artikel 10 i förordningen innehåller bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. I särskilda kategorier av personuppgifter ingår inte heller uppgifter som enligt den gällande personuppgiftslagen är känsliga och rör uppgifter om någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. Det ska inte längre föreskrivas om sådan behandling av känsliga personuppgifter enligt 12 § 13 punkten i den gällande personuppgiftslagen som är möjlig med datasekretessnämndens tillstånd.

I det föreslagna 6 § 2 mom. föreskrivs om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen. Utöver den föreslagna 6 § kan närmare bestämmelser om sådan behandling av personuppgifter som avses i artikel 9.2 i den allmänna dataskyddsförordningen även utfärdas genom speciallagstiftning.

Formuleringen av paragrafen avviker från den nuvarande formuleringen i personuppgiftslagen så att artikel 9.1 enligt den föreslagna paragrafen inte ska tillämpas i situationer som anges i 6 §. Enligt 12 § i personuppgiftslagen utgör förbudet mot behandling av känsliga personuppgifter inte hinder för behandling av personuppgifter i situationer som anges i 12 §. Syftet med ändringen är inte att ändra nuläget, utan det är fråga om ett uttryckssätt som överensstämmer med artikel 9.2 i den allmänna dataskyddsförordningen.

I 1 mom. 1 punkten preciseras behandlingssituationerna för behandling av personuppgifter av särskilda kategorier när det gäller behandling av uppgifter som försäkringsanstalter fått i försäkringsverksamheten. Detta är möjligt med stöd av artikel 9 g i den allmänna dataskyddsförordningen. Preciseringen i 1 punkten behövs för att försäkringsanstalter även framöver ska kunna behandla uppgifter som de fått i försäkringsverksamheten om den försäkrades och ersättningssökandens hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller henne eller andra därmed jämförbara åtgärder. Momentets 1 punkt motsvarar 12 § 11 punkten i den gällande personuppgiftslagen enligt vilken försäkringsanstalter kan behandla uppgifter som är nödvändiga för att utreda anstaltens ansvar och som anstalten i försäkringsverksamheten fått om den försäkrades och ersättningssökandens hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller andra därmed jämförbara åtgärder eller sådana uppgifter om en brottslig gärning som har begåtts av en försäkrad, den som ansöker om ersättning eller den som orsakat skada och om straff eller annan påföljd för brottet.

Den rättsliga grunden för behandling enligt 12 § 11 punkten i den gällande personuppgiftslagen ingår inte uttryckligen i artikel 8 i det gamla personuppgiftsdirektivet som gäller behandlingen av särskilda kategorier av uppgifter, men har ansetts möjlig med stöd av artikel 8.4 och 5. Enligt artikel 8.4 får medlemsstaterna under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i artikel 8.2. En sådan grund skulle vara artikel 9.2 g enligt vilken känsliga uppgifter får behandlas om det behövs (i förordningens svenska version används ordet nödvändigt) av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, förutsatt att den står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den föreslagna bestämmelsen kan därmed anses proportionerlig. Dessutom är försäkringsanstalternas verksamhet reglerad i detalj.

Enligt 1 punkten hindrar artikel 9.1 i den allmänna dataskyddsförordningen inte heller i framtiden försäkringsanstalter att behandla vissa personuppgifter som hör till särskilda kategorier av personuppgifter för att utreda sitt ansvar. Försäkringsanstalter kan därmed behandla uppgifter om den försäkrades och ersättningssökandens hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller henne eller andra därmed jämförbara åtgärder. Artikel 9.1 i den allmänna dataskyddsförordningen omfattar bland annat hälsouppgifter. De uppgifter som avses i 6 § i dataskyddslagen är uppgifter som rör hälsa. Artikel 9 som gäller särskilda kategorier av personuppgifter omfattar förutom uppgifter som betraktas som känsliga bland annat behandling av genetiska eller biometriska uppgifter för entydig identifiering. Försäkringsanstalter har enligt den föreslagna paragrafen inte heller i framtiden rätt att behandla genetiska uppgifter.

Eftersom också andra försäkringsanstalter än försäkringsbolag — exempelvis försäkringsföreningar, pensionsstiftelser och pensionskassor — har samma behov av att behandla uppgifter om någons hälsotillstånd i sin verksamhet föreslås bestämmelser om försäkringsanstalters rätt att behandla uppgifter. Försäkringsanstalter får med stöd av 6 § förutom uppgifter som rör den försäkrade även behandla uppgifter som rör ersättningssökanden. Detta beror på att försäkringsanstalter i sin verksamhet måste behandla uppgifter om hälsotillstånd som gäller även andra ersättningssökande än försäkrade. T.ex. en person som skadats i en trafikolycka är sällan den försäkrade, utan en utomstående som drabbats av en personskada i en trafikolycka.

Momentets 1 punkt innehåller inte på samma sätt som 12 § 11 punkten i den gällande personuppgiftslagen någon behandlingsgrund för behandling av personuppgifter för en brottslig gärning, straff eller någon annan påföljd för brottet, eftersom det i 7 § i den föreslagna lagen finns en bestämmelse om behandling av personuppgifter som gäller fällande domar i brottmål samt överträdelser.

De detaljerade bestämmelserna om försäkringsanstalter tillsammans med försäkringsverksamhetens tillståndspliktighet och behandlingsrätten som är begränsad till utredning av ansvaret i försäkringsverksamhet kan för sin del anses utgöra lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.

I den föreslagna 6 § 1 mom. 2 punkten föreskrivs om behandling av personuppgifter som hör till särskilda kategorier av personuppgifter, om bestämmelser om behandlingen föreskrivs i lag eller om behandlingen beror på en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Punkten motsvarar 12 § 5 punkten i den gällande personuppgiftslagen. Bestämmelsen i personuppgiftslagen har ansetts möjlig med stöd av artikel 8.4 i det gamla dataskyddsdirektivet. Enligt artikel 8.4 i direktivet får medlemsstater under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse i sin nationella lagstiftning besluta om andra undantag än de som nämns i punkt 2. Även artikel 9.2 g i den allmänna dataskyddsförordningen inbegriper en möjlighet att med stöd av medlemsstatens lagstiftning göra undantag från behandlingsförbudet som gäller särskilda kategorier av personuppgifter, om behandlingen behövs av hänsyn till ett viktigt allmänt intresse. I dataskyddsförordningen förutsätts dessutom att lagstiftningen ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Lagstiftaren ska beakta dessa förutsättningar på behörigt sätt. Motsvarande krav följer även av de allmänna förutsättningar för begränsning av de grundläggande fri- och rättigheterna som är bindande för lagstiftaren. Det föreslagna lagrummet möjliggörs således av artikel 9.2 g i den allmänna dataskyddsförordningen. Bestämmelser om lämpliga och särskilda skyddsåtgärder föreskrivs i 2 mom. i den föreslagna paragrafen.

I momentets 3 punkt föreskrivs om sådan behandling av uppgifter som gäller medlemskap i ett fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område, Punkten motsvarar 12 § 9 punkten i den gällande personuppgiftslagen som möjliggör sådan behandling av information som gäller medlemskap i ett fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område. Paragrafens 3 punkt möjliggör endast sådan behandling som gäller medlemskap i ett fackförbund. Därmed har de ändringar som följer av den allmänna dataskyddsförordningen i fråga om uppgifter ska anses höra till särskilda kategorier av personuppgifter ingen inverkan på det aktuella lagrummet.

Det föreslagna lagrummet möjliggör på samma sätt som nu att även arbetsgivaren under de förutsättningar som föreskrivs där behandla uppgifter om medlemskap i ett fackförbund. En sådan situation kan förekomma t.ex. när uppgifter om medlemskap i ett fackförbund behövs för utredning av bindningar i ett tjänste- och arbetskollektivavtal eller i en arbetskonflikt för att utreda vilka som omfattas av arbetskonflikten. Bestämmelsen i personuppgiftsanslagen har ansetts möjlig med stöd av artikel 8.2 b i det gamla dataskyddsdirektivet enligt vilken särskilda kategorier av personuppgifter kan behandlas om behandlingen behövs (i direktivets svenska version används ordet nödvändig) för att fullgöra de skyldigheter och särskilda rättigheter som åligger den personuppgiftsansvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder. Motsvarande möjlighet ingår i artikel 9.2 b i den allmänna dataskyddsförordningen. Enligt punkten är behandling av personuppgifter som hör till särskilda kategorier av personuppgifter möjlig om behandlingen behövs (i förordningens svenska version används ordet nödvändig) för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstatens nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

Möjligheten att behandla information om medlemskap i ett fackförbund är begränsad till situationer där det är fråga om den personuppgiftsansvariges rättigheter eller skyldigheter inom arbetsrätten. Den föreslagna bestämmelsen kan därmed anses proportionerlig. Bestämmelser om lämpliga skyddsåtgärder gäller den registrerades grundläggande fri- och rättigheter och intressen tas in i 2 mom.

I momentets 4 punkt föreskrivs om rätten för en tillhandahållare av hälso- och sjukvårdstjänster att behandla uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller handikapp eller en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga för den registrerades vård. Den föreslagna 4 punkten motsvarar med vissa ändringar 12 § 10 punkten i den gällande personuppgiftslagen som anses vara möjlig med stöd av artikel 8.3 i det gamla dataskyddsdirektivet. Den föreslagna 4 punkten möjliggörs av artikel 9.2 h och i i den allmänna dataskyddsförordningen. Enligt punkt h i artikeln är behandling av särskilda kategorier av personuppgifter möjligt, om behandlingen behövs (i förordningens svenska version används ordet nödvändig) av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. Enligt punkt i artikeln får personuppgifter som hör till särskilda kategorier av personuppgifter behandlas om behandlingen behövs av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. I fortsättningen kommer det inte längre att vara möjligt att med stöd av det föreslagna lagrummet behandla en brottslig gärning eller ett straff eller någon annan påföljd för brott, eftersom uppgifterna inte ingår i särskilda kategorier av personuppgifter. Denna ändring har dock ingen nämnvärd betydelse eftersom lagrummet förutom uppgifter om hälsotillstånd, sjukdom, handikapp och vårdåtgärder möjliggör behandling av sådana personuppgifter som är nödvändiga med hänsyn till vården av den registrerade. Information om en brottslig gärning, ett straff eller någon annan påföljd för brott är i princip inte nödvändig med tanke på vården av den registrerade. Bestämmelser om lämpliga och särskilda skyddsåtgärder föreskrivs i 2 mom. i den föreslagna paragrafen.

Enligt 12 § i personuppgiftslagen har en verksamhetsenhet inom hälsovården eller en yrkesutbildad person inom hälso- och sjukvården rätt att behandla ovan nämnda uppgifter. Enligt det föreslagna lagrummet kommer tillhandahållare av hälso- och sjukvårdstjänster motsvarande rättighet i fortsättningen. Tillhandahållare av tjänster är ett allmänbegrepp som omfattar tjänsteanordnare och tjänsteproducent. Dessa är verksamhetsenheter och yrkesutbildade personer inom socialvården och hälso- och sjukvården och biträdande personal som lyder under dem. En åtgärd som gäller den registrerade ersätts med formuleringen ”en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått”. Rehabilitering kan ges av idrottsväsendet, kultur- och bildningsväsendet och undervisningsväsendet. De föreslagna ändringarna är mera heltäckande än den nuvarande formuleringen och stämmer överens med den terminologi som används i sekretessgrunderna i offentlighetslagen. Utöver dessa ändringar begränsas rätten att behandla uppgifter till ordnande och producering av tjänster. För närvarande gäller rätten mera allmänt uppgifter som överhuvudtaget erhållits i samband med den aktuella verksamheten.

I 5 mom. föreskrivs att när en tillhandahållare av socialvård ordnar eller producerar tjänster eller beviljar förmåner får tillhandahållaren behandla uppgifter som den i denna verksamhet fått om en persons hälsotillstånd eller handikapp eller en hälso- och sjukvårdstjänster och rehabiliteringstjänst som eller andra uppgifter som är nödvändiga med avseende på beviljande av en tjänst eller förmån för den registrerade. De uppgifter som avses i bestämmelsen och som är nödvändiga för vården av den registrerade kan t.ex. vara uppgifter om handikapp i handikappvården eller motsvarande uppgifter som utgör grunden för behovet av och innehållet i vården.

Den föreslagna 5 punkten möjliggörs av artikel 9.2 b och g i den allmänna dataskyddsförordningen. Enligt strecksats b i artikeln är behandling av särskilda kategorier av personuppgifter möjlig, om behandlingen behövs (i förordningens svenska version används ordet nödvändig) för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs,

Den föreslagna 5 punkten motsvarar med vissa ändringar 12 § 12 punkten i den gällande personuppgiftslagen. Även om en person behov av socialvård eller de tjänster, stödåtgärder och andra förmåner inom socialvården som han eller hon fått inte är sådana uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9.1 i den allmänna dataskyddsförordningen behövs en sådan bestämmelse som den nuvarande fortfarande, eftersom de aktörer som avses i bestämmelsen i sådan verksamhet som avses i lagrummet kan behöva behandla andra personuppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter som rör hälsa. I bestämmelsen stryks dock punkten enligt den gällande personuppgiftslagen som gäller tjänster och stödåtgärder som den registrerade fått inom socialvården, eftersom det när den allmänna dataskyddsförordningen börjar tillämpas inte längre i detta avseende behövs särskilda bestämmelser om rätten att behandla uppgifter som inte omfattas av behandlingsförbudet i artikel 9.1 i den allmänna dataskyddsförordningen.

Enligt det föreslagna lagrummet får personuppgifter som hör till särskilda kategorier av personuppgifter på samma sätt som nu behandlas förutom av socialvårdsmyndigheter också av andra myndigheter och inrättningar som beviljar socialvårdsförmåner. Detta har ansetts nödvändigt, eftersom även dessa aktörer när de beviljar socialvårdsförmåner och tillhandahåller socialvårdstjänster måste behandla personuppgifter som hör till särskilda kategorier av personuppgifter i samband med ordnandet av socialvården. Med stöd av bestämmelsen får sådana uppgifter som avses där dessutom behandlas även av privata socialserviceproducenter.

Den föreslagna 5 punkten är likadan som punkt 4 i samma paragraf. Den föreslagna 5 punkten ska dock gälla tillhandahållare av socialvård medan den föreslagna 4 punkten gäller tillhandahållare av hälsovård. Det föreslagna lagrummet skiljer sig i 4 punkten också så att tjänsteleverantörer med stöd av 5 punkten ska ha rätt att behandla de uppgifter som avses i lagrummet även när de beviljar förmåner. I lagrummet ska dessutom ingå rätten att behandla förutom uppgifter som tjänsteleverantören erhåller även uppgifter som denna producerar. Paragrafens 5 punkt innehåller inte på samma sätt som 12 § 12 punkten i den gällande personuppgiftslagen möjligheten att behandla uppgifter vilkas syfte är att beskriva en brottslig gärning, ett straff eller någon annan påföljd för ett brott. Bestämmelser om behandling av personuppgifter som gäller fällande domar i brottmål och överträdelser tas in i 7 § i den föreslagna lagen.

Möjligheten att behandla uppgifter som ingår i särskilda kategorier av personuppgifter är noga begränsad till sådana aktörer och situationer som avses i lagrummet. Den föreslagna bestämmelsen kan därmed anses proportionerlig. Bestämmelser om lämpliga skyddsåtgärder gäller den registrerades grundläggande fri- och rättigheter och intressen tas in i 2 mom.

Paragrafens 6 punkt är ny. Motsvarande grund för behandling av känsliga personuppgifter ingår inte i personuppgiftslagen. Enligt den föreslagna punkten kan uppgifter om hälsa och genetiska uppgifter behandlas i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller handikappades och långtidssjukas idrott. Rätten att behandla uppgifter är begränsad till uppgifter om hälsa och genetiska uppgifter. Den föreslagna punkten möjliggörs av artikel 9.2 g i dataskyddsförordningen.

Enligt det föreslagna lagrummet kan uppgifter för det första behandlas för att möjliggöra antidopningsarbetet. Dataskyddsfrågorna i antidopningsarbetet gäller i synnerhet provtagningen och så kallad dispens där idrottaren med stöd av sina hälsouppgifter beviljas rätt att använda läkemedel eller metoder som annars är förbjudna. I Finland svarar Finlands centrum för etik inom idrotten FCEI rf tillsammans med de nationella och internationella grenförbunden för antidopningsarbetet. Finland har förbundit sig att bekämpa dopning genom två internationella konventioner vilka är Europarådets konvention mot dopning som ingicks i Strasbourg den 16 november 1989 och Förenta nationernas (FN) konvention mot dopning som ingicks den 19 oktober 2005 i Paris. Europarådets konvention mot dopning har genomförts genom en blankettlag i Finland. FN:s konvention mot dopning har i Finland genomförts genom en förordning av republikens president. Bestämmelser om sådan föreslagen behandling av uppgifter som hör till särskilda kategorier av personuppgifter och gäller en mycket smal sektor ska i princip föreskrivas genom en speciallag. Det finns dock ingen naturlig plats i den nationella speciallagstiftningen för det föreslagna lagrummet, eftersom de internationella skyldigheter som är bindande för Finland har genomförts genom en blankettlag och genom en förordning av republikens president. Därför föreslås att bestämmelser om sådan behandling av uppgifter som hör till särskilda kategorier av personuppgifter och i princip ska utfärdas genom speciallagstiftning tas in i en allmän lag.

Enligt det föreslagna lagrummet kan uppgifter om hälsa och genetiska uppgifter behandlas även för att möjliggöra handikappades och långtidssjukas idrott. Långtidssjuka bör inkluderas i det föreslagna lagrummet eftersom även långtidssjuka, personer som fått organdonationer och personer som får dialysvård kan delta t.ex. i de Paralympiska spelen förutom handikappade. FN:s konvention om rättigheter för personer med funktionsnedsättning (Convention on the Rights of Persons with Disabilities 13.12.2006, CRPD) som Finland ratificerat tryggar lika rätt för personer med funktionsnedsättning att delta i idrottsverksamhet på alla nivåer (artikel 30). När det gäller handikappidrott hänför sig dataskyddsfrågor i synnerhet till kategoriseringen av skador och de hälsouppgifter som behövs för dem. De centrala aktörerna inom handikappidrotten i Finland är Finlands Handikappidrott och -motion VAU rf och Finlands Paralympiska Kommitté. De är medlemmar i Internationella paralympiska kommittén (International Paralympic Committee). Internationella paralympiska kommittén har stärkt dataskyddsstandarden (International Standard for Classification Data Protection), som den förutsätter att medlemmarna följer. Denna bestämmelse kan iakttas också utanför de handikappgrupper som Internationella paralympiska kommittén representerar. I handikappidrotten kan förutsättningarna för frivilligt och uttryckligt samtycke uppfyllas lättare än inom annan elitidrott och professionell idrott och därför kan också artikel 9.2 a bli aktuell som en grund som möjliggör behandling av personuppgifter.

På grund av verksamhetens internationella karaktär ska det i antidopningsverksamhet och handikappidrott fästas särskild vikt vid överföringen av uppgifter till tredje länder och vid kapitel V i den allmänna dataskyddsförordningen som gäller överföring av personuppgifter.

I den föreslagna 6 § 1 mom. 7 punkten föreskrivs om behandling av särskilda kategorier av personuppgifter för vetenskaplig eller historisk forskning eller för statistikändamål. Den föreslagna punkten möjliggörs med stöd av artikel 9.2 j i dataskyddsförordningen. Enligt artikel 9.2 j i den allmänna dataskyddsförordningen som gäller särskilda kategorier av personuppgifter är behandling av sådana uppgifter som avses i 1 punkten tillåten när det behövs (i förordningens svenska version används ordet nödvändigt) för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Det förutsätts då att lagstiftningen ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Behandling av uppgifter som hör till särskilda kategorier av personuppgifter ska även i fortsättningen i nationell lagstiftning möjliggöras för vetenskapliga och historiska forskningsändamål samt för statistiska ändamål. Uppgifter som hör till särskilda kategorier av personuppgifter får med stöd av den föreslagna bestämmelsen behandlas om den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med 2 mom. vidtar lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter.

Det föreslagna 2 mom. överlåter alltså åt den personuppgiftsansvarige och personuppgiftsbiträdet att i första skedet pröva hurdana skyddsåtgärder som är lämpliga med avseende på behandlingsåtgärderna. Av ansvarsskyldigheten i artikel 5.2 i den allmänna dataskyddsförordningen följer att den personuppgiftsansvarige och personuppgiftsbiträdet ska kunna visa att de skyddsåtgärder som valts är lämpliga och proportionella.

Det är inte möjligt att med stöd av den föreslagna bestämmelsen göra ett undantag från den registrerades rättigheter som anges i dataskyddsförordningen, om det inte är möjligt direkt med stöd av dataskyddsförordningen. Bestämmelser om undantag från den registrerades rättigheter föreslås i 31 § i dataskyddslagen. Utöver den föreslagna 31 § begränsas den registrerades rättigheter dessutom i artikel 14.5 b, artikel 17.3 d och artikel 21.6 i dataskyddsförordningen.

Den personuppgiftsansvarige kan behandla personuppgifter för de ändamål som avses i det föreslagna lagrummet även med stöd av något annat led i artikel 9.2. i den allmänna dataskyddsförordningen, t.ex. med stöd av uttryckligt samtycke enligt artikel 9.2 a.

I den föreslagna 6 § 1 mom. 8 punkten föreskrivs om behandling av uppgifter som hör till särskilda kategorier av personuppgifter för behandling av vetenskapliga forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål. Den föreslagna punkten möjliggörs av artikel 9.2 j i dataskyddsförordningen. Enligt artikel 9.2 j i den allmänna dataskyddsförordningen som gäller särskilda kategorier av personuppgifter är behandling av sådana uppgifter som avses i 1 punkten tillåten när behandlingen behövs för arkivändamål av allmänt intresse i enlighet med artikel 89, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Det förutsätts då att lagstiftningen står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Den föreslagna bestämmelsen ska endast gälla behandling av forsknings- och kulturarvsmaterial för allmännyttiga arkivändamål. Kulturarvsmaterial definieras inte i lagstiftningen. Kulturarvsmaterial kan t.ex. bestå av dokument, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material samt dokumentationsmaterial och enkätmaterial. Tillämpningen av bestämmelsen förutsätter dock att materialet innehåller personuppgifter. Sådan arkivering av forskningsmaterial som avses i bestämmelsen förutsätter att materialet inte är i aktiv användning. Omständigheter som gäller forskningen kan senare kontrolleras eller säkerställas i det arkiverade forskningsmaterialet.

Vid bedömningen av när det är fråga om ett sådant allmännyttigt arkivändamål som avses i bestämmelsen kan det fästas avseende t.ex. vid om det är den personuppgiftsansvariges lagstadgade eller stadgeenliga uppgift att registrera och tillgängliggöra forsknings- eller kulturarvsmaterial. Uppmärksamhet ska dessutom fästas vid om arkivfunktionen bygger på en offentligt tillgänglig plan. Det föreslagna begreppet allmännyttigt arkivändamål motsvarar inte helt uttrycket ”arkivändamål av allmänt intresse” som används i den allmänna dataskyddsförordningen, utan är smalare än det.

Uppgifter som hör till särskilda kategorier av personuppgifter får med stöd av den föreslagna bestämmelsen behandlas om den personuppgiftsansvarige och personuppgiftsbiträdet i enlighet med 2 mom. vidtar lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Bestämmelsen tillåter dock inte behandling av genetiska uppgifter för arkivändamål, utan för sådan behandling krävs särskilda bestämmelser.

I 2 mom. föreskrivs om lämpliga och särskilda åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet ska vidta när de behandlar personuppgifter i sådana situationer som avses i paragrafens 1 mom. I 2 mom. finns en lista över åtgärder som lämpliga och särskilda åtgärder kan inbegripa. Listan är således inte täckande eller tvingande. Den personuppgiftsansvarige ska i första skedet pröva hurdana skyddsåtgärder de risker som är förknippade med behandling av personuppgifter förutsätter. Enligt det föreslagna 2 mom. kan dessa skyddsåtgärder vara åtgärder för att det i efterskott ska kunna säkerställas och bevisas vem som har lagrat, ändrat eller överfört personuppgifterna, åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, utnämning av ett dataskyddsombud, den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter, pseudonymisering av personuppgifter, kryptering av personuppgifter, åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet, särskilda förfarandebestämmelser för att säkerställa överensstämmelse med den allmänna dataskyddsförordningen och denna lag när personuppgifter överförs eller behandlas för något annat ändamål, en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen samt andra tekniska, förfarandemässiga och organisatoriska åtgärder. Skyddsåtgärderna i 2 mom. överensstämmer med förordningen och kan t.ex. vara sådana skyldigheter som åläggs den personuppgiftsansvarige i förordningen och som den personuppgiftsansvarige avgör om han eller hon fullgör. Bestämmelser som motsvarar de skyddsåtgärder för behandling av särskilda kategorier av personuppgifter som avses i 2 mom. finns t.ex. i Tysklands nationella allmänna lag som är ett komplement till den allmänna dataskyddsförordningen och gäller skydd för personuppgifter.

7 §.Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. I paragrafen föreskrivs om behandling av personuppgifter i anknytning till fällande domar i brottmål och överträdelser. I den gällande 11 § i personuppgiftslagen föreskrivs att uppgifter som gäller en brottslig gärning, ett straff eller någon annan påföljd för brott är känsliga personuppgifter. Enligt den allmänna dataskyddsförordningen hör sådana uppgifter inte till särskilda kategorier av personuppgifter, men enligt artikel 10 i förordningen är behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder möjlig enligt artikel 6.1 då behandling är tillåten enligt medlemsstatens lagstiftning där lämpliga skyddsåtgärder fastställs. De uppgifter som avses i artikel 10 i dataskyddsförordningen kan också behandlas direkt i enlighet med villkoren i artikel 10, om personuppgifter behandlas under kontroll av en myndighet. I 7 § i den föreslagna lagen föreskrivs om fyra situationer där personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas.

I 1 mom. 1 punkten föreskrivs om rätten att behandla personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder, om behandlingen behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk. Motsvarande rättsliga grund för behandling av känsliga personuppgifter finns i 12 § i personuppgiftslagen. Dessutom ingår en sådan rättslig grund för behandling i artikel 9.2. f i den allmänna dataskyddsförordningen som gäller särskilda kategorier av personuppgifter. För att även personuppgifter som rör fällande domar i brottmål samt överträdelser också i fortsättningen ska kunna behandlas för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk, är bestämmelsen i 7 § 1 mom. 1 punkten behövlig och förtydligande.

Paragrafens 1 mom. 2 punkt kompletterar 6 § i den föreslagna dataskyddslagen. I 1 mom. 2 punkten föreskrivs att de uppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas för syften som anges i 6 § 1, 2 eller 7 punkten i dataskyddslagen. Enligt 6 § 1 punkten i dataskyddslagen får en försäkringsanstalt behandla vissa personuppgifter som hör till särskilda kategorier av personuppgifter för att utreda anstaltens ansvar. För närvarande får en försäkringsanstalt enligt 12 § 11 punkten i personuppgiftslagen för att utreda sitt ansvar behandla uppgifter om en brottslig gärning som har begåtts av den som orsakat skada och om straff eller annan påföljd för brottet. För att försäkringsanstalter även i fortsättningen ska ha möjlighet att behandla sådana uppgifter för att utreda sitt ansvar behövs 7 § 1 mom. 2 punkten. Med avvikelse från 12 § 11 punkten i personuppgiftslagen föreskrivs särskilt om de uppgifter som avses här, eftersom det föreslås en egen paragraf om behandling av personuppgifter som rör fällande domar i brottmål och överträdelser. Enligt den föreslagna paragrafens 1 mom. 2 punkten får sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen dessutom behandlas, om behandling av uppgifter regleras i lag eller föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Enligt 12 § 5 punkten i den gällande personuppgiftslagen kan sådana uppgifter om en brottslig gärning, om straff eller om annan påföljd för brottet som ska betraktas som känsliga behandlas med stöd av 12 § 5 punkten i personuppgiftslagen, enligt vilken känsliga personuppgifter får behandlas om behandlingen regleras i lag eller om behandlingen föranleds av en uppgift som direkt har ålagts den registeransvarige i lag. För att bevara nuläget behövs den föreslagna hänvisningen till 6 § 2 punkten i dataskyddslagen. I 1 mom. 2 punkten föreskrivs dessutom att personuppgifter som rör fällande domar i brottmål samt överträdelser och därmed sammanhängande säkerhetsåtgärder får behandlas i det syfte som anges i 6 § 1 mom. 7 punkten. Dessa uppgifter får med andra ord behandlas för behandling av uppgifter som görs för vetenskaplig eller historisk forskning. Vid behandling av personuppgifter med stöd av den föreslagna bestämmelsen ska den registrerades rättigheter enligt dataskyddsförordningen tillämpas på behandlingen.

I 2 mom. hänvisas i fråga om skyddsåtgärderna till 6 § 2 mom. I det föreslagna 6 § 2 mom. föreslås att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter vid behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter med stöd av 6 § i dataskyddslagen. I momentet föreslås dessutom en bestämmelse om skyddsåtgärder. Även behandling av personuppgifter enligt artikel 10 i dataskyddsförordningen med stöd av nationell lagstiftning förutsätter att lagen innehåller bestämmelser om lämpliga skyddsåtgärder. Enligt den föreslagna bestämmelsen är behandling av sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen möjlig, om den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar lämpliga skyddsåtgärder i enlighet med 6 § 2 mom. i den föreslagna lagen.

3 kap. Tillsynsmyndighet

8 §.Dataombudsmannen. I paragrafen föreskrivs att dataombudsmannen är den nationella tillsynsmyndighet som avses i den allmänna dataskyddsförordningen. Dataombudsmannen är verksam i samband med justitieministeriet liksom nu. I landskapet Åland ska Datainspektionen enligt landskapets förslag till reviderad dataskyddslagstiftning fortfarande vara verksam i landskapet Åland.

I 2 mom. föreskrivs dessutom att dataombudsmannen är självständig och oberoende i sin verksamhet. På samma sätt som i fråga om andra särskilda ombudsmän finns Dataombudsmannens byrå i anslutning till ministeriet, men är en myndighet som är självständig och oberoende i sin verksamhet. Ombudsmannen ska i sin beslutsverksamhet och övriga verksamhet vara oberoende av inverkan från andra parter såsom myndigheter eller olika intressegrupper samt parterna i det ärende som avgörs. I artikel 52 i den allmänna dataskyddsförordningen föreskrivs om tillsynsmyndighetens oberoende. Regleringen om dataombudsmannens oberoende följer således direkt av förordningen när dataombudsmannen sköter uppgifter enligt förordningen och utövar sina befogenheter enligt förordningen. Dataombudsmannen har även andra uppgifter och befogenheter än de som föreskrivs i förordningen i vilka han eller hon likaså är självständig och oberoende. När dataombudsmannen sköter andra uppgifter än uppgifter enligt den allmänna dataskyddsförordningen blir artikel 52 i den allmänna dataskyddsförordningen inte direkt tillämplig. Dataombudsmannen ska likväl i alla skötsel av uppgifter vara självständig och oberoende, också vid skötseln av sådana uppgifter som inte direkt följer av förordningen. Också på grund av detta behövs bestämmelser om dataombudsmannens oberoende i det kapitel som rör tillsynsmyndigheten i den nationella allmänna lagen.

I paragrafen genomförs skyldigheten enligt artikel 54.1 a i dataskyddsförordningen att föreskriva om varje tillsynsmyndighets inrättande. I enlighet med vad som anges i den allmänna motiveringen föreslås ingen ny myndighet i propositionen, utan dataombudsmannen och Dataombudsmannens byrå fortsätter som dataskyddstillsynmyndighet med mindre strukturella ändringar.

9 §.Dataombudsmannens byrå. I paragrafen föreskrivs om dataombudsmannens byrå och dess personal. I 1 mom. föreskrivs att det finns en eller flera biträdande dataombudsmän vid dataombudsmannens byrå. Bestämmelser om tjänsten som biträdande dataombudsman föreskrivs för att dataombudsmannens beslutanderätt och rätt att föra talan permanent och på heltid ska kunna fördelas på flera inom byrån. Detta behövs av praktisk erfarenhet och på grund av ombudsmannens ökande uppgifter. Omvärlden för skyddet för personuppgifter har genomgått en kraftig förändring och permanent påverkat arten och omfattningen av de ärenden som behandlas vid tillsynsmyndigheten. Antalet ärenden som behandlas vid dataombudsmannens byrå har fyrdubblats sedan 2000. Även dataskyddsförordningen ökar ombudsmannens uppgifter.

Dataombudsmannen är chef för sin byrå och därför ska även den allmänna ledningen av byråns verksamhet höra till ombudsmannens uppgifter. Dataombudsmannen ska bland annat svara för ärenden som rör byråns interna förvaltning samt för att tillsynsmyndighetens uppgifter sköts så ändamålsenligt och effektivt som möjligt. Dataombudsmannens uppgift är att samordna en enhetlig dataskyddspolitik och företräda den nationella synen i det europeiska samarbetet. Utgångspunkten är att en biträdande dataombudsman svarar i dataombudsmannens ställe för vissa av uppgifterna vid dataombudsmannens byrå som rör skyddet för personuppgifter. En biträdande dataombudsman ska också vara ställföreträdare för dataombudsmannen i hans eller hennes frånvaro. Vid behov kan det i arbetsordningen för byrån bestämmas om en eventuell ställföreträdare för den biträdande dataombudsmannen. Inom ramen för behoven och de tillgängliga resurserna vid dataombudsmannens byrå kan det finnas en eller flera tjänster som biträdande dataombudsman.

För närvarande hör beslutanderätten och rätten att föra talan vid dataombudsmannens byrå uteslutande till dataombudsmannen. Dataombudsmannen biträds av och ställföreträdare för dataombudsmannen är byråchefen, som enligt 1 § 2 mom. i lagen om datasekretessnämnden och dataombudsmannen på förordnande kan föra talan på dennes vägnar. Till byråchefens uppgifter hör bland annat skötseln av byråns allmänna administrativa ärenden. Tjänsten som byråchef är inte bunden till någon viss tid, utan tjänsten är ordinarie till skillnad från tjänsten som dataombudsman. Med stöd av den allmänna dataskyddsförordningen är åtgärder som vidtas av och tjänsteförhållandena för medlemmar som utövar beslutanderätt vid tillsynsmyndigheten tidsbundna. Att byråchefens uppgifter görs tidsbundna är inte ändamålsenligt för att säkerställa flexibiliteten och kontinuiteten i skötseln av tillsynsmyndighetens administrativa uppgifter. Byråchefens administrativa uppgifter blir kvar hos dataombudsmannens byrå, även om uttryckliga bestämmelser om tjänsten som byråchef och behörighetsvillkoren för tjänsten inte längre utfärdas i den föreslagna lagen. Antalet administrativa uppgifter kan antas öka vid dataombudsmannens byrå, eftersom den allmänna dataskyddsförordningen leder till nya uppgifter för dataombudsmannen och ombudsmannens befogenheter utökas. Antalet administrativa uppgifter kan dessutom påverkas av förslaget att en tjänst som underrättelseombudsman placeras i samband med dataombudsmannens byrå, likaså ökningen av personresurser till följd av den allmänna dataskyddsförordningen.

I 1 mom. föreskrivs dessutom att det vid dataombudsmannens byrå finns ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal. Ändamålsenliga resurser för myndigheten är centrala för att dataombudsmannens uppgift ska skötas effektivt. Det har också grundlagsutskottet påpekat (GrUU 3/2017 rd).

I 2 mom. föreskrivs i enlighet med artikel 52.5 i dataskyddsförordningen att dataombudsmannen utnämner tjänstemännen och anställer den övriga personalen vid byrån, vilka ska ta instruktioner uteslutande från dataombudsmannen. Detta tryggar för sin del ombudsmannens självständiga och oberoende ställning. En biträdande dataombudsman utnämns av statsrådet enligt det föreslagna 11 § 1 mom.

Enligt 3 mom. godkänner dataombudsmannen en arbetsordning för byrån. Bestämmelser om uppgiftsfördelningen mellan ombudsmannen och de biträdande ombudsmännen utfärdas i arbetsordningen för dataombudsmannens byrå. Biträdande dataombudsmän ska vara verksamma i uppgifter som avses i 16 § i den föreslagna lagen med samma befogenheter som dataombudsmannen och självständigt avgöra ärenden som hör till denna.

10 §.Behörighetsvillkor och utnämningsgrunder. I paragrafen föreskrivs om behörighetsvillkor och utnämningsgrunder för dataombudsmannen och biträdande dataombudsmän. Enligt artikel 54 i den allmänna dataskyddsförordningen är medlemsstaterna skyldiga att föreskriva om dessa saker. Vid utnämningen av dataombudsmannen och biträdande ombudsmän ska även beaktas vad som föreskrivs i artikel 52.3 i den allmänna dataskyddsförordningen om ledamöternas oberoende. Enligt artikel 53.2 ska varje ledamot i tillsynsmyndigheten ha de kvalifikationer, den erfarenhet och den kompetens, särskilt på området för skydd av personuppgifter, som krävs för att ledamoten ska kunna utföra sitt uppdrag och utöva sina befogenheter.

De behörighetsvillkor för tjänsten som ombudsman som anges i paragrafen motsvarar i huvudsak gällande behörighetsvillkor för tjänsten som dataombudsman.

Behörighetsvillkoret för dataombudsmannen är enligt förordningen om datasekretessnämnden och dataombudsmannen juris kandidatexamen. Detta behörighetsvillkor ändras inte, eftersom behörighetsvillkoret för dataombudsmannen enligt förslaget är annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt. Ombudsmannens uppgifter som övervakare av behandlingen av personuppgifter kräver juridisk sakkunskap.

Med anledning av den allmänna dataskyddsförordningens sameuropeiska tillsynsmekanism, förutsätts av ombudsmän i fortsättningen även förmåga att sköta internationella uppgifter. Behörighetsvillkoren för tjänsten som biträdande dataskyddsombudsman ska motsvara behörighetsvillkoren för dataombudsmannen, eftersom denna är ställföreträdare för dataombudsmannen och i sina uppgifter utövar samma befogenheter som dataombudsmannen.

11 §.Utnämning och mandatperiod. I paragrafen föreskrivs om utnämning av dataombudsmannen och biträdande ombudsmän och om mandatperioden för dem. Enligt artikel 54.1 c i den allmänna dataskyddsförordningen ska varje medlemsstat i lag föreskriva om regler och förfaranden för att utse varje tillsynsmyndighets ledamot eller ledamöter samt om mandattiden för ledamöterna, som ska vara minst fyra år. Enligt artikel 53.3 i den allmänna dataskyddsförordningen ska en ledamots uppdrag upphöra då mandattiden löper ut eller om ledamoten avgår eller avsätts från sin tjänst i enlighet med den berörda medlemsstatens nationella rätt. Enligt artikel 53.4 får en ledamot avsättas endast på grund av grov försummelse eller när ledamoten inte längre uppfyller de villkor som krävs för att utföra uppdraget. Bestämmelserna i den allmänna dataskyddsförordningen om avsättande av en ledamot i tillsynsmyndigheten och om upphörande av uppgifter motsvarar bestämmelserna i 25 och 33 § i statstjänstemannalagen om uppsägning av en tjänsteman eller avslutande av ett tjänsteförhållande.

I 1 mom. föreskrivs att statsrådet utnämner dataombudsmannen och en biträdande dataombudsman för fem år i sänder. Detta motsvarar i stor utsträckning nuläget, eftersom dataombudsmannen enligt 6 § i lagen om datasekretessnämnden och dataombudsmannen utnämns av statsrådet för högst fem år. Dataombudsmannen har således kunnat utnämnas för en kortare tid än fem år. Enligt den allmänna dataskyddsförordningen ska mandattiden dock vara minst fyra år och därför föreskrivs att mandattiden ska vara fem år. På tjänstledighet för dataombudsmannen och biträdande dataombudsmän tillämpas de allmänna bestämmelserna om tjänstledighet i statstjänstemannalagen och förordningen.

I 2 mom. föreskrivs att den som utnämns till dataombudsman eller biträdande dataombudsman är fri från skötseln av en annan tjänst under den tid som han eller hon är dataombudsman eller biträdande dataombudsman. Detta motsvarar gällande lagstiftning och bestämmelsen behövs fortfarande på grund av tjänsten som dataombudsman och biträdande dataombudsman är tidsbunden till sin karaktär. Bestämmelsen grundar sig också på artikel 52.3 i den allmänna dataskyddsförordningen enligt vilken tillsynsmyndighetens ledamöter ska avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

Enligt artikel 54.1 e i den allmänna dataskyddsförordningen ska medlemsstaterna föreskriva om huruvida varje tillsynsmyndighets ledamot eller ledamöter får ges förnyat mandat, och om så är fallet, för hur många perioder. I den allmänna dataskyddsförordningen begränsas varken antalet mandatperioder eller deras längd. För närvarande är antalet mandatperioder för ledamöter i datasekretessnämnden eller för dataombudsmannen inte begränsat i lagen om datasekretessnämnden och dataombudsmannen. Denna utgångspunkt ska vara kvar även i fortsättningen. Förordningen överlåter åt medlemsstaterna att besluta om för hur många mandatperioder en ombudsman kan utnämnas. Av den nationella rättsordningen följer dock att antalet mandatperioder för ombudsmannen inte är begränsat, om det inte föreskrivs särskilt om det. Därmed uppfylls förutsättningarna genom de allmänna principerna i den nationella rättsordningen.

12 §.Sakkunnignämnd. Sakkunnignämnden är ett internt sakkunnigorgan som hör till dataombudsmannens byrå och som på dataombudsmannens begäran ger utlåtanden om frågor som rör tillämpningen av lagstiftning som gäller behandling av personuppgifter. Det är således fråga om ett nytt slags organ som avviker från den nuvarande datasekretessnämnden. Sakkunnignämnden ska inte vara en heltidssyssla, utan nämnden samlas vid behov på kallelse av ordföranden. Sakkunnignämnden har ingen formell beslutanderätt.

I 1 mom. ingår bestämmelser om sakkunnignämndens sammansättning. Nämnden består av fem ledamöter som är sakkunniga på skydd av personuppgifter. Varje ledamot har en personlig ersättare. Även ledamöterna i den nuvarande datasekretessnämnden har personliga ersättare. De personliga ersättarna har vanligen haft samma slags sakkunskap som den ordinarie ledamoten. Vid förhinder för ordföranden är vice ordförande nämndens ordförande. Ordförandens ersättare deltar i en sådan situation som vanlig ledamot i nämndens möte.

I 2 mom. föreskrivs att statsrådet tillsätter sakkunnignämnden för en mandatperiod på tre år. Eftersom det inte är fråga om ett organ som fattar formella beslut utan om ett internt sakkunnigorgan vid dataombudsmannens byrå är det inte fråga om sådana ledamöter i tillsynsmyndigheten som avses i artikel 54 i den allmänna dataskyddsförordningen och vars mandattid enligt förordningen ska vara minst fyra år. För närvarande är datasekretessnämndens mandatperiod tre år. Den nuvarande mandatperioden har inte ansetts för kort och därför kan nämndens mandatperiod även i fortsättningen vara tre år.

I 3 mom. föreskrivs att en person som avlagt någon annan högre högskoleexamen i juridik än magister i internationell och komparativ rätt kan utses till ordförande och vice ordförande för sakkunnignämnden. Vidare förutsätts ordföranden och vice ordföranden ha god förtrogenhet med frågor som gäller skydd av personuppgifter. När det gäller nämndens övriga ledamöter räcker förtrogenhet med frågor som gäller skydd av personuppgifter. Vidare förutsätts sådan övrig kompetens som skötseln av uppgiften kräver. Av nämndens övriga ledamöter förutsätts inte högskoleexamen. Sådan övrig kompetens som skötseln av uppgiften förutsätter kan t.ex. vara sakkunskap i datateknik. Nämnden kan också höra utomstående sakkunniga enligt 17 § i den föreslagna lagen. En sådan utomstående sakkunnig kan också vara en sakkunnig i datateknik, om det på grund av ärendets art verkar ändamålsenligt.

I 4 mom. föreskrivs om det straffrättsliga tjänsteansvaret för sakkunnignämndens ledamöter när de sköter uppgifter som avses i denna lag. Bestämmelser om ledamöternas personliga tjänsteansvar behövs, eftersom ledamoten inte står i tjänsteförhållande till dataombudsmannens byrå. Vad som föreskrivs om ledamöternas straffrättsliga tjänsteansvar gäller även ersättarna till nämndens ledamöter när de sköter ledamotens uppgifter. Sakkunnignämndens ledamöter har också skadeståndsansvar enligt skadeståndslagen.

i 5 mom. föreskrivs om arvoden som ska betalas till nämndens ledamöter och ersättare. Justitieministeriet fastställer arvodesbeloppen.

13 §.Redogörelse för bindningar. I paragrafen föreskrivs om att dataombudsmannen och biträdande ombudsmän ska lämna in en redogörelse som avses i 8 a § i statstjänstemannalagen för sina bindningar. Skyldigheten i 8 a § i statstjänstemannalagen att lämna en redogörelse för sina bindningar gäller endast sådana tjänster som avses i 26 § 1—4 punkten och utsträcks således inte till dataombudsmannen och biträdande dataombudsmän. Därför måste det föreskrivas särskilt om saken.

En person som föreslås bli utnämnd till en tjänst ska enligt 8 a § i statstjänstemannalagen före utnämningen lämna en redogörelse för sin näringsverksamhet, sitt ägande i företag och annan förmögenhet samt för sina uppgifter utanför tjänsten, sina bisysslor enligt 18 § och för sina andra bindningar som kan vara av betydelse vid bedömningen av hans eller hennes förutsättningar att sköta de uppgifter som hör till den tjänst som ska tillsättas. Anmälan ska när det gäller bisysslor som avses i 18 § i statstjänstemannalagen innehålla uppgifter om inkomsten från bisysslorna. I artikel 52 i den allmänna dataskyddsförordningen föreskrivs om oberoende för tillsynsmyndigheternas ledamöter och i artikel 54.1 f om medlemsstatens skyldighet att föreskriva om verksamhet som står i strid med en åtgärd som vidtagits av en ledamot i tillsynsmyndigheten. Med avseende på tillförlitligheten i dataombudsmannens verksamhet är det också annars viktigt att inte dataombudsmannen eller den biträdande dataombudsmannen misstänks ha några sådana ekonomiska eller andra bindningar som kan inverka på deras avgöranden.

Dataombudsmannen och den biträdande dataombudsmannen ska utan dröjsmål anmäla även senare ändringar i de uppgifter som lämnats i anmälan om bindningar i enlighet med 8 a § i statstjänstemannalagen. Detsamma gäller eventuell senare uppdagade brister. Dessutom ska uppgifter om arbetsuppgifter utanför tjänsten som följer av tjänsteställningen och den eventuella inkomsten från dessa arbetsuppgifter anmälas.

Enligt artikel 54.1 f i den allmänna dataskyddsförordningen ska medlemsstaten föreskriva om vilka villkor som gäller för de skyldigheter som varje tillsynsmyndighets ledamot eller ledamöter och personal har, förbud mot yrkesverksamhet och förmåner som står i strid därmed under och efter mandattiden och vilka bestämmelser som gäller för anställningens upphörande.

Särskilda bestämmelser om förbudet för dataombudsmannen och den biträdande dataombudsmannen att utöva handlingar som står i strid med uppdraget behövs inte, utan statstjänstemannalagens allmänna bestämmelser om tjänsteförhållande, t.ex. bestämmelserna om bisyssla, blir tillämpliga. Vidare är artikel 52.3 i den allmänna dataskyddsförordningen en direkt tillämplig bestämmelse. Tillsynsmyndighetens ledamöter ska enligt punkt 3 avhålla sig från alla handlingar som är oförenliga med deras skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras tjänsteutövning.

14 §.Dataombudsmannens uppgifter och befogenheter. I 1 mom. finns en informativ hänvisning till artiklarna 55—59 i den allmänna dataskyddsförordningen som gäller tillsynsmyndighetens uppgifter och befogenheter. Dataombudsmannens uppgifter och befogenheter följer direkt av den allmänna dataskyddsförordningen. I den mån bestämmelser om dataombudsmannens uppgifter och befogenheter finns i den allmänna dataskyddsförordningen utfärdas inga särskilt bestämmelser om dem nationellt. Tillsynsmyndigheten kan ha även andra uppgifter än de som föreskrivs i den allmänna dataskyddsförordningen. Vidare kan medlemsstaten enligt artikel 58.6 i den allmänna dataskyddsförordningen föreskriva att dess tillsynsmyndighet ska ha ytterligare befogenheter utöver dem som föreskrivs i förordningen. Utövandet av dessa befogenheter ska inte påverka den effektiva tillämpningen av kapitel VII i den allmänna dataskyddsförordningen. Förutom den informativa hänvisningen i momentet konstateras att dataombudsmannen också har andra uppgifter och befogenheter enligt vad som föreskrivs särskilt om dem genom lag. På så vis beaktas dataombudsmannens vidsträckta allmänna behörighet och uppgifter och befogenheter som följer av annan lagstiftning. Exempelvis den allmänna tillsynen över kreditupplysningslagen (527/2007) hör till dataombudsmannen. Dataombudsmannen övervakar förutom behandling av personkreditupplysningar även behandling av företagskreditupplysningar.

I 2 mom. föreskrivs att dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen. Sådan behandling av personuppgifter som hänför sig till Ålands landskapslagar övervakas enligt landskapets förslag till reviderad dataskyddslagstiftning fortfarande av Datainspektionen i landskapet Åland. På så vis har Finland två sådana tillsynsmyndigheter som avses i dataskyddsförordningen. Artikel 51.3 i den allmänna dataskyddsförordningen förutsätter att det då utses en tillsynsmyndighet som ska företräda dessa myndigheter i styrelsen; medlemsstaten ska också upprätta en rutin för att se till att övriga myndigheter följer reglerna för den mekanism för enhetlighet som avses i artikel 63.

I 3 mom. föreskrivs om ackreditering av certifieringsorganet. Enligt artikel 43.1 i den allmänna dataskyddsförordningen utfärdas och förnyas certifiering av certifieringsorganet som har lämplig nivå av expertis i fråga om dataskydd, efter att ha informerat tillsynsmyndigheten för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58. Medlemsstaterna ska föreskriva om dessa certifieringsorgan är ackrediterade av en av eller båda följande: den behöriga tillsynsmyndigheten med stöd av artikel 55 eller 56 eller det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rådets förordning (EG) nr 765/2008 i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den behöriga tillsynsmyndigheten.

I Finland uppfyller det nationella ackrediteringsorganet, mätteknikcentralens ackrediteringsenhet (Ackrediteringstjänsten FINAS) de internationella och europeiska bedömningsgrunderna för ackreditering. Vidare har Kommunikationsverket en ackrediteringsuppgift enligt lagen om bedömningsorgan för informationssäkerhet (1405/2011). Enligt lagen kan bedömningsorgan ansöka hos Kommunikationsverket om godkännande för sin verksamhet.

Bestämmelser om ackrediteringsgrunder för certifieringsorgan enligt den allmänna dataskyddsförordningen finns i artikel 43.2 i den allmänna dataskyddsförordningen. Dataombudsmannens byrå har den expertis som förutsätts av ackrediteringen av certifieringsorgan enligt den allmänna dataskyddsförordningen. Därför föreskrivs i momentet att dataombudsmannens byrå ackrediterar ett sådant certifieringsorgan som avses i artikel 43 i dataskyddsförordningen.

Enligt 40 § 1 mom. i personuppgiftslagen ska dataombudsmannen vid behov anmäla ärendet för åtal. Dataombudsmannen kan anmäla ärendet till förundersökningsmyndigheten även utan en uttrycklig bestämmelse och därmed tas inte in några bestämmelser om detta i den nya dataskyddslagen.

I 4 mom. föreskrivs om att en årlig rapport om verksamheten ska upprättas och lämnas till riksdagen och statsrådet i enlighet med kraven i dataskyddsförordningen.

15 §.Dataombudsmannens beslutsfattande. Enligt 1 mom. avgör dataombudsmannen ärenden på föredragning. Dataombudsmannen kan med stöd av bestämmelsen i enskilda fall själv behandla och avgöra ärendena själv. Justitieombudsmannen har enligt 15 § i lagen om riksdagens justitieombudsman (197/2002) motsvarande möjlighet att enligt prövning behandla och avgöra ärenden utan föredragning. Dataombudsmannen kan på så vis med stöd av bestämmelsen enligt prövning i ett enskilt fall avgöra ett ärende utan föredragning. Dataombudsmannen kan dock inte bestämma om saken t.ex. genom arbetsordningen. Ärenden anhängiggörs vid dataombudsmannens byrå antingen av en registrerad, den personuppgiftsansvarige, ett personuppgiftsbiträde eller någon annan person eller på dataombudsmannens eget initiativ.

16 §.Biträdande dataombudsmannens uppgifter och befogenheter. I paragrafen föreskrivs om uppgiftsfördelningen mellan dataombudsmannen och biträdande dataombudsmannen och om biträdande dataombudsmannens befogenheter. Bestämmelser om uppgiftsfördelningen utfärdas genom arbetsordningen, som dataombudsmannen godkänner i enlighet med det som föreslås i 9 §. Den biträdande dataombudsmannen kan ha olika uppgifter som hör till uppgiftsfältet för dataombudsmannens byrå. Den biträdande dataombudsmannen kan också ha uppgifter som det föreslås bestämmelser om i 14 §, om det har bestämts i arbetsordningen. Den biträdande dataombudsmannen sköter självständigt de uppgifter som enligt arbetsordningen hör till honom eller henne.

Enligt 2 mom. har biträdande dataombudsmannen samma befogenheter vid skötseln av uppgifter som dataombudsmannen. Bestämmelser om dataombudsmannens befogenheter finns i artikel 58 i den allmänna dataskyddsförordningen. Den biträdande dataombudsmannen har således sådana befogenheter som avses i artikel 58 när han eller hon sköter uppgifter som enligt arbetsordningen för dataombudsmannens byrå hör till honom eller henne. Bestämmelser om andra befogenheter för dataombudsmannen enligt förordningen kan föreskrivas genom nationell lag. Till exempel enligt 33 § i kreditupplysningslagen utövar dataombudsmannen den allmänna tillsynen över efterlevnaden av lagen. När dataombudsmannen har andra befogenheter än de som avses i den allmänna dataskyddsförordningen har den biträdande dataombudsmannen också dessa befogenheter vid skötseln av sådana uppgifter för vars skötsel befogenheterna har föreskrivits.

17 §.Sakkunnignämndens uppgifter och behandling av ärenden. I paragrafen föreskrivs om sakkunnignämndens uppgifter och om behandling av ärenden i sakkunnignämnden.

Sakkunnignämnden ska enligt 1 mom. ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter. Nämnden ska ge utlåtanden på begäran av dataombudsmannen. Det är således dataombudsmannen som avgör vilka frågor han eller hon begär sakkunnignämndens utlåtande om. Ärendet ska dock vara viktigt till sin natur. Vid bedömningen av hur viktigt ett ärende är kan uppmärksamhet åtminstone fästas vid följande saker. Om ärendet gäller en stor krets av registrerade kan ärendet i allmänhet bedömas vara viktigt. Likaså är frågor som gäller central begrepp med tanke på behandling av personuppgifter och t.ex. tillämpningsområde till sin natur sådana att den kan betraktas som viktiga. Även viktiga ekonomiska intressen kan beaktas vid bedömningen av hur viktigt ett ärende är. Behandling av ovan nämnda ärenden i nämnden kan dock begränsa behandlingen av ett ärende i en mekanism för enhetlighet enligt den allmänna dataskyddsförordningen och i Europeiska dataskyddsstyrelsen. De tidsfrister som föreskrivits för dessa förfaranden kan i praktiken betydligt komplicera sakkunnignämndens möjlighet att ge ett utlåtande om det aktuella ärendet. Däremot har sakkunnignämnden en större betydelse i situationer där det är fråga om den nationella tolkningen av lagstiftning som kompletterar förordningen.

I 2 mom. föreskrivs om sakkunnignämndens möjlighet att höra utomstående sakkunniga. Även om det är fråga om en sakkunnignämnd är det möjligt att ett utlåtande om ett enskilt ärende förutsätter sådan sakkunskap som inte finns representerad i nämnden. Avgörandet av ett ärende som gäller behandling av personuppgifter kan förutsätta t.ex. medicinsk eller datateknisk expertis och det kan då finnas behov av att höra en utomstående sakkunnig för att nämnden ska kunna utforma en ståndpunkt i ärendet.

Dataombudsmannen ska dock sträva efter att bereda sina begäranden om utlåtande till nämnden så att ett sådant informationsbehovs i princip skulle ha beaktats i så stor utsträckning som möjligt när begäran om utlåtande bereddes på dataombudsmannens eget initiativ.

I 3 mom. föreskrivs att nämndens sekreterare är föredragande vid dataombudsmannens byrå. I förordningen om datasekretessnämnden och dataombudsmannen (432/1994) föreskrivs mera ingående om behörighetsvillkor för datasekretessnämndens sekreterare, sekreterarens uppgifter och anställningen av en sekreterare vid datasekretessnämnden. Sakkunnignämnden är dock inte en självständig myndighet. Detaljerade bestämmelser behöver därmed inte utfärdas om sekreterarens uppgifter och anställning av en sekreterare. Nämndens sekreterare ska uppfylla behörighetsvillkoren för föredragande vid dataombudsmannens byrå. Sakkunnignämndens sekreterare ska således vara en person som är förtrogen med dataombudsmannens uppgiftsområde. Sakkunnignämndens sekreterare ska bereda och föredra de ärenden som behandlas i nämnden. Administrativa ärenden som anknyter till sakkunnignämndens verksamhet, likaså skötseln av löpande ärenden, hör till personalen vid dataombudsmannens byrå, som även annars ska sköta sådana ärenden. Dataombudsmannen kan vara närvarande vid sakkunnignämndens möte, om detta behövs på grund av behandlingen av ärendet och den diskussion som förs om ärendet. Sakkunnignämnden beslutar dock om innehållet i sitt utlåtande utan dataombudsmannens närvaro.

18 §.Dataombudsmannens rätt att få information och utföra inspektioner. I 1 mom. hänvisas i fråga om dataombudsmannens rätt att få information och utöva tillsyn till artikel 58.1 i den allmänna dataskyddsförordningen. Dessutom föreskrivs i momentet om dataombudsmannens rätt att trots sekretessbestämmelserna få de uppgifter som behövs för skötseln av sina uppgifter. Det samma gäller den biträdande dataombudsmannen med stöd av 16 § i den föreslagna lagen. Befogenheterna för dataombudsmannens rätt att få information och utöva tillsyn följer direkt av förordningen. Bestämmelser om rätt att få information trots sekretessbestämmelserna måste dock föreskrivas särskilt.

Enligt 1 om. har dataombudsmannen rätt att få information utöver vad som föreskrivs i den allmänna dataskyddsförordningen. Detta behövs för att dataombudsmannens rätt att få information ska kunna utsträckas även till andra uppgifter än dem som enligt artikel 58 i den allmänna dataskyddsförordningen omfattas av dataombudsmannens rätt att få information. Dataombudsmannen har rätt att få även andra uppgifter än personuppgifter, om det behövs för skötseln av ombudsmannens uppgifter.

I 1 mom. föreskrivs dessutom att dataombudsmannen har rätt att få de uppgifter som avses i lagrummet avgiftsfritt.

För närvarande har dataombudsmannen enligt 39 § i personuppgiftslagen trots sekretessbestämmelserna rätt att få information om de personuppgifter som är föremål för behandling samt all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. I 1 mom. föreskrivs också på samma sätt som nu att tillsynsmyndigheterna har dessa befogenheter trots sekretessbestämmelserna. I artikel 58.1 a i den allmänna dataskyddsförordningen föreskrivs om tillsynsmyndighetens befogenheter att beordra den personuppgiftsansvarige eller personuppgiftsbiträdet, och i tillämpliga fall den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare, att lämna all information som myndigheten behöver för att kunna fullgöra sina uppgifter. I artikel 58.1 e i den allmänna dataskyddsförordningen föreskrivs om tillsynsmyndighetens befogenheter att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

Med stöd av artikel 58.1 b i den allmänna dataskyddsförordningen har tillsynsmyndigheten befogenheter att genomföra undersökningar i form av dataskyddstillsyn. Bestämmelser om motsvarande rätt att utöva tillsyn finns för närvarande i 39 § i personuppgiftslagen, som också innehåller bestämmelser om rätten att anlita sakkunniga vid inspektioner. Någon motsvarande bestämmelse om anlitande av sakkunniga finns inte i den allmänna dataskyddsförordningen och därför behövs bestämmelser om anlitandet av sakkunniga vid inspektioner i 19 § i den föreslagna dataskyddslagen.

Andra befogenheter för tillsynsmyndigheten i artikel 58.1 i den allmänna dataskyddsförordningen är befogenheten i artikel 58.1 c att genomföra en översyn av certifieringar som utfärdats i enlighet med artikel 42.7 och befogenheten enligt artikel 58.1 d att meddela den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av förordningen.

I 2 mom. föreskrivs om utförandet av inspektioner i utrymmen som används för boende av permanent natur. I artikel 58.1 f i den allmänna dataskyddsförordningen föreskrivs en befogenhet för tillsynsmyndigheten att få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till alla utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.

Personuppgifter kan behandlas på en sådan plats eller i ett sådant utrymme som omfattas av skyddet för hemfriden som avses i 10 § i grundlagen. Enligt 10 § 3 mom. i grundlagen kan genom lag bestämmas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna ska kunna tryggas eller för att brott ska kunna utredas.

För att säkerställa att dataombudsmannens uppgifter utförs effektivt ska tillsynsmyndigheten kunna övervaka att fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter tillgodoses även i ett utrymme som omfattas av skyddet för hemfriden.

Enligt 39 § 2 mom. i den gällande personuppgiftslagen får inspektion i lokaler som omfattas av hemfriden utföras endast om det i det föreliggande fallet finns specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter.

I 2 mom. föreslås att utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda omständigheter som är föremål för inspektion och om det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter så att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen. Med tanke på principen om regleringens proportionalitet har grundlagsutskottet utgått från att man inte bör ingripa i skyddet för hemfriden för att utreda föga klandervärda förseelser som allra högst bestraffas med böter (GrUU 40/2002 rd). Inspektionsrätten har i en vanlig lag också kunnat kopplas samman med ett förfarande som är sanktionerat med en straffavgift (GrUU 7/2004 rd och GrUU 39/2005 rd). De administrativa påföljdsavgifter som ska påföras för brott mot den allmänna dataskyddsförordningen är av straffkaraktär och därför motsvarar förslaget grundlagsutskottets praxis.

En inspektion som görs i ett utrymme som används för boende av permanent natur ska vara nödvändigt för att utreda omständigheter som är föremål för inspektion. En sådan nödvändighet kan bli aktuell t.ex. när den utrustning eller de personuppgifter som används vid behandling av personuppgifter finns i ett utrymme som används för boende av permanent natur och en fysisk inspektion av utrustningen är nödvändig för att det ska kunna utredas om bestämmelserna om skydd av personuppgifter har iakttagits. Förutom nödvändigheten förutsätts att det finns motiverade och specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om skydd av personuppgifter. Det är således fråga om brott mot bestämmelserna i artikel 83.4 och 5 i den allmänna dataskyddsförordningen samt om brott mot artikel 10 i den allmänna dataskyddsförordningen. Det kan också vara fråga om brott mot bestämmelser i speciallagstiftning. Förutsättningen är dock att påföljden för en misstänkt kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen.

Vid inspektioner iakttas även utan en uttrycklig bestämmelse 39 § i förvaltningslagen, enligt vilken en myndighet bland annat ska underrätta en part om tidpunkten då en inspektion inleds, såvida syftet med inspektionen inte äventyras av en sådan underrättelse. Under inspektionens gång ska parten om möjligt underrättas om inspektionens ändamål, hur den genomförs samt om fortsatta åtgärder. Inspektionen ska förrättas utan att inspektionsobjektet eller dess innehavare orsakas oskälig olägenhet. De principer för god förvaltning som även annars framgår av förvaltningslagen ska tillämpas. Utredningar om begärda dokument och andra utredningar ska behövas med avseende på tillsynsuppgiften och omfattningen av begäran stå i rätt proportion till det mål som eftersträvas.

19 §.Anlitande av sakkunniga. Paragrafen innehåller bestämmelser om dataombudsmannens rätt att anlita utomstående sakkunniga. I paragrafen föreskrivs om rätten att anlita utomstående sakkunniga till skillnad från sakkunnignämnden vid dataombudsmannens byrå. Skyddet av personuppgifter berör många olika delområden i samhället. Den specialkunskap som skötseln av dataombudsmannens uppgifter förutsätter kan i vissa fall förutsätta hjälp från en utomstående sakkunnig. En utomstående sakkunnig kan t.ex. anlitas i en situation där det behövs särskild information om särdragen i ett verksamhetsområde eller ärende för att riskerna med behandling av personuppgifter ska kunna bedömas. Så kan vara fallet t.ex. om uppgifterna gäller genomuppgifter eller biobanker. Då kan skötseln av dataombudsmannens uppgifter förutsätta medicinsk sakkunskap. Sådan utomstående sakkunskap kan behövas vid skötseln av allmänna handlednings- och rådgivningsuppgifter vid dataombudsmannens byrå. Vikten av specialkunskap framhävs dock i uppgifter som gäller rättelse av uppgifter och den registrerades rätt att bekanta sig med uppgifter som samlats inom honom eller henne (nuvarande rätt till insyn).

I 1 mom. föreskrivs om dataombudsmannens rätt att höra utomstående sakkunniga och begära utlåtanden från dem. Även i 7 § i lagen om datasekretessnämnden och dataombudsmannen föreskrivs om dataombudsmannens och datasekretessnämndens rätt att höra sakkunniga och begära in utlåtanden av dem. Den sakkunniga utses av dataombudsmannen eller av den biträdande dataombudsmannen. Sakkunnignämnden kan på eget initiativ anlita en sakkunnig i enlighet med den föreslagna 17 §.

I 2 mom. föreskrivs om dataombudsmannens rätt att anlita utomstående sakkunniga som hjälp vid inspektioner som ingår i hans eller hennes befogenheter. Dataombudsmannen har enligt artikel 58.1 i den allmänna dataskyddsförordningen rätt att utföra inspektioner. Dataombudsmannen har enligt 39 § 2 mom. i gällande personuppgiftslag rätt att inspektera personregister och att därvid anlita sakkunniga. Bestämmelsen behövs fortfarande för att säkerställa ett effektivt utförande av dataombudsmannens uppgifter.

En sakkunnig kan vid behov delta i dataombudsmannens inspektion enligt artikel 58.1 i den allmänna dataskyddsförordningen. Då tillämpas även vad som föreskrivs i 1 punkten om rätt att få information på den sakkunniga. Den sakkunnigas uppgift vid inspektionen är alltid att biträda dataombudsmannen. I 2 mom. föreskrivs dessutom att bestämmelser om straffrättsligt tjänsteansvar tillämpas på den sakkunniga när han eller hon biträder dataombudsmannen vid utförandet av inspektionen. I momentet finns dessutom en hänvisning till skadeståndsansvar enligt skadeståndslagen.

20 §.Handräckning. I paragrafen föreskrivs om dataombudsmannens rätt att på begäran få handräckning av polisen för att utföra sina uppgifter. Den förslagna bestämmelsen motsvarar i sak motsvarande bestämmelse i den nu gällande lagen om datasekretessnämnden och dataombudsmannen. Det kan bli aktuellt med handräckning t.ex. i samband med utförandet av inspektioner, då dataombudsmannen kan behöva handräckning av polisen för att få tillträde till en inspektionsplats.

4 kap. Rättssäkerhet och påföljder

21 §.Rätt att föra ärenden till dataombudsmannen. I paragrafen föreskrivs att en registrerad har rätt att föra ett ärende till dataombudsmannen, om den registrerade anser att behandlingen av personuppgifter som rör honom eller henne strider mot den gällande lagstiftningen. I artikel 77 i dataskyddsförordningen föreskrivs det om den registrerades rätt att lämna in klagomål till en tillsynsmyndighet. Bestämmelsen behövs eftersom registrerade med stöd av nationell lagstiftning har även andra rättigheter än sådana som hör till tillämpningsområdet för den allmänna dataskyddsförordningen.

Dataombudsmannen kan t.ex. ge råd eller anvisningar i ett ärende som förts till honom eller henne för prövning. Beroende på ärendets natur kan dataombudsmannen också fatta ett överklagbart förvaltningsbeslut i ärendet.

22 §.Vite. I paragrafen föreskrivs att dataombudsmannen kan förena ett beslut som avses i artikel 58.2 c—g och j med vite. I paragrafen föreskrivs också att dataombudsmannen kan förena rätten att få information enligt 18 § i dataskyddslagen med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).

Enligt 2 mom. får en fysisk persons skyldighet att lämna information enligt denna lag inte förenas med vite när det finns anledning att misstänka personen för brott och informationen gäller det ärende som brottsmisstanken hänför sig till.

23 §.Ändringssökande. I 1 mom. föreskrivs om sökande av ändring i dataombudsmannens beslut. Dataombudsmannen utövar befogenheter som följer av den allmänna dataskyddsförordningen när han eller hon fattar beslut. Beslutets överklagbarhet bestäms dock enligt förvaltningsprocesslagen. Enligt lagrummet får dataombudsmannens beslut överklagas hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. Momentet motsvarar därmed 45 § 1 mom. i personuppgiftslagen i enlighet med vilket beslut som dataombudsmannen och datasekretessnämnden fattat får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen. Jämfört med nuläget skulle den registrerades rätt att överklaga datasekretessmyndighetens beslut dock utvidgas, eftersom en del av datasekretessnämndens beslut överförs till dataombudsmannen. För närvarande har registrerade inte rätt att överklaga datasekretessnämndens beslut. De får överklagas endast av dataombudsmannen och den registeransvarige. Ärendet kan ha blivit anhängigt vid dataombudsmannens byrå på den registrerades initiativ och dataombudsmannen kan när behandlingen av ärendet framskridit ha ansökt hos datasekretessnämnden t.ex. om ett föreläggande om förbud mot behandling av personuppgifter. Parterna i ett ärende som behandlas av datasekretessnämnden är dock endast dataombudsmannen och den personuppgiftsansvarige.

I 2 mom. föreskrivs om rätt att anföra besvär över förvaltningsdomstolens beslut. I motsvarighet till 45 § 2 mom. i personuppgiftslagen får ändring i ett beslut av förvaltningsdomstolen sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. I den andra meningen i momentet föreskrivs om att även dataombudsmannen har rätt att söka ändring i ett beslut som förvaltningsdomstolen fattat med stöd av det föreslagna 22 § 1 mom. Det kan med hjälp av myndighetens besvärsrätt säkerställas att ärenden kommer till högsta förvaltningsdomstolen för avgörande på initiativ av såväl näringsidkare som myndigheter. Genom myndighetens besvärsrätt betonas dataombudsmannens uppgift som laglighetsövervakare, vars uppgift det är att övervaka att den allmänna dataskyddsförordningen iakttas. Tillsynsmyndighetens besvärsrätt behövs också för att säkerställa en enhetlig rättspraxis. Dataombudsmannen är även ledamot i Europeiska dataskyddsstyrelsen som inrättats genom den allmänna dataskyddsförordningen. En av det nya organets centrala uppgifter är att säkerställa en enhetlig tillämpning av den allmänna dataskyddsförordningen i medlemsstaterna. På så vis säkerställs att dataombudsmannen har en effektiv möjlighet att övervaka tillämpningen av den allmänna dataskyddsförordningen och de nationella lagarna som gäller skydd av personuppgifter enligt vad som förutsätts i den allmänna dataskyddsförordningen.

I 3 mom. föreskrivs att det i dataombudsmannens beslut kan bestämmas att beslutet ska iakttas även om det överklagas, om inte besvärsmyndigheten bestämmer något annat. På så vis säkerställs att dataombudsmannen har möjlighet att effektivt ingripa i lagstridig behandling av personuppgifter. Ett beslut som t.ex. gäller avbrytande av behandling av personuppgifter eller överföring av uppgifter är i praktiken onödigt om det inte redan när beslutet fattas kan förutsättas att det kommer att iakttas. Även enligt 45 § 3 mom. i personuppgiftslagen kan det i datasekretessnämndens beslut på motsvarande vis bestämmas att beslutet ska iakttas även om det överklagas. Enligt momentet kan det dock inte bestämmas i beslutet att det ska iakttas även om det överklagas när det är fråga om en administrativ påföljdsavgift. Administrativa påföljdsavgifter ska således verkställas först när beslutet vunnit laga kraft.

24 §.Beslut av kommissionen. I paragrafen föreskrivs om en nationell bedömning av kommissionens beslut om adekvat skyddsnivå på dataskyddet i vissa situationer. Paragrafen bygger inte direkt på den allmänna dataskyddsförordningen utan på EU-domstolens förhandsavgörande i rättsfallet Schrems, C-362/14, EU:C:2015:650, dom 6.10.2015. Det aktuella fallet handlade bland annat om behörigheten för den nationella tillsynsmyndighet som avses i artikel 28 i det gamla dataskyddsdirektivet när det gäller ett beslut enligt artikel 25.6 i det gamla dataskyddsdirektivet med stöd av vilket kommissionen konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå.

EU-domstolen ansåg i sitt avgörande att artikel 25.6 i det gamla dataskyddsdirektivet, jämförd med artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna, ska tolkas så, att ett beslut med stöd av den aktuella bestämmelse genom vilket kommissionen konstaterar att ett tredjeland säkerställer en adekvat skyddsnivå, inte utgör hinder för att en medlemsstats tillsynsmyndighet som avses i artikel 28 i det gamla dataskyddsdirektivet prövar en persons begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter som rör honom eller henne, vilka har överförts från en medlemsstat till detta tredjeland, när denna person gör gällande att detta tredjelands rätt och praxis inte säkerställer en adekvat skyddsnivå.

Vidare konstaterar EU-domstolen i skäl 65 i nämnda avgörande att det ankommer på den nationella lagstiftaren att föreskriva rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande för att pröva detta besluts giltighet. Det finns alltså ett behov av bestämmelser i den nationella lagstiftningen för att de kommissionsbeslut som avses här ska kunna bedömas hos den nationella tillsynsmyndigheten och i domstol. Vissa av medlemsstaterna har redan ändrat sin nationella lagstiftning så att den motsvarar dessa krav.

I 1 mom. föreskrivs att om dataombudsmannen i ett ärende som är anhängigt hos honom eller henne anser att ett beslut om Europeiska kommissionen fattat om adekvat skyddsnivå strider mot den allmänna dataskyddsförordningen kan dataombudsmannen föra ärendet till förvaltningsdomstolen för avgörande till denna del. På grund av att fallen förmodligen kommer att vara ganska få och den sakkunskap som behövs i ärendet koncentreras till en förvaltningsdomstol och därför ska dataombudsmannen enligt lagrummet föra ärendet till Helsingfors förvaltningsdomstol.

Enligt paragrafens 2 mom. får förvaltningsdomstolens beslut överklagas endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.

25 §.Administrativa påföljdsavgifter. I 1 mom. föreskrivs om påföljder i situationer där artikel 10 i den allmänna dataskyddsförordningen har överträtts. I paragrafen föreskrivs om behandling av personuppgifter i anknytning till fällande domar i brottmål och överträdelser. Enligt lagrummet får administrativa påföljdsavgifter i enlighet med den allmänna dataskyddsförordningen och dataskyddslagen påföras även för en sådan överträdelse med iakttagande av vad som föreskrivs i artikel 83.5 i den allmänna dataskyddsförordningen.

Bestämmelsen behövs framför allt på grund av artikel 84 i den allmänna dataskyddsförordningen. Enligt artikel 84.1 ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av denna förordning, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83, och vidta alla åtgärder som behövs (i förordningens svenska version används ordet nödvändiga) för att säkerställa att de genomförs. Sanktionerna ska vara effektiva, proportionella och avskräckande. På överträdelse av artikel10 i den allmänna dataskyddsförordningen tillämpas inte direkt med stöd av artikel 83 administrativa påföljdsavgifter. Således behövs det i den nationella lagstiftningen bestämmelser om behandling av personuppgifter i strid med artikel 10 i den allmänna dataskyddsförordningen. Med stöd av artikel 10 i dataskyddsförordningen kan bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser också utfärdas genom nationell lag. Den föreslagna bestämmelsen gäller också överträdelse av nationella bestämmelser som utfärdats med stöd av artikel 10.

I 2 mom. föreskrivs om att administrativa påföljdsavgifter får påföras myndigheter eller organ inom den offentliga förvaltningen. Enligt artikel 83.7 i den allmänna dataskyddsförordningen får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. I paragrafen föreskrivs att sådana administrativa påföljdsavgifter som avses i artikel 83 i dataskyddsförordningen inte kan påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga inrättningar, riksdagens ämbetsverk eller republikens presidents kansli. Med andra ord kan en administrativ påföljdsavgift inte påföras de myndigheter som avses i 2 § i förvaltningslagen eller statliga affärsverk. I detta sammanhang anses självständiga offentligrättsliga inrättningar även omfatta universitetsväsendet. I princip är statliga affärsverk inte längre verksamma på en konkurrensutsatt marknad utan producerar tjänster inom statsförvaltningen. Enligt den föreslagna lagen ska begränsningen inte gälla enbart de privata aktörer som sköter sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen. Sådana aktörer kan inte ställas utanför tillämpningen av den administrativa påföljdsavgiften med stöd av artikel 83.7 i dataskyddsförordningen, enligt vilken endast myndigheter ges spelrum.

Statliga affärsverk behöver nämnas i den föreslagna bestämmelsen, eftersom statliga myndigheter endast inbegriper inrättningar som hör till myndighetsorganisationen. Kommunala myndigheter inbegriper däremot även kommunala affärsverk.

En administrativ påföljdsavgift som påförs en myndighet är ett främmande förfarande utifrån vårt allmänna rättssystem och därför anses det i detta skede motiverat att undanta denna påföljd för den offentliga förvaltningens del. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen vilka för sin del motiverar denna lagstiftningslösning. Myndigheterna är bundna av laglighetsprincipen i förvaltningen, myndigheterna måste också iaktta allmänna förvaltningslagar. Den lagenliga behandling av personuppgifter som sker vid myndigheter hör till tjänsteplikten för dem som arbetar i myndigheterna. Ställningen som tjänsteman för med sig ett större ansvar för fel som begås i arbetet än för andra. För det första kan tjänsteansvaret vara ett straffrättsligt tjänsteansvar, ett disciplinärt tjänsteansvar samt skadeståndsansvar. Över en myndighets verksamhet kan också anföras en förvaltningsklagan till en högre myndighet. Myndigheternas verksamhet är budgetbunden och effekterna av en påföljd som avser ett penningbelopp inte är de samma som inom den privata sektorn. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter.

Riksdagens justitieombudsman och justitiekanslern övervakar lagligheten i myndigheternas och tjänstemännens verksamhet samt att myndigheterna och tjänstemännen uppfyller sin skyldighet. Laglighetsövervakarna kan till följd av ett klagomål som anförts hos dem väcka åtal, om det är fråga om en allvarlig lagstridighet, ge myndigheten en anmärkning, delge myndigheten sin uppfattning om det förfarande som lagen kräver samt uppmärksamgöra myndigheterna på de krav som god förvaltning ställer eller på synpunkter som främjar tillgodoseendet av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, rikta en framställning till en myndighet om att ett fel ska rättas eller ett missförhållande avhjälpas.

I samband med att dataskyddslagen stiftas föreslås bestämmelser om dataskyddsbrott. Detta skulle för sin del säkerställa ett effektivt påföljdssystem. Genom dataskyddslagen föreslå dessutom bestämmelser om möjligheten att förena dataombudsmannens beslut med vite. Vite kan även föreläggas myndigheter och organ inom den offentliga förvaltningen.

Avsikten är att genomförandet av dataskyddslagen iakttas och lagstiftningslösningen i fråga om administrativa påföljdsavgifter utvärderas vid behov på nytt med hänsyn även till EU:s eventuella rekommendationer och anvisningar i frågan.

Enligt det föreslagna 3 mom. får påföljdsavgift inte påföras om det har förflutit mer än 10 år sedan överträdelsen eller försummelsen har skett. Detta är möjligt med stöd av artikel 83.8 i den allmänna dataskyddsförordningen. Enligt artikel 83.8 omfattas tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet. Den föreslagna begränsningen är befogad med tanke på kravet på att påföljderna ska vara proportionella. När administrativa påföljdsavgifter påförs ska hänsyn även tas till omständigheter i anknytning till den straffrättsliga legalitetsprincipen, bl.a. förbud mot en retroaktiv strafflag.

I 4 mom. finns en information hänvisning till lagen om verkställighet av böter (672/2002). En administrativ påföljdsavgift enligt artikel 83 i den allmänna dataskyddsförordningen verkställs med iakttagande av lagen om verkställighet av böter. Den administrativa påföljdsavgift som avses i artikel 83 i den allmänna dataskyddsförordningen kan verkställas sedan beslutet om den administrativa påföljdsavgiften trätt i kraft. Ett lagakraftvunnet beslut om påföljdsavgift är verkställbart. Med inledande av verkställigheten avses verkställighet som inleds genom Rättsregistercentralens betalningsuppmaning. I princip ska den som har påförts en påföljd i penningbelopp alltid beredas möjlighet att betala påföljden frivilligt före indrivning som görs av Rättsregistercentralen eller genom utsökningsåtgärder. Före utmätningen ska den som påförts en penningprestation i princip ytterligare två gånger uppmanas att betala påföljden. Administrativa påföljdsavgifter betalas till staten.

26 §.Straffbestämmelser. Paragrafens 1 mom. innehåller en hänvisningsbestämmelse till de bestämmelser i strafflagen som kan bli aktuella som straffrättsliga påföljder med anledning av lagöverträdelser.

Momentet innehåller en hänvisningsbestämmelse till 38 kap. 9 § i strafflagen där det föreskrivs om dataskyddsbrott. En ny straffbestämmelse för dataskyddsbrott, genom vilken gällande straffbestämmelse för personregisterbrott skulle upphävas, föreslås i samband med stiftandet av denna lag. Vad gäller rekvisitet för dataskyddsbrott överlappar det inte administrativa påföljdsavgifter.

I momentet hänvisas också på samma sätt som i 48 § i personuppgiftslagen till 38 kap. 3, 4, 8 och 8 a § i strafflagen där det föreskrivs om straff för kränkning av kommunikationshemlighet samt för dataintrång. Till straff för brott mot tystnadsplikten enligt 34 § döms enligt 38 kap.1 eller 2 § i strafflagen, om inte gärningen ska bestraffas enligt 40 kap.5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

Paragrafens 2 mom. innehåller en hänvisningsbestämmelse till 38 kap. 10 § 3 mom. i strafflagen där det föreskrivs om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som avses i 2 mom. Dataombudsmannen ska dessutom ges möjlighet att blir hörd när ett brott som nämns i 2 mom. behandlas i domstol.

5 kap. Särskilda behandlingssituationer

27 §.Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål. I paragrafen föreskrivs om befrielser och undantag från den allmänna dataskyddsförordningen för att rätten som gäller skydd av personuppgifter ska samordnas med yttrandefriheten.

I 1 mom. föreskrivs om artiklar som inte ska tillämpas på behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Dessa är artikel 5.1 c—e, artiklarna 6—7, artiklarna 9—10, artikel 11.2, artiklarna 12—22, artikel 34 1—3, artiklarna 35—36, artikel 56, artikel 58,2 f, artiklarna 60—63 och artiklarna 65—67. Däremot tillämpas artiklarna 5(1)(f), 8, 23, 28—29, 32—33, artikel 34.4, artiklarna 37—38 och 40—43 på behandling av personuppgifter för ovan nämnda ändamål. Tillämpliga blir också sådana bestämmelser i den allmänna dataskyddsförordningen som det inte är möjligt att avvika från.

Enligt artikel 5.1 f i den allmänna dataskyddsförordningen ska personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Principen om integritet och konfidentialitet hänför sig till de skyldigheter i fråga om datasäkerhet och skydd av personuppgifter som ålagts den personuppgiftsansvarige i den allmänna dataskyddsförordningen och som även tillämpas på sådan behandling av personuppgifter som avses i artikel 85. Härmed ska även principen om integritet och konfidentialitet tillämpas på sådan behandling av personuppgifter som avses i artikel 85.

Tillämplig bland bestämmelserna i kapitel II i den allmänna dataskyddsförordningen är artikel 8 där det föreskrivs om villkor som ska tillämpas på ett barns samtycke när det gäller informationssamhällets tjänster. Om erbjudande av informationssamhällets tjänster hänför sig till ändamålen i artikel 85 ska artikel 8 i förordningen tillämpas även i fråga om sådan behandling av personuppgifter. Tillämpningen av artikeln begränsar sig till situationer där informationssamhällets tjänster erbjuds direkt till ett barn. Därmed undantas redaktionellt arbete, såsom intervjuer med barn, nyhetsrapportering om evenemang och frågor som gäller barn, artikelns tillämpningsområde, om det inte är fråga om att erbjuda informationssamhällets tjänster direkt till ett barn.

Av bestämmelserna i kapitel III i den allmänna dataskyddsförordningen som gäller den registrerades rättigheter tillämpas artikel 23 där det föreskrivs om möjligheten att i unionsrätten eller medlemsstatens lagstiftning begränsa de rättigheter som föreskrivs för den registrerade i den allmänna dataskyddsförordningen. Artikeln gäller inte den personuppgiftsansvarige eller personuppgiftsbiträdets skyldigheter, utan de befogenheter som getts lagstiftaren. Det behöver således inte göras undantag från artikeln för att skyddet av personuppgifter ska kunna samordnas med yttrandefriheten och informationsfriheten.

I artikel 28 i den allmänna dataskyddsförordningen föreskrivs om personuppgiftsbiträden. För närvarande omfattas registeransvariga av 5 och 32 § i personuppgiftslagen. På behandling av personuppgifter för redaktionella ändamål tillämpas 32 §. Enligt personuppgiftslagen ska den registeransvarige innan behandlingen av uppgifter inleds ge den registeransvarige tillbörliga förbindelser och i övrigt tillräckliga garantier för att personuppgifterna skyddas på det sätt som avses i 32 § 1 mom. Artikel 28 i den allmänna dataskyddsförordningen är mera detaljerad än 5 och 32 § i personuppgiftslagen. Artikel 28 i den allmänna dataskyddsförordningen innehåller bland annat tvingande bestämmelser om uppdragsavtal. Regleringen som gäller personuppgiftsbiträden ska t.ex. tillämpas i situationer där ett tidningshus lägger ut förvaringen av personuppgifter på en annan organisation, t.ex. som molntjänst. Att bestämmelserna i den allmänna dataskyddsförordningen är tillämpliga på sådan verksamhet utgör inget hinder för yttrandefriheten, och det ska således inte föreskrivas något undantag från artikel 28 i den allmänna dataskyddsförordningen när det är fråga om behandling av personuppgifter i sådana situationer som avses i artikel 85 i den allmänna dataskyddsförordningen.

Enligt artikel 29 i den allmänna dataskyddsförordningen får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende endast behandla personuppgifter på instruktion från den personuppgiftsansvarige. Genom dataskyddslagen föreslås undantag från flera av den registrerades rättigheter vid behandlingen av personuppgifter i sådana situationer som avses i artikel 85. När det görs stora undantag från den registrerades rättigheter, framhävs vikten av skyldigheter som gäller skydd av uppgifter. Således ska det inte göras några undantag från artikel 29 i dataskyddsförordningen vid behandlingen av personuppgifter i sådana situationer som avses i artikel 85.

Artikel 32 i den allmänna dataskyddsförordningen ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. För närvarande tillämpas 32 § i personuppgiftslagen som gäller skydd av personuppgifter på behandling av personuppgifter för redaktionella ändamål. Skyldigheten som gäller datasäkerhet och skydd av personuppgifter är ett centralt krav för att det ska säkerställas att rättssäkerheten tillgodoses i en situation där det föreskrivs flera undantag från principerna i den allmänna dataskyddsförordningen, den registrerades rättigheter och den personuppgiftsansvariges skyldigheter med stöd av artikel 85 i den allmänna dataskyddsförordningen. Artikel 32 ska därför tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. Det finns dock skillnader mellan 32 § i personuppgiftslagen som gäller skydd av uppgifterna och artikel 32 i den allmänna dataskyddsförordningen som gäller säkerhet i samband med behandlingen.

Enligt artikel 33 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige anmäla en personuppgiftsincident till den behöriga tillsynsmyndigheten. Personuppgiftslagen innehåller inga bestämmelser om att den registeransvarige eller den som behandlar personuppgifter ska anmäla kränkningar av datasäkerheten. För närvarande ska dock 32 § i personuppgiftslagen som gäller skydd av uppgifter tillämpas på behandling av personuppgifter för redaktionella ändamål. Dataombudsmannen övervakar att skyldigheterna i 32 § iakttas även när den personuppgiftsansvarige behandlar personuppgifter för redaktionella ändamål. Dataombudsmannen har rätt att i detta syfte erhålla behövliga uppgifter om skyddet av registren. Eftersom skyldigheterna som gäller skydd av uppgifter och datasäkerhet ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85, ska också artikel 33 i den allmänna dataskyddsförordningen tillämpas på behandling av personuppgifter i de situationer som avses i artikel 85. På så vis kan tillsynsmyndigheten få information om personuppgiftsincidenter. Dessutom ska artikel 34.4 i den allmänna dataskyddsförordningen tillämpas. Enligt den får tillsynsmyndigheten kräva att den information som avses i artikel 34 ska lämnas till den registrerade.

Artikel 37 i den allmänna dataskyddsförordningen som gäller utnämning av dataskyddsombudet ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. Skyldigheten att utse ett dataskyddsombud gäller i begränsad utsträckning aktörer inom den privata sektorn. Dataskyddsombudet ska utnämnas i situationer där den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

Skyldigheten att utnämna dataskyddsombudet gäller endast i begränsad utsträckning aktörer som behandlar personuppgifter i sådana situationer som avses i artikel 85 och skyldigheten behöver inte undantas det som föreskrivs i förordningen. Genom dataskyddslagen föreslås stora begränsningar i den registrerades rättigheter vid behandlingen av personuppgifter i sådana situationer som avses i artikel 85, t.ex. i den registrerades rätt att inte bli föremål för automatiserat beslutsfattande, t.ex. profilering. Däremot föreslås inga undantag genom dataskyddslagen från bestämmelserna om datasäkerhet. Dataskyddsombudet ska utnämnas i situationer där det är fråga om en omfattande, regelbunden och systematisk uppföljning av de registrerade, t.ex. profilering. När det föreslås undantag från utgångspunkten i den allmänna dataskyddsförordningen enligt vilken den registrerade har rätt att inte bli föremål för automatiserat beslutsfattande, framhävs vikten av de övriga metoder som föreskrivits för att trygga den registrerades rättigheter. Skyldigheten enligt artikel 37 att utnämna dataskyddsombudet ska därmed tillämpas vid behandling av personuppgifter i sådana situationer som avses i artikel 85. Dataskyddsombudet ska informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet. Beslut som gäller behandling av personuppgifter fattas dock av den personuppgiftsansvarige.

I artikel 38 i den allmänna dataskyddsförordningen föreskrivs om dataskyddsombudets ställning. Avsikten med bestämmelserna om dataskyddsombudets ställning är att säkerställa att dataskyddsombudet har lämpliga förutsättningar för skötseln av sina uppgifter. Därmed ska tillämpningen av artikel 38 inte begränsas genom dataskyddslagen.

Artikel 40 i den allmänna dataskyddsförordningen som gäller uppförandekoder ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. För närvarande tillämpas 42 § i personuppgiftslagen som gäller branschspecifika uppförandekodexar på behandling av personuppgifter för redaktionella ändamål. De registeransvariga eller sammanslutningar som företräder dem kan enligt 42 § i personuppgiftslagen utarbeta branschspecifika uppförandekodexar för tillämpningen av personuppgiftslagen och för främjandet av god informationshantering samt lämna de förslag som de uppgjort till dataombudsmannen. Dataombudsmannen kan granska att uppförandekodexarna överensstämmer med personuppgiftslagen och med övriga bestämmelser som påverkar behandlingen av personuppgifter. Artikel 40 i den allmänna dataskyddsförordningen som gäller uppförandekoder är mera detaljerad. Uppförandekoderna är för den personuppgiftsansvarige en möjlighet, inte en skyldighet. Denna möjlighet ska även i fortsättningen innehas av personuppgiftsansvariga som behandlar personuppgifter i sådana situationer som avses i artikel 85.

Artikel 41 i den allmänna dataskyddsförordningen gäller övervakning av godkända uppförandekoder. I den mån artikel 40 ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85, ska även artikel 41 som gäller övervakning av uppförandekoderna tillämpas på behandling av personuppgifter.

Artikel 42 i den allmänna dataskyddsförordningen gäller certifiering. Certifieringsartikeln ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. Möjligheten att använda certifiering ska fortfarande innehas av personuppgiftsansvariga och personuppgiftsbiträden som behandlar personuppgifter i sådana situationer som avses i artikel 85.

Artikel 43 i den allmänna dataskyddsförordningen som gäller certifieringsorgan ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85 i den mån artikel 42 om certifiering ska tillämpas.

I kapitel IX i den allmänna dataskyddsförordningen föreskrivs bestämmelser om särskilda behandlingssituationer. I förslaget föreslås inga bestämmelser om undantag från bestämmelserna i kapitel IX.

Artikel 27 i dataskyddsförordningen ska enligt 2 mom. inte tillämpas på behandling av personuppgifter i anknytning till sådan verksamhet som omfattas av lagen om yttrandefrihet i masskommunikation. Artikel 27 i dataskyddsförordningen gäller skyldigheten för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionen att utse en företrädare. Skyldigheten gäller situationer där dessa inte är etablerade i unionen och tjänster tillhandahålls registrerade som är etablerade i unionen eller det är fråga om uppföljning av registrerades beteende, dvs. det kan t.ex. vara fråga om profilering. I artikel 27 i dataskyddsartikeln föreskrivs om vissa undantag från denna skyldighet. Med stöd av 27 § i dataskyddslagen blir artikel 27 i dataskyddsförordningen inte heller tillämplig i en situation där chefredaktören för ett massmedium enligt yttrandefrihetslagen har ansvar för innehållet i ett publicerat meddelande. I 2 mom. föreskrivs dessutom att kapitel V i den allmänna dataskyddsförordningen (artiklarna 44—50) om överföring av personuppgifter till tredjeländer eller internationella organisationer inte ska tillämpas om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet. Tillämpliga blir därmed skyldigheterna som gäller överföring till tredje länder och skydd av personuppgifter och informationssäkerhet. Vid behandling av personuppgifter i sådana situationer som avses i artikel 85 i den allmänna dataskyddsförordningen kan den registrerades rättigheter frångås i stor utsträckning. Därmed framhävs skyldigheter som gäller skydd av uppgifter, i synnerhet vid överföring av uppgifter till tredje länder, t.ex. i syfte att bevara personuppgifter.

I 3 mom. i den föreslagna paragrafen föreskrivs att vissa artiklar i den allmänna dataskyddsförordningen ska tillämpas endast delvis på behandling av personuppgifter i situationer som avses i artikel 85. I sådana situationer kan det antingen vara fråga om att en viss punkt i den aktuella artikeln ska tillämpas eller att artikeln är av allmän karaktär och ska läsas tillsammans med en annan artikel. I den sist nämnda situationen är tillämpningen av artikeln bunden vid om den artikel som den har nära anknytning till ska tillämpas. I situationer som avses i artikel 85 ska i tillämpliga delar tillämpas artikel 5.1 a—b och artikel 5.2, artiklarna 24—26, artikel 31, artiklarna 39—40, artikel 52, artiklarna 57—58, artikel 64 och artikel 70.

I 3 mom. föreskrivs att dataskyddsprinciperna i artikel 5.1 a och b och artikel 5.2 ska tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande i den mån den allmänna dataskyddsförordningen med stöd av de undantag och befrielser som föreskrivs i artikel 85 ska tillämpas på sådan behandling.

Enligt artikel 5.1 a i den allmänna dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). Principerna om laglighet och korrekthet tillämpas på behandling av personuppgifter för ändamål som anges i artikel 85. Artiklarna 12—15 som ger uttryck för öppenhetsprincipen ska inte tillämpas när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Därmed ska principen inte tillämpas till denna del. När det gäller journalistiska ändamål kan behandlingen av personuppgifter inte vara helt transparent, eftersom mediernas uppgift som övervakare av maktutövningen vanligen förutsätter att uppgifter samlas in om personer också utan att de vet om det. Uppgifter som omfattas av källskydd ska skyddas. Därmed ska principen inte tillämpas i fråga om öppenhet.

Enligt artikel 5.1 b i den allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen (principen om ändamålsbegränsning). I tillämpliga delar innebär det i fråga om principen om ändamålsbegränsning att personuppgifter som samlats in för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande kan behandlas endast för relaterade ändamål. Dessa personuppgifter kan däremot inte behandlas t.ex. i olika förvaltnings- eller marknadsföringsuppgifter. Detta motsvarar med stöd av förarbetet till personuppgiftslagen den nuvarande regleringen och är fortfarande motiverat därför att det föreslås omfattande undantag i skyddet av personuppgifter när det gäller uttryck för yttrandefrihet.

Enligt artikel 5.2 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet). Ansvarsskyldigheten tillämpas till de delar och på de principer i artikel 5.1 som tillämpas vid behandling av personuppgifter i situationer som avses i artikel 85.

I artikel 24 i den allmänna dataskyddsförordningen föreskrivs att den personuppgiftsansvarige ska genomföra tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är förenlig med den allmänna dataskyddsförordningen. Artikel 24 i den allmänna dataskyddsförordningen ska i tillämpliga delar tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. Artikel 24 i den allmänna dataskyddsförordningen ska läsas tillsammans med de övriga artiklarna som gäller den personuppgiftsansvariges skyldigheter i den allmänna dataskyddsförordningen. Artikel 24 i den allmänna dataskyddsförordningen ska därmed tillämpas i situationer där någon annan artikel som gäller den personuppgiftsansvarige i den allmänna dataskyddsförordningen ska tillämpas.

Artikel 25 i den allmänna dataskyddsförordningen som gäller inbyggt dataskydd och dataskydd som standard ska tillämpas på behandling av personuppgifter i sådana situationer som avses i artikel 85. Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. Vid behandling av personuppgifter i situationer som avses i artikel 85 ska skyldigheten som gäller inbyggt dataskydd och dataskydd som standard beaktas i den mån som skyldigheterna i den allmänna dataskyddsförordningen gäller den personuppgiftsansvarige vid behandlingen av personuppgifter för detta ändamål.

I artikel 26 i den allmänna dataskyddsförordningen åläggs de gemensamt personuppgiftsansvariga en skyldighet att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen. En klar och genomskinlig definition av de gemensamt personuppgiftsansvarigas ansvar utgör inte en begränsning i användningen av yttrandefriheten. Därmed finns det ingen orsak att föreskriva om undantag från artikeln. Artikel 26 som gäller gemensamt personuppgiftsansvariga ska således i tillämpliga delar tillämpas på behandling av personuppgifter i situationer som avses i artikel 85, dvs. i den mån den allmänna dataskyddsförordningen annars tillämpas. Enligt förslaget ska artiklarna 13 och 14 i den allmänna dataskyddsförordningen inte tillämpas vid behandling av personuppgifter i situationer som avses i artikel 85. Därmed ska artikel 26 inte tillämpas på behandling av personuppgifter i situationer som avses i artikel 85 i den mån det är fråga om fastställande av de personuppgiftsansvarigas ansvarsområden i fråga om uppgifter som gäller tillhandahållandet av den information som avses i artiklarna 13 och 14.

Enligt artikel 31 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige och personuppgiftsbiträdet och deras företrädare på begäran samarbeta med tillsynsmyndigheten. Till de delar tillsynsmyndighetens uppgifter och befogenheter tillämpas på behandling av personuppgifter i situationer som avses i artikel 85 i den allmänna dataskyddsförordningen ska även artikel 31 tillämpas. Artikel 31 i den allmänna dataskyddsförordningen tillämpas därmed i tillämpliga delar på behandling av personuppgifter som avses i artikel 85.

I artikel 39 i den allmänna dataskyddsförordningen föreskrivs om dataskyddsombudets uppgifter. Artikeln ska tillämpas i tillämpliga delar. Artikel 39.1 c enligt vilken dataskyddsombudet på begäran ger råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den enligt artikel 35 ska inte tillämpas, eftersom artikel 35 inte ska tillämpas på behandling av personuppgifter i situationer som avses i artikel 85. Dessutom ställs artikel 39 e utanför tillämpningen i den mån dataskyddsombudet åläggs att fungera som kontaktpunkt i förhandssamsråd som avses i artikel 36. Denna punkt ska inte tillämpas, eftersom artikel 36 inte ska tillämpas på behandling av personuppgifter i situationer som avses i artikel 85.

Dataskyddsombudets uppgifter begränsas också med stöd av artikel 85 i den allmänna dataskyddsförordningen av de begränsningar som enligt planerna ska regleras genom dataskyddslagen. Eftersom den registrerades rättigheter enligt kapitel III i den allmänna dataskyddsförordningen inte ska tillämpas på behandling av personuppgifter i situationer som avses i artikel 85 kan inte heller dataskyddsombudets uppgifter inbegripa rådgivning till den personuppgiftsansvarige eller personuppgiftsbiträdet till de delar det är fråga om den registrerades rättigheter. Således ska dataskyddsombudets rådgivningsuppgifter främst gälla den personuppgiftsansvariges skyldigheter i fråga om dataskydd och tryggandet av uppgifter.

I 3 mom. föreskrivs vidare att artikel 57 som gäller tillsynsmyndigheternas uppgifter och artikel 58 som gäller befogenheter tillämpas i tillämpliga delar. Detta innebär att bestämmelserna om tillsynsmyndighetens uppgifter tillämpas till de delar bestämmelserna i den allmänna dataskyddsförordningen tillämpas på situationer som avses i artikel 85.

I det första momentet i förslaget föreslås bestämmelser om ett undantag från artikel 58.2 f i den allmänna dataskyddsförordningen. Vissa andra led i artikel 58 i den allmänna dataskyddsförordningen tillämpas inte heller, om den artikel som tillsynsmyndighetens befogenheter stöder sig inte ska tillämpas på behandling av personuppgifter för sådana ändamål som anges i artikel 85. T.ex. artikel 58.3 a i förordningen ska inte tillämpas, eftersom det i enlighet med vad som anges ovan föreslås bestämmelser om ett undantag från det förfarande för förhandssamråd som avses i artikel 36. Inte heller bestämmande inflytande i artikel 58.2 c som gäller utövandet av de registrerades rättigheter ska tillämpas eftersom kapitel III som gäller de registrerades rättigheter inte ska tillämpas på behandling av personuppgifter för ändamål som anges i artikel 85. På det här sättet bibehålls den reglering som motsvarar nuläget. I motsvarighet till nuläget ska datasekretessmyndighetens befogenheter att ingripa i behandling av personuppgifter som avses i artikel 85 främst gälla skyldigheter som rör skydd av personuppgifter.

Artiklarna 64 och 70 i den allmänna dataskyddsförordningen som gäller uppgifter och behörighet tillämpas i enlighet med 3 mom. i tillämpliga delar för att aktörer som behandlar personuppgifter för ändamål som avses i artikel 85 ska kunna tillämpa de uppförandekoder och certifikat som godkänns av dataskyddsstyrelsen.

28 §.Offentlighetsprincipen. Paragrafen är informativ och anger att bestämmelser om utlämnande av personuppgifter ur myndigheternas personregister även i fortsättningen ska utfärdas i lagen som gäller tillgång till officiella handlingar. I lagen som gäller tillgång till officiella handlingar föreslås inga ändringar. Nuläget kommer dock att förändras eftersom personuppgiftslagen upphävs genom den föreslagna lagen och den allmänna dataskyddsförordningen, som dessutom kompletteras genom den föreslagna dataskyddslagen, blir tillämplig.

29 §.Behandling av personbeteckningar. I paragrafen föreslås bestämmelser om behandling av personbeteckningar. Enligt artikel 87 i den allmänna dataskyddsförordningen får medlemsstaterna bestämma närmare på vilka särskilda villkor ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt den allmänna dataskyddsförordningen.

För närvarande bestäms rätten till behandling av personbeteckningar med stöd av 13 § i personuppgiftslagen. I förslaget kvarhålls gällande reglering.

Bestämmelser om behandling av personbeteckningar ingår för närvarande t.ex. i befolkningsdatalagen (661/2009), lagen om fordonstrafikregistret (541/2003), lagen om beskattningsförfarande (1558/1995), straffregisterlagen (770/1993) och handelsregisterlagen (129/1979).

Syftet med 29 § i dataskyddslagen är att bibehålla nuläget. I den föreslagna 29 § definieras särskilda förutsättningar för behandlingen bland annat genom en begränsning av möjligheten att behandla personbeteckningar så att den endast får göras med stöd av vissa rättsliga grunder för behandlingen. Detta motsvarar nuläget. Det bör noteras att en personbeteckning är avsedd att särskilja en person från andra, men att en personbeteckning uppges eller visas upp garanterar inte nödvändigtvis att det är fråga om den person som personbeteckningen avser.

Enligt 1 mom. är behandling av personuppgifter tillåten med den registrerades samtycke i enlighet med de allmänna villkoren för behandling av personuppgifter i den allmänna dataskyddsförordningen. I personuppgiftslagen förutsätts entydigt samtycke. Syftet med ändringen är inte att ändra nuläget. Definitionen på samtycke och förutsättningarna för samtycket följer direkt av den allmänna dataskyddsförordningen. Enligt 1 mom. får en personbeteckning behandlas också om det är viktigt att entydigt identifiera den registrerade 1) för att utföra en i lag angiven uppgift, 2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller 3) för historisk eller vetenskaplig forskning eller för statistikföring. En personbeteckning får således förutom med entydigt samtycke av den registrerade behandlas med stöd av artikel 6 c i den allmänna dataskyddsförordningen för att den personuppgiftsansvariges lagstadgade skyldighet ska iakttas. Ett annat villkor med avseende på rättslig grund för behandling enligt den allmänna dataskyddsförordningen är att uppgiften regleras i lag.

Det grundläggande villkoret för behandling av en personbeteckning är i samtliga fall att det är viktigt att entydigt identifiera den registrerade för utförande av den uppgift som anges i bestämmelsen. Därför skulle inte enbart det faktum att en lagstadgad uppgift skulle kunna utföras lättare eller snabbare med hjälp av personbeteckningen berättiga till behandling av personbeteckningen, utan behandlingen är tillåten endast när det är viktigt att entydigt identifiera den registrerade för att utföra uppgiften. I historisk eller vetenskaplig forskning bör strävan i princip vara att få den registrerades samtycke för behandling av personuppgifter. Därför och även för att målet inom historisk eller vetenskaplig forskning och statistikföring i mån av möjlighet bör vara att uppgifter ska behandlas så att de registrerade inte kan identifieras i dem, föreslås en bestämmelse om vikten av att entydigt identifiera den registrerade som villkor för behandling av personuppgifter även för historisk och vetenskaplig forskning samt för statistikföring. Vid historisk och vetenskaplig forskning samt statistikföring är det i allmänhet nödvändigt med en entydig identifiering av den registrerade vid samkörning av personregister.

En personbeteckning får enligt 2 mom. behandlas vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa. I tillämpningspraxis har behandling av personbeteckningen i ovan nämnda funktioner i allmänhet betraktats som behövlig för att en person ska kunna entydigt identifieras. I dessa fall är en tillförlitlig identifiering av personen ofta nödvändig redan utifrån den registrerades rättssäkerhet.

Enligt 3 mom. får en personbeteckning dessutom utöver vad som annars föreskrivs om behandling av personbeteckningar lämnas ut för sådan databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

I 4 mom. föreskrivs om att personbeteckningen inte i onödan får antecknas i handlingar som skrivs ut på basis av ett personregister, att personuppgifter över huvud taget inte får antecknas i onödan i handlingar. Den personuppgiftsansvarige ska därmed t.ex. sörja för att personbeteckningar inte antecknas synligt på postförsändelser. Personbeteckningar får inte heller antecknas t.ex. i arbetsskifts- eller semesterlistor som cirkulerar eller på listor över provresultat som sätts upp på anslagstavlan i en läroanstalt.

30 §.Behandling av personuppgifter i anställningsförhållanden. Paragrafen är av informativ karaktär. Enligt artikel 88 i den allmänna dataskyddsförordningen får medlemsstaterna i lag eller i kollektivavtal fastställa mer specifika regler vid behandling av anställdas personuppgifter i anställningsförhållanden. I lagen om integritetsskydd i arbetslivet föreskrivs bestämmelser om behandling av arbetstagares personuppgifter, test och kontroller som arbetstagare ska genomgå samt de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av arbetstagares e-postmeddelanden. Gällande kollektivavtal som innehåller föreskrifter för behandling av personuppgifter nämns dock inte i paragrafen.

31 §.Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål. I 1 mom. föreskrivs om undantag från vissa rättigheter för registrerade samt om förutsättningarna för sådana undantag och anknytande skyddsåtgärder i samband med vetenskaplig och historisk forskning.

Bestämmelser om undantag och anknytande skyddsåtgärder bygger på artikel 89.2 i den allmänna dataskyddsförordningen. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt punkten i i nationell rätt föreskrivas undantag från de rättigheter som avses i artiklarna 15, 16, 18 och 21. I artikel 15 i den allmänna dataskyddsförordningen föreskrivs om den registrerades rätt till tillgång (rätt till insyn), i artikel 16 om rätt till rättelse, i artikel 18 om rätt till begränsning av behandling och i artikel 21 om rätt att göra invändningar. Från alla dessa rättigheter ska undantag kunna göras med iakttagande av de skyddsåtgärder som räknas upp i 1 mom.

Det är motiverat att det görs undantag i dataskyddslagen för att inte vetenskapliga och historiska forskningsändamål ska äventyras i onödan. Detta motsvarar i stor utsträckning även nuläget, eftersom den registrerade med stöd av 27 § i personuppgiftslagen inte har rätt till insyn om personuppgifter används uteslutande för historisk eller vetenskaplig forskning eller statistikföring.

Undantag är dock enligt momentet tillåtna endast vid behov. Därmed kan undantag från den registrerades rättigheter göras endast i den mån sådana rättigheter sannolikt förhindrar uppnåendet av dessa särskilda ändamål eller försvårar det i hög grad och sådana undantag behövs för att uppfylla dessa ändamål. Till exempel i en situation där forskningsmaterialet är helt pseudonymiserat och den personuppgiftsansvarige inte har kodnyckeln, kan utövandet av den registrerades rätt till insyn i hög grad försvåra själva forskningen. Den personuppgiftsansvarige ska då från fall till fall pröva om undantaget behövs och är ändamålsenligt motiverat. Att uteslutande genomföra de skyddsåtgärder som räknas upp i 1—3 punkten i momentet berättigar därmed inte undantag från den registrerades rättigheter.

I momentet föreskrivs i enlighet med artikel 89 i den allmänna dataskyddsförordningen om särskilda skyddsåtgärder i situationer där det finns ett behov av att avvika från vissa av den registrerades rättigheter. Den allmänna dataskyddsförordningen inbegriper i sig betydande skyddsåtgärder. Den registrerades rättigheter tryggas t.ex. av att den registrerade kan föra ärendet till tillsynsmyndigheten för behandling, om han eller hon misstänker att personuppgifter behandlas för ett vetenskapligt forskningsändamål i strid med dataskyddsförordningen.

I 1 punkten föreskrivs att undantag är möjliga om behandlingen grundar sig på en ändamålsenlig forskningsplan. Med hjälp av forskningsplanen kan man vid behov t.ex. övervaka att behandlingen faktiskt sker inom sådan forskning som kan betraktas som vetenskaplig eller historisk forskning. Med stöd av 24 § 21 punkten i offentlighetslagen ska planer och basmaterial för forskning fortfarande vara sekretessbelagda. Forskningen ska dessutom enligt nuvarande praxis uppfylla även de allmänna forskningsetiska principerna i synnerhet när uppgifter som hör till särskilda kategorier av personuppgifter behandlas.

I 2 punkten föreskrivs att undantag förutsätter att det finns en ansvarig person eller en grupp som ansvarar för forskningen. Inte heller till dessa delar förändras rättsläget jämfört med nu.

I 3 punkten föreskrivs i stor utsträckning i motsvarighet till nuläget att personuppgifterna ska användas och lämnas ut endast för historisk eller vetenskaplig forskning eller ett annat förenligt ändamål och verksamheten också i övrigt bedrivas så att uppgifter om bestämda personer inte röjs för utomstående. I personuppgiftslagen är en senare användning av uppgifter tillåten endast för historisk eller vetenskaplig forskning. I enlighet med förslaget utvidgas den sekundära användningen av uppgifter så att den även inbegriper andra förenliga ändamål. Således kan personuppgifter som behandlats i forskning senare behandlas t.ex. för statistiska ändamål.

I 2 mom. föreskrivs i motsvarighet till 1 mom. om undantag från vissa av den registrerades rättigheter samt om förutsättningarna för sådana undantag i samband med statistikföring. Undantagen grundar sig likaså på artikel 89.2 i den allmänna dataskyddsförordningen.

Rätten att kontrollera uppgifter om sig själv kan uteslutas när det gäller statistikföring om man beaktar ändamålet med statistikföring och att ingreppet i integritetsskyddet är litet samt de tilläggsvillkor som föreslås och i stor utsträckning motsvarar villkoren i 15 § i personuppgiftslagen. I synnerhet ändamålsenligheten i utövandet av rättigheter enligt artiklarna 16 och 18 hänför sig väsentligt till om den registrerade över huvud taget har tillträde till uppgifterna om sig själv i enlighet med artikel 15. Statistikens användbarhet och tillförlitlighet kan dessutom i vissa situationer förutsätta att invändningar mot behandlingen inte får göras. Undantag skulle dock i motsvarighet till 1 mom. vara möjliga endast vid behov.

I momentet föreskrivs om de skyddsåtgärder genom vilka undantag från den registrerades rättigheter kan göras i sådana situationer som avses i momentet. I 1 punkten föreskrivs i enlighet med 15 § 1 mom. i personuppgiftslagen att undantag kan göras om statistiken inte kan uppgöras eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter används.

I 2 punkten förutsätts att framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet. Till innehållet motsvarar punkten 15 § 2 mom. i personuppgiftslagen, men det har gjorts en ändring av främst språklig karaktär för att klargöra den formulering som nu ansetts vara beroende av tolkning.

I 3 punkten förutsätts fortfarande i motsvarighet till nuläget och 15 § 3 punkten i personuppgiftslagen att uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

I 3 mom. föreskrivs att ett undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen kan göras även när uppgifter som hör till särskilda kategorier av personuppgifter behandlas för vetenskaplig eller historisk forskning eller för statistikföring. Det samma gäller personuppgifter som rör fällande domar i brottmål samt överträdelser enligt artikel 10 i dataskyddsförordningen. Förutsättningen är även då att undantaget från rättigheterna behövs. Ett undantag kan behövas t.ex. därför att tillgodoseendet av rättigheterna skulle göra det helt omöjligt att bedriva vetenskaplig forskning.

Villkoret är utöver åtgärderna enligt 1 och 2 mom. dessutom skyldigheten att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen. Genom detta villkor betonas den personuppgiftsansvariges planeringsskyldighet. En konsekvensbedömning avseende dataskydd ska minst 30 dagar före behandlingen inleds sändas skriftligen till dataombudsmannen för att dataombudsmannen vid behov ska hinna ingripa i behandlingen av personuppgifter. I bestämmelsen åläggs dataombudsmannen dock inte någon skyldighet att vidta åtgärder med anledning av att en konsekvensbedömning har inkommit.

Det bör noteras att skyldigheten att genomföra en konsekvensbedömning enligt artikel 35 i den allmänna dataskyddsförordningen och skicka den till dataombudsmannen för kännedom inte på något sätt begränsar skyldigheterna till följd av den allmänna dataskyddsförordningen att t.ex. i enlighet med artikel 36 höra dataombudsmannen.

Det bör även noteras att de skyddsåtgärder som förutsätts i paragrafen inte behövs, om det inte görs något undantag från den registrerades rättigheter enligt artiklarna 15, 16 och 18 vid behandling av personuppgifter. Den registrerades rättigheter begränsas i artikel 14.5 b, artikel 17.3 d och artikel 21.6 i dataskyddsförordningen. Eftersom den allmänna dataskyddsförordningen är direkt tillämplig lagstiftning, kan det direkt med stöd av förordningen göras ett undantag från den registrerades rättigheter i enlighet med ovan nämnda punkter i förordningen.

32 §.Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse. I paragrafen föreskrivs om de undantag från de registrerades rättigheter som möjliggörs av artikel 89.2 och 3 i den allmänna dataskyddsförordningen. När personuppgifter behandlas för arkivändamål av allmänt intresse kan det göras undantag från den registrerades rättigheter som avses i artiklarna 15, 16 och 18—21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen. Undantag från den registrerades rättigheter med stöd av det föreslagna lagrummet förutsätter således att rättigheterna sannolikt antingen skulle förhindra uppnåendet av de aktuella ändamålen eller försvåra dem i hög grad. Den registrerades rättigheter som avses i lagrummet är sådana att det kan vara mycket svårt att tillgodose dem i samband med arkivering. T.ex. rätten till rättelse av uppgifter enligt artikel 16 i den allmänna dataskyddsförordningen är svår att tillgodose när det gäller arkiverade uppgifter. I lagrummet förutsätts dessutom att arkivering är av allmänt intresse för att undantag ska kunna göras från den registrerades rättigheter. Med stöd av den föreslagna paragrafen är det möjligt att avvika från den registrerades rättigheter som anges i artiklarna 19 och 20 i dataskyddsförordningen. Motsvarande rättighet att avvika från den registrerades rättigheter ingår inte i 31 § som gäller vetenskaplig och historisk forskning samt statistiska ändamål. Detta beror på att artikel 89 i dataskyddsförordningen inte innehåller någon motsvarande nationell prövningsmarginal i fråga om vetenskapliga och historiska forskningsändamål och statistikföring. Den personuppgiftsansvarige ska sörja för att skyddsåtgärder enligt förordningen iakttas vid behandlingen.

För närvarande innehåller personuppgiftslagen inga bestämmelser om undantag från den registrerades rättigheter när personuppgifter behandlas för arkivändamål. I 35 § i personuppgiftslagen föreskrivs om överföring av personuppgifter till arkiv. Om användning och skydd av personregister som har överförts till arkivverket eller ett därmed jämförbart arkiv samt om utlämnande av uppgifter som finns i sådana register gäller enligt 1 mom. vad som bestäms särskilt. På sådan arkivföring har således inte tillämpats personuppgiftslagen. Då personuppgifter utlämnas ur privata personregister ska arkivverket eller ett därmed jämförbart arkiv dock beakta vad som i personuppgiftslagen bestäms om behandling och utlämnande av personuppgifter, om inte detta med hänsyn till de registrerade uppgifternas ålder och art är uppenbart onödig för de registrerades integritetsskydd.

Med arkivverket avses i 35 § i personuppgiftslagen Riksarkivet, om vilket det föreskrivs i arkivlagen. Andra därmed jämförbara arkiv är enligt regeringspropositionen om personuppgiftslagen (RP 96/1998 rd) bl.a. utrikesministeriets arkiv, krigsarkivet, arkivet vid Suomalaisen Kirjallisuuden Seura samt fackförbundens arkiv. Föreskrifter om Riksarkivet och dess uppgifter finns i lagen om Riksarkivet (1145/2016).

33 §.Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information. I paragrafen föreskrivs om sådana förutsättningar genom vilka den registrerades rätt till insyn i behandling av personuppgifter om sig själv kan begränsas. Begränsningarna gäller den registrerades rättigheter i artiklarna 13 och 14 i den allmänna dataskyddsförordningen. I artikel 13 föreskrivs om den personuppgiftsansvariges skyldighet att tillhandahålla den registrerade uppgifter om behandling av personuppgifter när uppgifter samlas in från den registrerade själv. I artikel 14 föreskrivs om motsvarande skyldighet när personuppgifter inte har samlats in från den registrerade. För närvarande föreskrivs i 24 § i personuppgiftslagen om den registeransvariges möjlighet att avvika från upplysningsplikten. Syftet med de begränsningar i den registrerades rättigheter som föreslås i 33 och 34 § är i princip att bibehålla nuläget, och syftet med de föreslagna bestämmelserna är således inte att ändra det förfarande för information till de registrerade som för närvarande iakttas vid laglighetskontroll och förvaltningsmyndigheternas övriga tillsyn.

Undantag från skyldigheten enligt artiklarna 13 och 14 i den allmänna dataskyddsförordningen kan enligt 1 mom. göras om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller den allmänna ordningen och säkerheten eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin. Den föreslagna bestämmelsen motsvarar 24 § 2 mom. 2 punkten i den gällande personuppgiftslagen. Punkten är möjlig med stöd av artikel 23.1 a—e i den allmänna dataskyddsförordningen.

I 2 mom. föreskrivs att undantag från artikel 14.1—14.4 i dataskyddsförordningen får göras om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade. En motsvarande bestämmelse ingår i 24 § 2 mom. 3 punkten i personuppgiftslagen. Att tillhandahålla uppgifter till den registrerade kan orsaka denna väsentlig skada eller olägenhet i sådan medicinsk forskning där uppgifter om genetiska sjukdomar behandlas. Villkoret för att uppgifterna inte tillhandahålls är då också att sådana uppgifter inte används till beslutsfattande som gäller den registrerade. Olägenheten ska vara väsentlig; enbart det faktum att olägenhet orsakas räcker inte för begränsning. Det föreslagna 2 momentet möjliggörs med stöd av artikel 23.1 i i den allmänna dataskyddsförordningen. Särskilda bestämmelser om andra begränsningar i personuppgiftslagen för den registrerades rätt att få information behövs inte, eftersom den registrerade enligt artikel 14.5 i den allmänna dataskyddsförordningen inte behöver tillhandahållas information om behandling av personuppgifter, om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning eller om erhållande eller utlämnande av uppgifter föreskrivs genom en medlemsstats lagstiftning. Särskilda bestämmelser om en sådan grund för begränsning som avses i 24 § i personuppgiftslagen och som gäller situationer där den registrerade redan har fått de uppgifter som avses i paragrafen behövs inte heller. Motsvarande punkt ingår i artikel 14.5 i den allmänna dataskyddsförordningen och är därmed direkt tillämplig även i Finland.

I 3 mom. föreskrivs om den personuppgiftsansvariges skyldighet att vidta ändamålsenliga åtgärder för att skydda den registrerades rättigheter. En av dessa åtgärder är att hålla de uppgifter som avses i artikel 14.1 och 2 i den allmänna dataskyddsförordningen allmänt tillgängliga. Denna skyldighet gäller dock inte om syftet med begränsningen i paragrafen skulle äventyras om uppgifterna hålls allmänt tillgängliga. För närvarande ska den registeransvarige enligt 10 § i personuppgiftslagen hålla registerbeskrivningen allmänt tillgänglig. Registerbeskrivningen innehåller delvis samma uppgifter som den registrerade ska tillhandahållas enligt artiklarna 14.1 och 2. För närvarande föreskrivs inte i 24 § i personuppgiftslagen som gäller information till den registrerade om den registeransvariges skyldighet att tillhandahålla information om förvaringstiden för personuppgifter eller om kriterierna för fastställandet av den tiden. I 24 § i personuppgiftslagen förutsätts inte heller att den registeransvarige ska informera den registrerade om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas. Artiklarna 13 och 14 i den allmänna dataskyddsförordningen innehåller en skyldighet att lämna ovan nämnda uppgifter till den registrerade. Även från dessa skyldigheter för den personuppgiftsansvarige kan göras undantag med stöd av den föreslagna paragrafen.

34 §.Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. I paragrafen föreskrivs om de förutsättningar genom vilka den registrerades rätt att bekanta sig med de uppgifter som samlats in om honom eller henne kan begränsas. För närvarande föreskrivs i 27 § i personuppgiftslagen om inskränkningar i rätten till insyn. Enligt artikel 23 i den allmänna dataskyddsförordningen kan medlemsstaterna genom lagstiftningsåtgärder begränsa bland annat den registrerades rätt enligt artikel 15 att bekanta sig med de uppgifter som samlats in om honom eller henne, om det är nödvändigt och proportionellt för att säkerställa de omständigheter som nämns i 1 punkten. I artikel 23.2 i dataskyddsförordningen föreskrivs om de saker som det enligt behov ska föreskrivas om vid begränsning av den registrerades rättigheter.

I 1 mom. föreskrivs om sådana situationer när en registrerad inte har i artikel 15 i avsedd rätt att bekanta sig med uppgifter som samlats in om honom eller henne. I 2—4 mom. föreskrivs om särskilda åtgärder som förutsätts i artikel 23.2 i den allmänna dataskyddsförordningen när den registrerades rättigheter begränsas i situationer som avses i 1 punkten.

Enligt 1 mom. 1 punkten har den registrerade inte denna rätt, om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredningen av brott. I 27 § 1 mom. 1 punkten i den gällande personuppgiftslagen föreskrivs huvudsakligen om motsvarande grunder för inskränkningar i rätten till insyn. Punkten är möjlig med stöd av artikel 23.1 a—d i den allmänna dataskyddsförordningen.

Enligt 1 mom. 2 punkten har den registrerade inte heller rätt enligt artikel 15 att bekanta sig med sina uppgifter om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter. Bestämmelsen motsvarar i huvuddrag 27 § 1 mom. 2 punkten i den gällande lagen. Till bestämmelsen föreslås ett tillägg enligt vilket den registrerades rätt att bekanta sig med uppgifter kan begränsas också därför att informationen kan medföra allvarlig fara för den registrerades rättigheter. Detta behövs för att bestämmelsen ska omfatta även sådana situationer som vanligen förekommer i barnskyddsärenden där ett barn är registrerat och det skulle strida mot barnets intressen att lämna uppgifterna till vårdnadshavaren. Det föreslagna tillägget motsvarar myndighetens nuvarande tolkningspraxis. För närvarande har begreppet vård i bestämmelsen om inskränkningar i rätten till insyn getts en vid tolkning och ansetts omfatta ovan nämnda situationer. Att någon annans rättigheter orsakas allvarlig fara ska fortfarande vara en behövlig grund för att begränsa den registrerades rättighet att få bekanta sig med uppgifter om sig själv. Denna behövs t.ex. i situationer av typen whistleblower t.ex. i bostadsaktiebolag eller när det görs barnskyddsanmälningar. Den föreslagna 2 punkten möjliggörs med stöd av artikel 23.1 j i den allmänna dataskyddsförordningen. Enligt punkten kan den registrerades rättigheter begränsas för att säkerställa skyddet för den registrerade eller någon annans rättigheter och friheter.

Enligt 1 mom. 3 punkten har den registrerade inte heller den rätt som avses i artikel 15 att bekanta sig med sina uppgifter, om personuppgifterna i registret används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen. Bestämmelsen motsvarar 27 § 1 mom. 4 punkten i den gällande personuppgiftslagen. Bestämmelsen i personuppgiftslagen baserar sig på artikel 13.1 e och f i det gamla dataskyddsdirektivet. Artikel 23.1 i den allmänna dataskyddsförordningen innehåller led h som motsvarar led f i direktivet. En punkt som motsvarar artikel 13.1 e i det gamla dataskyddsdirektivet ingår för sin del i artikel 23.1 e i den allmänna dataskyddsförordningen. Den föreslagna 3 punkten är således fortfarande möjlig.

I 2 mom. föreskrivs för tydlighetens skull om den registrerades rätt att få information om endast en del av de uppgifter som registrerats i ett personregister ställs utanför rätten till insyn i 1 mom. Den registrerade har även då rätt att få veta vilka övriga uppgifter som rör honom eller henne. En likadan bestämmelse ingår i 27 § 2 mom. i den gällande lagen.

Enligt 3 mom. ska den registrerade underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. Detta motsvarar artikel 23.2 h i den allmänna dataskyddsförordningen. Genom detta säkerställs en öppen behandling av personuppgifter och den registrerades rätt att på allmän nivå få information om en begränsning som gäller de uppgifter som samlats in om honom eller henne. Det är dock möjligt att redan information på ett allmännare plan kan äventyra syftet med begränsningen. I en sådan situation har den personuppgiftsansvarige ingen skyldighet att informera om orsakerna till begränsningen.

Enligt 4 mom. ska uppgifter på begäran av den registrerade lämnas till dataombudsmannen. På så vis säkerställs att den registrerades rättigheter blir ändamålsenligt skyddade även om den registrerade själv inte har någon rätt till insyn.

6 kap. Särskilda bestämmelser

35 §.Tystnadsplikt. I paragrafen föreskrivs om en allmän tystnadsplikt. Paragrafen motsvarar det som föreskrivs i 33 § i personuppgiftslagen, men det föreslås att bestämmelsen ändras delvis. I personuppgiftslagen åläggs för närvarande den person tystnadsplikt som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning. Paragrafen ses över så att tystnadsplikten även gäller vad personen har fått veta om en annan persons affärshemlighet. I Finland används olika begrepp för affärshemlighet i olika lagar: affärshemlighet, affärs- och yrkeshemlighet, yrkes- och affärshemlighet, företagshemlighet samt företags- och affärshemlighet. I praktiken anses begreppen avse samma sak, och de har också i rättspraxis i stor utsträckning tolkats på samma sätt. I samband med det nationella genomförandet av direktivet om företagshemligheter är avsikten att användningen av begreppet affärshemlighet ska förenhetligas i lagstiftningen.

För närvarande får de uppgifter som anges i 33 § i personuppgiftslagen inte röjas för utomstående i strid med personuppgiftslagen. Ordalydelsen ses över så att uppgifter inte obehörigt får röjas för utomstående. Obehörigt röjande kan därmed grunda sig på att det strider även mot någon annan lag än dataskyddslagen. Dessutom kompletteras bestämmelsen med ett förbud mot obehörig användning av information.

I paragrafen hänvisas till alla åtgärder i anknytning till behandlingen av personuppgifter. Tystnadsplikten gäller t.ex. en person som är anställd hos den personuppgiftsansvarige eller personuppgiftsbiträdet samt dataskyddsombudet.

36 §.Skydd för rapportörers identitet. I paragrafen föreskrivs om att identiteten för en fysisk person som har rapporterat en överträdelse av bestämmelser om skydd av personuppgifter ska hållas hemlig. Någon motsvarande bestämmelse ingår inte i den gällande personuppgiftslagen. Bestämmelser om skydd för rapportörers identitet finns för närvarande t.ex. i 71 a § i lagen om ändring av lagen om Finansinspektionen (1442/2016). Dessutom föreskrivs om rapporteringskanaler genom vilka rapporter om lagöverträdelser kan lämnas (eng. whistleblowing) t.ex. för kreditinstitut med stöd av 7 kap. 6 § i kreditinstitutslagen (610/2014), för försäkringsbolag med stöd av 6 kap. 17 a § i försäkringsbolagslagen (521/2008) och med stöd av 3 § i lagen om ändring av värdepappersmarknadslagen (519/2016).

Att hålla rapportörers identitet hemlig är reglering som gäller strikt begränsade situationer Det är således inte fråga om en allmänt tillämplig grund för tystnadsplikt, utan om en grund för tystnadsplikt som är avgränsad till skötseln av dataombudsmannens uppgifter. Det är således ändamålsenligt att ta in bestämmelser om denna grund för tystnadsplikten i kapitlet om tillsynsmyndigheten i dataskyddslagen, även om huvudregeln för reglering som gäller grunder för tystnadsplikt är att bestämmelserna ska koncentreras till offentlighetslagen. Detta stämmer också överens med den s.k. whistleblowing-regleringen.

Genom den föreslagna bestämmelsen genomförs den senare meningen i artikel 54.2, där det förutsätts att identiteten för personer som rapporterat överträdelser hålls hemlig. Om inte någon av grunderna för tystnadsplikt som anges i 24 § i offentlighetslagen ska tillämpas, ska endast uppgifter som direkt eller indirekt röjer rapportörens identitet med stöd av det föreslagna 1 mom. hållas hemliga.

Syftet med bestämmelsen är att skydda en rapportör som skulle kunna orsakas olägenheter om hans eller hennes identitet röjs. Rapportörer ska kunna meddela överträdelser av bestämmelser om skydd av personuppgifter till Dataombudsmannens byrå utan rädsla för skadliga påföljder. Grunden för tystnadsplikt som gäller rapportörens identitet är inte absolut, eftersom förutsättningen för tillämpningen av bestämmelsen är att röjandet av identiteten medför olägenhet för rapportören. Olägenheten kan t.ex. vara att rapportören står i ett särskilt förhållande till den personuppgiftsansvarige eller det personuppgiftsbiträde som är föremål för rapporten och att rapporten skulle kunna medföra olägenheter för detta förhållande. De omständigheter som avses i bestämmelsen gäller t.ex. när rapportören har en anställning hos den personuppgiftsansvarige eller personuppgiftsbiträdet. Rapportörens subjektiva uppfattning om olägenheten räcker inte ensam till för att grunden för tystnadsplikt som avses i bestämmelsen ska tillämpas. Bestämmelsen ska t.ex. inte tillämpas när rapporten gäller genomförandet av den registrerades rättigheter som anges i kapitel III i den allmänna dataskyddsförordningen. Då är det till och med nödvändigt att röja rapportörens identitet för den personuppgiftsansvarige för att ärendet ska utredas.

Enligt artikel 54.2 i den allmänna dataskyddsförordningen ska varje tillsynsmyndighets ledamot eller ledamöter och personal i enlighet med unionsrätten eller medlemsstaternas nationella rätt omfattas av tystnadsplikt både under och efter sin mandattid vad avser konfidentiell information som de fått kunskap om under utförandet av deras uppgifter eller utövandet av deras befogenheter. När det gäller tystnadsplikten för personalen vid Dataombudsmannens byrå behövs inga särskilda bestämmelser, eftersom Dataombudsmannens byrå är den myndighet som avses i offentlighetslagen vars verksamhet omfattas av offentlighetslagen. Således blir även bestämmelserna om personalens tystnadsplikt direkt med stöd av offentlighetslagen tillämpliga på personalen vid Dataombudsmannens byrå. Förutom personalen vid Dataombudsmannens byrå gäller detsamma dataombudsmannen, biträdande dataombudsmän, sakkunnignämnden och utomstående sakkunniga. I 23 § i offentlighetslagen föreskrivs det om tystnadsplikt och förbud mot utnyttjande. Enligt 23 § 1 mom. i den lagen får den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag inte röja en handlings sekretessbelagda innehåll eller en uppgift som vore sekretessbelagd om den ingick i en handling, och inte heller någon annan omständighet som han eller hon har fått kännedom om i samband med sin verksamhet hos myndigheten och för vilken tystnadsplikt föreskrivs genom lag. En uppgift för vilken tystnadsplikt gäller får inte heller röjas efter det att verksamheten hos myndigheten har upphört eller det uppdrag som utförts för myndighetens räkning har avslutats. Tystnadsplikten för en tjänsteman gäller således delvis också tiden efter tjänsteförhållandet.

Bestämmelser om förbud mot att utnyttja uppgifter finns i 23 § 3 mom. i offentlighetslagen. Den som har tystnadsplikt får inte använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan. I 40 kap. 5 § i strafflagen föreskrivs om brott mot tjänstehemlighet och brott mot tjänstehemlighet av oaktsamhet under den tid anställningen varar eller därefter.

Enligt 11 § i offentlighetslagen har den som i ett ärende är sökande eller anför besvär eller någon annan vars rätt, fördel eller skyldighet ärendet gäller (part) rätt att hos den myndighet som behandlar eller har behandlat ärendet ta del av en myndighetshandling som kan eller har kunnat påverka behandlingen, även om handlingen inte är offentlig. Enligt 11 § 2 mom. 1 punkten i offentlighetslagen föreligger rätten dock inte när utlämnande av uppgifter skulle strida mot ett synnerligen viktigt allmänt intresse eller ett annat synnerligen viktigt enskilt intresse. Att lämna information om rapporten av en överträdelse till den som är föremål för rapporten kan vara ett sådant synnerligen viktigt allmänt intresse som avses i offentlighetslagen, om utredningen av överträdelserna skulle försvåras av att uppgifter lämnas ut. Att lämna ut uppgifter om rapportören kan för sin del strida mot det synnerligen viktiga allmänna intresse som avses i offentlighetslagen, om röjandet av rapportörens identitet skulle äventyra rapportörens säkerhet, intressen eller rättigheter. Då ska partsoffentligheten begränsas. Förutsättningen för tillämpningen av bestämmelsen är att Dataombudsmannens byrå med stöd av de omständigheter som kommit fram i ärendet har grundad anledning att bedöma att det finns ett behov av skydd.

37 §.Ikraftträdande. I 1 mom. i paragrafen föreskrivs det om lagens ikraftträdande. Lagen träder i kraft den 25 maj 2018, då även den allmänna dataskyddsförordningen börjar tillämpas.

Enligt 2 mom. upphävs genom lagen personuppgiftslagen av den 22 april 1999 och lagen om datasekretessnämnden och dataombudsmannen av den 27 maj 1994.

38 §.Övergångsbestämmelser. I paragrafen föreskrivs om behövliga övergångsbestämmelser i synnerhet i situationer där ändringar i tillämplig lagstiftning ska beaktas.

Enligt 1 mom. upphör giltigheten för de tillstånd som datasekretessnämnden beviljat vid lagens ikraftträdande. Datasekretessnämnden har kunnat bevilja de tillstånd som avses i 43 § i personuppgiftslagen antingen tills vidare eller för viss tid. När den allmänna dataskyddsförordningen blir tillämplig, kan personuppgifter inte längre behandlas med stöd av ett tillstånd från datasekretessnämnden, utan det måste finnas en grund för behandlingen enligt artikel 6 och vid behov artikel 9 i den allmänna dataskyddsförordningen eller i nationell lag.

I momentet föreskrivs också om att ärenden som är anhängiga i datasekretessnämnden före den föreslagna lagens ikraftträdande förfaller vid lagens ikraftträdande. Således förfaller såväl de tillståndsansökningsärenden som avses i 43 § och de föreskriftsärenden som avses i 44 § i personuppgiftslagen som varit anhängiga i datasekretessnämnden när den nya lagen börjar tillämpas. Varken datasekretessnämnden eller någon annan datasekretessmyndighet kan när den allmänna dataskyddsförordningen blir tillämplig bevilja sådant tillstånd för behandling av personuppgifter som avses i 43 § i personuppgiftslagen och som t.ex. har kunnat beviljas när det gällt den personuppgiftsansvarige berättigade intresse. Behandlingsgrunden som gäller berättigat intresse följer i fortsättningen direkt av artikel 6.1 f i den allmänna dataskyddsförordningen.

Datasekretessnämnden dras in genom den föreslagna lagen. Således är det motiverat att även eventuella anhängiga föreskriftsärenden förfaller. Med stöd av 44 § i personuppgiftslagen har endast dataombudsmannen kunnat inleda ett föreskriftsärende som gäller behandling av personuppgifter i datasekretessnämnden. När den allmänna dataskyddsförordningen blir tillämplig har tillsynsmyndigheten, dvs. dataombudsmannen, en liknande möjlighet att meddela föreskrifter om behandling av personuppgifter.

På ärenden som anhängiggjorts i Dataombudsmannens byrå innan den föreslagna lagen träder i kraft tillämpas efter den föreslagna lagens ikraftträdande i princip den lagstiftning som gällde vid tillämpningen, dvs. den allmänna dataskyddsförordningen och den föreslagna dataskyddslagen. På ärenden som varit anhängiga vid Dataombudsmannens byrå när den föreslagna lagen träder i kraft tillämpas den föreslagna dataskyddslagen och den allmänna dataskyddsförordningen, om inte något annat föreskrivs i lagens övergångsbestämmelser. T.ex. på ärenden som gäller sådana anvisningar och råd som avses i 40 § 1 mom., sådana utlåtanden som avses i 41 § och sådan granskning av branschspecifika uppförandekodexar som avses i 42 § i personuppgiftslagen tillämpas den allmänna dataskyddsförordningen och den föreslagna lagen, även om ärendet skulle ha inletts vid Dataombudsmannens byrå innan den föreslagna lagen trädde i kraft.

Det är dock inte i alla avseenden motiverat att tillämpa den nya lagstiftningen på ärenden som är anhängiga vid Dataombudsmannens byrå t.ex. därför att det i de nya författningarna inte föreskrivs något om vissa ärende- eller uppgiftstyper. Därför föreslås enligt 2 mom. att det på ett ärende som gäller en anmälan till dataombudsmannen och som är anhängigt vid ikraftträdandet av den föreslagna lagen tillämpas bestämmelserna om anmälningsplikt och hur en anmälan ska göras i 36 och 37 § i personuppgiftslagen som gäller vid lagens ikraftträdande. I den allmänna dataskyddsförordningen eller genom den föreslagna lagen som kompletterar den föreskrivs inte längre om motsvarande anmälningar, och därför är det inte möjligt att tillämpa den nya lagstiftningen på behandlingen av sådana anmälningar.

I 3 mom. föreskrivs att på ett ärende som är anhängigt när den föreslagna lagen träder i kraft och som gäller utövande av rätten till insyn och rättelse av personuppgifter ska i princip tillämpas dataskyddslagen och den allmänna dataskyddsförordningen. Nämnda författningar tillämpas dock inte till de delar det är fråga om sådana bestämmelser i artiklarna 12 och 15—18 i förordningen där den personuppgiftsansvarige åläggs mer omfattande skyldigheter än i bestämmelserna i personuppgiftslagen och om tillämpningen av bestämmelserna i förordningen skulle vara oskälig med avseende på den personuppgiftsansvarige i det aktuella fallet. I princip ska det således även på den registrerades rätt att få tillgång till uppgifter och att rätta uppgifter tillämpas kraven i den nya lagstiftningen också i de fall där ärendet har blivit anhängigt före ikraftträdandet av den föreslagna lagen. I enskilda fall kan det dock vara oskäligt att förutsätta att den personuppgiftsansvarige ska iaktta sådana krav som inte har funnits i personuppgiftslagen. Då kan dataombudsmannen låta bli att tillämpa sådana bestämmelser i förordningen. Det är dessutom klart att dataombudsmannen inte kan påföra en sådan administrativ påföljdsavgift som avses i artikel 83 i den allmänna dataskyddsförordningen för gärningar som inträffat före den föreslagna lagens ikraftträdande.

I 4 mom. föreskrivs att det vid överklagande av beslut som datasekretessnämnden och dataombudsmannen fattat före ikraftträdandet av den föreslagna lagen tillämpas de bestämmelser som gällde vid ikraftträdandet av lagen. På extraordinärt ändringssökande tillämpas enligt bestämmelsen de bestämmelser som gällde vid ikraftträdandet av den föreslagna lagen dock endast om ett ärende som gäller extraordinärt ändringssökande har anhängiggjorts före ikraftträdandet.

Enligt 5 mom. tillämpas de bestämmelser som gällde vid ikraftträdandet av den föreslagna lagen på skyldigheten att ersätta skada, om den gärning som orsakat skadan har begåtts före ikraftträdandet av lagen. I artikel 82 i den allmänna dataskyddsförordningen föreskrivs om skyldigheten att ersätta skada på ett sätt som avviker från utgångspunkterna i personuppgiftslagen. Därmed är också en avtalsmässig ansvarsfördelning i praktiken till dessa delar baserad på olika utgångspunkter. Enligt 47 § i personuppgiftslagen är endast den registeransvarige skyldig att ersätta den skada som tillfogats den registrerade eller någon annan person av att personuppgifter har behandlats i strid med personuppgiftslagen. I artikel 82 i den allmänna dataskyddsförordningen föreskrivs däremot att även personuppgiftsbiträdet kan ha skyldighet att ersätta skador till följd av en överträdelse av förordningen. Artikeln innehåller även annars betydande bestämmelser om t.ex. ansvarsfördelningen mellan olika parter. Härmed behövs den föreslagna bestämmelsen så att ett möjligtvis mycket omfattande retroaktivt ingripande i de rättsförhållanden och avtal som gällde medan personuppgiftslagen var i kraft kan undvikas.

1.2 Strafflagen

38 kap. Om informations- och kommunikationsbrott

9 §.Dataskyddsbrott. Gällande bestämmelse om personregisterbrott föreslås bli utbytt mot en ny bestämmelse om dataskyddsbrott.

Enligt 38 kap. 9 § i gällande strafflag ska den som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med personuppgiftslagens bestämmelser om ändamålsbundenhet, allmänna förutsättningar för behandling, personuppgifternas relevans och felfrihet, känsliga uppgifter, personbeteckning eller behandling av personuppgifter för särskilda ändamål eller bryter mot särskilda bestämmelser om behandling av personuppgifter ska dömas till böter eller fängelse i högst ett år. För personregisterbrott döms likaså den som uppsåtligen eller av grov oaktsamhet genom att till en registrerad ge felaktig eller vilseledande information hindrar eller försöker hindra honom att utöva rätten till insyn eller i strid med 5 kap. i personuppgiftslagen översänder personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområde. Förutsättningen för att rekvisitet för brott ska uppfyllas i samtliga ovan nämnda situationer är att gärningen kränker den registrerades integritetsskydd eller åsamkar honom eller henne annan skada eller betydande men.

En mycket omfattande kriminalisering av behandling av personuppgifter på samma sätt som i 38 kap. 9 § i strafflagen är inte längre befogad. I och med de administrativa påföljdsavgifterna i den allmänna dataskyddsförordningen förändras påföljdssystemet för dataskyddslagstiftningen på ett genomgripande sätt. Således blir det straffrättsliga ansvaret aktuellt endast i situationer där lagstridig behandling av personuppgifter inte med stöd av förordningen omfattas av administrativa påföljdsavgifter.

I 1 mom. föreskrivs att den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt den allmänna dataskyddsförordningen skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter i strid med sådana bestämmelser i den allmänna dataskyddsförordningen, dataskyddslagen, lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten eller någon annan lag som gäller behandling av personuppgifter som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter, och därmed gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år.

Straffbestämmelsen ska därmed tillämpas endast i en situation där personen i fråga inte kan anses ha agerat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Straffbestämmelsen i artikel 2.2 c i den allmänna dataskyddsförordningen utgör inget hinder för tillämpning av straffbestämmelsen i sådana situationer, eftersom den egentliga behandlingen av uppgifter hör till tillämpningsområdet för den allmänna dataskyddsförordningen. I straffbestämmelsen föreslås inte något straffansvar för en juridisk person.

Ett exempel på straffbar verksamhet är behandling av personuppgifter av nyfikenhet utan någon berättigande grund för behandlingen. Sådana här så kallade spionagesituationer har i praktiken visat sig vara relativt allmänna. T.ex. en person som hör till hälso- och sjukvårdspersonalen kan med stöd av sin användarbehörighet ha rätt att behandla personuppgifterna för personer i vars vård de deltar. Däremot att obehörigt skaffa personuppgifter ur patientdatasystemet av pur nyfikenhet strider mot lag. Avsikten är att bestämmelsen ska tillämpas på spionagefall på samma sätt som gällande bestämmelse om personregisterbrott, med stöd av vilken det har ansetts att personuppgifter i ovan beskrivna situationer har behandlats i strid med bestämmelserna om ändamålsbegränsning.

För dataskyddsbrott döms enligt 2 mom. också en person som avses i 1 mom. och som handlar i strid med vad som i 1—4 punkten i det momentet föreskrivs om säkerhet vid behandling av personuppgifter. T.ex. artikel 32 i den allmänna dataskyddsförordningen reglerar säkerheten i samband med behandlingen av personuppgifter. En sådan situation kan vara aktuell t.ex. när någon i anställning hos den personuppgiftsansvarige förstör personuppgifter i strid med vad som föreskrivs om datasäkerhet. Bland annat ett förfarande där en person i strid med lag kastar bort dokument som skrivits ut från ett personregister utan att se till att de förstörs på ett datasäkert sätt kan vara straffbart.

10 §.Åtalsrätt. I 3 mom. föreslås en teknisk ändring. Hänvisningen till personregisterbrott ändras till en hänvisning till dataskyddsbrott i motsvarighet till den ändring som föreslås i 9 §. I bestämmelsen tas även in en grov gärningsform av dataintrång.

1.3 Lagen om verkställighet av böter

1 §.Lagens tillämpningsområde. Till 1 mom. föreslås bli fogad en ny 12 punkt, enligt vilken även en sådan administrativ påföljdsavgift som avses i artikel 83 i den allmänna dataskyddsförordningen och påförs av dataombudsmannen ska genomföras i den ordning som föreskrivs i lagen. I dataskyddslagen föreslås en bestämmelse om den administrativa påföljdsavgiften i 25 §. Enligt 31 § i förvaltningsprocesslagen är ett beslut om påförande av en administrativ påföljdsavgift inte verkställbart förrän det har vunnit laga kraft. Enligt 3 § i lagen om verkställighet av böter sörjer Rättsregistercentralen för verkställigheten.

2 Ikraftträdande

Lagarna föreslås träda i kraft den 25 x 2018. Lagarna träder således i kraft samtidigt som den allmänna dataskyddsförordningen enligt artikel 99.2 i förordningen börjar tillämpas.

3 Förhållande till grundlagen samt lagstiftningsordning

Enligt 10 § i grundlagen har var och en rätt till skydd för privatlivet. Enligt paragrafens 1 mom. är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt grundlagsutskottets praxis begränsas lagstiftarens spelrum utöver av denna bestämmelse också av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som tryggas i samma moment. Sammantaget handlar det om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som helhet.

Grundlagsutskottet har av hävd ansett att det är viktigt att reglera syftet med registrering med tanke på skyddet av personuppgifter. Grundlagsutskottet har i sin praxis dessutom ansett att det är viktigt med tanke på skyddet för personuppgifter att reglera åtminstone innehållet i de registrerade personuppgifterna och tillåtna användningsändamål, vilket inbegriper uppgifternas tillförlitlighet och bevaringstiden för uppgifterna i personregistren samt den registrerades rättsskydd. Kravet på att bestämmelser ska utfärdas genom lag gäller också möjligheten att lämna ut personuppgifter via en teknisk anslutning. Genom lag ska dessutom föreskrivas om möjligheten att kombinera registeruppgifter (GrUU 17/2007 rd, s.3 och GrUU 30/2005 rd, s. 4). Regleringen av behandling av personuppgifter på lagnivå ska dessutom vara heltäckande, exakt och avgränsad.

Den gällande personuppgiftslagen har tillsammans med offentlighetslagen ansetts uppfylla de krav som i grundlagsutskottets praxis ställts för lagstiftning som gäller skydd av personuppgifter. I sin senast utlåtandepraxis har grundlagsutskottet konstaterat att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter kan uppfyllas genom en ändamålsenligt beredd allmän unionsförordning eller genom en allmän nationell lag (GrUU 38/2016 rd, s. 4 och GrUU 5/2017 rd, s. 9).

Bestämmelserna i förslaget är viktiga med tanke på skyddet för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. Det bör noteras att den allmänna regleringen för behandling av personuppgifter i fortsättningen följer direkt av EU:s allmänna dataskyddsförordning vars innehåll är betydligt mera täckande och detaljerat än den gällande personuppgiftslagen. Genom den föreslagna regleringen kompletteras och preciseras den allmänna dataskyddsförordningen till de delar det är möjligt och ändamålsenligt inom ramen för det nationella spelrummet. Genom den allmänna dataskyddsförordningen och kompletterande nationella bestämmelser uppfylls kraven i grundlagen och dess vedertagna tolkning.

18 § 2 mom. i den förslagna dataskyddslagen är viktigt med tanke på skyddet för privatlivet och hemfriden i 10 § i grundlagen. Enligt 10 § 3 mom. i grundlagen kan genom lag bestämmas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna ska kunna tryggas eller för att brott ska kunna utredas. Enligt 39 § 2 mom. i den gällande personuppgiftslagen får inspektion i lokaler som omfattas av hemfriden utföras endast om det i det föreliggande fallet finns specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter. Personuppgiftslagens bestämmelse motsvarar grundlagsutskottets praxis eftersom utskottet har ansett (GrUU 20/2001 rd, GrUU 69/2002 rd) att åtgärder som ingriper i hemfriden är acceptabla ”för att brott ska kunna utredas”, om åtgärden i bestämmelsen binds vid förekomsten av en konkret och specificerad orsak att misstänka att brott mot lagen har skett eller kommer att ske. När det gäller reglering som ingriper i hemfriden har utskottet i sina utlåtanden (GrUU 46/2001 rd och GrUU 48/2001 rd) ansett att förutsättningen för vanlig lagstiftningsordning är att det framgår av bestämmelserna att en bostad bara får inspekteras om det är nödvändigt för att utreda omständigheter som gäller föremålet för inspektionen. Förutom att det ska vara nödvändigt förutsätts också att det finns en motiverad och specificerad anledning att misstänka att bestämmelser som gäller behandling av personuppgifter har överträtts eller kommer att överträdas så att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen. Inspektionsrätten har enligt utskottets praxis även kunnat vara sammankopplad med ett förfarande som är sanktionerat med en påföljdsavgift av straffkaraktär. (t.ex. GrUU 7/2004 rd, GrUU 39/2005 rd, GrUU 39/2016 rd, GrUU 39/2016 rd). Genom den föreslagna bestämmelsen preciseras förutsättningarna för inspektioner i utrymmen som används för boende av permanent natur. Den föreslagna regleringen är inte på ovan nämnda grunder problematisk med tanke på grundlagen. Vid inspektioner ska förvaltningslagens 39 § iakttas. Bestämmelserna uppfyller även till denna del de krav som uppställts i grundlagsutskottets praxis (GrUU 11/2013 rd).

Enligt 12 § 1 mom. i grundlagen är vars och ens yttrandefrihet tryggad. I yttrandefriheten som tryggas var och en i 12 § 1 mom. i grundlagen ingår rätten att framföra, sprida och ta emot information, åsikter och andra meddelanden utan att någon i förväg hindrar detta (GrUU 54/2002 rd). Yttrandefriheten tolkas i vid bemärkelse och neutralt i fråga om medlen i grundlagen (RP 309/1993 rd, 2. 56—57). I regleringen av yttrandefriheten i grundlagen ingår en särskild begränsningsklausul. Dessutom har grundlagsutskottet ansett att möjligheten att medge inskränkningar i yttrandefriheten ska bedömas utifrån de allmänna villkoren för begränsning av grundläggande fri- och rättigheter (GrUB 25/1994 rd, s. 4—5). En begränsning ska regleras i lag och den ska vara godtagbar, exakt och noggrant avgränsad, och den får inte gälla kärnområdet för en grundläggande fri- och rättighet. Begränsningarna ska också stå i rätt proportion till sina syften.

Det centrala syftet med 27 § i den föreslagna dataskyddslagen är att samordna skyddet av personuppgifter och yttrandefriheten. Den föreslagna bestämmelsen bör granskas utifrån grundlagens bestämmelser om yttrandefrihet. Den föreslagna regleringen balanserar skyddet av personuppgifter och yttrandefriheten på behörigt sätt och den beaktar de allmänna villkoren för begränsning av grundläggande fri- och rättigheter. Förslaget är också förenligt med vetenskapens frihet som tryggas i 16 § i grundlagen liksom med bestämmelserna om vetenskaplig forskning i 4 och 6 § i lagförslaget.

Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. I 28 § i den föreslagna dataskyddslagen ingår en hänvisningsbestämmelse som motsvarar nuvarande rättsläge enligt vilken det på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet för myndighetshandlingar.

Viktig utifrån offentlighetsprincipen i 12 § 2 mom. i grundlagen är också den föreslagna 37 §, som gäller sekretess. Riksdagen har betonat att bestämmelser om sekretess för myndigheternas uppgifter bör tas in centraliserat i offentlighetslagen i stället för i speciallagstiftning (t.ex. GrUU 2/2008 rd, s. 2 och GrUU 13/2000 rd). Det är dock motiverat att placera den föreslagna sekretessbestämmelsen som gäller identitetsskydd för personer som rapporterar överträdelser till dataombudsmannen i dataskyddslagen med hänsyn till bestämmelsens särskilda natur och dess betydelse med avseende på dataombudsmannens övervakning.

I den åldersgräns som enligt 5 § i förslaget till dataskyddslag tillämpas när informationssamhällets tjänster erbjuds har kraven i 6 § 3 mom. i grundlagen beaktats.

I 21 § i grundlagen föreskrivs det om rättsskydd. Enligt 1 mom. i paragrafen har var och en har rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. I 3 kap. i den föreslagna dataskyddslagen föreskrivs om tillsynsmyndighet och i 4 kap. om rättssäkerhet och påföljder. Förslagen har utarbetats med hänsyn till den rätt till rättsskydd som tryggas i 21 § i grundlagen, och med de föreslagna bestämmelserna tillsammans med rättssäkerhetsgarantierna i den allmänna dataskyddsförordningen säkerställs att rättsskyddet tillgodoses på det sätt som förutsätts i grundlagen.

Skötseln av en offentlig förvaltningsuppgift som avses i 124 § i grundlagen har i grundlagsutskottets praxis (t.ex. GrUU 8/2014 rd, s. 5/I och GrUU 29/2013 rd) i princip ansetts förutsätta att de fysiska personer som sköter uppgiften handlar under tjänsteansvar och därför utsträcks straffrättsligt tjänsteansvar i 12 § 3 mom. och 19 § 3 mom. i den föreslagna dataskyddslagen så att den även gäller sakkunniga som anlitas av dataombudsmannen och ledamöter i sakkunnignämnden.

I artikel 4 i tilläggsprotokoll 7 till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna definieras förbudet mot dubbel straffbarhet (ne bis in idem-förbudet). Enligt förbudet ne bis in idem får ingen lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat. Förbudet anses ingå även den finska grundlagens bestämmelse om lagfästa garantier för en rättvis rättegång i 21 § 2 mom., som gäller individens rättsskydd (RP 309/1993 rd, s.74/II; GrUU 9/2012 rd). Ett liknande förbud ingår också i artikel 14.7 i den internationella konventionen om medborgerliga och politiska rättigheter (FördrS 7—8/1976) och i artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna. När det gäller Europadomstolens avgörandepraxis är förbudets räckvidd inte begränsad bara till egentliga domar som innebär straffrättsliga sanktioner, utan det sträcker sig även till olika slag av administrativa påföljder av straffkaraktär. Grundlagsutskottet har i samband med reglering som gäller påföljder av straffkaraktär prövat om kraven på förbud mot dubbel straffbarhet har beaktats på behörigt sätt (GrUU 10/2016 rd och GrUU 17/2013 rd).

I och med de administrativa påföljdsavgifterna i den allmänna dataskyddsförordningen förändras påföljdssystemet för dataskyddslagstiftningen på ett genomgripande sätt. En mycket omfattande kriminalisering av behandling av personuppgifter på samma sätt som i 38 kap. 9 § i strafflagen är således inte längre befogad. I 38 kap. 9 § i strafflagen föreslås därför bestämmelser om en ny kriminalisering, dataskyddsbrott, som i fråga om rekvisitet är mycket mer begränsat än gällande 9 §. Ett dataskyddsbrott rör situationer där ett personuppgiftsbiträde inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Således blir det straffrättsliga ansvaret aktuellt endast i situationer där lagstridig behandling av personuppgifter inte med stöd av förordningen omfattas av administrativa påföljdsavgifter. Även 25 § i förslaget till dataskyddslag som gäller administrativa påföljdsavgifter och det anknytande 23 § 3 mom. i lagförslaget motsvarar grundlagsutskottets tolkningspraxis.

På de grunder som anges ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. Regeringens proposition bör föras till grundlagsutskottet i synnerhet med hänsyn till de centrala kopplingarna till skyddet av personuppgifter i 10 § i grundlagen.

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag:

Lagförslag

1. Dataskyddslag

I enlighet med riksdagens besluts föreskrivs:

1 kap.
Allmänna bestämmelser

1 § Lagens syfte

Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och dess nationella tillämpning.

2 § Tillämpningsområde

Denna lag tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Med stöd av denna lag tillämpas dataskyddsförordningen dessutom, med undantag för artikel 56 och kapitel VII, på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs någon annanstans i lag.

Denna lag tillämpas inte på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ).

3 § Tillämplig lag

På sådan behandling av personuppgifter som sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Europeiska unionen ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland.

Om en främmande stats lag ska tillämpas på behandling av personuppgifter och det med stöd av den lagen görs ett undantag i enlighet med artikel 89.2 i dataskyddsförordningen från de rättigheter som föreskrivs för att skydda registrerade, ska de skyddsåtgärder till skydd för registrerade som anges i 31 § dock iakttas oberoende av lagvalet.

2 kap.
Rättslig grund för behandling av personuppgifter i vissa fall

4 § Laglig behandling av personuppgifter

Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om

1) det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas,

2) behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse,

3) behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas, eller

4) behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig tillinnehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

5 § Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

När personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.

6 § Behandling av särskilda kategorier av personuppgifter

Artikel 9.1 i dataskyddsförordningen tillämpas inte

1) när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om en försäkrads eller ersättningssökandes hälsotillstånd, sjukdom eller funktionsnedsättning eller sådana uppgifter om de vårdåtgärder eller andra därmed jämförbara åtgärder som avser den försäkrade och som behövs för att utreda anstaltens ansvar,

2) på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag,

3) på sådan behandling av uppgifter om medlemskap i fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område,

4) när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård,

5) när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade,

6) på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka,

7) på behandling av uppgifter för vetenskaplig eller historisk forskning eller för statistikföring,

8) på behandling av forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål, med undantag för genetiska uppgifter.

En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter,

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,

3) utnämning av ett dataskyddsombud,

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,

5) pseudonymisering av personuppgifter,

6) kryptering av personuppgifter,

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident,

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen.

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.

7 § Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om

1) behandlingen behövs för fastställande, utövande, försvar eller avgörande av rättsliga anspråk, eller

2) uppgifterna behandlas för syften som anges i 6 § 1 mom. 1, 2 eller 7 punkten.

Vad som i 6 § 2 mom. föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas även vid behandling av sådana personuppgifter som avses i 1 mom.

3 kap.
Tillsynsmyndighet

8 § Dataombudsmannen

Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen finns i anslutning till justitieministeriet.

Dataombudsmannen är självständig och oberoende i sin verksamhet.

9 § Dataombudsmannens byrå

Dataombudsmannen har en byrå med en eller flera biträdande dataombudsmän och ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal.

Dataombudsmannen utnämner tjänstemännen och anställer den övriga personalen vid byrån.

Dataombudsmannen godkänner en arbetsordning för byrån.

10 § Behörighetsvillkor och utnämningsgrunder

Behörighetsvillkor för dataombudsmannen och biträdande dataombudsmän är annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt, god förtrogenhet med frågor som gäller skydd av personuppgifter och i praktiken visad ledarförmåga. Dessutom förutsätts förmåga att sköta internationella uppgifter.

11 § Utnämning och mandatperiod

Dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet för fem år i sänder.

Den som utnämns till dataombudsman och biträdande dataombudsman är fri från skötseln av en annan tjänst under den tid som han eller hon är dataombudsman eller biträdande dataombudsman.

12 § Sakkunnignämnd

Vid dataombudsmannens byrå finns en sakkunnignämnd som består av ordförande, en vice ordförande och tre andra ledamöter. Var och en av dem ska ha en personlig ersättare.

Statsrådet tillsätter nämnden för en mandatperiod på tre år.

Nämndens ordförande och vice ordförande ska ha avlagt annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt och ha god förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter. Av nämndens övriga ledamöter förutsätts förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter.

På nämndens ledamöter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). Nämndens ledamöter och ersättarna betalas arvode för uppdraget. Justitieministeriet fastställer arvodesbeloppen.

13 § Redogörelse för bindningar

Dataombudsmannen och biträdande dataombudsmän ska lämna en i 8 a § i statstjänstemannalagen (750/1994) avsedd redogörelse för sina bindningar.

14 § Dataombudsmannens uppgifter och befogenheter

Bestämmelser om dataombudsmannens uppgifter och befogenheter finns i artiklarna 55—59 i dataskyddsförordningen. Dataombudsmannen har också andra uppgifter och befogenheter som anges i denna lag och annanstans i lag.

Dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen.

Dataombudsmannen ackrediterar det certifieringsorgan som avses i artikel 43 i dataskyddsförordningen.

Dataombudsmannen ska upprätta en årlig rapport om sin verksamhet enligt artikel 59 i dataskyddsförordningen och lämna den till riksdagen och statsrådet. Verksamhetsrapporten ska hållas allmänt tillgänglig.

15 § Dataombudsmannens beslutsfattande

Dataombudsmannen avgör ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat.

16 § Biträdande dataombudsmannens uppgifter och befogenheter

Uppgiftsfördelningen mellan dataombudsmannen och de biträdande dataombudsmännen bestäms i arbetsordningen för dataombudsmannens byrå.

En biträdande dataombudsman har vid skötseln av sina uppgifter samma befogenheter som dataombudsmannen.

17 § Sakkunnignämndens uppgifter och behandling av ärenden

Sakkunnignämnden ska på dataombudsmannens begäran ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter.

Nämnden kan höra utomstående sakkunniga.

En föredragande vid dataombudsmannens byrå är sekreterare för nämnden.

18 § Dataombudsmannens rätt att få information och utföra inspektioner

Dataombudsmannen har, utöver vad som i artikel 58.1 i dataskyddsförordningen föreskrivs om tillsynsmyndighetens rätt att få information och utföra inspektioner, rätt att trots sekretessbestämmelserna avgiftsfritt få de uppgifter som behövs för skötseln av sina uppgifter.

I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen (39/1889).

19 § Anlitande av sakkunniga

Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.

Dataombudsmannen får vid inspektioner som ingår i dataombudsmannens befogenheter anlita biträde av utomstående sakkunniga. På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter sådana uppgifter. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

20 § Handräckning

Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.

4 kap.
Rättssäkerhet och påföljder

21 § Rätt att föra ärenden till dataombudsmannen

En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen.

22 § Vite

Dataombudsmannen får förena ett i dataskyddsförordningens artikel 58.2 c—g och j avsett beslut samt ett med stöd av 18 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).

Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.

23 § Ändringssökande

Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).

Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i ett beslut av förvaltningsdomstolen.

I ett annat beslut av dataombudsmannen än ett beslut som gäller en administrativ påföljdsavgift kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.

24 § Beslut av kommissionen

Om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande.

I förvaltningsdomstolens beslut får ändring sökas, om högsta förvaltningsdomstolen beviljar besvärstillstånd.

25 § Administrativa påföljdsavgifter

Administrativa påföljdsavgifter enligt artikel 83 i dataskyddsförordningen får påföras även för överträdelse av artikel 10 i dataskyddsförordningen, med iakttagande av vad som föreskrivs i artikel 83.5 i dataskyddsförordningen och i denna lag.

Statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli får inte påföras påföljdsavgift.

Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett.

Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002).

26 § Straffbestämmelser

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen och bestämmelser om straff för dataintrång och för grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. Till straff för brott mot tystnadsplikten enligt 36 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

I 38 kap. 10 § 3 mom. i strafflagen finns det bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns i 1 mom. liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål.

5 kap.
Särskilda behandlingssituationer

27 § Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 c—e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12—22, artikel 30, artikel 34.1—34.3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60—63 och artiklarna 65—67 i dataskyddsförordningen inte tillämpas på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Artikel 27 i dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter i samband med sådan verksamhet som omfattas av lagen om yttrandefrihet i masskommunikation (460/2003). Artiklarna 44—50 i dataskyddsförordningen ska inte tillämpas, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 a och b, artikel 5.2, artiklarna 24—26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

28 § Offentlighetsprincipen

På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.

29 § Behandling av personbeteckningar

En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade

1) för att utföra en i lag angiven uppgift,

2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller

3) för historisk eller vetenskaplig forskning eller för statistikföring.

En personbeteckning får behandlas vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.

Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.

30 § Behandling av personuppgifter i anställningsförhållanden

Bestämmelser om behandling av anställdas personuppgifter, test och kontroller som anställda ska genomgå och de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av anställdas e-postmeddelanden finns i lagen om integritetsskydd i arbetslivet (759/2004).

31 § Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål

När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att

1) behandlingen av uppgifterna grundar sig på en ändamålsenlig forskningsplan,

2) det finns en ansvarig person eller en grupp som ansvarar för forskningen, och

3) personuppgifterna används och lämnas ut endast för historisk eller vetenskaplig forskning eller ett annat förenligt ändamål och verksamheten också i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående.

När personuppgifter behandlas för statistiska ändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att

1) statistiken inte kan tas fram eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter behandlas,

2) framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet, och

3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

När personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas för ett ändamål enligt 1 eller 2 mom. krävs det för ett undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, utöver vad som föreskrivs i 1 och 2 mom., att det utförs en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen. Konsekvensbedömningen ska skriftligen delges dataombudsmannen 30 dagar innan behandlingen inleds.

32 § Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse

När personuppgifter behandlas med stöd av 4 § 4 punkten för arkivändamål av allmänt intresse får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18—21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen.

33 § Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information

Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information får göras, om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller allmän ordning och säkerhet eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin.

Undantag från artikel 14.1—14.4 i dataskyddsförordningen får också göras om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.

Om den registrerade enligt 1 eller 2 mom. inte tillhandahålls information, ska den personuppgiftsansvarige vidta lämpliga åtgärder till skydd för den registrerades rättigheter. I dessa åtgärder ingår att hålla den information som avses i artikel 14.1 och 14.2 i dataskyddsförordningen allmänt tillgänglig, om inte detta äventyrar syftet med begränsningen som gäller tillhandahållande av uppgifter.

34 § Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne

En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om

1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott,

2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller

3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.

Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne.

Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.

Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.

6 kap.
Särskilda bestämmelser

35 § Tystnadsplikt

Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller någon annans affärshemligheter får inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan.

36 § Skydd för rapportörers identitet

När en fysisk person har rapporterat till dataombudsmannens byrå om en misstänkt överträdelse av bestämmelser som omfattas av byråns tillsyn, ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.

37 § Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Genom denna lag upphävs personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994).

38 § Övergångsbestämmelser

Giltigheten av de tillstånd som beviljats av datasekretessnämnden upphör vid ikraftträdandet av denna lag. Ärenden som före ikraftträdandet av denna lag blivit anhängiga i datasekretessnämnden förfaller vid ikraftträdandet.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller en anmälan till dataombudsmannen tillämpas de bestämmelser i 36 och 37 § i personuppgiftslagen som gäller anmälningsplikt och hur en anmälan ska göras.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller utövande av rätten till insyn och rättelse av personuppgifter tillämpas inte de bestämmelser i artiklarna 12 och 15—18 i dataskyddsförordningen enligt vilka den personuppgiftsansvarige åläggs mer omfattande skyldigheter än vad den registeransvarige hade enligt de bestämmelser som gällde vid ikraftträdandet av denna lag om det med avseende på den personuppgiftsansvarige skulle vara oskäligt att tillämpa de nämnda bestämmelserna i dataskyddsförordningen.

Vid överklagande av beslut som datasekretessnämnden och dataombudsmannen fattat före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet. På extraordinärt ändringssökande tillämpas de bestämmelser som gällde vid ikraftträdandet av denna lag dock endast om ändringssökandet inletts före ikraftträdandet.

Om en gärning som orsakat skada har begåtts före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet på skyldigheten att ersätta skadan.

2. Lag om ändring av 38 kap. 9 och 10 § i strafflagen

I enlighet med riksdagens beslut

ändras i strafflagen (39/1889) 38 kap. 9 § och 10 § 3 mom.,

sådana de lyder, 38 kap. 9 § i lagarna 525/1999 och 480/2001 och 10 § 3 mom. i lag 441/2011, som följer:

38 kap.
Om informations- och kommunikationsbrott

9 § Dataskyddsbrott

Den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter i strid med någon sådan bestämmelse i

1) den allmänna dataskyddsförordningen,

2) dataskyddslagen ( / ),

3) lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten ( / ), eller

4) någon annan lag som gäller behandling av personuppgifter

som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter, och därmed gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år.

För dataskyddsbrott döms också den som uppsåtligen eller av grov oaktsamhet handlar i strid med vad som i de författningar och rättsakter som avses i 1 mom. 1—4 punkten föreskrivs om säkerhet vid behandling av personuppgifter.

10 § Åtalsrätt

Åklagaren ska höra dataombudsmannen innan åtal väcks för sekretessbrott, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av kommunikationshemlighet, dataintrång, grovt dataintrång eller dataskyddsbrott, om brottet i fråga riktar sig mot ett personregister. När domstolen behandlar ett mål som gäller ett sådant brott ska den ge dataombudsmannen tillfälle att bli hörd.

Denna lag träder i kraft den 25 maj 2018.

3. Lag om ändring av 1 § i lagen om verkställighet av böter

I enlighet med riksdagens beslut

ändras i lagen om verkställighet av böter (672/2002) 1 § 1 mom. 11 punkten, sådan den lyder i lag 470/2017, och

fogas till 1 § 1 mom., sådant det lyder i lagarna 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 och 470/2017, en ny 12 punkt som följer:

1 § Lagens tillämpningsområde

I den ordning som föreskrivs i denna lag verkställs följande påföljder:

11) ordningsavgift enligt 8 kap. 1 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och påföljdsavgift enligt 8 kap. 3 § i den lagen,

12) administrativa påföljdsavgifter enligt artikel 83 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

Helsingfors den 1 mars 2018

Statsminister Juha Sipilä

Justitieminister Antti Häkkänen

Kakinställningar

RP 9/2018 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Regeringens proposition RP 9/2018 rd Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

ALLMÄN MOTIVERING

1 Inledning

2 Nuläge

2.1 Lagstiftning och praxis

2.1.1 2.1.1 Allmänt

2.1.2 2.1.2 Lagens tillämpningsområde

2.1.3 2.1.3 Behandlingens rättsliga grund

2.1.4 2.1.4 Barns åldersgräns avseende informationssamhällets tjänster

2.1.5 2.1.5 Tillsynsmyndigheter

2.1.6 2.1.6 Rättssäkerhet och påföljder

2.1.7 2.1.7 Yttrandefrihet

2.1.8 2.1.8 Vetenskaplig och historisk forskning

2.1.9 2.1.9 Statistikföring

2.1.10 2.1.10 Arkivering som är förenlig med allmänt intresse

2.2 Den internationella utvecklingen samt lagstiftningen i utlandet och i EU

2.2.1 2.2.1 Europarådet

2.2.2 2.2.2 Europeiska unionens allmänna dataskyddsförordning

2.2.3 2.2.3 OECD:s dataskyddsrekommendation

2.3 Bedömning av nuläget

2.3.1 2.3.1 Allmänt

2.3.2 2.3.2 Lagens syfte och tillämpningsområde

2.3.3 2.3.3 Rättslig grund för behandling av personuppgifter i vissa fall

2.3.4 2.3.4 Barns åldersgräns avseende informationssamhällets tjänster

2.3.5 2.3.5 Tillsynsmyndigheter

2.3.6 2.3.6 Rättssäkerhet och påföljder

2.3.7 2.3.7 Yttrandefrihet

2.3.8 2.3.8 Vetenskaplig och historisk forskning

2.3.9 2.3.9 Statistikföring

2.3.10 2.3.10 Arkivering som är förenlig med allmänt intresse

3 Målsättning och de viktigaste förslagen

3.1 Målsättning

3.2 Lagens syfte och tillämpningsområde

3.3 Rättslig grund för behandling av personuppgifter i vissa fall

3.4 Åldersgräns för barn med avseende på informationssamhällets tjänster

3.5 Tillsynsmyndighet

3.6 Rättssäkerhet och påföljder

3.7 Yttrandefrihet

3.8 Vetenskaplig och historisk forskning

3.9 Statistikföring

3.10 Arkivering som är av allmänt intresse

4 Propositionens konsekvenser

5 Beredningen av ärendet

5.1 Beredningsskeden och beredningsmaterial

5.2 Remissyttranden och hur de har beaktats

6 Samband med andra propositioner

DETALJMOTIVERING

1 Lagförslag

1.1 Dataskyddslag

1 kap. Allmänna bestämmelser

2 kap. Rättslig grund för behandling av personuppgifter i vissa fall

3 kap. Tillsynsmyndighet

4 kap. Rättssäkerhet och påföljder

5 kap. Särskilda behandlingssituationer

6 kap. Särskilda bestämmelser

1.2 Strafflagen

38 kap. Om informations- och kommunikationsbrott

1.3 Lagen om verkställighet av böter

2 Ikraftträdande

3 Förhållande till grundlagen samt lagstiftningsordning

1. Dataskyddslag

1 kap. Allmänna bestämmelser

1 § Lagens syfte

2 § Tillämpningsområde

3 § Tillämplig lag

2 kap. Rättslig grund för behandling av personuppgifter i vissa fall

4 § Laglig behandling av personuppgifter

5 § Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

6 § Behandling av särskilda kategorier av personuppgifter

7 § Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

3 kap. Tillsynsmyndighet

8 § Dataombudsmannen

9 § Dataombudsmannens byrå

10 § Behörighetsvillkor och utnämningsgrunder

11 § Utnämning och mandatperiod

12 § Sakkunnignämnd

13 § Redogörelse för bindningar

RP 9/2018 rd

1 kap.
Allmänna bestämmelser

2 kap.
Rättslig grund för behandling av personuppgifter i vissa fall

3 kap.
Tillsynsmyndighet

4 kap.
Rättssäkerhet och påföljder

5 kap.
Särskilda behandlingssituationer

6 kap.
Särskilda bestämmelser

38 kap.
Om informations- och kommunikationsbrott