Senast publicerat 08-05-2021 12:55

2018 rd Förvaltningsutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet och lagutskottet för utlåtande.

Utlåtanden

Utlåtande har lämnats av

grundlagsutskottet
GrUU 26/2018 rd
lagutskottet
LaUU 10/2018 rd

Sakkunniga

Utskottet har hört

lagstiftningsråd Timo Makkonen
justitieministeriet
lagstiftningsråd Tanja Jaatinen
justitieministeriet
referendarieråd Mikko Eteläpää
Riksdagens justitieombudsmans kansli
överinspektör, kriminalinspektör Jari Nyström
inrikesministeriet
överinspektör Suvi Pato-Oja
inrikesministeriet
regeringssekreterare Perttu Wasenius
försvarsministeriet
budgetråd Kirsti Vallinheimo
finansministeriet
tingsdomare Jussi Leskinen
Helsingfors tingsrätt
överdomare Liisa Heikkilä
Helsingfors förvaltningsdomstol
statsåklagare Johanna Hervonen
Riksåklagarämbetet
registerchef Teemu Mikkola
Rättsregistercentralen
dataombudsman Reijo Aarnio
dataombudsmannens byrå
chef för it-förvaltningen Jari Råman
Polisstyrelsen
överinspektör Antti Wahlroos
skyddspolisen
tullöverinspektör Juha Vilkko
Tullen
professor Sakari Melander
professor Olli Mäenpää.

Skriftligt yttrande har lämnats av

Östra Finlands hovrätt
högsta förvaltningsdomstolen
Brottspåföljdsmyndigheten
Försvarsmakten
Ålands landskapsregering
Finlands Advokatförbund.

PROPOSITIONEN

Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Genom lagen genomförs det nya dataskyddsdirektivet.

Den föreslagna lagen ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Det är till denna del fråga om en nationell lösning.

I ovannämnda situationer ska den föreslagna lagen tillämpas som allmän lag. Avvikelser från lagens bestämmelser kan göras i speciallagstiftning.

Den föreslagna lagen ska innehålla bestämmelser om ändamålsbegränsning och andra allmänna principer för behandling av personuppgifter, den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över efterlevnaden av lagen samt rättsmedel och påföljder.

Tillsynen över efterlevnaden av lagen ska utövas av dataombudsmannen.

I samband med den föreslagna lagen föreslås det ändringar också i straffregisterlagen, lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen, lagen om justitieförvaltningens riksomfattande informationssystem, lagen om verkställighet av böter och lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten.

Propositionen hänför sig till den första tilläggsbudgetpropositionen för 2018, men avses inte bli behandlad i samband med den.

Lagarna avses träda i kraft den 6 maj 2018 eller så snart som möjligt efter det.

UTSKOTTETS ÖVERVÄGANDEN

Propositionens utgångspunkter

Syftet med denna proposition är att nationellt genomföra Europaparlamentets och rådets direktiv om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet för brottsbekämpande myndigheter, polisdirektivet eller direktivet).

För att genomföra direktivet föreslås en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (lagförslag1, nedan också dataskyddslagen avseende brottmål). Det är en allmän lag som ska tillämpas om inte annat föreskrivs någon annanstans i lag. Det finns också särskilda bestämmelser enligt förvaltningsområde för de behöriga myndigheter som tillämpar lagen.

Dataskyddslagen avseende brottmål ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten.

Dataskyddslagen avseende brottmål ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Direktivet kräver inte detta, och det är till denna del fråga om en nationell lösning.

Den föreslagna lagen innehåller bestämmelser om de allmänna principerna för behandling av personuppgifter på lagens tillämpningsområde. Till dessa principer hör bland annat kravet på laglig behandling, principen om ändamålsbegränsning, kravet på relevans och kravet på felfrihet. I lagen ingår också särskilda bestämmelser om behandling av uppgifter som hör till särskilda kategorier av personuppgifter och behandling av personbeteckningar. I lagen föreskrivs också om den personuppgiftsansvariges och personuppgiftsbiträdets ansvar, rätten till insyn och andra rättigheter för den registrerade, krav på informationssäkerhet, utnämning av ett dataskyddsombud och dataskyddsombudets uppgifter, krav när personuppgifter överförs till tredjeländer, tillsynen över att lagen efterlevs samt rättsmedel och påföljder. Dataombudsmannen är den specialmyndighet som ska utöva tillsyn över efterlevnaden av lagen.

Samtidigt med direktivet antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan dataskyddsförordningen). Bestämmelserna utgör kärnan i reformeringen av EU:s dataskyddslagstiftning, som ska modernisera och förenhetliga regleringen om skyddet för personuppgifter inom unionen.

Dataskyddsförordningen gäller a priori så gott som all behandling av personuppgifter inom den privata och offentliga sektorn, med undantag av behandlingen av personuppgifter i brottmål enligt det nu aktuella direktivet. Regeringen har lämnat en proposition (RP 9/2018 rd) med förslag till nationell lagstiftning som kompletterar och preciserar förordningen. Förvaltningsutskottet har lämnat betänkande FvUB 13/2018 rd om den propositionen. De myndigheter som omfattas av dataskyddslagen avseende brottmål tillämpar således dataskyddsförordningen och den kompletterande dataskyddslagen när det gäller behandling av personuppgifter utanför direktivets tillämpningsområde.

Behandlingen i förvaltningsutskottet har aktualiserat flera frågor som också aktualiserades när propositionen om dataskyddslagen (RP 9/2018 rd) behandlades. Sådana är exempelvis frågan om den registrerades rättsmedel, dröjsmålsbesvär, utredning av lagenligheten i kommissionens beslut om dataskydd och påföljder. Förvaltningsutskottet anser det med avseende på lagstiftningens tydlighet och konsekvens befogat att de nationella lagstiftningslösningarna i dessa frågor är så enhetliga som möjligt. Det finns också befogade skillnader mellan lagarna. Det är bland annat relevant att den föreslagna dataskyddslagen avseende brottmål, till skillnad från dataskyddsförordningen och dataskyddslagen som tillämpas på både offentlig och privat sektor, a priori begränsar sig till myndigheter i fråga om organisatoriskt tillämpningsområde.

Grundlagsutskottet har lämnat utlåtande (GrUU 26/2018 rd) om propositionen. Utskottet har inte haft något att anmärka mot de grundläggande lösningarna i lagförslagen. Att lagens tillämpningsområde utvidgas till upprätthållande av den nationella säkerheten uppfyller enligt grundlagsutskottet den konstitutionella förpliktelsen om tryggande av personuppgifter också i detta avseende. Utskottet anser att lagförslaget i propositionen innehåller relevanta och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, den registrerades rättigheter, tillsynen och exempelvis informationssäkerheten. Utskottet har ändå fäst uppmärksamhet vid vissa av de föreslagna bestämmelserna.

Enligt grundlagsutskottet kan lagförslagen behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till dess 48 och 61 § beaktas på behörigt sätt.

I lagutskottets utlåtande (LaUU 10/2018 rd) behandlas utöver frågor i anslutning till rättssäkerhet och påföljder särskilt regleringens tillämplighet på domstolarnas verksamhet.

Sammantaget tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande anmärkningar och ändringsförslag.

Förhållande till dataskyddslagen

Grundlagsutskottet påpekar i sitt utlåtande om dataskyddslagen (GrUU 14/2018 rd) att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas innan den sistnämnda lagen trätt i kraft i sin helhet, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 6). Grundlagsutskottets förutsätter att förvaltningsutskottet med hjälp av övergångsbestämmelser ser till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av polisdirektivet träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att förslaget till dataskyddslag ska kunna behandlas i vanlig lagstiftningsordning.

I den aktuella propositionen avses de föreslagna lagarna träda i kraft den 6 maj 2018. Men lagförslagen har lagtekniskt utarbetats utifrån att de ska träda i kraft samtidigt med de lagar som föreslås i proposition RP 9/2018 rd om dataskyddslagen. Förvaltningsutskottet har lämnat betänkandet FvUB 13/2018 rd om proposition RP 9/2018 rd. Förvaltningsutskottet konstaterar att den planerade marschordningen i nuläget är möjlig, varvid det problem som grundlagsutskottet nämner inte uppstår. I betänkandet FvUB 13/2018 rd föreslås därför inga övergångsbestämmelser. Förvaltningsutskottet konstaterar att lagarna ska sättas i kraft samtidigt, och då behövs inga övergångsbestämmelser.

Viktiga regleringsobjekt med avseende på skyddet av personuppgifter

Grundlagsutskottet har analyserat vilken betydelse tillämpningen av EU:s dataskyddsförordning får för skyddet av personuppgifter i sitt utlåtande GrUU 14/2018 rd. Med anledning av den förestående tillämpningen av dataskyddsförordningen såg utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet av personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen.

Grundlagsutskottet såg det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers fri- och rättigheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att utskottet i konstitutionella analyser av behandlingen av personuppgifter har sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gentemot individer (se GrUU 1/2018 rd).

I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karakterisering som senare blivit vedertagen, nämligen att ”polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd och GrUU 67/2010 rd).

Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6). Relevant är också att det i den nu aktuella propositionen sägs att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten, handlar det delvis om en nationell lösning till följd av det tillämpningsområde som är kopplat till tillämpningsområdet för EU-rätten i dataskyddsförordningen och polisdirektivet, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen.

Följaktligen menar grundlagsutskottet att bestämmelserna om behandling av personuppgifter fortfarande bör granskas utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är att det förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten som ingår i den aktuella propositionen är en lag som blir till-lämplig som allmän lag på sitt tillämpningsområde och som ska kompletteras med speciallagstiftning för olika förvaltningsområden.

Grundlagsutskottet har också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd och GrUU 71/2014 rd). Grundlagsutskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför dataskyddsförordningens tillämpningsområde (se även GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd och GrUU 38/2016 rd).

Nationellt spelrum och skydd för hemfriden

Grundlagsutskottet anser i sitt utlåtande att propositionen inte i alla avseenden tillräckligt detaljerat redogör för det nationella spelrummets omfattning. Utskottet anser att det i synnerhet förblir oklart huruvida det i artikel 47.1 och 47.4 i dataskyddsdirektivet för brottsbekämpande myndigheter föreskrivs om att den myndighet som utövar tillsyn över iakttagandet av den föreslagna lagen ska ha obegränsade inspektionsbefogenheter på hemfridsskyddade platser.

Bestämmelser om dataombudsmannens rätt att utöva tillsyn ingår i 48 § i dataskyddslagen avseende brottmål. Enligt grundlagsutskottets utlåtande är befogenheten på behörigt sätt knuten till krav på nödvändighet. Men grundlagsutskottet har ändå fäst uppmärksamhet vid att det i 60 § i lagförslaget också hänvisas till brott med endast böter som påföljd. Förvaltningsutskottet bör enligt utlåtandet noggrant utreda behovet av åtgärder som sträcker sig till hemfridsskyddade platser. Om inspektionsbefogenhet på hemfridsskyddade platser inte i alla avseenden förutsätts av direktivet, måste användningen av befogenheten bindas endast till bestämmelser med fängelsepåföljd i strafflagen. Den här ändringen är i så fall en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Förvaltningsutskottet konstaterar att principerna för direktivets nationella genomförande och det nationella spelrummet till sina väsentliga delar beskrivs på allmän nivå i propositionsmotiven. I propositionen konstateras det att dataskyddsdirektivet för brottsbekämpande myndigheter föreskriver att det nationella genomförandet inte får leda till försämringar i personuppgiftsskyddet. Direktivet hindrar inte heller medlemsstaterna från att föreskriva om en högre skyddsnivå för skyddet av den registrerades rättigheter än vad som fastställts i direktivet. I den aktuella propositionen beaktas mycket riktigt regleringen i den gällande personuppgiftslagen (523/1999), och till vissa delar har man gått in för att trygga den registrerades rättigheter bättre än miniminivån enligt direktivet, bland annat genom att i lagen ta in bestämmelser om behandling av personbeteckningar trots att direktivet inte har några bestämmelser om det.

Enligt de allmänna principerna för genomförande ska bestämmelserna i direktivet genomföras effektivt och enligt principen om lojalt samarbete. I förhållande till det resultat som eftersträvas är direktivet förpliktande för varje medlemsstat det riktar sig till, men överlåter åt de nationella myndigheterna att välja form och medel.

Enligt artikel 47.1 i direktivet ska varje medlemsstat i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. I skäl 82 till direktivet sägs det att undersökningsbefogenheten när det gäller tillträde till lokaler bör utövas i enlighet med särskilda krav i medlemsstaternas nationella rätt, såsom kravet på att inhämta förhandstillstånd från rättsliga myndigheter. Även om punkten hänvisar till att ”utöva” befogenheter (”exercise” på engelska) och inte att föreskriva om dem, kan hänvisningen i punkten till medlemsstatens lagstiftning anses betyda att det finns åtminstone någon mån av nationellt spelrum i att föreskriva om befogenheterna.

Dataskyddsdirektivet för brottsbekämpande myndigheter möjliggör att personuppgiftsbiträdet – och under vissa förutsättningar till och med den personuppgiftsansvarige – är en privat aktör. Därför ser förvaltningsutskottet det som befogat att dataombudsmannens rätt att utföra inspektioner också utsträcks till hemfridsskyddade lokaler. Med beaktande av det som konstateras i skäl 82 utgör direktivet ändå inte enligt förvaltningsutskottets uppfattning något hinder för att användningen av denna befogenhet enligt grundlagsutskottets förslag begränsas endast till bestämmelser med fängelsepåföljd i strafflagen. Förvaltningsutskottet föreslår således att 48 § ändras på det sätt som närmare framgår av detaljmotiven i betänkandet.

Tystnadsplikt och förhållande till offentlighetslagen

I 61 § i den föreslagna dataskyddslagen avseende brottmål sägs det att den som har deltagit i behandlingen av personuppgifter inte obehörigen för utomstående får röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska enligt 2 § 2 mom. i lagförslaget tillämpas vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Grundlagsutskottet konstaterar i sitt utlåtande att på grund av regleringen i den föreslagna 61 § omfattas alla personuppgifter och all information som hanteras inom lagens tillämpningsområde av tystnadsplikt, trots 2 § 2 mom. Det är enligt propositionsmotiven inte avsikten.

Grundlagsutskottet anser att regleringen måste preciseras i överensstämmelse med dess uttalade syfte så att tystnadspliktens förhållande till regleringen som genomför offentlighetsprincipen, som det hänvisas till i 2 §, framgår tydligt. Denna precisering är förutsättningen för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.

I 23 § 1 mom. i offentlighetslagen sägs det att den som är anställd hos en myndighet eller innehar ett förtroendeuppdrag inte får röja en handlings sekretessbelagda innehåll eller en uppgift som vore sekretessbelagd om den ingick i en handling och inte heller någon annan omständighet som han har fått kännedom om i samband med sin verksamhet hos myndigheten och för vilken tystnadsplikt föreskrivs genom lag. I paragrafens 2 mom. utsträcks tystnadsplikten också till den som verkar på uppdrag av en myndighet och deras anställda. Förvaltningsutskottet anser att med beaktande av grundlagsutskottets ställningstagande är regleringen om tystnadsplikt i offentlighetslagen tillräcklig och att det inte behövs annan materiell lagstiftning om detta. Därför föreslår förvaltningsutskottet att den föreslagna 61 § ska ändras till en informativ hänvisning till offentlighetslagen på det sätt som framgår närmare av detaljmotiven. I utskottets lagförslag är bestämmelsen lagens 62 §.

Förvaltningsutskottet vill i sammanhanget också mer allmänt betona det som konstateras i propositionen, att avsikten inte är att genom den föreslagna dataskyddslagen avseende brottmål ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter.

Den registrerades rättigheter

Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring

Enligt artikel 52 i direktivet ska alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet. Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess resultat. Enligt artikel 53 i direktivet ska en fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider. Enligt artikel 54 ska medlemsstaterna dessutom föreskriva en rätt till effektiva rättsmedel för registrerade som anser att deras rättigheter har kränkts som en följd av att deras personuppgifter har behandlats på ett sätt som inte är förenligt med lag.

För att genomföra de ovannämnda bestämmelserna i direktivet föreslås det i 56 § i dataskyddslagen avseende brottmål att en registrerad ska ha rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Enligt 58 § får dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.

De föreslagna bestämmelserna motsvarar bestämmelserna i den föreslagna dataskyddslagen. Lagutskottet har hänvisat till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) där det bedömer regleringen i dataskyddslagen bland annat med avseende på huruvida det är godtagbart att det inte föreslås någon möjlighet att begära omprövning. Utskottet har också bedömt kravet på besvärstillstånd vid sökande av ändring i förvaltningsdomstolens beslut samt myndigheternas besvärsrätt. Lagutskottet gick in för att till dessa delar anse att regleringen i propositionen om dataskyddslagen är relevant, och har ansett att detsamma också gäller det aktuella lagförslaget. Inte heller förvaltningsutskottet har något att anmärka mot regleringen.

Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling

I artikel 54 i direktivet föreskrivs det om den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna rätt får ändå inte påverka bland annat rätten att lämna in klagomål till en tillsynsmyndighet enligt artikel 52. I den föreslagna dataskyddslagen avseende brottmål ingår inte särskilda bestämmelser om den registrerades rätt att omedelbart anföra besvär hos domstol när den personuppgiftsansvarige begränsar den registrerades rätt till insyn eller inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem. Den registrerade kan föra ett sådant ärende till dataombudsmannen för behandling, och det beslutet kan överklagas hos förvaltningsdomstolen.

Enligt 26 § i dataskyddslagen avseende brottmål ska den personuppgiftsansvarige i fallen ovan genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Grundlagsutskottet konstaterar som sin uppfattning att en myndighets intyg över avslag av en parts krav ska anses vara ett förvaltningsbeslut som avses i förvaltningslagen. Grundlagsutskottet konstaterar vidare att förvaltningsutskottet bör precisera regleringen om syftet är att ett överklagbart förvaltningsbeslut inte ska lämnas i ärendet.

Lagutskottet har till väsentliga delar behandlat samma fråga i sitt utlåtande (LaUU 10/2018 rd). Lagutskottet hänvisar till sitt utlåtande om dataskyddslagen (LaUU 5/2018 rd) och anser att också i det aktuella sammanhanget är det ett naturligare rättsmedel för en registrerad att vända sig till dataombudsmannen än till domstolen. Dataombudsmannens beslut får också överklagas hos förvaltningsdomstolen och vidare hos högsta förvaltningsdomstolen, om besvärstillstånd beviljas. Den registrerade har alltså också i det här fallet tillgång till domstolsbehandling om han eller hon inte nöjer sig med dataombudsmannens beslut. Det finns å andra sidan enligt lagutskottet inget hinder för att den registrerade hos förvaltningsdomstolen överklagar ett förvaltningsbeslut som en myndighet har fattat i egenskap av personuppgiftsansvarig utan att först vända sig till dataombudsmannen. Enligt utskottets uppfattning kan ett förvaltningsbeslut av en myndighet också avse behandling av personuppgifter, och den registrerade får vid behov begära ett förvaltningsbeslut, som får överklagas. Enligt lagutskottets uppfattning kräver direktivet inte särskilda nationella bestämmelser till dessa delar.

I 28 § i den gällande personuppgiftslagen finns bestämmelser motsvarande den föreslagna regleringen om att den registrerade ska ges ett intyg om den personuppgiftsansvarige avslår ett krav från den registrerade. Enligt erhållen utredning har de myndigheter som fungerar som personuppgiftsansvariga, såsom polisen, i regel inte ansett att lämnande av ett sådant intyg är ett överklagbart förvaltningsbeslut. Vissa myndigheter har ändå ibland fattat beslut om avslag som är överklagbara och innehåller besvärsanvisning.

För tydlighetens skull konstaterar förvaltningsutskottet att myndigheten på den registrerades begäran kan meddela ett förvaltningsbeslut i ett ovan avsett avslagsärendet. Överklagbarheten hos ett sådant beslut bestäms med stöd av allmän lagstiftning och det behövs ingen uttrycklig reglering i frågan. Syftet med intyget i lagförslaget är framför allt att fungera som en behövlig informations- och dokumentbas för att inleda dataombudsmannens tillsynsåtgärder. Förvaltningsutskottet anser liksom lagutskottet att det faller sig naturligare för en registrerad att i första hand vända sig till dataombudsmannen än till domstolen.

Sammankopplade förfaranden

Enligt första meningen i 57 § 1 mom. i dataskyddslagen avseende brottmål prövar dataombudsmannen det ärende som avses i begäran om åtgärder, om inte ärendet är anhängigt i domstol. Enligt uppgift gäller bestämmelsen situationer där förseelser som rör behandling av personuppgifter är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att bestämma om sådan ersättning. Det handlar då om samma registrerade, samma personuppgiftsansvarige eller personuppgiftsbiträde och samma förseelse.

En motsvarande situation har varit aktuell också i samband med behandlingen av dataskyddslagen. Förvaltningsutskottet har i sitt betänkande om dataskyddslagen med hänvisning till lagutskottets utlåtande LaUU 5/2018 rd föreslagit att det ska föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som är anhängigt vid domstol (FvUB 13/2018 rd). Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare.

I sitt utlåtande om dataskyddslagen avseende brottmål fäster lagutskottet uppmärksamhet vid att man av bestämmelsen i 57 § får den uppfattningen att dataombudsmannen inte tar upp eller behandlar en begäran om åtgärder om ärendet samtidigt är anhängigt i domstol. Lagutskottet menar att det är befogat att bestämmelsen utformas på samma sätt som i den föreslagna dataskyddslagen, och föreslår därför för förvaltningsutskottet att bestämmelsen ska ändras. Förvaltningsutskottet konstaterar att bestämmelsen behöver förtydligas, och anser det motiverat att regleringen i detta avseende är enhetlig med dataskyddslagen. Förvaltningsutskottet föreslår i detaljmotiven att bestämmelsen ska ändras.

Dröjsmålsbesvär

Enligt artikel 53.2 i direktivet ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller om dess resultat. Enligt 57 § 1 mom. i dataskyddslagen avseende brottmål ska dataombudsmannen inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs. Den föreslagna lagen innehåller ändå inte några uttryckliga bestämmelser om de rättsmedel som en registrerad ska ha rätt till enligt direktivet.

En bestämmelse som motsvarar direktivet ingår också i dataskyddsförordningen, men inte heller den föreslagna dataskyddslagen som kompletterar förordningen innehåller några särskilda bestämmelser om rättsmedel (RP 9/2018 rd). Vid behandlingen av den förslagna dataskyddslagen granskades behovet av att utfärda särskilda bestämmelser om dröjsmålsbesvär. Lagutskottet ansåg då att tillsynen över en självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Lagutskottet ansåg det inte heller vara ändamålsenligt att införa särskilda dröjsmålsbesvär enbart för de ärenden som avses i dataskyddsförordningen. Dessutom menade utskottet att redan den nuvarande möjligheten att anföra klagomål hos de högsta laglighetsövervakarna är ett effektivt rättsmedel och räcker i detta sammanhang. Lagutskottet tillstyrkte därför utifrån inkommen utredning den lösning som föreslogs i propositionen, dvs. att bestämmelser om dröjsmålsbesvär inte tas in i den nationella lagstiftningen (LaUU 5/2018 rd). Förvaltningsutskottet bedömde de aktualiserade aspekterna på samma sätt och ansåg den föreslagna lösningen vara motiverad (FvUB 13/2018 rd).

Förvaltningsutskottet anser i likhet med lagutskottet att det som konstaterades i samband med dataskyddslagen också lämpar sig på det nationella genomförandet av dataskyddsdirektivet för brottsbekämpande myndigheter. Förvaltningsutskottet föreslår således inte heller i detta sammanhang dröjsmålsbesvär.

Kommissionens beslut om adekvat skyddsnivå

I 57 § 2 mom. i den föreslagna dataskyddslagen avseende brottmål sägs det att om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. Den paragraf som det hänvisas till möjliggör överföring av personuppgifter till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.

Bakgrunden till det föreslagna 57 § 2 mom. är EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet är således nu att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs.

En motsvarande bestämmelse finns också i förslaget till den dataskyddslag som ska komplettera dataskyddsförordningen (RP 9/2018 rd). I sitt betänkande om den propositionen föreslår förvaltningsutskottet att ordalydelsen i bestämmelsen i dataskyddslagen ska bli preciserad (FvUB 13/2018 rd).

På samma sätt som i dataskyddslagen finns det inte heller i den föreslagna dataskyddslagen avseende brottmål några särskilda bestämmelser om förfarandet vid behandlingen i förvaltningsdomstolen av de ansökningsärenden som avses här. För tydlighetens skull bör det konstateras att 72 § i förvaltningsprocesslagen är tillämplig på ett sådant förfarande. Den paragrafen gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”. Ärendena anhängiggörs genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den paragrafen gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt förvaltningsutskottets uppfattning är det därför möjligt att beakta särdragen i de nu aktuella ansökningsärendena vid behandlingen av ärendena.

I 57 § 2 mom. i dataskyddslagen avseende brottmål finns ingen särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Syftet har enligt utredning varit att 58 § 2 mom. om ändringssökande ska bli tillämpligt. Lagutskottet har ändå föreslagit att lagen i fråga om de beslut av kommissionen som avses i 57 § 2 mom. ska kompletteras med en särskild bestämmelse om sökande av ändring i Helsingfors förvaltningsdomstols beslut, på samma sätt som gjorts i fråga om dataskyddslagen. Det kan enligt förvaltningsutskottets åsikt anses befogat på grund av att det a priori är en myndighet, rättare sagt dataombudsmannen, som har rätt att överklaga Helsingfors förvaltningsdomstols i 57 § 2 mom. avsedda beslut. medan det i fråga om 58 § 2 mom. i regel är den registrerade som har denna rätt och det därför föreskrivs särskilt i det momentet att ”även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut”. Förvaltningsutskottet föreslår att bestämmelsen ändras och att en ny paragraf ska införas på det sätt som närmare framgår av detaljmotiven.

Förvaltningsutskottet konstaterar att de iakttagelser i anslutning till besvärsrätt som framställts i samband med dataskyddslagen också gäller den nu föreslagna lagstiftningen. Exempelvis krävs det för avgörande av frågan om den registrerade vars ärende det gäller har rätt att överklaga ett beslut av Helsingfors förvaltningsdomstol — när det i samband med ärendet uppstår oklarhet huruvida kommissionens beslut är förenligt med direktivet — att det görs en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. Lagutskottet har i sitt utlåtande om dataskyddslagen bedömt relaterade synpunkter (LaUU 5/2018 rd). Enligt lagutskottet är det i princip möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt.

Skydd mot självinkriminering

Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv och rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I, och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder. Självinkrimineringsskyddet har också behandlats i samband med dataskyddslagen (FvUB 13/2018 rd och LaUU 5/2018 rd).

Lagutskottet har i sitt utlåtande om dataskyddslagen avseende brottmål ägnat uppmärksamhet åt de föreslagna lagens bestämmelser om skyldigheten att anmäla personuppgiftsincidenter (33 och 34 §). Enligt utskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i dessa fall tolkas i överensstämmelse med skyddet mot självinkriminering och med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol.

Lagutskottet har också tittat på den föreslagna 52 §, som innehåller bestämmelser om vite. Enligt dess 1 mom. får dataombudsmannen förena vissa beslut samt rätten att få information enligt 47 § med vite. I paragrafens 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. I det senare momentet är det fråga om skydd mot självinkriminering.

Tröskeln för att inte förelägga vite har i 52 § 2 mom. kopplats till uttrycket ”finns anledning att misstänka” (”on syytä epäillä”). I dataskyddslagen är tröskeln också ”finns anledning att misstänka”, på finska uttryckt som ”on aihetta epäillä” (RP 9/2018 rd, 22 § i lagförslag 1). Lagutskottet konstaterar i sitt utlåtande att det inte har utformats någon enhetlig linje om tröskeln för att inte förelägga vite utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska bedöma frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning ("on syytä epäillä") eller om skyddet också borde gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”on aihetta epäillä”).

Lagutskottet ansåg i sitt utlåtande om förslaget till dataskyddslag (LaUU 5/2018 rd) att för uttrycket ”on aihetta epäillä” talar det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Om skyddet kopplas till uttrycket ”on syytä epäillä”, kan det uppstå en alltför strikt anknytning till kravet på inledande av en formell förundersökning. Lagutskottet såg ändå inte något hinder för att man i bestämmelsen också kan använda uttrycket ”on syytä epäillä”. Utskottet påpekade ändå att om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan skyddet kan i vissa fall vara mer omfattande.

Lagutskottet har inte tagit ställning till vilketdera uttrycket som borde stå i bestämmelsen, utan har lämnat avgörandet till förvaltningsutskottet. Det viktiga är ändå enligt lagutskottet att man använder enhetliga begrepp i dataskyddslagen och det nu aktuella lagförslaget. Förvaltningsutskottet har i fråga om dataskyddslagen gått in för att ställa sig bakom uttrycket ”on aihetta epäillä” (FvUB 13/2018 rd). Förvaltningsutskottet konstaterar att det uttrycket bättre harmonierar med skyddet mot självinkriminering, och därför föreslår utskottet att det ska användas också i 52 § 2 mom. i den aktuella lagen om behandling av personuppgifter i brottmål. På så sätt är också uttrycken i lagarna i detta avseende enhetliga.

Påföljder

Enligt artikel 57 i direktivet ska medlemsstaterna föreskriva effektiva, proportionella och avskräckande sanktioner för överträdelser av dataskyddsbestämmelserna.

Direktivet innehåller inte några bestämmelser om administrativ påföljdsavgift. Det ger medlemsstaterna ett större handlingsutrymme än dataskyddsförordningen när det gäller påföljdssystemet. Regeringen föreslår inte någon administrativ påföljdsavgift inom tillämpningsområdet för den föreslagna dataskyddslagen avseende brottmål för genomförandet av direktivet. Dataombudsmannen kan ändå i fall av ett lagstridigt förfarande till exempel meddela en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Dataombudsmannen kan förena ett rättsligt förpliktande beslut med vite. I propositionen föreslås det också mer omfattande befogenheter för dataombudsmannen än minimikravet i direktivet, vilket för sin del möjliggör ett brett urval metoder för att ingripa i lagstridig behandling av personuppgifter. För den personuppgiftsansvarige gäller dessutom ett strikt ersättningsansvar för skador som tillfogats någon av att personuppgifter har behandlats i strid med lagen (59 § i lagförslag 1). Lagutskottet hade ingenting att anmärka mot det föreslagna regleringssättet (LaUU 10/2018 rd).

I 60 § i den föreslagna dataskyddslagen avseende brottmål finns det hänvisningar till de bestämmelser i strafflagen som är av betydelse med tanke på den samlade regleringen. Enligt en hänvisning finns bestämmelser om straff för dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbestämmelsen är ny och ingår i regeringens proposition med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen (RP 9/2018 rd). I den propositionen föreslår regeringen en ny straffbestämmelse om dataskyddsbrott som ersätter den tidigare bestämmelsen om personregisterbrott i 38 kap. 9 § i strafflagen. Straffregleringen har bedömts i förvaltningsutskottets betänkande om den propositionen (FvUB 13/2018 rd).

I den tredje meningen i 60 § hänvisas det till strafflagens bestämmelser om brott mot tystnadsplikten enligt 61 § i den föreslagna lagen. Lagutskottet har i sitt utlåtande ansett att hänvisningen även bör gälla hemlighållande av en rapportörs identitet enligt 55 §. Dessutom är det motiverat att i lagförslag 2—5 ta in en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Överträdelse av bestämmelserna om exempelvis ändamålsbegränsning, utlämnande och överföring i fråga om personuppgifter och om säkerhet vid behandling av uppgifterna i de lagarna kan vara straffbart enligt den nya bestämmelsen om dataskyddsbrott. En sådan informativ hänvisning till 38 kap. 9 § i strafflagen ingår i 37 § 2 mom. i lagförslag 6. Till den delen har lagutskottet föreslagit att bestämmelsen ska justeras. Förvaltningsutskottet anser att lagutskottets förslag är befogade och föreslår att lagförslagen preciseras på det sätt som närmare framgår av detaljmotiven. I utskottets lagförslag är de ovan nämnda 60 och 61 § lagens 61 och 62 §.

Överföringar av personuppgifter till tredjeländer och internationella organisationer

I 7 kap. i den föreslagna dataskyddslagen avseende brottmål tas det in bestämmelser i enlighet med direktivet om de allmänna förutsättningar under vilka den behöriga myndigheten får överföra personuppgifter till tredjeländer. De föreslagna bestämmelserna motsvarar det som föreskrivs i kapitel V i dataskyddsdirektivet för brottsbekämpande myndigheter.

Överföringen ska för det första vara behövas för något av de ändamål som räknas upp i den föreslagna bestämmelsen om lagens tillämpningsområde, exempelvis för utredning av ett brott eller för verkställighet av straff. Kommissionen ska dessutom ha konstaterat att skyddsnivån i landet i fråga är adekvat. Om kommissionen inte har fattat beslut om en adekvat nivå på dataskyddet för landet i fråga, kan personuppgifter överföras till det landet under förutsättning att skyddet för personuppgifter i övrigt har ombesörjts på lämpligt sätt. Undantagsvis kan personuppgifter med stöd av 43 § i den föreslagna lagen överföras till ett tredjeland trots att det inte råder tillräcklig säkerhet om skyddet för personuppgifter i landet, om överföringen är nödvändig exempelvis för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten, såsom ett terrordåd. Eftersom villkoren i paragrafen handlar om undantag från villkoren för överföring av personuppgifter, påminner förvaltningsutskottet om att villkoren ska tolkas på ett inskränkande sätt. Förvaltningsutskottet vill också påminna om den utgångspunkt som också finns inskriven i lagens 41 § 1 mom., dvs. att personuppgifter får överföras till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt den föreslagna lagen iakttas. Sådana bestämmelser gäller bland annat ändamålsbegränsning.

Enligt artikel 61 i direktivet ska internationella avtal som rör överföring av personuppgifter till tredjeländer eller internationella organisationer, som ingicks av medlemsstaterna innan direktivet trädde i kraft och som är förenliga med unionsrätten så som den tillämpades före den dagen fortsätta att gälla tills de ändras, ersätts eller återkallas. Enligt förvaltningsutskottets uppfattning har det ändå inte varit meningen att helt och hållet lämna bestämmelserna i direktivet och lagen om dess nationella genomförande obeaktade vid överföring av personuppgifter till tredjeländer, särskilt då man beaktar betydelsen av personuppgifter som en grundläggande fri- och rättighet. Enligt förvaltningsutskottets uppfattning ska artikel 61 i direktivet tolkas så att gällande avtal fortfarande kan tillämpas, men att bestämmelserna i lagen om genomförandet av direktivet bland annat om överföring av personuppgifter till tredjeländer samtidigt ska tillämpas som ett komplement.

DETALJMOTIVERING

1. Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

48 §. Rätt att utföra inspektioner.

I 2 mom. föreskrivs det om dataombudsmannens rätt att utföra inspektioner i utrymmen som omfattas av hemfriden. I överensstämmelse med den allmänna motiveringen i utskottets överväganden föreslår förvaltningsutskottet att användningen av dataombudsmannens befogenhet begränsas till de bestämmelser i strafflagen enligt vilka påföljden kan vara fängelsestraff.

52 §. Vite.

I 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. Momentet gäller skydd mot självinkriminering. Förvaltningsutskottet föreslår i överensstämmelse med sin allmänna motivering att tröskeln för att inte förelägga vite omformuleras från ”on syytä epäillä” till ”on aihetta epäillä”. Den svenska texten påverkas inte.

57 §. Behandlingen av en begäran om åtgärder.

Det föreslagna 1 mom. gäller situationer där överträdelser som gäller behandling av personuppgifter är anhängiga hos dataombudsmannen och vid domstolen samtidigt. Av de orsaker som förvaltningsutskottet anför i sina överväganden föreslår det att första meningen i momentet ändras för att motsvara formuleringen i den motsvarande bestämmelsen som föreslås i dataskyddslagen (FvUB 13/2018 rd).

Paragrafens 2 mom. gäller situationer där dataombudsmannen i ett ärende som har inletts hos dataombudsmannen anser att det behöver utredas huruvida ett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet för brottsbekämpande myndigheter. Utskottet anser att det är lagtekniskt tydligare att regleringen i 2 mom. finns i en separat paragraf i analogi med det som föreslås i dataskyddslagen (FvUB 13/2018 rd). Därför föreslår utskottet att 2 mom. stryks och att regleringen i momentet inkluderas i en ny 58 § som tas in i lagen.

58 §. Beslut av kommissionen. (Ny)

I överensstämmelse med det som sägs ovan i samband med 57 § föreslår utskottet att lagen kompletteras med en ny 58 §. På grundval av det föreslagna 1 mom. kan dataombudsmannen till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Momentet motsvarar 57 § 2 mom. i propositionen med vissa preciseringar. Utskottet har i de allmänna motiven i övervägandena ansett det befogat att lagen kompletteras med en särskild bestämmelse om sökande av ändring i förvaltningsdomstolens beslut. Utskottet föreslår att den ska ingå i 2 mom. Dessutom ser utskottet det som ändamålsenligt att paragrafen rubriceras på samma sätt som i den föreslagna dataskyddslagen.

Av förvaltningsutskottets förslag till ny paragraf följer att numreringen av paragraferna efter den ändras.

61 (60) §. Straffbestämmelser.

Förvaltningsutskottet konstaterar i de allmänna motiven att det i tredje meningen i paragrafen är motiverat att hänvisa också till hemlighållande av en rapportörs identitet enligt 55 §. I formuleringen av bestämmelsen om tystnadsplikt bör dessutom de ändringar som grundlagsutskottet förutsätter i 61 § beaktas. Dessutom bör hänvisningen till 61 § på grund av utskottets förslag till ny paragraf ovan ändras till en hänvisning till 62 §.

62 (61) §. Tystnadsplikt.

I överensstämmelse med vad som sägs i de allmänna motiven föreslår förvaltningsutskottet att den föreslagna bestämmelsen ersätts med en informativ hänvisning till offentlighetslagen enligt följande: ”Bestämmelser om tystnadsplikt och förbud mot utnyttjande av uppgifter finns i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).”

64 (63) §. Övergångsbestämmelser.

I den föreslagna paragrafen sägs det att automatiserade behandlingssystem som har inrättats före den 6 maj 2016 ska bringas i överensstämmelse med 19 § senast den 6 maj 2023. Bestämmelsen grundar sig på artikel 63.2 i dataskyddsdirektivet för brottsbekämpande myndigheter. I den föreslagna lagen används det spelrum som direktivet möjliggör. Förvaltningsutskottet konstaterar att direktivet inte möjliggör övergångstid i fråga om andra krav än loggningskravet.

Enligt direktivet får en medlemsstat under exceptionella omständigheter bringa ett visst automatiserat behandlingssystem i överensstämmelse med artikel 25 inom en specifik tidsperiod också efter den 6 maj 2023, om det annars skulle uppstå allvarliga problem för driften av detta specifika automatiserade behandlingssystem. Den tiden får enligt direktivet ändå inte vara senare än den 6 maj 2026.

Enligt förvaltningsutskottets åsikt är det i detta skede inte motiverat att föreskriva om att tidsfristen ska infalla senare än det föreslagna datumet, eftersom det enligt direktivet är möjligt bara under exceptionella omständigheter. Att bestämma en senare tidpunkt kräver också underrättelse till kommissionen om skälen till dessa allvarliga problem och skälen till den angivna tidsperioden. Utskottet menar att om sådana allvarliga problem skulle föreligga med något behandlingssystem när tidsfristen 2023 närmar sig kan behovet av att använda spelrummet enligt artikel 63.3 i direktivet vid behov omprövas då.

2. Lagen om ändring av 1 och 6 § i straffregisterlagen

11 a §. (Ny).

Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till 38 kap. 9 § i strafflagen. Den paragrafen gäller dataskyddsbrott.

På grund av den föreslagna ändringen måste också lagens rubrik och ingress ändras.

3. Lagen om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen

4 §. Förhållande till andra lagar och internationella förpliktelser.

Förvaltningsutskottet föreslår att paragrafen kompletteras med ett nytt 4 mom., som i överensstämmelse med lagutskottets utlåtande innehåller en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott.

På grund av den föreslagna ändringen måste också ingressen ändras.

4. Lagen om ändring av lagen om justitieförvaltningens riksomfattande informationssystem

19 a §. Straffbestämmelser. (Ny).

Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott. Den nya paragrafen fogas till lagens 5 kap.

På grund av den föreslagna ändringen måste också ingressen ändras.

5. Lagen om ändring av lagen om verkställighet av böter

53 a §. Straffbestämmelser. (Ny).

Förvaltningsutskottet föreslår i enlighet med lagutskottet utlåtande att lagen kompletteras med en informativ hänvisning till strafflagens 38 kap. 9 § om dataskyddsbrott.

På grund av den föreslagna ändringen måste också ingressen ändras.

6. Lagen om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

37 §. Straffbestämmelser.

Förvaltningsutskottet föreslår att bestämmelsens ordalydelse justeras på det sätt som föreslås i lagutskottets utlåtande. Ändringen påverkar inte den svenska texten.

FÖRSLAG TILL BESLUT

Förvaltningsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 1—6 i proposition RP 31/2018 rd med ändringar. (Utskottets ändringsförslag)

Utskottets ändringsförslag

1. Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

I enlighet med riksdagens beslut föreskrivs:

1 kap.
Allmänna bestämmelser

1 §
Tillämpningsområde

Denna lag tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om

1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning,

2) åtalsprövning och annan åklagarverksamhet som har samband med brott,

3) handläggning av brottmål i domstol,

4) verkställighet av straffrättsliga påföljder,

5) skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten.

Utöver vad som föreskrivs i 1 mom. tillämpas denna lag på

1) sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007),

2) sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen (872/2011) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten,

3) sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen (578/2005) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten.

På sådan behandling av personuppgifter som avses i 2 mom. tillämpas dock inte bestämmelserna i 10 § 2 mom. om överföring av personuppgifter till en mottagare inom Europeiska unionen, bestämmelserna i 54 § om ömsesidigt bistånd i fråga om andra medlemsstater i Europeiska unionen och bestämmelserna i 7 kap. om överföringar av personuppgifter till tredjeländer och internationella organisationer.

Denna lag tillämpas dock endast på sådan i 1 och 2 mom. avsedd behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant.

Genom denna lag genomförs Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan dataskyddsdirektivet.

2 §
Förhållande till annan lagstiftning

Om det i någon annan lag finns bestämmelser som avviker från denna lag, ska de tillämpas i stället för denna lag.

På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.

3 §
Definitioner

I denna lag avses med

1) personuppgifter varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar fysisk person (en registrerad),

2) behandling insamling, registrering, organisering, strukturering, bevarande, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring samt någon annan åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter,

3) begränsning av behandling markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden,

4) register en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

5) behörig myndighet en myndighet som har behörighet att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, att åtalspröva eller vidta andra åtgärder som avser åtal för brott eller att döma till straffrättsliga påföljder eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förhindra hot mot den allmänna säkerheten, samt Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i 1 § 2 mom.,

6) personuppgiftsansvarig en behörig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter eller som enligt lag har till uppgift att föra ett register,

7) personuppgiftsbiträde en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

8) mottagare en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ till vilket personuppgifterna lämnas ut,

9) personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

10) lämpliga skyddsåtgärder sådana tekniska och organisatoriska åtgärder som säkerställer att behandlingen av personuppgifter är lagenlig, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter,

11) profilering automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma personliga egenskaper hos en fysisk person,

12) genetiska uppgifter personuppgifter som rör sådana nedärvda eller förvärvade genetiska kännetecken för en fysisk person som ger unik information om personens fysiologi eller hälsa, och som härrör från en analys av ett biologiskt prov från personen i fråga eller som erhållits på annat sätt,

13) biometriska uppgifter personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga,

14) uppgifter om hälsa personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa och som ger information om personens hälsotillstånd,

15) tredjeland andra stater än medlemsstater i Europeiska unionen (EU), stater inom Europeiska ekonomiska samarbetsområdet eller Schweiz,

16) internationell organisation en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater.

Vad som i denna lag föreskrivs om behörig myndighet tillämpas också på enskilda som sköter en uppgift som avses i 1 mom. 5 punkten.

Vad som i denna lag föreskrivs om en medlemsstat i EU tillämpas också på stater inom Europeiska ekonomiska samarbetsområdet och på Schweiz.

2 kap.
Principer för behandling av personuppgifter

4 §
Krav på laglig behandling

Personuppgifter får behandlas endast om det behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift på ett område som anges i 1 § 1 eller 2 mom.

Personuppgifter ska behandlas på ett korrekt och omsorgsfullt sätt.

5 §
Ändamålsbegränsning

Den personuppgiftsansvarige får samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål.

Personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. får behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag.

Personuppgifter får behandlas i ett i 1 § 1 eller 2 mom. angivet syfte också för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, om lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits.

6 §
Relevanskrav

De personuppgifter som behandlas ska vara adekvata och behövliga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Obehövliga personuppgifter ska utplånas utan obefogat dröjsmål.

Personuppgifter får inte lagras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.

Behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans.

7 §
Felfrihetskrav

De personuppgifter som behandlas ska vara korrekta och vara uppdaterade med hänsyn till ändamålet med behandlingen. Den personuppgiftsansvarige ska se till att alla rimliga åtgärder har vidtagits för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål.

8 §
Åtskillnad mellan olika personuppgifter

Den personuppgiftsansvarige ska vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas.

Alla rimliga åtgärder ska vidtas för att skilja personuppgifter som grundar sig på fakta från personuppgifter som grundar sig på personliga bedömningar.

9 §
Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga

Den behöriga myndigheten ska vidta alla rimliga åtgärder för att se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga.

Vid all överföring av personuppgifter ska, så långt det är möjligt, sådan information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad personuppgifterna är korrekta, fullständiga, tillförlitliga och aktuella.

Om det visar sig att oriktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts, ska mottagaren utan dröjsmål informeras om detta. Efter att mottagaren informerats om saken ska denne rätta eller utplåna personuppgifterna eller begränsa behandlingen av dem.

10 §
Skyldighet att informera om särskilda förutsättningar för behandlingen

Om det i lag anges särskilda förutsättningar för behandling av personuppgifter, ska den behöriga myndigheten i samband med utlämnande eller överföring av personuppgifter informera mottagaren av personuppgifterna om dessa förutsättningar samt om skyldigheten att iaktta dem.

När den behöriga myndigheten överför personuppgifter till en mottagare inom EU får den inte uppställa strängare krav på behandlingen av personuppgifter än vad som tillämpas nationellt på likartade uppgiftsöverföringar.

11 §
Behandling av särskilda kategorier av personuppgifter

Uppgifter som hör till särskilda kategorier av personuppgifter är personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Sådana personuppgifter som avses i 1 mom. får behandlas endast om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och

1) det föreskrivs om behandlingen i lag,

2) det är fråga om handläggning av brottmål i åklagarverksamhet eller i domstol,

3) det krävs för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller

4) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter är förbjuden.

12 §
Behandling av personbeteckningar

En personbeteckning får behandlas endast om det är viktigt att entydigt identifiera den registrerade

1) för att en behörig myndighet ska kunna utföra en i lag angiven uppgift,

2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller

3) för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom.

En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register.

13 §
Automatiserat individuellt beslutsfattande

Om inte något annat föreskrivs i lag, får ett beslut inte fattas enbart på grundval av automatiserad behandling av personuppgifter, om beslutet har negativa rättsverkningar för den registrerade eller beslutet annars är betydande för den registrerade.

3 kap.
Personuppgiftsansvarig och personuppgiftsbiträde

14 §
Den personuppgiftsansvariges ansvar

Den personuppgiftsansvarige svarar för att personuppgifter behandlas i enlighet med lag. Den personuppgiftsansvarige ska dessutom kunna visa att personuppgifterna har behandlats i enlighet med 2 kap.

Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder som krävs med avseende på ansvaret enligt 1 mom. När åtgärderna vidtas ska hänsyn tas till behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter.

15 §
Inbyggt dataskydd och dataskydd som standard

Den personuppgiftsansvarige ska vid tidpunkten för beslut om hur behandlingen av personuppgifter ska utföras och vid tidpunkten för själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att behandlingen är laglig och att den registrerades rättigheter skyddas. Åtgärderna ska vidtas med beaktande av tillgängliga tekniska lösningar, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen medför för personens rättigheter.

Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som behövs för varje specifikt ändamål med behandlingen behandlas.

16 §
Gemensamt personuppgiftsansvariga

Om två eller flera personuppgiftsansvariga gemensamt fastställer behandlingens ändamål och medel, ska de komma överens om den inbördes ansvarsfördelningen vid skötseln av skyldigheter enligt denna lag, om det inte föreskrivs om ansvarsfördelningen i lag.

Personuppgiftsansvariga som avses i 1 mom. ska inom sig utse en personuppgiftsansvarig som fungerar som kontaktpunkt och med vilken den registrerade kan ha kontakt i frågor som gäller utövandet av den registrerades rättigheter. Den registrerade får dock utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga.

17 §
Personuppgiftsbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning ska lämna den personuppgiftsansvarige lämpliga utredningar och förbindelser och även i övrigt tillräckliga garantier för de organisatoriska och tekniska åtgärder genom vilka det säkerställs att personuppgifterna behandlas i enlighet med kraven i denna lag.

Personuppgiftsbiträdet eller en anställd hos personuppgiftsbiträdet får inte behandla personuppgifter på ett sätt som avviker från den personuppgiftsansvariges instruktioner och inte överföra behandlingen av personuppgifter på något annat personuppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsansvarige.

Den behandling av personuppgifter som personuppgiftsbiträdet utför ska regleras i ett skriftligt avtal eller i ett skriftligt förordnande, i vilket typen av personuppgifter, behandlingens varaktighet, art och ändamål, kategorierna av personuppgifter och kategorierna av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I ovannämnda skriftliga handling ska det dessutom bestämmas att personuppgiftsbiträdet

1) ska handla enbart enligt instruktioner från den personuppgiftsansvarige,

2) ska säkerställa att de fysiska personer som behandlar personuppgifterna har förbundit sig att iaktta sekretess eller att de omfattas av en lagstadgad tystnadsplikt,

3) på lämpligt sätt ska bistå den personuppgiftsansvarige för att säkerställa att de bestämmelser som gäller den registrerades rättigheter iakttas,

4) beroende på den personuppgiftsansvariges val, ska utplåna eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats, och utplåna befintliga kopior, om inte något annat föreskrivs i lag,

5) ska ge den personuppgiftsansvarige tillgång till all information som behövs för att visa att denna paragraf iakttas,

6) ska uppfylla de förutsättningar som avses i denna paragraf för anlitande av ett annat personuppgiftsbiträde.

18 §
Register över behandlingar

Den personuppgiftsansvarige ska föra ett skriftligt register över behandling av personuppgifter som utförts under dess ansvar. Registret ska innehålla följande uppgifter:

1) namn och kontaktuppgifter för den personuppgiftsansvarige och eventuella gemensamt personuppgiftsansvariga samt för det dataskyddsombud som avses i 38 §,

2) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter,

3) en beskrivning av kategorin eller kategorierna av registrerade och av kategorierna av personuppgifter,

4) de kategorier av mottagare som personuppgifterna har lämnats ut till eller ska lämnas ut till,

5) kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation,

6) om möjligt, de planerade tidsfristerna för utplåning av de olika kategorierna av personuppgifter,

7) eventuell användning av profilering,

8) om möjligt, en allmän beskrivning av informationssystemen och principerna för skydd av dem samt en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §.

Personuppgiftsbiträdet ska föra ett skriftligt register över all behandling av personuppgifter som utförs för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter:

1) namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena samt för dataskyddsombudet,

2) namn och kontaktuppgifter för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar,

3) de kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning,

4) eventuella uppgifter om överföringar av personuppgifter till ett tredjeland eller en internationell organisation, om den personuppgiftsansvarige uttryckligen begär detta,

5) om möjligt, en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 §.

19 §
Logguppgifter

Den personuppgiftsansvarige och personuppgiftsbiträdet ska se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. De logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet.

Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för intern kontroll, för att säkerställa personuppgifternas integritet och säkerhet samt inom ramen för straffrättsliga förfaranden.

20 §
Konsekvensbedömning avseende dataskydd

Den personuppgiftsansvarige ska innan behandlingen av personuppgifter inleds göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

Den personuppgiftsansvarige ska göra en skriftlig konsekvensbedömning, om den planerade behandlingen av personuppgifter kan medföra en betydande risk för tillgodoseendet av fysiska personers rättigheter. Konsekvensbedömningen ska innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för den registrerades rättigheter och åtgärder för att minska dem samt åtgärder för att säkerställa skyddet av personuppgifter.

21 §
Förhandssamråd med dataskyddsmyndigheten

Den personuppgiftsansvarige eller personuppgiftsbiträdet ska höra dataombudsmannen innan personuppgifterna behandlas, om

1) den skriftliga konsekvensbedömning som avses i 20 § 2 mom. visar att behandlingen trots planerade skyddsåtgärder medför en betydande risk för de registrerades rättigheter, eller

2) behandlingen av uppgifter särskilt vid användning av ny teknik eller nya rutiner eller förfaranden medför en betydande risk för de registrerades rättigheter.

Den personuppgiftsansvarige ska till dataombudsmannen lämna in en sådan konsekvensbedömning som avses i 20 § 2 mom. och på begäran andra sådana uppgifter som gör att dataombudsmannen kan bedöma lagligheten i behandlingen av personuppgifter.

Om dataombudsmannen anser att den behandling som avses i 1 mom. skulle stå i strid med denna lag, ska dataombudsmannen inom sex veckor från det att begäran om samråd mottogs ge den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde handledning i syfte att göra behandlingen lagenlig. Denna period får förlängas med en månad om den planerade behandlingen är så komplicerad att en förlängning krävs. Dataombudsmannen ska inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde om den förlängda perioden och om skälen till fördröjningen.

4 kap.
De registrerades rättigheter

22 §
Dataskyddsbeskrivning och skyldighet att informera

Den personuppgiftsansvarige ska tillhandahålla en aktuell skriftlig beskrivning av sådan behandling av personuppgifter som denne ansvarar för. Beskrivningen ska göras offentligt tillgänglig och innehålla åtminstone följande uppgifter:

1) kontaktuppgifter för den personuppgiftsansvarige och dataskyddsombudet samt, om den personuppgiftsansvarige anser det behövligt, dataskyddsombudets namn,

2) namn och kontaktuppgifter för den personuppgiftsansvariga som fungerar som kontaktpunkt för gemensamt personuppgiftsansvariga samt uppgift om att den registrerade kan utöva sina rättigheter enligt denna lag i förhållande till var och en av de personuppgiftsansvariga,

3) ändamålen med och den rättsliga grunden för behandlingen av personuppgifter,

4) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period,

5) eventuella sedvanliga mottagare eller kategorier av mottagare av personuppgifterna,

6) uppgift om den registrerades rätt att av den personuppgiftsansvarige begära tillgång till personuppgifter som rör den registrerade samt rätt att begära att personuppgifterna rättas eller utplånas eller att behandlingen av dem begränsas,

7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter.

Den personuppgiftsansvarige ska ge den registrerade en beskrivning som avses i 1 mom. och annan behövlig information för utövande av den registrerades rättigheter enligt detta kapitel, om lämnande av denna information behövs i ett enskilt fall för att nämnda rättigheter ska kunna utövas. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna informationen, om det är nödvändigt på de grunder som nämns i 28 §.

23 §
De registrerades rätt till insyn

Var och en har rätt att av den personuppgiftsansvarige få veta huruvida personuppgifter som gäller honom eller henne behandlas. Om sådana uppgifter behandlas, har den registrerade rätt att få följande information av den personuppgiftsansvarige:

1) vilka personuppgifter som behandlas och all tillgänglig information om varifrån uppgifterna kommer,

2) ändamålen med och den rättsliga grunden för behandlingen,

3) de kategorier av personuppgifter som behandlingen gäller,

4) de mottagare eller kategorier av mottagare till vilka den registrerades personuppgifter har lämnats ut,

5) den period under vilken personuppgifterna kommer att bevaras eller, om den inte har fastställts, kriterierna för att fastställa denna period,

6) uppgift om den registrerades rätt att av den personuppgiftsansvarige yrka att de personuppgifter som rör den registrerade rättas eller utplånas eller att behandlingen av dem begränsas,

7) uppgift om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen, samt dataombudsmannens kontaktuppgifter.

Den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 1 mom., kan begära detta hos den personuppgiftsansvarige genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige.

24 §
Inskränkningar i rätten till insyn

Den registrerades rätt till insyn kan helt eller delvis skjutas upp, begränsas eller vägras till den del det är nödvändigt på de grunder som nämns i 28 §. Om den registrerades rätt till insyn skjuts upp, begränsas eller vägras, ska den personuppgiftsansvarige utan obefogat dröjsmål informera den registrerade om detta genom ett skriftligt intyg. Även grunderna för uppskovet, begränsningen eller vägran ska uppges, utom i det fall att lämnandet av denna information skulle äventyra syftet med vägran eller begränsningen. Om den personuppgiftsansvarige inte inom tre månader efter att begäran framställts har gett den registrerade ett skriftligt svar, betraktas detta som att insyn har vägrats.

Den personuppgiftsansvarige ska informera den registrerade om dennes rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av att rätten till insyn skjutits upp, begränsats eller vägrats samt om dennes rätt att i enlighet med 29 § utöva rätten till insyn via dataombudsmannen.

Den personuppgiftsansvarige ska bevara information om de grunder på vilka rätten till insyn vägrats eller begränsats.

25 §
Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen

Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen.

Den personuppgiftsansvarige ska på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål utplåna personuppgifter om den registrerade, om behandlingen av dem står i strid med bestämmelserna i 4 eller 5 §, 6 § 1 eller 2 mom. eller 7 eller 11 §. I stället för utplåning ska den personuppgiftsansvarige dock begränsa behandlingen om

1) den registrerade bestrider personuppgifternas korrekthet och det inte kan fastställas huruvida de är korrekta, eller

2) personuppgifterna måste bevaras som bevisning.

Om behandlingen har begränsats med stöd av 2 mom. 1 punkten, ska den personuppgiftsansvarige innan begränsningen av behandlingen upphävs informera den registrerade om detta.

26 §
Vägran att godkänna den registrerades yrkande

Om inte den personuppgiftsansvarige godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem, ska den personuppgiftsansvarige genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Den personuppgiftsansvarige får helt eller delvis låta bli att lämna den registrerade information om grunderna för vägran, om det är nödvändigt på de grunder som nämns i 28 §.

Den personuppgiftsansvarige ska informera den registrerade om att denne har rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av vägran enligt 1 mom. samt om att den registrerade har rätt att i enlighet med 29 § utöva de rättigheter som avses i 25 § via dataombudsmannen.

27 §
Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen

Den personuppgiftsansvarige ska anmäla varje rättelse av oriktiga personuppgifter till den myndighet från vilken de oriktiga personuppgifterna kommer.

Om personuppgifter har rättats eller utplånats eller behandlingen av dem har begränsats med stöd av 25 §, ska den personuppgiftsansvarige informera de mottagare om saken till vilka den personuppgiftsansvarige har lämnat ut uppgifterna. Mottagarna ska rätta eller utplåna de personuppgifter de har eller begränsa behandlingen av dem.

28 §
Begränsning av de registrerades rättigheter

De registrerades rättigheter får begränsas på det sätt som anges i 22 § 2 mom., 24 § 1 mom., 26 § 1 mom. och 35 §, om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd i syfte att

1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder,

2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter,

3) skydda den allmänna säkerheten,

4) skydda den nationella säkerheten, eller

5) skydda andra personers rättigheter.

29 §
Utövande av rättigheter via dataombudsmannen

Den registrerade har rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats med stöd av denna eller någon annan lag eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem.

Om den registrerade utövar sin rätt enligt 1 mom., ska dataombudsmannen inom en rimlig tid informera den registrerade om vilka åtgärder dataombudsmannen har vidtagit. Dataombudsmannen ska också informera den registrerade om dennes rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen.

30 §
Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder

Den personuppgiftsansvarige ska främja de registrerades möjligheter att utöva de rättigheter som avses i detta kapitel. Alla meddelanden och all information om behandling av personuppgifter som lämnas till de registrerade ska tillhandahållas i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk.

Meddelanden och information som ska ges de registrerade enligt denna lag samt behandlingen av begäranden som de registrerade framställt i enlighet med denna lag är avgiftsfria för de registrerade. Om en registrerads begäranden på grund av att de upprepats eller av någon annan orsak är uppenbart orimliga eller ogrundade, får den personuppgiftsansvarige dock för åtgärden ta ut en avgift. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten (150/1992).

Om den personuppgiftsansvarige tar ut en avgift med stöd av 2 mom., ska den personuppgiftsansvarige vid behov visa att begäran har varit uppenbart ogrundad eller orimlig.

5 kap.
Informationssäkerhet

31 §
Skydd av personuppgifter

Den personuppgiftsansvarige och personuppgiftsbiträdet ska genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Åtgärderna ska planeras och genomföras med beaktande av

1) den senaste tekniska utvecklingen,

2) kostnaderna för att genomföra åtgärderna,

3) behandlingens art, omfattning, sammanhang och ändamål,

4) riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter.

32 §
Skydd av personuppgifter vid automatiserad behandling

Utöver vad som föreskrivs i 31 § ska den personuppgiftsansvarige eller personuppgiftsbiträdet när det gäller automatiserad databehandling, efter en bedömning av riskerna, vidta åtgärder i syfte att

1) vägra varje obehörig person åtkomst till den utrustning som används för behandling,

2) förhindra obehörig läsning, kopiering, ändring och utplåning av datamedier,

3) förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring och utplåning av lagrade personuppgifter,

4) förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring,

5) säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet,

6) säkerställa att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring,

7) säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes,

8) förhindra obehörig läsning, kopiering, ändring och utplåning av personuppgifter i samband med överföring av sådana uppgifter eller under transport av datamedier,

9) säkerställa att de system som används kan återställas vid störningar,

10) säkerställa att systemet fungerar, funktionsfel rapporteras och de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet.

33 §
Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident

Personuppgiftsbiträdet ska efter att ha fått kännedom om en personuppgiftsincident utan obefogat dröjsmål informera den personuppgiftsansvarige om incidenten.

34 §
Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen

Den personuppgiftsansvarige ska anmäla en personuppgiftsincident till dataombudsmannen, utom när det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för den registrerades rättigheter.

Den personuppgiftsansvarige ska göra anmälan enligt 1 mom. utan obefogat dröjsmål och om möjligt inom 72 timmar efter att ha fått kännedom om incidenten. Om anmälan till dataombudsmannen görs senare än så, ska skälen till fördröjningen nämnas i anmälan.

Den personuppgiftsansvarige ska bevara uppgifter om personuppgiftsincidenter och omständigheter i samband med dem, deras effekter och de korrigerande åtgärder som vidtagits.

35 §
Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident

Den personuppgiftsansvarige ska utan obefogat dröjsmål informera den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en betydande risk för den registrerades rättigheter. Informationsskyldighet föreligger dock inte, om

1) den personuppgiftsansvarige på de personuppgifter som påverkades av personuppgiftsincidenten har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder som effektivt förhindrar missbruk av uppgifterna, eller

2) den personuppgiftsansvarige efter incidenten har vidtagit åtgärder för att säkerställa att incidenten sannolikt inte kommer att medföra en risk för den registrerades rättigheter.

Den personuppgiftsansvarige kan i stället för att lämna information till den registrerade upplysa om personuppgiftsincidenten genom information till allmänheten, om det skulle kräva orimliga ansträngningar att informera de registrerade.

Informationen till den registrerade kan skjutas upp, begränsas eller utelämnas, om de förutsättningar som anges i 28 § uppfylls.

36 §
Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident

Den personuppgiftsansvarige ska utan obefogat dröjsmål lämna en anmälan om en personuppgiftsincident till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater, om incidenten gäller personuppgifter som har överförts av eller till de personuppgiftsansvariga i fråga.

37 §
Innehållet i anmälan om en personuppgiftsincident

En anmälan enligt 34 § till dataombudsmannen och en anmälan enligt 36 § till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater ska innehålla en beskrivning av personuppgiftsincidenten. Beskrivningen ska om möjligt inbegripa de kategorier av registrerade och det ungefärliga antal registrerade som berörs samt de kategorier av personuppgifter och det ungefärliga antal personuppgiftsposter som berörs.

Den information enligt 35 § som lämnas till den registrerade ska innehålla en beskrivning av personuppgiftsincidentens art.

Av de anmälningar och den information som avses i 1 och 2 mom. ska ytterligare framgå

1) namnet på och kontaktuppgifterna för dataskyddsombudet eller en annan kontaktpunkt där mer information kan erhållas,

2) de sannolika konsekvenserna av personuppgiftsincidenten,

3) de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten och vid behov åtgärder för att mildra dess negativa effekter.

Den information som lämnas till dataombudsmannen och till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater får tillhandahållas i omgångar till den del det inte är möjligt att tillhandahålla informationen samtidigt.

6 kap.
Dataskyddsombud

38 §
Utnämning av dataskyddsombud

Den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Dataskyddsombudet ska ha tillräcklig sakkunskap om lagstiftning och praxis i fråga om behandling av personuppgifter samt förmåga att sköta de uppgifter som avses i 40 §. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter, om det är motiverat med hänsyn till myndigheternas organisationsstruktur och storlek.

Den personuppgiftsansvarige ska meddela dataombudsmannen dataskyddsombudets kontaktuppgifter.

39 §
Dataskyddsombudets ställning

Den personuppgiftsansvarige ska på ett korrekt sätt och i god tid se till att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter.

Den personuppgiftsansvarige ska ge dataskyddsombudet verksamhetsförutsättningar att sköta de uppgifter som denne ansvarar för enligt 40 § samt ge tillgång till personuppgifter och behandlingsförfaranden.

40 §
Dataskyddsombudets uppgifter

Dataskyddsombudet ska

1) ge råd i frågor som gäller skydd av personuppgifter till den personuppgiftsansvarige och den personal hos den personuppgiftsansvarige som behandlar personuppgifter,

2) övervaka att de bestämmelser som gäller behandling av personuppgifter och den personuppgiftsansvariges förfaranden för behandling av personuppgifter iakttas,

3) på begäran ge råd om konsekvensbedömningen avseende dataskydd och övervaka att den genomförs i enlighet med 20 §,

4) samarbeta med dataombudsmannen och vara kontaktpunkt för dataombudsmannen i frågor som gäller behandling av personuppgifter.

Dataskyddsombudets uppgifter omfattar inte rättskipningsverksamhet i domstolarna eller laglighetskontroll som utförs av justitiekanslern i statsrådet och riksdagens justitieombudsman.

7 kap.
Överföringar av personuppgifter till tredjeländer och internationella organisationer

41 §
Allmänna principer för överföring av personuppgifter

En behörig myndighet får överföra personuppgifter till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt denna lag iakttas och

1) överföringen behövs för ett ändamål som nämns i 1 § 1 mom.,

2) personuppgifterna överförs till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig att behandla personuppgifter för ett ändamål som nämns i 1 § 1 mom., och

3) det finns ett i artikel 36 i dataskyddsdirektivet avsett giltigt beslut av Europeiska kommissionen (kommissionen) om adekvat skyddsnivå eller, om inget sådant beslut har antagits, lämpliga skyddsåtgärder föreligger i enlighet med 42 § i denna lag eller undantag för särskilda situationer blir tillämpliga i enlighet med 43 §.

Om personuppgifterna har erhållits från en annan EU-medlemsstat, är en ytterligare förutsättning för överföring att medlemsstaten i fråga har gett tillstånd till överföringen. Överföringar som görs utan ett sådant tillstånd är tillåtna endast om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en stat eller mot en EU-medlemsstats väsentliga intressen och tillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska informeras om överföringen utan dröjsmål.

Om personuppgifterna överförs vidare till ett annat tredjeland eller en annan internationell organisation, får den behöriga myndighet som gjorde den ursprungliga överföringen godkänna vidareöverföringen med iakttagande av bestämmelserna i 1 och 2 mom. och med vederbörligt beaktande av brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland till vilket eller den internationella organisation till vilken personuppgifterna förs vidare, samt andra relevanta omständigheter.

42 §
Överföring på basis av lämpliga skyddsåtgärder

Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten, får personuppgifter överföras till ett tredjeland eller en internationell organisation, om de övriga förutsättningar som anges i 41 § uppfylls, och

1) lämpliga skyddsåtgärder för personuppgifter har fastställts i en rättsligt bindande handling, eller

2) den personuppgiftsansvarige efter att ha bedömt alla omständigheter kring en överföring av personuppgifter drar slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

Den personuppgiftsansvarige ska informera dataombudsmannen om de kategorier av överföringar som gjorts enligt 1 mom. 2 punkten. I fråga om överföringarna ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen:

1) datum och tidpunkt för överföringarna,

2) den mottagande behöriga myndigheten,

3) grunderna för överföringarna, och

4) de personuppgifter som har överförts.

43 §
Undantag i särskilda situationer

Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten och de förutsättningar för uppgiftsöverföring som anges i 42 § inte uppfylls, får personuppgifter överföras till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig

1) för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,

2) för att skydda intressen som är berättigade och av stor betydelse för den registrerade,

3) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en EU-medlemsstat eller ett tredjeland, eller

4) i enskilda fall för de ändamål som nämns i 1 § 1 mom. eller för att fastställa, göra gällande eller försvara rättsliga anspråk som hänför sig till dem.

Personuppgifter får dock inte överföras med stöd av 1 mom. 4 punkten, om den berörda registrerades rättigheter ska anses väga tyngre än det allmännas intresse av en sådan överföring.

I fråga om överföringar som baserar sig på 1 mom. ska följande uppgifter bevaras och på begäran göras tillgängliga för dataombudsmannen:

1) datum och tidpunkt för överföringen,

2) den mottagande behöriga myndigheten,

3) grunderna för överföringen, och

4) de personuppgifter som har överförts.

44 §
Överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer

Trots vad som föreskrivs i 41 § 1 mom. 2 punkten får en behörig myndighet i ett enskilt fall överföra personuppgifter direkt till enskilda mottagare och andra mottagare som är etablerade i tredjeländer, om de övriga bestämmelserna i denna lag iakttas och

1) överföringen är nödvändig för att en överförande behörig myndighet ska kunna utföra en uppgift enligt 1 § 1 mom. som den har ansvar för,

2) den behöriga myndighet som överför uppgifterna anser att den berörda registrerades rättigheter inte väger tyngre än det allmänna intresse som gör överföringen behövlig i det aktuella fallet,

3) den behöriga myndighet som överför uppgifterna, på grund av ärendets brådskande natur eller av någon annan orsak, anser att en överföring till en behörig myndighet i tredjelandet skulle vara ineffektiv eller olämplig,

4) den myndighet i tredjelandet som är behörig för de ändamål som avses i 1 § 1 mom. utan obefogat dröjsmål informeras om överföringen, om inte detta skulle vara ineffektivt eller olämpligt,

5) den behöriga myndighet som överför uppgifterna informerar mottagaren om det eller de specifika ändamål för vilket eller vilka personuppgifterna får behandlas, att behandlingen ska vara nödvändig för dessa ändamål och att uppgifterna inte får behandlas för andra ändamål, och

6) överföringen inte strider mot Finlands internationella avtalsförpliktelser.

Den behöriga myndighet som överför uppgifterna ska bevara information om varje överföring som utförs med stöd av 1 mom. och informera dataombudsmannen om överföringen.

8 kap.
Tillsynsmyndighet

45 §
Dataombudsmannen

Tillsyn över efterlevnaden av denna lag utövas av dataombudsmannen enligt 8 § i dataskyddslagen ( / ).

Bestämmelserna om tillsyn i denna lag tillämpas inte på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman

Dataombudsmannen är självständig och oberoende vid skötseln av sina uppgifter enligt denna lag.

46 §
Uppgifter

Dataombudsmannen ska, utöver att utöva tillsyn över efterlevnaden av denna lag

1) öka allmänhetens medvetenhet om risker, lagstiftning, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter,

2) öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt denna lag,

3) på begäran tillhandahålla information till registrerade om hur de ska utöva de rättigheter de har enligt denna lag,

4) ge rådgivning vid förhandssamråd enligt 21 §,

5) göra utredningar om efterlevnaden av denna lag,

6) kontrollera lagenligheten i behandlingen i enlighet med 29 §,

7) behandla begäranden om åtgärder från registrerade eller från samfund som avses i 56 §,

8) följa sådan teknisk och annan utveckling som påverkar skyddet av personuppgifter.

Dataombudsmannen ska dessutom bidra till verksamheten i den dataskyddsstyrelse som avses i artikel 68 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataombudsmannen ska dock inte föra sådana ärenden till dataskyddsstyrelsen som gäller behandling av personuppgifter i samband med verksamhet som avses i 1 § 2 mom.

Dataombudsmannens åtgärder är avgiftsfria för registrerade och för dataskyddsombud. Om en registrerads eller ett dataskyddsombuds begäranden dock på grund av att de upprepas eller av någon annan orsak är uppenbart orimliga eller ogrundade, kan dataombudsmannen ta ut avgift för åtgärderna eller lämna det ärende som begäran gäller utan prövning. Bestämmelser om grunderna för avgiftens belopp finns i lagen om grunderna för avgifter till staten.

Om dataombudsmannen på det sätt som avses i 3 mom. tar ut en avgift eller lämnar ärendet utan prövning, ska dataombudsmannen vid behov visa att begäran är uppenbart ogrundad eller orimlig.

47 §
Rätt att få information

Dataombudsmannen har trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter.

Dataombudsmannen har rätt att av personuppgiftsansvariga och personuppgiftsbiträden få upplysningar om omständigheter som dataombudsmannen behöver för att kunna sköta sina uppgifter.

48 §
Rätt att utföra inspektioner

Dataombudsmannen får utföra inspektioner i en personuppgiftsansvarigs eller ett personuppgiftsbiträdes utrymmen, om en inspektion behövs för tillsynen över efterlevnaden av denna lag.

I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara ett fängelsestraff enligt strafflagen (39/1889).

På inspektionerna tillämpas 39 § i förvaltningslagen (434/2003).

49 §
Handräckning

Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.

50 §
Anlitande av sakkunniga

Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.

Dataombudsmannen får vid inspektioner som avses i 48 § anlita biträde av utomstående sakkunniga. Dataombudsmannen kan till sakkunnig utse en person som givit sitt samtycke till uppdraget och som innehar avsevärd sakkunskap med tanke på skötseln av dataombudsmannens uppgifter.

På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974).

51 §
Åtgärder

Dataombudsmannen kan i ärenden som omfattas av tillämpningsområdet för denna lag

1) ge den personuppgiftsansvarige handledning vid det förfarande för förhandssamråd som avses i 21 §,

2) informera den personuppgiftsansvarige eller personuppgiftsbiträdet om påstådda överträdelser av bestämmelserna i denna lag,

3) utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med denna lag,

4) ge den personuppgiftsansvarige eller personuppgiftsbiträdet en anmärkning, om denne behandlat personuppgifter i strid med lag,

5) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att iaktta den registrerades begäranden om utövande av den registrerades rättigheter enligt denna lag,

6) ålägga den personuppgiftsansvarige att informera den registrerade om en personuppgiftsincident,

7) meddela ett tillfälligt eller bestående förbud eller ställa upp någon annan tillfällig eller bestående begränsning av behandlingen,

8) bestämma att överföring av uppgifter ska avbrytas till mottagare i tredjeländer eller internationella organisationer,

9) bestämma om rättelse och utplåning av personuppgifter och om begränsning av behandlingen samt andra åtgärder i samband med dem på basis av 25 §,

10) ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med bestämmelserna i denna lag, vid behov på ett bestämt sätt och inom en rimlig tid.

52 §
Vite

Dataombudsmannen får förena ett i 51 § 5—10 punkten avsett beslut samt ett sådant föreläggande att lämna ut uppgifter som grundar sig på 47 § med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).

Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.

53 §
Hörande av dataombudsmannen

Dataombudsmannen kan på eget initiativ eller på begäran yttra sig i frågor som hänför sig till sådan behandling av personuppgifter som avses i 1 §.

Dataombudsmannen ska ges tillfälle att bli hörd vid beredningen av lagstiftnings- eller förvaltningsreformer som gäller sådan behandling av personuppgifter som avses i 1 §.

54 §
Ömsesidigt bistånd

Dataombudsmannen ska trots sekretessbestämmelserna avgiftsfritt ge motsvarande tillsynsmyndighet i en annan EU-medlemsstat de personuppgifter som myndigheten nödvändigt behöver i sitt tillsynsuppdrag samt andra behövliga uppgifter, och vid behov även annars bistå myndigheten vid utövandet av tillsynen. Dataombudsmannen ska vidta också andra behövliga åtgärder för att säkerställa ett effektivt samarbete.

Dataombudsmannen ska besvara en begäran från en tillsynsmyndighet som avses i 1 mom. utan obefogat dröjsmål och inte senare än en månad efter det att dataombudsmannen tagit emot begäran.

9 kap.
Rättsskydd

55 §
Rapportering av överträdelser

Den behöriga myndigheten ska ha förfaranden som gör det möjligt att konfidentiellt till myndigheten rapportera en misstänkt överträdelse av bestämmelserna i denna lag. Rapporteringsförfarandet ska omfatta lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna. Rapporteringsförfarandet ska dessutom omfatta anvisningar som tryggar skyddet för rapportörens identitet.

Den behöriga myndigheten ska bevara behövlig information om sådana rapporter som avses i 1 mom. Informationen ska avföras fem år efter rapporteringen, om inte informationen fortsättningsvis behövs för en brottsutredning, en pågående rättegång eller en myndighetsundersökning eller för att trygga de rättigheter som rapportören eller den som är föremål för rapporten har. Senast tre år efter den föregående kontrollen ska behovet av fortsatt bevarande undersökas. En anteckning ska göras om kontrollen.

När en fysisk person till den behöriga myndigheten har lämnat en rapport som avses i 1 mom., ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.

56 §
Rätt att föra ärenden till dataombudsmannen

En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Med den registrerades samtycke får ärendet föras till dataombudsmannen också av ett allmännyttigt samfund som främjar skyddet av personuppgifter.

57 §
Behandlingen av en begäran om åtgärder

Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. Dataombudsmannen ska inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs på grund av att en ytterligare utredning behövs eller av något annat skäl.

Om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande.

Utskottet föreslår en ändring 58 § Slut på ändringsförslaget (Ny)
Utskottet föreslår en ändring Beslut av kommissionen Slut på ändringsförslaget

Om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.

I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.

Utskottet föreslår en ändring 59 Slut på ändringsförslaget §
Ändringssökande

Dataombudsmannens beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).

Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.

I dataombudsmannens beslut får det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.

10 kap.
Särskilda bestämmelser

Utskottet föreslår en ändring 60 Slut på ändringsförslaget §
Skadestånd

Den personuppgiftsansvarige är skyldig att ersätta den registrerade eller någon annan person för ekonomisk skada och annan skada som denne har tillfogats av att personuppgifter har behandlats i strid med denna lag.

Bestämmelser i övrigt om rätten till skadestånd finns i skadeståndslagen.

Utskottet föreslår en ändring 61 Slut på ändringsförslaget §
Straffbestämmelser

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet finns i 3 § och för grov kränkning av kommunikationshemlighet i 4 § det kapitlet samt bestämmelser om straff för dataintrång i 8 § och för grovt dataintrång i 8 a § i det kapitlet. Till straff för brott mot sekretessen enligt 55 § 3 mom. och tystnadsplikten enligt 62 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

Utskottet föreslår en ändring 62 Slut på ändringsförslaget §
Tystnadsplikt

Bestämmelser om tystnadsplikt och förbud mot utnyttjande av uppgifter finns i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999).

11 kap.
Ikraftträdande och övergångsbestämmelser

Utskottet föreslår en ändring 63 Slut på ändringsförslaget §
Ikraftträdande

Denna lag träder i kraft den 20 .

Utskottet föreslår en ändring 64 Slut på ändringsförslaget §
Övergångsbestämmelser

Automatiserade behandlingssystem som har inrättats före den 6 maj 2016 ska bringas i överensstämmelse med 19 § senast den 6 maj 2023.

2. Lag om ändring av Utskottet föreslår en strykning 1 och 6 § i Slut på strykningsförslagetstraffregisterlagen

I enlighet med riksdagens beslut

ändras i straffregisterlagen (770/1993) 1 § 1 mom. och 6 § 8 mom., sådana de lyder, 1 § 1 mom. i lag 1093/1999 och 6 § 8 mom. i lag 215/2012, och

fogas till lagen en ny 11 a § som följer:

1 §

Personuppgiftsansvarig i fråga om straffregistret är Rättsregistercentralen.

6 §

Den som har rätt att teckna en juridisk persons namn har rätt att på begäran få ett i 5 § 1 mom. avsett straffregisterutdrag som gäller den juridiska personen.

Utskottet föreslår en ändring 11 a § Slut på ändringsförslaget (Ny)

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).

Denna lag träder i kraft den 20 .

3. Lag om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen

I enlighet med riksdagens beslut

ändras i lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012) 4 § 3 mom. samt 8 och 13 §, och

fogas till 4 § ett nytt 4 mom. som följer:

4 §
Förhållande till andra lagar och internationella förpliktelser

Om inte något annat föreskrivs i denna lag eller i någon annan lag tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999) på sekretess för samt utlämnande och skydd av personuppgifter samt lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ) på annan behandling av personuppgifter.

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889). (Nytt 4 mom.)

8 §
Lagringsregistrets syfte

Personuppgiftsansvarig i fråga om lagringsregistret är Rättsregistercentralen. Lagringsregistret förs i syfte att lagra uppgifter så att de kan vidarebefordras till andra medlemsstater och finska myndigheter samt antecknas i straffregisterutdrag enligt vad som föreskrivs i denna lag.

13 §
Rätt till insyn

I fråga om vars och ens rätt att kontrollera sina egna registeruppgifter föreskrivs särskilt.

Denna lag träder i kraft den 20 .

4. Lag om ändring av lagen om justitieförvaltningens riksomfattande informationssystem

I enlighet med riksdagens beslut

upphävs i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) 18 § 2 mom., och

ändras 2 § 1 mom., den svenska språkdräkten i 7 § 1 mom. och i 7 § 3 mom. 3 punkten samt 10 § 2 mom. och 19 §, och

fogas till lagen en ny 19 a § som följer:

2 §
Förhållande till annan lagstiftning

Utöver vad som föreskrivs i denna lag finns det bestämmelser om utlämnande av uppgifter ur justitieförvaltningens riksomfattande informationssystem och om de i systemet införda uppgifternas offentlighet i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt bestämmelser om behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, i dataskyddslagen ( / ) och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ).

7 §
Åtaganden i samband med förvaltningen och utvecklingen av informationssystemet

Rättsregistercentralen är personuppgiftsansvarig i fråga om justitieförvaltningens riksomfattande informationssystem.

De myndigheter som fört in uppgifter i justitieförvaltningens riksomfattande informationssystem är skyldiga att se till att

3) anteckningarna har gjorts i enlighet med de tekniska krav som den personuppgiftsansvarige ställt

10 §
Personuppgifter som ska registreras i informationssystemet

I registret över avgöranden och meddelanden om avgöranden får det i fråga om fysiska personer som har del i saken endast antecknas sådana i artikel 9 i dataskyddsförordningen och i 11 § i lagen om behandling av personuppgifter i brottmål eller vid upprätthållandet av den nationella säkerheten avsedda personuppgifter som tillhör särskilda kategorier av personuppgifter och som ska registreras i domstolars diarie- eller andra dokumentregister eller som framgår av en justitieförvaltningsmyndighets avgörande och behövs för verkställighet av en dom, för registrering i myndighetsregister eller för fullgörande av andra uppgifter som enligt lag ska skötas av justitieförvaltningsmyndigheter..

19 §
Rätt till insyn och rättelse av uppgifter

I fråga om den registrerades rätt till insyn och rätt att få sina uppgifter rättade eller kompletterade föreskrivs särskilt.

Utskottet föreslår en ändring 19 a § Slut på ändringsförslaget (Ny)
Utskottet föreslår en ändring Straffbestämmelser Slut på ändringsförslaget

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).

Denna lag träder i kraft den 20 .

5. Lag om ändring av lagen om verkställighet av böter

I enlighet med riksdagens beslut

upphävs i lagen om verkställighet av böter (672/2002) 49 §, och

ändras 46 och 48 § samt den svenska språkdräkten i 50 § 1 mom., och

fogas till lagen en ny 53 a § som följer:

46 §
Ändamålet med bötesregistret och behandlingen av registeruppgifterna

Rättsregistercentralen (den personuppgiftsansvarige) förvaltar ett bötesregister som förs och används för verkställighet av ärenden som ska verkställas på det sätt som föreskrivs i denna lag.

Rätt att behandla uppgifter i bötesregistret har Rättsregistercentralens tjänstemän till den del det behövs för skötseln av tjänsteåliggandena.

Utöver vad som föreskrivs i denna lag eller i någon annan lag finns det bestämmelser om rätten att ta del av myndigheternas offentliga handlingar, om tystnadsplikt för myndigheter och om handlingssekretess, samt om andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att få uppgifter, i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt bestämmelser om annan behandling av personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i dataskyddslagen ( / ) och i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ).

48 §
Den personuppgiftsansvariges rätt att få uppgifter

Den personuppgiftsansvarige har för förvaltningen av bötesregistret och skötseln av lagenliga verkställighetsuppdrag rätt att ur befolkningsdatasystemet få uppgifter som gäller en fysisk persons namn, personbeteckning, adress och död samt andra motsvarande uppgifter som behövs för verkställigheten och har samband med att personen i fråga ska kunna påträffas, samt motsvarande uppgifter om juridiska personer av de behöriga registermyndigheterna.

50 §
Hemlighållande och utlämnande av uppgifter som ingår i bötesregistret

Uppgifterna i bötesregistret om brott och straffrättsliga påföljder ska hållas hemliga. Vid behandlingen av nämnda uppgifter ska den personuppgiftsansvarige iaktta särskild omsorg samt säkerställa en tillräcklig teknisk och organisatorisk skyddsnivå för registret.

Utskottet föreslår en ändring 53 a § Slut på ändringsförslaget (Ny)
Utskottet föreslår en ändring Straffbestämmelser Slut på ändringsförslaget

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).

Denna lag träder i kraft den 20 .

6. Lag om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

I enlighet med riksdagens beslut

ändras i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) 1 § 1 mom., den svenska språkdräkten i 11 §, i 24 § 2 mom. och i 28 § 3 mom., 30 och 31 §, den svenska språkdräkten i 32 §, 33 § 1 mom., den svenska språkdräkten i 34 § 3 mom. samt 37 § 2 mom., av dem 31 § sådan den lyder delvis ändrad i lag 17/2016, som följer:

1 §
Lagens tillämpningsområde

Denna lag innehåller bestämmelser om förande av sådana personregister som behövs för skötseln av verkställighet av straff och andra uppdrag som hör till Brottspåföljdsmyndigheten samt om annan behandling av personuppgifter. Om inte något annat föreskrivs i denna lag, tillämpas på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet (621/1999) och på annan behandling av personuppgifter Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, samt dataskyddslagen ( / ) och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ).

11 §
Ansvar för uppgifternas riktighet

Den personuppgiftsansvarige och den enhet vid Brottspåföljdsmyndigheten som har fört in en uppgift i registret svarar för att den registrerade uppgiften är riktig.

24 §
Förfarandet för utlämnande av uppgifter i fall som avses i 14—23 §

Beslut om utlämnande av uppgifter enligt 14—23 § fattas av den personuppgiftsansvarige eller en av denne utsedd tjänsteman vid Brottspåföljdsmyndigheten.

28 §
Rätt att få uppgifter av andra myndigheter och uppgiftsskyldiga

De uppgifter som avses i 1 och 2 mom. kan lämnas genom teknisk anslutning så som särskilt avtalas med den personuppgiftsansvarige.

30 §
Information om behandling av uppgifter

Den personuppgiftsansvarige ska i enlighet med vad som föreskrivs i dataskyddsförordningen och dataskyddslagen informera den registrerade om behandling av uppgifter. Undantag från informationsplikten får dock göras om det är nödvändigt för ordningen och säkerheten i en enhet vid Brottspåföljdsmyndigheten.

31 §
Inskränkningar i rätten till insyn

Utöver vad som föreskrivs i dataskyddsförordningen, dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten får den registrerades rätt till insyn begränsas, om utövande av rätten till insyn på sannolika grunder kan leda till ett allvarligt hot mot ordningen och säkerheten i en enhet vid Brottspåföljdsmyndigheten eller mot säkerheten för en anställd vid Brottspåföljdsmyndigheten eller för någon annan. Den registrerade har inte rätt till insyn i uppgifter i säkerhetsregistret eller i de uppgifter om målsägande enligt 7 § 1 mom. 10 punkten i denna lag som ingår i övervaknings- och verksamhetsregistret.

32 §
Utövande av rätten till insyn

Den registrerade ska personligen kontrollera sina uppgifter vid den enhet vid Brottspåföljdsmyndigheten som den personuppgiftsansvarige anvisar. När begäran om insyn framställs ska den registrerade styrka sin identitet. Den ovan avsedda enheten vid Brottspåföljdsmyndigheten ger den registrerade tillfälle att så som den personuppgiftsansvarige bestämmer kontrollera de uppgifter som han eller hon har rätt till insyn i.

33 §
Bevaring av uppgifter som konstaterats vara oriktiga

Oberoende av vad som i dataskyddsförordningen, dataskyddslagen eller lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivs om rättelse av oriktiga uppgifter i ett register får en oriktig uppgift bevaras i samband med den rättade uppgiften, om det behövs för att trygga rättigheterna för den registrerade, någon annan part eller en anställd vid Brottspåföljdsmyndigheten. En sådan uppgift får användas endast i det syfte som här avses.

34 §
Granskning av uppgifter och gallring av uppgifter ur register

Den personuppgiftsansvarige eller den enhet vid Brottspåföljdsmyndigheten som den personuppgiftsansvarige bestämt ska en gång per år granska om det finns behov av att bevara de uppgifter som lagrats och som ingår i säkerhetsregistret. Behovet av att bevara uppgifterna i besökarregistret ska granskas vartannat år. Behovet av att bevara uppgifterna i verkställighetsregistret, samhällspåföljdsregistret samt övervaknings- och verksamhetsregistret ska granskas vart tredje år.

37 §
Straffbestämmelser

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen och bestämmelser om straff för dataintrång i 8 § och grovt dataintrång i 8 a § i det kapitlet.

Denna lag träder i kraft den 20 .

Helsingfors 25.10.2018

I den avgörande behandlingen deltog

ordförande

Juho Eerola saf

vice ordförande

Timo V. Korhonen cent

medlem

Anders Adlercreutz sv

medlem

Pertti Hakanen cent

medlem

Mika Kari sd

medlem

Kari Kulmala blå

medlem

Antti Kurvinen cent

medlem

Sirpa Paatero sd

medlem

Olli-Poika Parviainen gröna

medlem

Veera Ruoho saml

medlem

Joona Räsänen sd

medlem

Matti Semi vänst

medlem

Mari-Leena Talvitie saml.

Sekreterare var

utskottsråd Minna-Liisa Rinne.

Kakinställningar

FvUB 14/2018 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Betänkande FvUB 14/2018 rd RP 31/2018 rd Förvaltningsutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den

INLEDNING

Remiss

Utlåtanden

Sakkunniga

PROPOSITIONEN

UTSKOTTETS ÖVERVÄGANDEN

Propositionens utgångspunkter

Förhållande till dataskyddslagen

Viktiga regleringsobjekt med avseende på skyddet av personuppgifter

Nationellt spelrum och skydd för hemfriden

Tystnadsplikt och förhållande till offentlighetslagen

Den registrerades rättigheter

Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring

Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling

Sammankopplade förfaranden

Dröjsmålsbesvär

Kommissionens beslut om adekvat skyddsnivå

Skydd mot självinkriminering

Påföljder

Överföringar av personuppgifter till tredjeländer och internationella organisationer

DETALJMOTIVERING

1. Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

2. Lagen om ändring av 1 och 6 § i straffregisterlagen

3. Lagen om ändring av lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen

4. Lagen om ändring av lagen om justitieförvaltningens riksomfattande informationssystem

5. Lagen om ändring av lagen om verkställighet av böter

6. Lagen om ändring av lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten

FÖRSLAG TILL BESLUT

Utskottets ändringsförslag

1. Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

1 kap. Allmänna bestämmelser

1 § Tillämpningsområde

2 § Förhållande till annan lagstiftning

3 § Definitioner

2 kap. Principer för behandling av personuppgifter

4 § Krav på laglig behandling

5 § Ändamålsbegränsning

6 § Relevanskrav

7 § Felfrihetskrav

8 § Åtskillnad mellan olika personuppgifter

9 § Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga

10 § Skyldighet att informera om särskilda förutsättningar för behandlingen

11 § Behandling av särskilda kategorier av personuppgifter

12 § Behandling av personbeteckningar

13 § Automatiserat individuellt beslutsfattande

3 kap. Personuppgiftsansvarig och personuppgiftsbiträde

14 § Den personuppgiftsansvariges ansvar

15 § Inbyggt dataskydd och dataskydd som standard

16 § Gemensamt personuppgiftsansvariga

17 § Personuppgiftsbiträde

18 § Register över behandlingar

19 § Logguppgifter

20 § Konsekvensbedömning avseende dataskydd

21 § Förhandssamråd med dataskyddsmyndigheten

4 kap. De registrerades rättigheter

22 § Dataskyddsbeskrivning och skyldighet att informera

23 § De registrerades rätt till insyn

24 § Inskränkningar i rätten till insyn

25 § Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen

26 § Vägran att godkänna den registrerades yrkande

27 § Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen

28 § Begränsning av de registrerades rättigheter

29 § Utövande av rättigheter via dataombudsmannen

30 § Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder

5 kap. Informationssäkerhet

31 § Skydd av personuppgifter

32 § Skydd av personuppgifter vid automatiserad behandling

33 § Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident

34 § Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen

35 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident

36 § Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident

37 § Innehållet i anmälan om en personuppgiftsincident

6 kap. Dataskyddsombud

38 § Utnämning av dataskyddsombud

39 § Dataskyddsombudets ställning

40 § Dataskyddsombudets uppgifter

7 kap. Överföringar av personuppgifter till tredjeländer och internationella organisationer

FvUB 14/2018 rd

1 kap.
Allmänna bestämmelser

1 §
Tillämpningsområde

2 §
Förhållande till annan lagstiftning

3 §
Definitioner

2 kap.
Principer för behandling av personuppgifter

4 §
Krav på laglig behandling

5 §
Ändamålsbegränsning

6 §
Relevanskrav

7 §
Felfrihetskrav

8 §
Åtskillnad mellan olika personuppgifter

9 §
Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga

10 §
Skyldighet att informera om särskilda förutsättningar för behandlingen

11 §
Behandling av särskilda kategorier av personuppgifter

12 §
Behandling av personbeteckningar

13 §
Automatiserat individuellt beslutsfattande

3 kap.
Personuppgiftsansvarig och personuppgiftsbiträde

14 §
Den personuppgiftsansvariges ansvar

15 §
Inbyggt dataskydd och dataskydd som standard

16 §
Gemensamt personuppgiftsansvariga

17 §
Personuppgiftsbiträde

18 §
Register över behandlingar

19 §
Logguppgifter

20 §
Konsekvensbedömning avseende dataskydd

21 §
Förhandssamråd med dataskyddsmyndigheten

4 kap.
De registrerades rättigheter

22 §
Dataskyddsbeskrivning och skyldighet att informera

23 §
De registrerades rätt till insyn

24 §
Inskränkningar i rätten till insyn

25 §
Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen

26 §
Vägran att godkänna den registrerades yrkande

27 §
Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen

28 §
Begränsning av de registrerades rättigheter

29 §
Utövande av rättigheter via dataombudsmannen

30 §
Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder

5 kap.
Informationssäkerhet

31 §
Skydd av personuppgifter

32 §
Skydd av personuppgifter vid automatiserad behandling

33 §
Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident

34 §
Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen

35 §
Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident

36 §
Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident

37 §
Innehållet i anmälan om en personuppgiftsincident

6 kap.
Dataskyddsombud

38 §
Utnämning av dataskyddsombud

39 §
Dataskyddsombudets ställning

40 §
Dataskyddsombudets uppgifter

7 kap.
Överföringar av personuppgifter till tredjeländer och internationella organisationer

41 §
Allmänna principer för överföring av personuppgifter

42 §
Överföring på basis av lämpliga skyddsåtgärder

43 §
Undantag i särskilda situationer

44 §
Överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer

8 kap.
Tillsynsmyndighet

45 §
Dataombudsmannen

46 §
Uppgifter

47 §
Rätt att få information

48 §
Rätt att utföra inspektioner

49 §
Handräckning

50 §
Anlitande av sakkunniga

51 §
Åtgärder

52 §
Vite

53 §
Hörande av dataombudsmannen

54 §
Ömsesidigt bistånd

9 kap.
Rättsskydd

55 §
Rapportering av överträdelser

56 §
Rätt att föra ärenden till dataombudsmannen

57 §
Behandlingen av en begäran om åtgärder

Utskottet föreslår en ändring 58 § Slut på ändringsförslaget (Ny)
Utskottet föreslår en ändring Beslut av kommissionen Slut på ändringsförslaget

Utskottet föreslår en ändring 59 Slut på ändringsförslaget §
Ändringssökande

10 kap.
Särskilda bestämmelser

Utskottet föreslår en ändring 60 Slut på ändringsförslaget §
Skadestånd

Utskottet föreslår en ändring 61 Slut på ändringsförslaget §
Straffbestämmelser

Utskottet föreslår en ändring 62 Slut på ändringsförslaget §
Tystnadsplikt

11 kap.
Ikraftträdande och övergångsbestämmelser

Utskottet föreslår en ändring 63 Slut på ändringsförslaget §
Ikraftträdande

Utskottet föreslår en ändring 64 Slut på ändringsförslaget §
Övergångsbestämmelser

4 §
Förhållande till andra lagar och internationella förpliktelser

8 §
Lagringsregistrets syfte

13 §
Rätt till insyn

2 §
Förhållande till annan lagstiftning