1.1
Lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten
1 kap. Allmänna bestämmelser
1 §.Tillämpningsområde. I paragrafen föreskrivs det om den föreslagna lagens tillämpningsområde. Bestämmelser om dataskyddsdirektivets tillämpningsområde finns i artikel 1 och 2 i direktivet, på vilka också den föreslagna tillämpningsbestämmelsen i huvudsak grundar sig.
Enligt 1 mom. ska den föreslagna lagen tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter som anges i lagen när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning (1 punkten), åtalsprövning och annan åklagarverksamhet som har samband med brott (2 punkten), handläggning av brottmål i domstol (3 punkten), verkställighet av straffrättsliga påföljder (4 punkten) eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten (5 punkten).
Enligt skäl 12 i ingressen i dataskyddsdirektivet är polisens och andra brottsbekämpande myndigheters verksamhet främst inriktad på att förebygga, förhindra, utreda, avslöja och lagföra brott, inbegripet polisverksamhet där man inte på förhand vet om det inträffade utgör ett brott eller inte. Denna verksamhet kan också omfatta användning av de befogenheter som föreskrivits för polisen i polislagen eller någon annanstans i lagstiftningen, t.ex. i samband med demonstrationer, större idrottsevenemang och upplopp. Denna verksamhet omfattar också upprätthållande av lag och ordning.
Sådana behöriga myndigheter som avses i den föreslagna lagen är bl.a. polismyndigheterna, tullmyndigheterna, Gränsbevakningsväsendet, domstolarna, åklagarväsendet, Rättsregistercentralen samt Brottspåföljdsmyndigheten. Dessutom är t.ex. riksdagens justitieombudsman och justitiekanslern sådana behöriga myndigheter som avses i den föreslagna lagen, eftersom de enligt 110 § i grundlagen har åtalsrätt. Den föreslagna lagen ska tillämpas på behöriga myndigheter dock endast till den del de utför behandling av personuppgifter för de uppgifter som uppräknas i 1 §.
De behöriga myndigheterna får i den nationella lagstiftningen anförtros också sådana uppgifter som inte utförs för att förebygga, utreda, avslöja eller bedriva åklagarverksamhet i samband med brott, inklusive att skydda mot och förebygga hot mot den allmänna säkerheten. Behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas då av tillämpningsområdet för förordning (EU) 2016/679, dvs. s.k. allmänna dataskyddsförordningen.
Exempelvis polisen har flera uppgifter som omfattas av dataskyddsdirektivets och den föreslagna lagens tillämpningsområde, såsom förundersökning av brott. Polisen sköter dock också andra uppgifter än sådana som hänför sig till brottsbekämpning, såsom vid behandling av passansökningar. På sådan behandling ska den föreslagna lagen inte tillämpas, utan då tillämpas allmänna dataskyddsförordningen och den nationella lagstiftning som kompletterar den. Den föreslagna lagens tillämpningsområde ska inte heller omfatta behandling av personuppgifter inom personaladministration, asylärenden, invandring, gränskontroll eller bankernas behandling av personuppgifter. Behandlingsåtgärder som gäller sådana ärenden och situationer omfattas av tillämpningsområdet för allmänna dataskyddsförordningen.
Av de uppgifter som t.ex. Tullen ansvarar för enligt lag ska förhindrande och avslöjande av tullbrott samt förundersökning av tullbrott omfattas av dataskyddsdirektivets och den föreslagna lagens tillämpningsområde. Av de uppgifter som ålagts Tullen ska lagens tillämpningsområde inte omfatta uppgifter som t.ex. gäller verkställighet av EU:s tullagstiftning, verkställande av beskattning, tillsynsuppgifter, statistikföring av utrikeshandel eller laboratorieundersökningar. I fråga om dem blir allmänna dataskyddsförordningen tillämplig.
Enligt 2 mom. 1 punkten ska lagen dessutom tillämpas på sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007). Sådan behandling av personuppgifter som avses i punkten faller inte under dataskyddsdirektivets tillämpningsområde. Det är alltså fråga om en utvidgning av tillämpningsområdet för den nationella lagen.
I 2 § 1 mom. 1 punkten i lagen om försvarsmakten föreskrivs om Försvarsmaktens huvuduppgift, som är det militära försvaret av Finland. Punkten delas upp på tre underpunkter, där det föreskrivs närmare om innehållet i uppgiften. I 2 § 1 mom. 1 punkten underpunkt a i lagen om försvarsmakten föreskrivs att till Försvarsmaktens uppgifter hör övervakning av Finlands landområden, vattenområden och luftrum samt tryggande av den territoriella integriteten.
Enligt 2 § 1 mom. 1 punkten underpunkt b i lagen om försvarsmakten hör det till skötseln av det militära försvaret av landet att trygga befolkningens livsbetingelser, de grundläggande fri- och rättigheterna och statsledningens handlingsfrihet samt att försvara den lagliga samhällsordningen. I 2 § 1 mom. 1 punkten underpunkt c i lagen föreskrivs att till Försvarsmaktens uppgifter hör att ge militärutbildning, styra den frivilliga försvarsutbildningen och stärka försvarsviljan.
Enligt 2 § 1 mom. 2 punkten i lagen om försvarsmakten hör stödjande av andra myndigheter till försvarsmaktens uppgifter. Uppgiften innefattar a) handräckning för upprätthållande av allmän ordning och säkerhet, för förhindrande och avbrytande av terroristbrott samt för skyddande av samhället i övrigt, samt b) deltagande i räddningsverksamheten genom att tillhandahålla utrustning, personalresurser och sakkunnigtjänster som behövs i räddningsverksamheten. Den föreslagna lagen ska tillämpas endast i samband med skötseln av uppgifter enligt underpunkt a.
Till Försvarsmaktens uppgifter hör enligt 2 § 1 mom. i den lagen för det tredje deltagande i stöd och bistånd som grundar sig på artikel 222 i fördraget om Europeiska unionens funktionssätt eller artikel 42.7 i fördraget om Europeiska unionen samt deltagande i territorialövervakningssamarbete eller i annat internationellt bistånd och annan internationell verksamhet. Till Försvarsmaktens fjärde uppgift hör enligt ovannämnda moment deltagande i internationell militär krishantering och i militäruppdrag i annan internationell krishantering. Närmare bestämmelser om deltagande i militär krishantering finns i lagen om militär krishantering.
Enligt 2 mom. 2 punkten i den föreslagna paragrafen ska lagen tillämpas på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. Polisens uppgift är enligt 1 kap. 1 § 1 mom. i polislagen att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga brott, avslöja och utreda brott och föra brott till åtalsprövning. I syfte att upprätthålla säkerheten samarbetar polisen med övriga myndigheter och sammanslutningar samt invånarna och sköter det internationella samarbete som deras uppgifter omfattar. Skyddspolisen har enligt 10 § i polisförvaltningslagen (110/1992) till uppgift att bekämpa förehavanden och brott som kan äventyra stats- och samhällsskicket eller rikets inre eller yttre säkerhet samt att utföra undersökning av sådana brott. Skyddspolisen ska även upprätthålla och utveckla en allmän beredskap för att förebygga verksamhet som äventyrar rikets säkerhet.
När skyddspolisen behandlar personuppgifter för att utföra sina ovannämnda uppgifter, dvs. för att skydda den nationella säkerheten, omfattas denna personuppgiftsbehandling inte av EU-rätten. Den nationella säkerheten har undantagits från EU:s behörighet i fördraget om Europeiska unionen. Därför ska bestämmelser om personuppgifter som behandlas på grundval av den nationella säkerheten utfärdas i den nationella lagstiftningen. Den föreslagna lagen ska tillämpas även på sådan behandling av personuppgifter som utförs av en annan polisenhet, när uppgifter behandlas i en i 1 § 1 mom. i polislagen avsedd uppgift som har samband med skyddet av den nationella säkerheten.
Enligt 2 mom. 3 punkten ska lagen tillämpas på sådan behandling av personuppgifter som utförs av Gränsbevakningsväsendet, när uppgifterna behandlas inom ramen för en i 3 § 2 och 3 mom. i gränsbevakningslagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. I 3 § i gränsbevakningslagen föreskrivs om Gränsbevakningsväsendets uppgifter. Av dem hänför sig i synnerhet vissa tillsynsuppgifter och uppgifter inom det militära försvaret till skyddet av den nationella säkerheten. Enligt 3 § 2 mom. i gränsbevakningslagen utför gränsbevakningsväsendet tillsynsuppgifter som anges särskilt. Till dem hör bl.a. att övervaka och trygga Finlands territoriella integritet. Gränsbevakningsväsendet sörjer för territorialövervakningen i samarbete med Försvarsmakten och andra territorialövervakningsmyndigheter på det sätt som föreskrivs i territorialövervakningslagen. Enligt 3 § 3 mom. i gränsbevakningslagen deltar Gränsbevakningsväsendet i det militära försvaret. Enligt 25 § 1 mom. i gränsbevakningslagen ger Gränsbevakningsväsendet i detta syfte sin personal och de värnpliktiga som förordnats till Gränsbevakningsväsendet samt de kvinnor som antagits för att fullgöra frivillig militärtjänst militärutbildning samt upprätthåller och utvecklar försvarsberedskapen i samarbete med Försvarsmakten.
Enligt 3 mom. ska 10 § 2 mom., 54 § och 7 kap. i den föreslagna lagen dock inte tillämpas på sådan behandling av personuppgifter som avses i 2 mom. I 10 § 2 mom. i den föreslagna lagen föreskrivs det om förutsättningarna för utlämnande av uppgifter till en mottagare inom EU, i 54 § om utlämnande av uppgifter till en tillsynsmyndighet i en annan EU-medlemsstat och i 7 kap. om överföringar av personuppgifter till tredjeländer. EU:s dataskyddslagstiftning gäller inte behandling av personuppgifter som sker på tillämpningsområdet för det föreslagna 2 mom., och de bestämmelser där som t.ex. gäller utlämnande av personuppgifter blir således inte tillämpliga.
Enligt 4 mom. ska den föreslagna lagen dock tillämpas endast på sådan i 1 och 2 mom. avsedd behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant. Lagens tillämpningsområde ska således också omfatta manuella register, och avsikten i förslaget är inte att till denna del ändra det rättsläge som anges i den gällande personuppgiftslagen. Enligt vad som konstateras i skäl 18 i ingressen i direktivet ska bestämmelserna inte gälla sådana akter eller grupper av akter som inte är ordnade enligt särskilda kriterier.
Paragrafens 5 mom. innehåller en informativ bestämmelse om att dataskyddsdirektivet genomförs genom den föreslagna lagen.
2 §.Förhållande till annan lagstiftning. I 1 mom. föreskrivs det för klarhets skull att om det i någon annan lag finns bestämmelser som avviker från den föreslagna lagen, ska de tillämpas i stället för denna lag. I praktiken finns det speciallagstiftning om nästan var och en av de behöriga myndigheter som avses i denna lag och den behandling av personuppgifter som de utför, vilket innebär att de bestämmelserna ska tillämpas i stället för de bestämmelser som tas in i denna lag.
Paragrafens 2 mom. innehåller en hänvisningsbestämmelse till lagstiftningen om offentlighet i myndigheternas verksamhet. Bestämmelser om rätten att ta del av myndigheternas offentliga handlingar finns särskilt i lagen om offentlighet i myndigheternas verksamhet (621/1999) samt i lagen om offentlighet vid rättegång i allmänna domstolar (370/2007). De behöriga myndigheterna ska t.ex. vid utlämnande av personuppgifter ta hänsyn till offentlighetsprincipen och sekretessbestämmelserna på det sätt som föreskrivs i 12 § 2 mom. i grundlagen, i offentlighetslagen och i den speciallagstiftning som eventuellt blir tillämplig.
3 §.Definitioner. I paragrafen definieras de viktigaste begreppen i den föreslagna lagen. Paragrafen grundar sig på artikel 3 i dataskyddsdirektivet, med undantag för den definition av lämpliga skyddsåtgärder som avses i 1 mom. 10 punkten och den definition av tredjeland som avses i 15 punkten.
I 1 mom. 1 och 2 punkten definieras personuppgifter, en registrerad och behandling av personuppgifter. Definitionernas innehåll ändras inte jämfört med gällande lagstiftning, men ordalydelsen uppdateras så att den bättre motsvarar definitionerna i dataskyddsdirektivet och i allmänna dataskyddsförordningen.
Med personuppgifter avses varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till ett namn, en personbeteckning eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, genetiska eller t.ex. sociala identitet. För att bedöma om en fysisk person är identifierbar bör man i enlighet med skäl 21 i ingressen i dataskyddsdirektivet beakta alla hjälpmedel, såsom utgallring, som, antingen av den personuppgiftsansvarige eller av någon annan aktör, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att bedöma om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva omständigheter, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Bestämmelserna om skydd för personuppgifter ska således inte tillämpas på anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, såsom statistik, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar.
Begreppet begränsning av behandling i 3 punkten är nytt. Med begränsning av behandling avses markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.
Begreppet register, som finns i 4 punkten, motsvarar innehållsmässigt till väsentliga delar begreppet personregister, vilket används för närvarande i personuppgiftslagen. Definitionen ändras så att den överensstämmer med definitionsbestämmelsen i dataskyddsdirektivet. Med register avses en strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
I 5 punkten definieras behörig myndighet. Med behörig myndighet avses en myndighet som har behörighet att förebygga, avslöja, utreda brott eller föra brott till åtalsprövning, att åtalspröva eller vidta andra åtgärder som avser åtal för brott eller att döma till straffrättsliga påföljder eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Exempel på sådana behöriga myndigheter som avses i punkten är polis- och tullmyndigheterna, Gränsbevakningsväsendet, de allmänna domstolarna, åklagarväsendet, Rättsregistercentralen samt Brottspåföljdsmyndigheten. Även en i lagen om Forststyrelsens jakt- och fiskeövervakning (1157/2005) avsedd jakt- och fiskeövervakare är en sådan behörig myndighet som avses i punkten, eftersom jakt- och fiskeövervakare i vissa situationer gör en summarisk förundersökning för att utreda ett brottmål. Likaså är t.ex. riksdagens justitieombudsman och justitiekanslern sådana behöriga myndigheter som avses i lagen, eftersom de i vissa situationer har åtalsrätt. Däremot är t.ex. en socialarbetare som fungerar som sådan biträdande övervakare som avses i lagen om verkställighet av samhällspåföljder (400/2015) och som utsetts att bistå en tjänsteman som svarar för verkställigheten av en enskild samhällspåföljd inte en sådan behörig myndighet som avses i punkten.
I punkten utsträcks definitionen av behörig myndighet till att också gälla Försvarsmakten, polisen och Gränsbevakningsväsendet när de sköter uppgifter som avses i det föreslagna 1 § 2 mom. Det är till denna del fråga om nationell reglering.
I 6 punkten definieras personuppgiftsansvarig. Definitionen motsvarar i stor utsträckning nuläget. På lagens tillämpningsområde är den personuppgiftsansvarige alltid uttryckligen en behörig myndighet. Den personuppgiftsansvarige bestämmer ensam eller tillsammans med andra ändamålen och medlen för behandlingen av personuppgifter eller har enligt lag till uppgift att föra ett register. Bestämmelsen gör det således möjligt med gemensamt personuppgiftsansvariga på motsvarande sätt som för närvarande. Närmare bestämmelser om gemensamt personuppgiftsansvariga tas in i den föreslagna 16 §.
I 7 punkten definieras personuppgiftsbiträde. Med personuppgiftsbiträde avses enligt förslaget en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, t.ex. på basis av ett uppdragsförhållande. Med personuppgiftsbiträde avses således inte en person som är anställd hos den personuppgiftsansvarige, inte heller en enskild person som är anställd hos personuppgiftsbiträdet.
Definitionen i 8 punkten är ny. Enligt den avses med mottagare en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ till vilket personuppgifterna lämnas ut.
I 9 punkten definieras personuppgiftsincident. Den gällande personuppgiftslagen innehåller ingen definition av personuppgiftsincident. Med personuppgiftsincident avses enligt punkten en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Enligt definitionen förutsätter en personuppgiftsincident inte att incidenten har förorsakat den registrerade konkret skada.
I 10 punkten definieras vad som i den föreslagna lagen avses med lämpliga skyddsåtgärder. Enligt punkten avses med lämpliga skyddsåtgärder sådana tekniska och organisatoriska åtgärder som säkerställer att behandlingen av personuppgifter är lagenlig, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter (riskbaserat förhållningssätt). Sådana åtgärder kan, beroende på fallet, bestå t.ex. av pseudonymisering eller hemlighållande av personuppgifter, införande av striktare förutsättningar för behandling av uppgifter än vad lagstiftningen förutsätter och utbildning i informationssäkerhetsfrågor för den personal som behandlar uppgifter. Skyddsåtgärderna kan också omfatta fullgörande av i lag eller förordning angivna informationssäkerhetsskyldigheter som är exaktare än de skyldigheter som ingår i denna lag. Det är inte möjligt att på ett uttömmande sätt definiera lämpliga skyddsåtgärder i lagen, och arten av de skyddsåtgärder som krävs kan med tiden förändras, bl.a. på grund av den tekniska utvecklingen. En motsvarande definition finns inte uttryckligen i dataskyddsdirektivet. I den föreslagna lagen hänvisas det på flera ställen till lämpliga skyddsåtgärder.
I 11 punkten definieras vad som i lagen avses med profilering. Med profilering avses automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person. Profileringen görs vanligen i syfte att analysera eller förutsäga aspekter rörande denna fysiska persons intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
I 12 punkten definieras genetiska uppgifter som personuppgifter som rör sådana nedärvda eller förvärvade genetiska kännetecken för en fysisk person som ger unik information om personens fysiologi eller hälsa, och som härrör från en analys av ett biologiskt prov från personen i fråga eller som erhållits på annat sätt. Definitionen är ny.
I 13 punkten definieras biometriska uppgifter. Någon motsvarande definition ingår inte i den gällande lagstiftningen om personuppgifter. Med biometriska uppgifter avses personuppgifter som tagits fram genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av personen i fråga. Biometriska uppgifter är t.ex. ansiktsbilder och fingeravtrycksuppgifter.
Definitionen av uppgifterom hälsa i 14 punkten är ny. Med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa och som ger information om personens hälsotillstånd. Definitionen omfattar alla uppgifter som gäller den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Med uppgifter om hälsa avses bl.a. genetiska och biologiska uppgifter samt uppgifter om sjukdom, funktionshinder, sjukdomsrisk och klinisk behandling.
I 15 punkten definieras tredjeland. Med tredjeland avses andra stater än medlemsstater i Europeiska unionen (EU), stater inom Europeiska ekonomiska samarbetsområdet eller Schweiz. Till Europeiska ekonomiska samarbetsområdet hör utöver EU:s medlemsstater Island, Liechtenstein och Norge.
I 16 punkten definieras vad som i den föreslagna lagen avses med internationell organisation. Med begreppet avses en organisation och dess underställda organ som lyder under folkrätten eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera stater. En sådan internationell organisation som avses i punkten är t.ex. Interpol.
Enligt 2 mom. ska vad som i den föreslagna lagen föreskrivs om behörig myndighet tillämpas också på enskilda som sköter en uppgift som avses i 1 mom. 5 punkten. Bestämmelsen grundar sig på artikel 3.7 b i dataskyddsdirektivet. Enligt artikeln avses med behörig myndighet också ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. De bestämmelser som föreslås i momentet behövs för att enskilda aktörer som sköter sådana uppgifter i andra EU-länder, såsom organisationer som upprätthåller privata fängelser, ska beaktas.
Enligt 3 mom. ska vad som i den föreslagna lagen föreskrivs om en medlemsstat i EU tillämpas också på stater inom Europeiska ekonomiska samarbetsområdet och på Schweiz. Förslaget grundar sig på bestämmelserna i direktivet. Till Europeiska ekonomiska samarbetsområdet hör för närvarande utöver EU:s medlemsstater Island, Liechtenstein och Norge.
2 kap. Principer för behandling av personuppgifter
Kapitlet innehåller bestämmelser om principerna för behandling av personuppgifter. De ska iakttas alltid när personuppgifter behandlas i enlighet med den föreslagna lagen.
4 §. Krav på laglig behandling. Paragrafen innehåller bestämmelser om krav på laglig behandling av personuppgifter. Den föreslagna paragrafen grundar sig på artikel 4.1 a och b samt artikel 8.1 i dataskyddsdirektivet. Paragrafen motsvarar i huvuddrag 5 § i personuppgiftslagen, där det föreskrivs om aktsamhetsplikt, samt 8 § 4 punkten och 12 § 5 punkten i den lagen. Enligt 5 § i personuppgiftslagen ska den registeransvarige behandla personuppgifterna i enlighet med lag och vid behandlingen iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerade privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund.
Enligt 1 mom. får personuppgifter behandlas endast om det behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift på ett område som anges i 1 § 1 och 2 mom. Med lag avses i detta sammanhang både inhemsk lag och EU-lagstiftning.
Behandlingen ska behövas för att en behörig myndighet ska kunna utföra en uppgift som avses i 1 § 1 eller 2 mom. I enlighet med relevans- och proportionalitetskraven bör personuppgifter behandlas endast i en sådan omfattning att ändamålet med behandlingen inte rimligen kan uppnås genom andra medel.
Enligt 2 mom. ska personuppgifter behandlas på ett korrekt och omsorgsfullt sätt. Dessa krav hänvisar för sin del bl.a. till kraven på informationssäkerhet, och av dem följer också en mer allmän skyldighet att behandla personuppgifter i enlighet med god informationshantering. Aktsamhetsplikten framhäver på motsvarande sätt som i 5 § i den gällande personuppgiftslagen att den personuppgiftsansvariges tar egna initiativ för att säkerställa att de bestämmelser och principer som gäller skydd för personuppgifter iakttas vid behandlingen av personuppgifter.
5 §. Ändamålsbegränsning. Paragrafen innehåller bestämmelser om principen om ändamålsbegränsning. Genom paragrafen genomförs artikel 4.1 b, 4.2 och 4.3 samt artikel 9. En bestämmelse om ändamålsbundenhet ingår i 7 § i personuppgiftslagen.
Enligt 1 mom. i den föreslagna paragrafen får den personuppgiftsansvarige samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och får inte behandla dem på ett sätt som står i strid med dessa ändamål.
Enligt 2 mom. får personuppgifter som har samlats in för ett ändamål som anges i 1 § 1 eller 2 mom. i den föreslagna lagen behandlas för något annat än ett i momentet angivet ändamål endast om det föreskrivs om behandlingen i lag. Dessa bestämmelser riktar sig till såväl den ursprungliga personuppgiftsansvarige som andra personuppgiftsansvariga. Kravet på laglighet kan uppfyllas genom såväl nationell lagstiftning som unionslagstiftning. En sådan lag ska uppfylla kraven i dataskyddsdirektivet på nödvändig och proportionell behandling på det sätt som förutsätts i artikel 4.2 b i direktivet. Om personuppgifter behandlas för de andra ändamål till vilka det hänvisas i bestämmelsen, tillämpas i princip allmänna dataskyddsförordningen på behandlingen.
Enligt 3 mom. får personuppgifter behandlas i ett i 1 § 1 eller 2 mom. angivet syfte också för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål. En förutsättning då är emellertid att lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits. Till den del den behandling som avses i momentet sker för några andra än i 1 § angivna ändamål, tillämpas allmänna dataskyddsförordningen, den föreslagna dataskyddslagen samt eventuell speciallagstiftning om behandling av personuppgifter.
Den personuppgiftsansvarige ska kunna visa att denne har iakttagit bestämmelserna i den föreslagna paragrafen.
6 §. Relevanskrav. Genom den föreslagna paragrafen genomförs artikel 4.1 c och e samt artikel 5 i dataskyddsdirektivet. Paragrafen innehåller bestämmelser om relevanskrav och begränsningar i bevarandet av uppgifter, något som i väsentlig grad har samband med relevanskravet. Tillsammans tillgodoser bestämmelserna principen om minimering av uppgifter. Bestämmelser om relevanskrav finns för närvarande i 9 § 1 punkten i personuppgiftslagen.
Enligt 1 mom. ska de personuppgifter som behandlas vara adekvata och behövliga med hänsyn till ändamålet med behandlingen och får inte vara för omfattande i förhållande till de ändamål för vilka de behandlas. Obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. Den personuppgiftsansvarige ska vid behov kunna visa att behandlingen behövs.
Enligt 2 mom. får personuppgifter inte lagras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs (i direktivets svenska version används är nödvändigt) med hänsyn till ändamålet med behandlingen.
Enligt artikel 5 i dataskyddsdirektivet ska medlemsstaterna föreskriva att lämpliga tidsgränser fastställs för radering av personuppgifter eller för periodisk översyn av behovet av att lagra personuppgifter. Enligt 3 mom. ska behovet att bevara personuppgifter bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Genom momentet säkerställs att behovet att bevara personuppgifterna bedöms regelbundet också i det fall att det i speciallagstiftning saknas särskilda bestämmelser om bedömning av behovet av bevarande. Den personuppgiftsansvarige ska med beaktande av de skyldigheter som tas in i den föreslagna 14 § genomföra åtgärder för att säkerställa att bevaringstiden iakttas. I enlighet med vad som föreskrivs i 12 § 2 mom. i den gällande personuppgiftslagen ska behovet att bevara uppgifter om brott och påföljder för brott också för närvarande i princip bedömas minst vart femte år.
7 §.Felfrihetskrav. Paragrafen innehåller bestämmelser om felfrihetskrav, vilket är en av principerna för behandling av personuppgifter. Genom paragrafen genomförs den bestämmelse om att föreskriva om saken i lag som ingår i artikel 4.1 d i dataskyddsdirektivet. En bestämmelse om felfrihetskrav ingår i 9 § 2 mom. i personuppgiftslagen. Även om den grundläggande utgångspunkten för kravet kvarstår oförändrat, ses ordalydelsen i bestämmelsen över i förhållande till personuppgiftslagen så att den motsvarar dataskyddsdirektivet.
Enligt paragrafen ska de personuppgifter som behandlas vara korrekta och vara uppdaterade med hänsyn till ändamålet med behandlingen. Kravet innebär i praktiken t.ex. att personuppgifter med ett vagt innehåll i princip inte ska behandlas. Bestämmelsen utgör i sig inget hinder för att sådana uppgifter lagras vars sanningsenlighet inte omedelbart kan verifieras eller där det är fråga t.ex. om ett vittnes subjektiva åsikter. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas antingen utplånas eller rättas utan dröjsmål. De behöriga myndigheterna bör likaså säkerställa att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga eller överhuvudtaget samlas in. Vid tillämpningen av den uppdateringsskyldighet som avses i paragrafen ska det tas hänsyn till ändamålet med behandlingen av personuppgifterna samt vilken betydelse behandlingen har med tanke på den registrerades integritetsskydd och rättssäkerhet.
8 §. Åtskillnad mellan olika personuppgifter. I paragrafen föreskrivs det om en skyldighet att skilja vissa personuppgifter från varandra. Paragrafen grundar sig på artikel 6 och 7.1 i dataskyddsdirektivet. Någon motsvarande bestämmelse finns inte i personuppgiftslagen. Den föreslagna bestämmelsen har dock en nära koppling t.ex. till det felfrihetskrav om vilket det föreskrivs i 7 § i den föreslagna lagen.
Enligt 1 mom. ska den personuppgiftsansvarige vid behov och så långt det är möjligt göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. Alla rimliga åtgärder med beaktande av vikten av åtskillnad ska vidtas för att skilja uppgifterna åt. Om en persons ställning entydigt framgår av sammanhanget, behövs i princip inga åtgärder för att göra åtskillnad mellan uppgifterna.
Personer som kan anses stå i olika ställning i förhållande till varandra är t.ex. personer för det vilka det finns skäl att misstänka att de har begått eller är på väg att begå ett brott samt personer som har dömts för brott.
Enligt 2 mom. ska alla rimliga åtgärder vidtas för att skilja personuppgifter som grundar sig på fakta från personuppgifter som grundar sig på personliga bedömningar. Under förundersökningen t.ex. ges det ofta utlåtanden som innehåller personuppgifter, men som grundar sig på fysiska personers subjektiva iakttagelser. Sådana uppgifter kan inte alltid verifieras och ska i princip hållas åtskilda från personuppgifter som grundar sig på fakta. Exempel på uppgifter som baserar sig på fakta är teleövervakningsuppgifter som visar på kontakt med en annan person.
9 §. Säkerställande av kvaliteten på personuppgifter som överförs eller görs tillgängliga. Paragrafen innehåller krav när det gäller att säkerställa kvaliteten på personuppgifter om överförs eller görs tillgängliga. Med överföring avses såväl teknisk överföring som egentligt utlämnande av personuppgifter. I paragrafen framhävs särskilt aktsamhets- och felfrihetskravet i samband med att personuppgifter överförs eller görs tillgängliga. Genom paragrafen genomförs artikel 7.2 och 7.3 i dataskyddsdirektivet.
Enligt 1 mom. ska den behöriga myndigheten vidta alla rimliga åtgärder för att se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Varje behörig myndighet ska därför så långt det är möjligt kontrollera kvaliteten på personuppgifterna alltid innan dessa överförs eller görs tillgängliga. Sådana åtgärder som skulle medföra en oskälig administrativ börda i förhållande till syftet med överföringen förutsätts inte.
Enligt 2 mom. ska, vid all överföring av personuppgifter, så långt det är möjligt, sådan information läggas till som gör det möjligt för den mottagande behöriga myndigheten att bedöma i vilken grad personuppgifterna är korrekta, fullständiga, tillförlitliga och aktuella.
Om det visar sig att oriktiga personuppgifter har överförts eller att personuppgifter olagligen har överförts, ska mottagaren enligt vad som föreslås i 3 mom. utan dröjsmål informeras om detta. Efter att mottagaren informerats om saken ska denne rätta eller utplåna de erhållna personuppgifterna eller begränsa behandlingen av dem. Begreppet mottagare definieras i 3 § 1 mom. 8 punkten. Även den behöriga myndighet som överfört personuppgifterna ska vidta lämpliga åtgärder, såsom att rätta felaktiga personuppgifter som myndigheten innehar.
10 §. Skyldighet att informera om särskilda förutsättningar för behandlingen. Paragrafen innehåller bestämmelser om en skyldighet för den behöriga myndigheten att informera om särskilda förutsättningar för behandlingen i enlighet med artikel 9.3 och 9.4 i dataskyddsdirektivet.
I 1 mom. föreskrivs att om det i lag anges särskilda förutsättningar för behandling av personuppgifter, ska den behöriga myndigheten i samband med utlämnande eller överföring av personuppgifter informera mottagaren av personuppgifterna om dessa förutsättningar samt om skyldigheten att iaktta dem. Sådana förutsättningar kan till exempel innefatta ett förbud mot att överföra personuppgifter till andra eller använda dem i andra syften än de för vilka de har överförts till mottagaren. Sådana särskilda förutsättningar kan också innefatta ett förbud mot att informera den registrerade om en begränsning av rätten till information utan förhandsgodkännande från den överförande behöriga myndigheten. Bestämmelser om sådana särskilda förutsättningar kan tas in i den speciallagstiftning som tillämpas på de behöriga myndigheterna.
Enligt 2 mom. får den behöriga myndigheten när den överför personuppgifter till en mottagare inom EU inte uppställa strängare krav på behandlingen av personuppgiften än vad som tillämpas nationellt på likartade uppgiftsöverföringar.
11 §. Behandling av särskilda kategorier av personuppgifter. I paragrafen föreskrivs det om särskilda kategorier av personuppgifter och behandlingen av dem. Bestämmelsen grundar sig på artikel 10 i dataskyddsdirektivet.
Bestämmelser om uppgifter om hör till särskilda kategorier av personuppgifter tas in i 1 mom. Definitionen av särskilda kategorier av personuppgifter skiljer sig till vissa delar från motsvarande definition i 11 § i personuppgiftslagen. Särskilda kategorier av personuppgifter ska inte heller längre kallas känsliga uppgifter. Uppgifter som hör till särskilda kategorier av personuppgifter är personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Till särskilda kategorier av personuppgifter hör också genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, såsom fingeravtrycksuppgifter och ansiktsbilder, samt uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Etniskt ursprung inbegriper också ”ras” i enlighet med artikel 10 i dataskyddsdirektivet.
Det är i princip förbjudet att behandla särskilda kategorier av personuppgifter. Behandling av sådana uppgifter är tillåten endast i de situationer som räknas upp i 2 mom. Enligt den föreslagna bestämmelsen är sådan behandling tillåten, om det är nödvändigt och de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits. På grund av kravet på nödvändighet får uppgifter som hör till särskilda kategorier av uppgifter inte behandlas, om målet med behandlingen kan uppnås på något annat sätt som ingriper mindre i den registrerades rättigheter. En ytterligare förutsättning är att det föreskrivs om behandlingen i lag, att det är fråga om handläggning av brottmål i åklagarverksamhet eller i domstol eller att behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade eller att det krävs för att skydda ett intresse som är av grundläggande betydelse för den registrerade eller en annan fysisk person. Enligt skäl 37 i ingressen i dataskyddsdirektivet kan de lämpliga skyddsåtgärder som krävs vid behandling av uppgifter som hör till särskilda kategorier av personuppgifter t.ex. inbegripa möjligheten att samla in dessa uppgifter endast i samband med andra uppgifter om den berörda fysiska personen, möjligheten att säkra de insamlande uppgifterna, striktare regler om tillgång till uppgifterna för den behöriga myndighetens personal på lämpligt sätt och förbud mot att översända sådana uppgifter.
I paragrafens 3 mom. föreslås en bestämmelse om profilering. Enligt vad som föreskrivs i artikel 11 i dataskyddsdirektivet är profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter förbjuden. Med profilering avses enligt den definition som föreslås i 3 § 1 mom. 11 punkten automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma personliga egenskaper hos en fysisk person, såsom pålitlighet, beteende, intressen eller förflyttningar. Med diskriminering åter avses att utan godtagbart skäl särbehandla en person av en orsak som avses i 1 mom., enligt vad som föreskrivs om detta bl.a. i artikel 21 och 52 i Europeiska unionens stadga om de grundläggande rättigheterna samt i 6 § 2 mom. i grundlagen. I praktiken förbjuds genom bestämmelsen i princip t.ex. en sådan på algoritmer baserad profilering som leder till att personer som hör till en viss etnisk grupp blir föremål för striktare övervakning eller kontroll än andra.
12 §. Behandling av personbeteckningar. I paragrafen föreslås bestämmelser om behandling av personbeteckningar. Dataskyddsdirektivet innehåller inga uttryckliga bestämmelser om behandling av personbeteckningar. De föreslagna bestämmelserna är således enbart nationella. Bestämmelser om behandling av personbeteckning finns också i 29 § i personuppgiftslagen.
Bestämmelser om de särskilda förutsättningar som gäller för behandling av personbeteckningar tas in i 1 mom. Enligt det föreslagna momentet får en personbeteckning behandlas endast om det är viktigt att entydigt identifiera den registrerade för att en behörig myndighet ska kunna utföra en i lag angiven uppgift eller för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter eller uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter. En personbeteckning får behandlas också om det är viktigt att entydigt identifiera den registrerade för sådan historisk eller vetenskaplig forskning eller sådan statistikföring som avses i 5 § 3 mom. i den föreslagna lagen.
Enligt det föreslagna 2 mom. får en personbeteckning inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register. Förslaget motsvarar 13 § 4 mom. i personuppgiftslagen.
13 §.Automatiserat individuellt beslutsfattande. Paragrafen innehåller bestämmelser om automatiserat individuellt beslutsfattande. En bestämmelse om detta finns i artikel 11 i dataskyddsdirektivet. I 31 § i personuppgiftslagen finns en bestämmelse, med något annorlunda innehåll, om automatiserade beslut.
Enligt den föreslagna paragrafen är ett beslut som fattas enbart på grundval av automatiserad behandling av personuppgifter och som har negativa rättsverkningar för den registrerade eller annars är betydande för denne förbjudna. Sådant automatiserat individuellt beslutsfattande är enligt den föreslagna bestämmelsen tillåtet endast om så föreskrivs någon annanstans i lag. I praktiken ska sådant automatiserat beslutsfattande således alltid regleras i speciallagstiftning. Sådan lagstiftning ska uppfylla kraven i artikel 11 i direktivet bl.a. när det gäller den registrerades rätt att kräva att en fysisk person från den personuppgiftsansvariges sida deltar i behandlingen.
Paragrafen ska gälla situationer då beslutsfattandet grundar sig enbart på automatiserad behandling av personuppgifter, dvs. då ingen fysisk person deltar i beslutsfattandet. Den blir således tillämplig i sådana situationer då t.ex. en person som är anställd hos den personuppgiftsansvarige deltar i behandlingen av personuppgifter endast på ett sådant sätt som inte har någon inverkan på beslutsfattandet. Sådana i paragrafen avsedda mekanismer för beslutsfattande som grundar sig enbart på automatiserad behandling av personuppgifter används veterligen inte på den föreslagna lagens tillämpningsområde i Finland för närvarande.
3 kap. Personuppgiftsansvarig och personuppgiftsbiträde
14 §. Den personuppgiftsansvariges ansvar. Paragrafen innehåller bestämmelser om ansvaret för den personuppgiftsansvariga som avses i den föreslagna lagen. De föreslagna bestämmelserna grundar sig på artikel 19.1 i dataskyddsdirektivet.
Enligt 1 mom. svarar den personuppgiftsansvarige för att personuppgifter behandlas i enlighet med lag. Den personuppgiftsansvarige ska realisera sitt ansvar genom anvisningar till sina anställda eller personuppgiftsbiträdet samt efter behov t.ex. genom utbildning. Bestämmelser om vilka tekniska och organisatoriska åtgärder som krävs av den personuppgiftsansvarige tas in i 2 mom. Den personuppgiftsansvarige påförs också en s.k. ansvarsskyldighet, dvs. den personuppgiftsansvarige ska också i efterskott kunna visa att personuppgifterna har behandlats i enlighet med de principer som anges i lagens 2 kap.
Enligt 2 mom. är den personuppgiftsansvarige skyldig att vidta de tekniska och organisatoriska åtgärder som krävs med avseende på ansvaret enligt 1 mom. för att den personuppgiftsansvarige ska kunna säkerställa och även visa att behandlingen av personuppgifter är laglig. När åtgärderna vidtas ska det enligt den föreslagna bestämmelsen tas hänsyn till behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter. När åtgärderna planeras ska det således t.ex. tas hänsyn till huruvida de personuppgifter som behandlas gäller personer i en ytterst utsatt position, såsom barn eller offer för människohandel. Det kan också vara av betydelse om behandlingen gäller en stor mängd personuppgifter eller uppgifter som hör till särskilda kategorier av personuppgifter. I sådana situationer ska särskilda skyddsåtgärder planeras och vidtas.
15 §. Inbyggt dataskydd och dataskydd som standard. Paragrafen innehåller bestämmelser om inbyggt dataskydd och dataskydd som standard (privacy by design ja privacy by default). Genom den genomförs artikel 20 i dataskyddsdirektivet. Det är fråga om en ny typ av skyldighet jämfört med personuppgiftslagen.
Enligt 1 mom. ska den personuppgiftsansvarige redan vid tidpunkten för beslut om hur behandlingen av personuppgifter ska utföras och vid tidpunkten för själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att behandlingen är laglig och att den registrerades rättigheter skyddas. Åtgärderna ska vidtas med beaktande av tillgängliga tekniska lösningar, genomförandekostnaderna samt behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen medför för personens rättigheter. De åtgärder som avses i momentet kan t.ex. bestå av pseudonymisering så snart det är möjligt med tanke på ändamålet med behandlingen. De krav som uppställs i momentet ska beaktas också t.ex. när informationssystem genomförs.
Riskens sannolikhetsgrad och allvar bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken ska bedömas utifrån objektiva omständigheter. Det kan anses vara fråga om en betydande risk i synnerhet när det finns risk för att de registrerades rättigheter försämras. Behandling t.ex. av uppgifter som hör till särskilda kategorier av personuppgifter eller av uppgifter som gäller särskilt utsatta kategorier av personer medför ofta en större risk för personens rättigheter, och i princip bör det då ställas högre krav på åtgärderna. Å andra sidan kan det också vara mycket riskfyllt att lämna ut eller göra uppgifterna tillgängliga som behandlingstyper.
Enligt 2 mom. ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som behövs (i direktivets svenska version används är nödvändiga) för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten ska gälla såväl mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring som deras tillgänglighet. Genom lämpliga åtgärder ska det särskilt säkerställas att personuppgifter i standardfallet inte görs tillgängliga för ett obegränsat antal fysiska personer utan den berörda personens medverkan.
16 §.Gemensamt personuppgiftsansvariga. Paragrafen innehåller bestämmelser om särskilda krav i situationer med gemensamt personuppgiftsansvariga. Bestämmelsen grundar sig på artikel 21 i dataskyddsdirektivet. Fler personuppgiftsansvariga är möjliga även med stöd av personuppgiftslagen, men den innehåller dock ingen sådan bestämmelse som den föreslagna paragrafen, genom vilken de inbördes förhållandena mellan gemensamt personuppgiftsansvariga preciseras.
Om två eller flera personuppgiftsansvariga gemensamt fastställer behandlingens ändamål och medel, ska de enligt 1 mom. komma överens om den inbördes ansvarsfördelningen vid skötseln av skyldigheter enligt den föreslagna lagen, om det inte föreskrivs om ansvarsfördelningen i lag. När den inbördes ansvarsfördelningen fastställs gäller det att noggrant se till att lagens krav till alla delar beaktas. Även om de viktigaste uppgifterna i fråga om ansvarsfördelning och skyldigheter även i framtiden i stor utsträckning regleras i lag, medför den föreslagna bestämmelsen flexibilitet i arbetsfördelningen mellan de personuppgiftsansvariga.
Enligt 2 mom. ska personuppgiftsansvariga som avses i 1 mom. inom sig utse en personuppgiftsansvarig som fungerar som kontaktpunkt. Med en personuppgiftsansvarig som fungerar som kontaktpunkt kan den registrerade i första hand ha kontakt i frågor som gäller utövandet av den registrerades rättigheter. I momentet föreskrivs det vidare att den registrerade dock alltid får utöva sina rättigheter enligt den föreslagna lagen i förhållande till var och en av de personuppgiftsansvariga.
17 §. Personuppgiftsbiträde. Paragrafen innehåller bestämmelser om personuppgiftsbiträde på det sätt som förutsätts i artikel 22.1, 22.2, 22.3 och 22.4 i dataskyddsdirektivet. Enligt 3 § 1 mom. 7 punkten i den föreslagna lagen avses med personuppgiftsbiträde en fysisk eller juridisk person, en myndighet, ett ämbetsverk eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Enligt 1 mom. ska den som behandlar personuppgifter för den personuppgiftsansvariges räkning lämna den personuppgiftsansvarige lämpliga utredningar och förbindelser och även i övrigt tillräckliga garantier för de organisatoriska och tekniska åtgärder genom vilka det säkerställs att personuppgifterna behandlas i enlighet med kraven i den föreslagna lagen. En liknande bestämmelse ingår i 32 § 2 mom. i personuppgiftslagen. Enligt den föreslagna bestämmelsen bör också personuppgiftsbiträdet beakta exempelvis principen om inbyggt dataskydd och dataskydd som standard. De utredningar och förbindelse som avses i momentet kan tas in också i det avtal mellan den personregisteransvarige och personuppgiftsbiträdet som avses i 3 mom.
Paragrafens 2 mom. innehåller ett förbud enligt vilket personuppgiftsbiträdet och en anställd hos personuppgiftsbiträdet inte får behandla personuppgifter på ett sätt som avviker från den personuppgiftsansvariges instruktioner. Om personuppgiftsbiträdet trots detta fastställer behandlingens ändamål och medel, betraktas personuppgiftsbiträdet som personuppgiftsansvarig i fråga om denna lagstridiga behandling. Personuppgiftsbiträdet får enligt den föreslagna bestämmelsen inte heller överföra behandlingen av personuppgifter på något annat personuppgiftsbiträde utan skriftligt tillstånd av den personuppgiftsansvarige. Den personuppgiftsansvarige kan ge ett sådant samtycke antingen för ett bestämt fall eller allmänt. Om den personuppgiftsansvarige ger ett allmänt samtycke till överföringen, ska personuppgiftsbiträdet dock informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden. Den personuppgiftsansvarige har med stöd av den föreslagna bestämmelsen rätt att förbjuda sådana ändringar.
Den behandling av personuppgifter som personuppgiftsbiträdet utför ska enligt 3 mom. regleras i ett skriftligt avtal eller i ett skriftligt förordnande. Ett förordnande blir aktuellt närmast när en högre myndighet fungerar som personuppgiftsansvarig och en myndighet på samma förvaltningsområde är personuppgiftsbiträde. Avtalet eller förordnandet kan också finnas i elektronisk form. Av handlingen ska framgå typen av personuppgifter, behandlingens varaktighet, art och ändamål, kategorierna av personuppgifter och kategorierna av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter. Skyldigheten att upprätta ett avtal eller någon annan handling gäller också sådana situationer då personuppgiftsbiträdet överför behandlingen till ett annat personuppgiftsbiträde. Då måste ett avtal upprättas också mellan dem.
I det avtal eller förordnande som avses i det föreslagna 3 mom. ska dessutom uttryckligen bestämmas att personuppgiftsbiträdet ska handla enbart enligt instruktioner från den personuppgiftsansvarige. Dessutom ska det bestämmas eller avtalas om att personuppgiftsbiträdet ska säkerställa att de fysiska personer som behandlar personuppgifterna har förbundit sig att iaktta sekretess eller att de omfattas av en lagstadgad tystnadsplikt. Personuppgiftsbiträdet ska på lämpligt sätt bistå den personuppgiftsansvarige för att säkerställa att de bestämmelser som gäller den registrerades rättigheter iakttas.
Av handlingen ska det också framgå att personuppgiftsbiträdet, beroende på den personuppgiftsansvariges val, ska utplåna eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av uppgiftsbehandlingstjänster har avslutats och utplåna befintliga kopior, om inte något annat föreskrivs i lag. I handlingen ska det också nämnas att personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som behövs (i direktivets svenska version används krävs) för att visa att den föreslagna paragrafen iakttas samt uppfylla de förutsättningar som avses i paragrafen för anlitande av ett annat personuppgiftsbiträde.
18 §. Register över behandlingar. Paragrafen grundar sig på artikel 24 i dataskyddsdirektivet. Här åläggs både den personuppgiftsansvarige och personuppgiftsbiträdet att föra ett register över behandlingen. De register som avses i paragrafen ska vara skriftliga, och de kan också upprättas i elektronisk form. Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra registren tillgängliga för tillsynsmyndigheten på grundval av myndighetens rätt till information. De föreslagna bestämmelserna skiljer sig från den registerbeskrivning som anges i 10 § i personuppgiftslagen, eftersom det register som anges i den föreslagna lagen inte behöver hållas allmänt tillgängligt.
I 1 mom. föreskrivs det om den personuppgiftsansvariges register över behandlingen. Enligt momentet ska den personuppgiftsansvarige föra ett skriftligt register över behandling av personuppgifter som utförts under dess ansvar. Registret ska innehålla åtminstone de uppgifter som uppräknas i registret. Utöver obligatoriska uppgifter kan det ibland finnas behov att i registret redogöra också för andra omständigheter som är viktiga att delge den registrerade eller utomstående. Mängden obligatoriska uppgifter är mer omfattande än vad som förutsätts i 10 § i personuppgiftslagen. Nya krav är t.ex. att det ska antecknas huruvida profilering används samt de planerade tidsfristerna för utplåning av olika kategorier av personuppgifter. En definition av profilering tas in i 3 § 1 mom. 11 punkten i den föreslagna lagen. Om personuppgifter överförs till ett tredjeland eller en internationell organisation, ska det av registret framgå vilket tredjeland eller vilken internationell organisation det är fråga om.
Enligt 2 mom. ska personuppgiftsbiträdet föra ett skriftligt register över all behandling av personuppgifter som utförs för den personuppgiftsansvariges räkning. Någon motsvarande skyldighet finns inte i den gällande personuppgiftslagen. Det register som personuppgiftsbiträdet för ska för det första innehålla uppgifter om personuppgiftsbiträdet och dataskyddsombudet samt deras kontaktuppgifter. Registret ska dessutom uppta alla de personuppgiftsansvariga för vars räkning personuppgiftsbiträdet agerar samt deras namn och kontaktuppgifter liksom de kategorier av behandling som har utförts för vare personuppgiftsansvarigs räkning. Dessutom ska registret innehålla eventuella uppgifter om överföringar av personuppgifter till ett tredjeland eller en internationell organisation, om den personuppgiftsansvarige uttryckligen begär detta. Om möjligt ska registret också innehålla en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärder som avses i 31 § i den föreslagna lagen.
19 §. Logguppgifter. Paragrafen innehåller bestämmelser om en skyldighet att samla in och bevara logguppgifter. Genom paragrafen genomförs den bestämmelse om att föreskriva om saken i lag som ingår i artikel 25 i dataskyddsdirektivet. Någon motsvarande skyldighet att föra loggar finns inte i personuppgiftslagen, men i speciallagstiftning, såsom i polisens personuppgiftslag, ingår skyldigheten även för närvarande.
Även logguppgifter ska betraktas som personuppgifter. De är personuppgifter om de personer som använder informationssystemen. Eftersom andra personer inte är sådana registrerade som avses här, har de i princip inte sådan rätt till insyn i fråga om de i paragrafen avsedda logguppgifterna som föreslås bli föreskrivet. Det kan dock bli aktuellt att få uppgifter ur myndighetens loggar, om en person har rätt att få uppgifterna i fråga ur loggarna med stöd av 11 § i offentlighetslagen, eftersom dessa loggar ska betraktas som myndighetshandlingar. Även dataombudsmannen ska med stöd av sin rätt till information ha rätt att få uppgifter ur loggarna.
Enligt 1 mom. ska den personuppgiftsansvarige och personuppgiftsbiträdet se till att logguppgifter bevaras över insamling, ändring, läsning, utlämnande, överföring, sammanförande och utplåning av personuppgifter som utförts i deras automatiserade behandlingssystem. En ytterligare förutsättning är att de logguppgifter som gäller läsning och utlämnande ska göra det möjligt att utreda grund, datum och tidpunkt för läsning och utlämnande och i möjligaste mån vem som har läst eller lämnat ut personuppgifterna samt mottagarnas identitet. Grunden för läsningen eller utlämnandet behöver således inte nödvändigtvis framgå direkt av logguppgifterna, men dessa omständigheter ska enligt de föreslagna bestämmelserna kunna utredas utifrån logguppgifterna. Av bestämmelsen följer att också utlämnande som skett t.ex. per telefon eller e-post ska ge upphov till en anteckning, av vilken de uppgifter som uppräknas i bestämmelsen framgår.
I 2 mom. föreskrivs det om för vilka ändamål logguppgifterna får användas. Förteckningen i momentet är uttömmande. Logguppgifterna får användas endast för att kontrollera om behandlingen är lagenlig, för att säkerställa personuppgifternas integritet och säkerhet, inom ramen för straffrättsliga förfaranden samt för intern kontroll. Intern kontroll kan även omfatta behöriga myndigheters interna disciplinära förfaranden.
20 §. Konsekvensbedömning avseende dataskydd. I paragrafen föreskrivs det om den personuppgiftsansvariges skyldighet att göra en konsekvensbedömning avseende dataskydd. Någon motsvarande bestämmelse finns inte i personuppgiftslagen. Bestämmelsen har en nära koppling till de allmänna principerna för behandling av personuppgifter. Genom paragrafen genomförs artikel 27 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige innan behandlingen av personuppgifter inleds göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Skyldigheten är allmän och blir aktuell alltid när den personuppgiftsansvarige avser att inleda en i något avseende ny typ av behandling av personuppgifter eller om det sker ändringar i behandlingen av personuppgifter.
Om den bedömning som ska göras enligt 1 mom. visar att den av den personuppgiftsansvarige planerade behandlingen av personuppgifter kan medföra en betydande risk för tillgodoseendet av fysiska personers rättigheter, ska den personuppgiftsansvarige enligt 2 mom. göra en skriftlig konsekvensbedömning. En betydande risk kan bli aktuell t.ex. när behandlingen av personuppgifter läggs ut, när personuppgifter överförs till tredjeländer, när det används ny databehandlingsteknik eller när informationssystem reformeras.
Konsekvensbedömningen ska innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för den registrerades rättigheter och åtgärder för att minska dem samt åtgärder för att säkerställa skyddet av personuppgifter och efterlevnaden av lagen. I synnerhet den planerade behandlingens art, omfattning, sammanhang och ändamål ska beaktas i bedömningen. Den konsekvensbedömning som avses i momentet är således mer detaljerad än den konsekvensbedömning i initialskedet som avses i 1 mom. Konsekvensbedömningarna bör omfatta t.ex. relevanta system och processer för behandling, men inte enskilda fall.
21 §. Förhandssamråd med dataskyddsmyndigheten. Paragrafen innehåller bestämmelser om en skyldighet att höra dataombudsmannen på förhand. Den grundar sig på artikel 28.1, 28.3, 28.4 och 28.5 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige eller personuppgiftsbiträdet i vissa situationer höra dataombudsmannen innan behandlingen av personuppgifterna inleds. Skyldigheten att höra dataombudsmannen gäller i synnerhet när den skriftliga konsekvensbedömning som avses i det föreslagna 20 § 2 mom. visar att behandlingen trots planerade skyddsåtgärder medför en betydande kvarstående risk för de registrerades rättigheter. Skyldigheten att höra dataombudsmannen på förhand aktualiseras också när behandlingen av uppgifter särskilt vid användning av ny teknik eller nya rutiner eller förfaranden medför en betydande risk för de registrerades rättigheter. Att t.ex. ta i bruk profilering som baserar sig på automatiserat beslutsfattande kan medföra en sådan betydande risk, och den personuppgiftsansvarige måste då höra dataombudsmannen på förhand. I enlighet med artikel 28.3 i direktivet kan dataombudsmannen med stöd av sina allmänna befogenheter upprätta en förteckning över sådana i momentet avsedda åtgärder i samband med vilka den personuppgiftsansvarige ska begära förhandssamråd.
Enligt 2 mom. är den personuppgiftsansvarige skyldig att till dataombudsmannen lämna in en skriftlig konsekvensbedömning och på begäran alla andra sådana uppgifter som gör att dataombudsmannen kan bedöma lagligheten i behandlingen av personuppgifter.
Paragrafens 3 mom. innehåller bestämmelser om de situationer då dataombudsmannen anser att den behandling som avses i 1 mom. skulle stå i strid med den föreslagna lagen. Dataombudsmannen ska då inom sex veckor från det att begäran om samråd mottogs ge den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde handledning i syfte att göra behandlingen lagenlig. Med handledning avses generellt meddelande av anvisningar och råd. Dataombudsmannen får förlänga denna period med en månad om den planerade behandlingen är så komplicerad att en förlängning krävs. I komplicerade fall kan det t.ex. uppstå behov att inhämta olika tidskrävande utredningar. Dataombudsmannen ska i sådana fall inom en månad från det att begäran om samråd mottogs informera den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde om den förlängda perioden och om skälen till fördröjningen.
4 kap. De registrerades rättigheter
22 §. Dataskyddsbeskrivning och skyldighet att informera. Paragrafens 1 mom. innehåller bestämmelser om en dataskyddsbeskrivning som ska göras allmänt tillgänglig. Genom paragrafen genomförs artikel 13 i dataskyddsdirektivet. Syftet med dataskyddsbeskrivningen är att informera de registrerade och andra personer om den behandling av personuppgifter som den personuppgiftsansvarige utför och på så sätt tillgodose behovet av öppenhet i uppgiftsbehandlingen. Paragrafen motsvarar delvis vad som föreskrivs om registerbeskrivning i 10 § i personuppgiftslagen. Den föreslagna dataskyddsbeskrivningen ska dock innehålla sådan information som för närvarande inte behöver tas in i en registerbeskrivning.
Enligt 1 mom. ska den personuppgiftsansvarige tillhandahålla en aktuell skriftlig beskrivning av sådan behandling av personuppgifter som denne ansvarar för. Beskrivningen ska göras offentligt tillgänglig. Beskrivningen ska vara så aktuell som möjligt. Med skriftlig beskrivning avses också en beskrivning i elektronisk form, och beskrivningen kan finnas tillgänglig t.ex. på den personuppgiftsansvariges webbplats. Den personuppgiftsansvarige kan också efter eget val föra samma det register över behandlingar som avses i 18 § och den dataskyddsbeskrivning som avses i 22 § till en enda dataskyddsbeskrivning som är offentligt tillgänglig.
Beskrivningen ska enligt 1 punkten för det första innehålla kontaktuppgifter för den personuppgiftsansvarige. Om den personuppgiftsansvarige har utnämnt ett dataskyddsombud, ska också dataskyddsombudets kontaktuppgifter uppges, likaså dataskyddsombudets namn, om den personuppgiftsansvarige anser det behövligt.
När det finns gemensamt personuppgiftsansvariga ska dataskyddsbeskrivningen enligt 2 punkten innehålla också namn och kontaktuppgifter för den personuppgiftsansvariga som fungerar som kontaktpunkt för gemensamt personuppgiftsansvariga. Dessutom ska det lämnas information om att den registrerade kan utöva sina rättigheter enligt den föreslagna lagen i förhållande till var och en av de personuppgiftsansvariga. De föreslagna bestämmelserna grundar sig inte på direktivets bestämmelser om att föreskriva om saken i lag, utan det är fråga om nationell reglering.
Enligt 3 punkten ska dataskyddsbeskrivningen innehålla uppgifter om ändamålen med och den rättsliga grunden för behandlingen, såsom den bestämmelse i lagen på vilken behandlingen av personuppgifter grundar sig.
Enligt 4 punkten ska den period under vilken personuppgifterna kommer att bevaras framgå av beskrivningen. Om det inte är möjligt att uppge bevaringstiden t.ex. av den anledningen att bevaringstiden inte har fastställts numerärt, ska i stället kriterierna för att fastställa denna period uppges i beskrivningen, t.ex. hur ofta behovet att bevara uppgifterna ska bedömas.
Enligt 5 mom. ska dataskyddsbeskrivningen innehålla uppgifter om eventuella sedvanliga mottagare eller kategorier av mottagare av personuppgifterna, inklusive mottagare i tredjeländer samt internationella organisationer. Alla mottagare till vilka personuppgifter eventuellt överförs eller utlämnas behöver således inte nödvändigtvis nämnas i beskrivningen. Det räcker om det i beskrivningen uppges, antingen specificerat eller kategoriserat på lämpligt sätt, till vilka mottagare personuppgifter i regel överförs eller utlämnas.
Enligt 6 punkten ska beskrivningen också innehålla uppgifter om den registrerades rätt att av den personuppgiftsansvarige begära tillgång till personuppgifter som rör den registrerade (rätt till insyn) samt rätt att begära att personuppgifterna rättas eller utplånas eller att behandlingen av dem begränsas på det sätt som föreskrivs i 25 §. Enligt 7 punkten ska beskrivningen också innehålla uppgifter om den registrerades rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen samt dataombudsmannens kontaktuppgifter.
I 2 mom. föreslås bestämmelser om de situationer då den personuppgiftsansvarige ska lämna den registrerade den beskrivning som avses i 1 mom. och vissa andra uppgifter. I dessa situationer är det inte tillräckligt att den personuppgiftsansvarige gör uppgifterna allmänt tillgängliga t.ex. på sin webbplats. Den personuppgiftsansvariges informationsplikt ska i praktiken uppfyllas i situationer då den registrerades rättsskydd kräver att han eller hon informeras om de omständigheter som avses i momentet. En sådan situation kan bli aktuell t.ex. när det i speciallagstiftning föreskrivs om sådant i 13 § i denna lag avsett automatiserat individuellt beslutsfattande som har negativa rättsverkningar för den registrerade. Den registrerades rättsskydd förutsätter då att han eller hon informeras om sådana omständigheter som är av betydelse med tanke på utövande av den registrerades rättigheter enligt denna lag. Skyldigheten att informera den registrerade kan uppstå exempelvis också i ett sådant fall då den registrerade inte är medveten om att hans eller hennes personuppgifter har samlats in, och den registrerades rättsskydd på grund av behandlingens art eller ett procedurfel vid behandlingen förutsätter det. Den personuppgiftsansvarige ska i de fall som avses i momentet ge den registrerade den beskrivning som avses i 1 mom. och övriga sådana uppgifter som behövs för utövandet av den registrerades rättigheter, i synnerhet sådana för personen viktiga närmare uppgifter om de omständigheter som uppräknas i 1 mom.
Den personuppgiftsansvarige får låta bli att lämna den information som avses i momentet, om det är nödvändigt för att trygga en brottsutredning eller den nationella säkerheten eller på de övriga grunder som föreslås i 28 §.
De bestämmelser som föreslås i momentet grundar sig på artikel 13.2 och 13.3 i dataskyddsdirektivet.
23 §. De registrerades rätt till insyn. Paragrafen innehåller bestämmelser om de registrerades rätt att få tillgång till personuppgifter på det sätt som anges i artikel 14 i dataskyddsdirektivet. I den föreslagna lagen används benämningen rätt till insyn för denna rätt, på samma sätt som i 26 § i personuppgiftslagen.
Enligt paragrafen har en registrerad rätt att av den personuppgiftsansvarige få veta huruvida personuppgifter som gäller honom eller henne behandlas. Bestämmelsen förutsätter att information ges också i det fall att inga uppgifter om personen behandlas. För att få informationen ska den registrerade redogöra för de omständigheter som behövs för att söka fram uppgifterna, t.ex. på lämpligt sätt styrka sin identitet. Bestämmelser om begränsning av rätten till insyn tas in i 24 § i den föreslagna lagen.
Om personuppgifter som gäller den registrerade behandlas, ska den registrerade ha rätt att få den information som uppräknas i momentet av den personuppgiftsansvarige. Information ska enligt 1 punkten ges om vilka personuppgifter som behandlas och all tillgänglig information om varifrån uppgifterna kommer, såsom huruvida uppgifterna kommer från den registrerade själv eller från en annan myndighet.
Enligt 2 punkten ska den registrerade informeras om ändamålen med och den rättsliga grunden för behandlingen, såsom den bestämmelse i lagen på vilken behandlingen av personuppgifter grundar sig. Enligt 3 punkten ska den registrerade också få information om de kategorier av personuppgifter som behandlingen gäller.
Enligt 4 punkten ska den information som ges den registrerade innehålla eventuella mottagare eller kategorier av mottagare till vilka den registrerades personuppgifter har lämnats ut, inklusive mottagare i tredjeländer samt internationella organisationer.
Enligt 5 punkten ska den registrerade informeras om den period under vilken personuppgifterna kommer att bevaras. Om det inte är möjligt att uppge bevaringstiden t.ex. därför att den inte har fastställts numeriskt, ska kriterierna för att fastställa perioden fastställas i andra hand i beskrivningen.
Den personuppgiftsansvarige ska också ge information om utövande av den registrerades rättigheter. Enligt 6 och 7 punkten ska det ges information om den registrerades rätt att av den personuppgiftsansvarige yrka att de personuppgifter som rör den registrerade rättas eller utplånas eller behandlingen av dem begränsas samt rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen samt dataombudsmannens kontaktuppgifter.
I 2 mom. föreskrivs det om förfarandet i anknytning till 1 mom. Bestämmelser om detta finns i 28 § 1 mom. i den gällande personuppgiftslagen. Enligt bestämmelsen ska den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 1 mom., begära detta hos den personuppgiftsansvarige genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige. Bestämmelsen är teknikneutral, dvs. den gör det möjligt att tillgodose rätten till insyn t.ex. med hjälp av en elektronisk anslutning, om detta kan genomföras i enlighet med de föreslagna förutsättningarna. En begäran om att få tillgång till uppgifterna ska på samma sätt som för närvarande alltid först riktas till den personuppgiftsansvarige i fråga, om inte något annat föreskrivs i lag. I fråga om sådana register där den registrerade inte alls har rätt till insyn, kan den registrerade ta kontakt direkt med dataombudsmannen.
24 §. Inskränkningar i rätten till insyn. Paragrafen innehåller bestämmelser om inskränkningar i den rätt till insyn om vilken föreskrivs i 23 §. Paragrafen grundar sig på artikel 15.1, 15.3 och 15.4 i dataskyddsdirektivet. Enligt artikeln får medlemsstaterna införa lagstiftning som helt eller delvis begränsar den registrerades rätt till insyn i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Även för närvarande är det med stöd av 27 § i personuppgiftslagen möjligt att begränsa rätten till insyn. Enligt 1 mom. 1 punkten i den paragrafen har den registrerade inte rätt till insyn, om informationen kan skada statens säkerhet, försvaret eller den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott. Till denna del ändras rättsläget således inte avsevärt.
Enligt 1 mom. kan den registrerades rätt till insyn helt eller delvis skjutas upp, begränsas eller vägras till den del det är nödvändigt på de grunder som nämns i 28 §. Det kan finnas behov att skjuta upp rätten till insyn t.ex. när en part har hörts, men förundersökningen ännu inte har avslutats. Om den registrerades rätt till insyn skjuts upp, begränsas eller vägras, ska den personuppgiftsansvarige enligt momentet utan obefogat dröjsmål informera den registrerade om detta. Den registrerade ska på samma sätt som i den gällande personuppgiftslagen ges ett skriftligt intyg om saken. Även grunderna för uppskovet, begränsningen eller vägran ska enligt momentet uppges i det sammanhanget, utom i det fall att lämnandet av denna information skulle äventyra syftet med vägran eller begränsningen. Det är fortfarande möjligt att i speciallagstiftning föreskriva om begränsning av rätten till insyn i något visst register i sådana fall då en begränsning på det sätt som föreskrivs i direktivet är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle, med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen.
Om den personuppgiftsansvarige inte inom tre månader efter att begäran framställts har gett den registrerade ett skriftligt svar, betraktas detta enligt momentet som att insyn har vägrats. Dataskyddsdirektivet innehåller ingen motsvarande bestämmelse, så det är fråga om nationell reglering. En motsvarande bestämmelse ingår dock i 28 § 2 mom. i den gällande personuppgiftslagen. Om den registrerade inte får uppgifterna inom tre månader, kan han eller hon vända sig till dataombudsmannen i detta ärende.
Enligt 2 mom. ska den personuppgiftsansvarige när denne begränsar den registrerades rätt till insyn informera den registrerade om dennes rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av att rätten till insyn skjutits upp, begränsats eller vägrats samt om dennes rätt att i enlighet med 29 § utöva rätten till insyn via dataombudsmannen.
Enligt 3 mom. är den personuppgiftsansvarige skyldig att bevara information om de grunder på vilka rätten till insyn vägrats eller begränsats. Denna information ska på begäran finnas tillgänglig för tillsynsmyndigheten. Genom att dokumentera informationen är det vid behov möjligt att i efterhand säkerställa huruvida det funnit skäl att begränsa rätten till insyn.
25 §. Rättelse eller utplåning av personuppgifter eller begränsning av behandlingen. Paragrafen innehåller bestämmelser om rättelse och utplåning av personuppgifter samt begränsning av behandlingen på det sätt som föreskrivs i artikel 16.1, 16.2 och 16.3 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål rätta eller komplettera sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen. Den registrerade kan inleda sitt yrkande om rättelse eller komplettering genom att iaktta de allmänna bestämmelser i förvaltningslagen som gäller inledande av ett ärende. Den registrerade kan lämna in en ytterligare utredning utifrån vilken de bristfälliga personuppgifterna kan kompletteras. Om uppgifterna är oriktiga eller bristfälliga med hänsyn till ändamålet med behandlingen, ska de rättas eller kompletteras. Exempelvis i en situation då uppgifterna baserar sig på ett vittnes berättelse, ska uppgifterna inte betraktas som oriktiga med hänsyn till ändamålet med behandlingen, även om uppgifterna senare visar sig ha lämnats i falskt syfte. Det förfarande som avses i momentet är inte heller avsett att tillämpas t.ex. i en situation då den registrerade önskar ändra de uppgifter som antecknats i ett förhörsprotokoll, utan då ska bestämmelserna i förundersökningslagen tillämpas.
Enligt 2 mom. är den personuppgiftsansvarige skyldig att på eget initiativ eller på yrkande av den registrerade utan obefogat dröjsmål utplåna personuppgifter om den registrerade, om behandlingen av dem står i strid med bestämmelserna i 4 eller 5 §, 6 § 1 eller 2 mom. eller 7 eller 11 §. Det är då fråga om en situation då fortsatt behandling av personuppgifterna skulle innebära överträdelse av någon av nämnda bestämmelser. Det som sägs i artikel 16.2 i direktivet om att uppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige behöver inte tas in i momentet, eftersom skyldigheten att utplåna uppgifterna då grundar sig direkt på bestämmelsen i fråga.
I stället för att utplåna uppgifterna ska den personuppgiftsansvarige enligt momentet dock endast begränsa behandlingen om den registrerade bestrider uppgifternas korrekthet och det inte kan fastställas huruvida de är korrekta (1 punkten) eller om personuppgifterna måste bevaras som bevisning (2 punkten). Det kan finnas behov att bevara oriktiga personuppgifter som sedermera rättats för senare bevisning eller t.ex. för eventuell bevisning i fråga om tjänstebrott. I praktiken kan det ofta uppstå situationer då antingen den registrerades eller en myndighets berättigade rättigheter förutsätter att de oriktiga uppgifterna bevaras parallellt med de rättade.
Enligt 3 mom. ska den personuppgiftsansvarige, om behandlingen har begränsats med stöd av 2 mom. 1 punkten, innan begränsningen upphävs informera den registrerade om detta.
26 §. Vägran att godkänna den registrerades yrkande. I paragrafen föreskrivs det om förfarandena vid vägran att godkänna ett yrkande som den registrerade framställt i enlighet med 25 §. Detta överensstämmer med vad som förutsätts i artikel 16.4 i dataskyddsdirektivet.
Om inte den personuppgiftsansvarige godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem, ska den personuppgiftsansvarige enligt 1 mom. informera den registrerade om vägran och grunderna för vägran. Den personuppgiftsansvarige ska ge ett skriftligt intyg om detta. Den personuppgiftsansvarige får enligt momentet helt eller delvis låta bli att lämna information om grunderna för vägran, om det är nödvändigt på de grunder som nämns i 28 §.
Enligt 2 mom. ska den personuppgiftsansvarige informera den registrerade om att denne har rätt att lämna in en begäran om åtgärder till dataombudsmannen på grund av vägran och om att denne har rätt att i enlighet med 29 § utöva de rättigheter som avses i 25 § via dataombudsmannen.
27 §.Den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen. Genom paragrafen genomförs artikel 16.5 och 16.6 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige anmäla varje rättelse av oriktiga personuppgifter till den myndighet från vilken de oriktiga personuppgifterna kommer. Följaktligen kan också den myndighet som ursprungligen lämnat ut uppgifterna vid behov på eget initiativ rätta de personuppgifter som den har.
Om personuppgifter har rättats eller utplånats eller behandlingen av dem har begränsats, ska den personuppgiftsansvarige enligt 2 mom. informera de mottagare om saken till vilka den personuppgiftsansvarige har lämnat ut uppgifterna. Det utlämnande som avses i momentet inbegriper också eventuellt utlämnande till tredjeländer. Mottagarna av uppgifterna ska i sin verksamhet på lämpligt sätt beakta de åtgärder gällande personuppgifterna som den personuppgiftsansvarige meddelat samt de begränsningar som hänför sig till dem, och t.ex. rätta de oriktiga personuppgifter som mottagarna har.
28 §.Begränsning av de registrerades rättigheter. I paragrafen föreskrivs det om de förutsättningar under vilka det är möjligt att avvika från vissa av de rättigheter för de registrerade som anges i kapitlet. De registrerades rättigheter får begränsas på det sätt som anges i 22 § 2 mom., 24 § 1 mom., 26 § 1 mom. och 35 §, om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd och om någon av de situationer som uppräknas i paragrafen är aktuell. En begränsning av rättigheterna kräver således avvägning från fall till fall, och som begränsande åtgärd ska t.ex. väljas en sådan med hänsyn till syftet med begränsningen effektiv åtgärd som begränsar den registrerades rättigheter så litet som möjligt.
Enligt 1 punkten är en begränsning av rättigheterna tillåten i en situation då begränsningen görs i syfte att undvika menlig inverkan på förebyggande, avslöjande eller utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder. Det kan t.ex. vara fråga om en situation då underlåtenhet att begränsa behandlingen av personuppgifter skulle äventyra en brottsutredning.
Enligt 2 punkten är en begränsning tillåten om den behövs för att trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter. Det kan t.ex. vara fråga om att trygga tillsynsförfarandet hos skattemyndigheterna eller någon annan myndighet. Det kan t.ex. också vara fråga om att trygga tillsynsförfarandet hos en behörig myndighet i en annan EU-stat.
Enligt 3—5 punkten kan en begränsning bli aktuell också i syfte att skydda den allmänna säkerheten, den nationella säkerheten eller andra personers rättigheter. För att de registrerades rättigheter ska kunna begränsas måste nödvändighets- och proportionalitetsprinciperna i fråga om dessa grunder iakttas.
29 §.Utövande av rättigheter via dataombudsmannen. Paragrafen innehåller bestämmelser om den registrerades rätt att utöva vissa av sina rättigheter via dataombudsmannen. Genom paragrafen genomförs artikel 17.1 och 17.3 i dataskyddsdirektivet.
I 1 mom. föreskrivs det om den rätt till insyn som den registrerade har indirekt. Enligt momentet har den registrerade rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats med stöd av denna eller någon annan lag eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem. Den registrerade får dock utöva dessa rättigheter först efter det att den registrerade själv har försökt utöva sina rättigheter i förhållande till den personuppgiftsansvarige, men den personuppgiftsansvarige har begränsat utövandet av den registrerades rättigheter antingen helt eller delvis. I de situationer då den registrerades rätt till insyn har begränsats direkt i lagen, blir det dock omedelbart fråga om att utöva rätten till insyn indirekt, dvs. den registrerade kan vända sig direkt till dataombudsmannen i stället för till den personuppgiftsansvarige.
När dataombudsmannen agerar för den registrerade på det sätt som avses i 1 mom. ska dataombudsmannen enligt 2 mom. informera den registrerade om de åtgärder som ombudsmannen har vidtagit på grund av ärendet. Dataombudsmannen ska också informera den personuppgiftsansvarige om dennes rätt att lämna in en i 56 § avsedd begäran om åtgärder till dataombudsmannen.
30 §.Främjande av de registrerades möjligheter att utöva sina rättigheter samt avgiftsfria åtgärder. Genom paragrafen genomförs artikel 12 i dataskyddsdirektivet. De krav som artikeln innehåller uppfylls delvis genom allmänna förvaltningsrättsliga bestämmelser. Bestämmelser om behandling utan dröjsmål finns t.ex. i 23 § i förvaltningslagen. Enligt den paragrafen ska ett ärende behandlas utan ogrundat dröjsmål, och en myndighet ska på en parts begäran ge en uppskattning om när ett beslut kommer att ges samt svara på förfrågningar om hur behandlingen framskrider.
Enligt 1 mom. är den personuppgiftsansvarige skyldig att främja de registrerades möjligheter att utöva de rättigheter som avses i kapitlet. Dessa rättigheter gäller bl.a. rätten till insyn och rätten att yrka rättelse av uppgifter. Alla meddelanden och all information om behandling av personuppgifter som lämnas till de registrerade ska dessutom tillhandahållas i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla informationen i samma form som begäran. Också den information som finns på den personuppgiftsansvariges webbplats ska vara lättillgänglig och begriplig, vilket förutsätter ett klart och tydligt språk. Kravet på begriplig information innebär också att målgruppens mångfald ska beaktas när information lämnas.
Enligt 2 mom. är meddelanden och information som ska ges de registrerade samt behandlingen av begäranden som de registrerade framställt i enlighet med lagen i princip avgiftsfria för de registrerade. Om en registrerads begäranden på grund av att de upprepats eller av någon annan orsak dock är uppenbart orimliga eller ogrundade, får den personuppgiftsansvarige för åtgärden ta ut en avgift enligt vad som föreskrivs i lagen om grunderna för avgifter till staten (150/1992). Den lagen innehåller bestämmelser om de allmänna grunderna för när statliga myndigheters prestationer ska vara avgiftsbelagda och för storleken av de avgifter som uppbärs för prestationerna samt om övriga grunder för avgifterna.
Enligt gällande 26 § 3 mom. i personuppgiftslagen får den registeransvarige uppbära en ersättning för lämnande av information endast om det har förflutit mindre än ett år sedan den registrerade senast fick kontrollera uppgifterna i registret. Begäranden om rätt till insyn som riktats till den personuppgiftsansvarige oftare än så är dock inte nödvändigtvis alltid orimliga. Det kan dock i princip anses orimligt t.ex. att begäranden med samma innehåll lämnas in flera gånger inom en kort tid, och då kan en avgift tas ut för åtgärderna.
Om den personuppgiftsansvarige tar ut en avgift med stöd av 2 mom. ska den personuppgiftsansvarige enligt 3 mom. vid behov visa att begäran har varit uppenbart ogrundad eller orimlig. Den personuppgiftsansvarige ska således i praktiken dokumentera varför det tagits ut en avgift för åtgärden.
5 kap. Informationssäkerhet
31 §. Skydd av personuppgifter. Paragrafen innehåller en allmän skyldighet att skydda personuppgifter. Skyldigheten gäller såväl den personuppgiftsansvarige som personuppgiftsbiträdet. Paragrafen grundar sig på artikel 4.1 f samt artikel 29.1 i dataskyddsdirektivet. Bestämmelser om skydd av uppgifterna finns för närvarande i 32 § i personuppgiftslagen.
Enligt den föreslagna paragrafen ska den personuppgiftsansvarige och personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder se till att personuppgifterna är tillräckligt skyddade med hänsyn till den risk för den registrerades rättigheter som behandlingen medför. Personuppgifterna ska särskilt skyddas för obehörig behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den personuppgiftsansvarige ska på samma sätt som för närvarande t.ex. fastställa vem som får använda uppgifterna och ta i bruk lösenordssystem och andra lämpliga säkerhetsarrangemang för att säkerställa att endast personer med rätt till det kommer åt att behandla uppgifterna.
De åtgärder som avses i paragrafen ska planeras, bedömas och genomföras med beaktande av den senaste tekniska utveckling, kostnaderna för att genomföra åtgärderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter.
När kravnivån i fråga om skyddet bedöms kan man å ena sidan beakta de tekniska medel som kan användas för skyddet och de kostnader de medför. Något som å andra sidan inverkar på den informationssäkerhetsnivå som krävs är också vilka slags personuppgifter som behandlas och i vilken omfattning de behandlas. När det t.ex. gäller uppgifter som hör till särskilda kategorier av personuppgifter, bör skyddet och en informationssäker behandling ägnas särskilt mycket uppmärksamhet, och i fråga om dem är mer heltäckande skyddsåtgärder i regel befogade. Även om personuppgifterna behandlas i andra system än automatiserade behandlingssystem, ska den personuppgiftsansvarige och ett eventuellt personuppgiftsbiträde ha tillgång till effektiva metoder, såsom logguppgifter och annan slags dokumentation, genom vilken behandlingen laglighet kan visas, frivillig övervakning genomföras samt uppgifternas integritet och informationssäkerheten säkerställas.
32 §. Skydd av personuppgifter vid automatiserad behandling. Paragrafen innehåller bestämmelser om särskilda krav på skydd i sådana situationer då personuppgifter behandlas genom automatiserad behandling. Genom paragrafen genomförs artikel 29.2 i dataskyddsdirektivet.
Utöver vad som föreskrivs i 31 § ska den personuppgiftsansvarige eller personuppgiftsbiträdet när det gäller automatiserad behandling, efter en bedömning av riskerna, vidta lämpliga åtgärder i syfte att skydda personuppgifterna. Vid automatiserad behandling bör t.ex. en begränsning av behandlingen av personuppgifterna i princip säkerställas med tekniska medel. En begränsning av behandlingen av personuppgifter bör anges inom systemet på ett sådant sätt att det tydligt framgår att behandlingen av personuppgifterna är begränsad.
Syftet med de åtgärder som avses i paragrafen är att vägra varje obehörig person åtkomst till den utrustning som används för behandling, förhindra obehörig läsning, kopiering, ändring och utplåning av datamedier samt förhindra obehörig registrering av personuppgifter och obehörig kännedom om, ändring och utplåning av lagrade personuppgifter. Dessa åtgärder ska också förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring och säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet. Behörigheten ska fastställas utifrån en behovsprövning. Behörighet ska således beviljas enbart i den omfattning som personen behöver vissa personuppgifter för att utföra sina uppgifter. Behörigheten är personlig.
Avsikten med de skyddsåtgärder som avses i paragrafen är också att säkerställa att det är möjligt att även i efterhand kontrollera och fastställa till vilka organ personuppgifter har överförts och för vilka organ de gjorts tillgängliga. Strävan är också att med deras hjälp säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes.
Enligt de föreslagna bestämmelserna ska man genom lämpliga åtgärder också försöka förhindra obehörig läsning, kopiering, ändring och utplåning av personuppgifter i samband med överföring av sådana uppgifter eller under transport av datamedier. Den personuppgiftsansvarige och personuppgiftsbiträdet ska dessutom säkerställa att de system som används kan återställas vid störningar och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet.
33 §. Personuppgiftsbiträdets skyldighet att informera om en personuppgiftsincident. Paragrafen innehåller bestämmelser om skyldighet för personuppgiftsbiträdet att informera om en personuppgiftsincident som han eller hon upptäckt eller fått kännedom om. Enligt paragrafen ska personuppgiftsbiträdet i en sådan situation utan obefogat dröjsmål informera den personuppgiftsansvarige om personuppgiftsincidenten. Enligt den definition som föreslås i 3 § 1 mom. 9 punkten avses med personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Den föreslagna paragrafen grundar sig på artikel 30.2 i dataskyddsdirektivet.
34 §. Den personuppgiftsansvariges skyldighet att anmäla en personuppgiftsincident till dataombudsmannen. I paragrafen föreskrivs det om den personuppgiftsansvariges skyldighet att informera dataombudsmannen om en personuppgiftsincident som gäller personuppgifter. Genom paragrafen genomförs artikel 30.1, 30.2 och 30.5 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige anmäla en personuppgiftsincident till dataombudsmannen, utom när det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för den registrerades rättigheter. Genom pseudonymisering av personuppgifter och andra tekniker som gör att uppgifter inte längre kan kopplas samman med en viss registrerad är det möjligt att minska sannolikheten för att en eventuell personuppgiftsincident medför en risk för den registrerade.
Den personuppgiftsansvarige ska i enlighet med 2 mom. göra anmälan enligt 1 mom. utan obefogat dröjsmål och om möjligt inom 72 timmar efter att ha fått kännedom om incidenten. Om anmälan görs senare än så, ska skälen till fördröjningen nämnas i anmälan.
Enligt 3 mom. ska den personuppgiftsansvarige bevara uppgifter om personuppgiftsincidenter och omständigheter i samband med den, såsom deras effekter och de korrigerande åtgärder som vidtagits och anmälningar som gjorts.
35 §. Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident. I paragrafen föreskrivs det om en skyldighet att informera den registrerade om en personuppgiftsincident i enlighet med vad som förutsätts i artikel 31.1, 31.3 och 31.5 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige utan obefogat dröjsmål informera den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en betydande risk för den registrerades rättigheter. När en sådan risk bedöms är det skäl att beakta bl.a. slaget av personuppgifter, den kategori av registrerade som är föremål för incidenten samt omfattningen av de uppgifter som är föremål för incidenten.
Informationsskyldighet föreligger dock inte om den personuppgiftsansvarige på de personuppgifter som påverkades av personuppgiftsincidenten har tillämpat lämpliga tekniska och organisatoriska skyddsåtgärder som kan antas förhindra missbruk av uppgifterna på ett effektivt sätt. Informationsskyldighet föreligger inte heller om den personuppgiftsansvarige efter incidenten har vidtagit åtgärder för att säkerställa att incidenten sannolikt inte kommer att medföra en risk för den registrerades rättigheter. Det kan vara fråga om en sådan situation t.ex. när personuppgifter som ändrats i samband med en personuppgiftsincident har återställts i sin ursprungliga form, och det har säkerställts att de ändrade uppgifterna inte har lämnats ut eller behandlats på annat sätt under den tiden.
Enligt 2 mom. kan den personuppgiftsansvarige i stället för att lämna information till den registrerade upplysa om personuppgiftsincidenten genom information till allmänheten, om det skulle kräva oproportionerliga ansträngningar att informera de registrerade. Att lämna personlig information till varje registrerad separat kan bli oskäligt t.ex. när personuppgiftsincidenten har riktat sig till en exceptionellt stor mängd registrerade eller när den personuppgiftsansvarige inte har de registrerades kontaktuppgifter. Sättet att lämna information till allmänheten kan väljas fritt, men informationen måste nå de registrerade på ett effektivt sätt. Kravet på allmän information kan i det enskilda fallet uppfyllas t.ex. genom ett synligt meddelande på ingångssidan på den personuppgiftsansvariges webbplats.
Enligt 3 mom. kan informationen till den registrerade dock skjutas upp, begränsas eller i undantagsfall utelämnas, om de förutsättningar som anges i 28 § uppfylls. Eftersom det är fråga om en begränsning av de registrerades rättigheter, ska undantaget tolkas strikt.
36 §. Den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident. Paragrafen innehåller bestämmelser om den personuppgiftsansvariges skyldighet att informera andra personuppgiftsansvariga om en personuppgiftsincident. Enligt paragrafen ska den personuppgiftsansvarige utan obefogat dröjsmål lämna en anmälan om en personuppgiftsincident till personuppgiftsansvariga i Finland eller i andra EU-medlemsstater, om incidenten gäller personuppgifter som har överförts av eller till de personuppgiftsansvariga i fråga. Andra personuppgiftsansvariga ska enligt den föreslagna bestämmelsen alltid informeras om en personuppgiftsincident oberoende av sannolikheten för att incidenten medför en risk för den registrerades rättigheter eller inte. På så sätt kan också en annan personuppgiftsansvarig vid behov vidta lämpliga åtgärder på grund av incidenten.
Den föreslagna paragrafen grundar sig på artikel 30.6 i dataskyddsdirektivet. Enligt artikeln ska det endast föreskrivas att en personuppgiftsansvarig i en annan medlemsstat ska informeras om incidenten. I den föreslagna paragrafen utsträcks informationsplikten dock också till inhemska personuppgiftsansvariga, när det är fråga om uppgifter som har lämnats ut till dem eller av dem.
37 §. Innehållet i anmälan om en personuppgiftsincident. Paragrafen innehåller bestämmelser om innehållet i en anmälan som lämnas på grund av en personuppgiftsincident. De minimikrav som ställs på en anmälan beror på till vem anmälan lämnas. Paragrafen grundar sig på artikel 30.3 och 30.4 samt 31.2 i dataskyddsdirektivet. Artikel 31.2 i direktivet genomförs dock delvis genom det föreslagna 30 § 1 mom., enligt vilket alla meddelanden och all information om behandling av personuppgifter som lämnas till de registrerade ska tillhandahållas i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk.
Enligt 1 mom. ska en anmälan enligt 34 § till dataombudsmannen och en anmälan enligt 36 § till andra personuppgiftsansvariga innehålla en beskrivning av personuppgiftsincidenten. Beskrivningen ska om möjligt inbegripa de kategorier av registrerade och det ungefärliga antal registrerade som berörs samt de kategorier av personuppgifter och det ungefärliga antal personuppgiftsposter som berörs.
Den information enligt 35 § som lämnas till den registrerade ska enligt 2 mom. innehålla en beskrivning av personuppgiftsincidentens art. Av anmälan ska det således i typfallet bl.a. framgå vilka uppgifter som påverkades av personuppgiftsincidenten och huruvida det är fråga t.ex. om utplåning av uppgifter eller olaglig åtkomst till uppgifter.
I paragrafens 3 mom. föreskrivs det också att de anmälningar och den information som avses i 1 och 2 mom. ska innehålla namnet på och kontaktuppgifter för dataskyddsombudet eller en annan kontaktpunkt där mer information kan erhållas, samt de sannolika konsekvenserna av personuppgiftsincidenten. Anmälan ska också innehålla en beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten och vid behov åtgärder för att mildra dess negativa effekter.
Enligt 4 mom. får den information som lämnas till dataombudsmannen och till andra personuppgiftsansvariga tillhandahållas i omgångar till den del det inte är möjligt att tillhandahålla informationen samtidigt.
6 kap. Dataskyddsombud
38 §. Utnämning av dataskyddsombud. Paragrafen innehåller bestämmelser om den personuppgiftsansvariges skyldighet att utnämna ett dataskyddsombud enligt vad som förutsätts i artikel 32 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige utnämna ett dataskyddsombud för sin organisation. Dataskyddsombudet ska ha tillräcklig sakkunskap om lagstiftning och praxis i fråga om behandling av personuppgifter samt förmåga att sköta de uppgifter som avses i 40 §. Ett enda dataskyddsombud får utnämnas för flera behöriga myndigheter, om det är motiverat med hänsyn till myndigheternas organisationsstruktur och storlek. När ett gemensamt dataskyddsombud utnämns bör det tas hänsyn till att dataskyddsombudet har en faktisk möjlighet att sköta sin uppgift på ett effektivt sätt för alla de behöriga myndigheternas del.
Dataskyddsombudet kan t.ex. vara en sådan anställd hos den personuppgiftsansvarige som har fått utbildning i dataskyddsrätt och praxis inom branschen för att förvärva den sakkunskap som behövs. Vad som är tillräcklig specialsakkunskap och sådan tillräcklig färdighetsnivå som avses i momentet kan anses vara beroende av i synnerhet arten av den personuppgiftsansvariges verksamhet och den behandling av personuppgifter som denne utför samt vilket skydd de uppgifter som behandlas kräver. Dataskyddsombudet kan också vara en utomstående person i förhållande till den personuppgiftsansvarige, dvs. någon som sköter uppgifterna som dataskyddsombud på basis av ett uppdragsavtal. Dataskyddsombudets uppgifter kan utföras på deltid eller heltid. Samma person kan vara dataskyddsombud enligt den föreslagna lagen och enligt allmänna dataskyddsförordningen förutsatt att de krav som uppställts i vardera författningen blir uppfyllda.
I paragrafens 2 mom. förutsätts det att den personuppgiftsansvarige ska meddela dataombudsmannen dataskyddsombudets kontaktuppgifter och eventuella ändringar i dem.
39 §.Dataskyddsombudets ställning. Paragrafen innehåller bestämmelser om dataskyddsombudets ställning. Den grundar sig på artikel 33 i dataskyddsdirektivet.
Enligt 1 mom. ska den personuppgiftsansvarige på ett korrekt sätt och i god tid se till att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter. Exempelvis när nya informationssystem planeras ska dataskyddsombudet på lämpligt sätt ges tillfälle att delta i planeringen av upphandlingen. Dataskyddsombudet är dock inte ansvarigt för att behandlingen av personuppgifter är laglig.
Enligt 2 mom. ska den personuppgiftsansvarige ge dataskyddsombudet verksamhetsförutsättningar att sköta de uppgifter som denne ansvarar för enligt 40 § samt ge tillgång till personuppgifter och behandlingsförfaranden. Vid resursfördelningen ska det t.ex. tas hänsyn till att dataskyddsombudet anvisas tillräckligt med resurser för att upprätthålla sin sakkunskap.
40 §. Dataskyddsombudets uppgifter. Paragrafen innehåller bestämmelser om dataskyddsombudets uppgifter i enlighet med vad som föreskrivs i artikel 32.1 och artikel 34 i dataskyddsdirektivet.
Enligt 1 mom. 1 punkten ska dataskyddsombudet för det första ge råd i frågor som gäller skydd av personuppgifter till den personuppgiftsansvarige och den personal hos den personuppgiftsansvarige som behandlar personuppgifter. Enligt 2 punkten ska dataskyddsombudet också övervaka att de bestämmelser som gäller behandling av personuppgifter och den personuppgiftsansvariges förfaranden för behandling av personuppgifter iakttas. Till dessa uppgifter hör t.ex. att övervaka att ansvarsfördelningen i samband med behandlingen av personuppgifter iakttas, att förbättra medvetenheten i dataskyddsfrågor och att utbilda den personal som deltar i behandlingen av personuppgifter samt att utföra kontroller i anslutning till behandlingen.
Enligt 3 punkten ska dataskyddsombudet på begäran ge råd om konsekvensbedömningen avseende dataskydd och övervaka att den genomförs i enlighet med 20 §. Dataskyddsombudet ska dessutom enligt 4 punkten samarbeta med dataombudsmannen och vara kontaktpunkt för dataombudsmannen i frågor som gäller behandling av personuppgifter. Till dessa frågor hör bl.a. sådant förhandssamråd med dataombudsmannen som avses i 21 § och vid behov samråd med dataombudsmannen i andra möjliga frågor.
Enligt 2 mom. ska dataskyddsombudets uppgifter inte omfatta rättskipningsverksamhet i domstolarna eller laglighetskontroll som utförs av justitiekanslern i statsrådet och riksdagens justitieombudsman. Förslaget grundar sig på artikel 32.1 i dataskyddsdirektivet.
7 kap. Överföringar av personuppgifter till tredjeländer och internationella organisationer
41 §. Allmänna principer för överföring av personuppgifter. Paragrafen innehåller bestämmelser om allmänna principer för överföring av personuppgifter till tredjeländer och internationella organisationer. Bestämmelsen grundar sig på artikel 35 och 36.1 i dataskyddsdirektivet.
Som överföring av personuppgifter betraktas på samma sätt som för närvarande alla situationer då den personuppgiftsansvarige gör personuppgifter tillgängliga för en aktör i ett tredjeland eller en internationell organisation. Som överföring betraktas således t.ex. överföring av personuppgifter per e-post eller annars på elektronisk väg, såsom rätt att se uppgifter genom elektronisk anslutning samt lagring av personuppgifter i en molntjänst. Som egentligt utlämnande betraktas däremot situationer då den personuppgiftsansvarige lämnar ut personuppgifter till en annan personuppgiftsansvarig, som kan behandla dem för sina egna ändamål. Såsom för närvarande betraktas också utlämnande som överföring av personuppgifter.
De bestämmelser som avser överföring av personuppgifter till utlandet gäller all faktisk överföring av personuppgifter till utlandet. Bestämmelserna ska således omfatta såväl egentligt utlämnande av personuppgifter som överföring av dem till tredjeländer t.ex. som en följd av att databehandlingen lagts ut. Mängden uppgifter eller hur länge överföringen pågår inverkar inte på de föreslagna bestämmelsernas tillämplighet. Endast en behörig myndighet som är personuppgiftsansvarig får överföra personuppgifter, men den personuppgiftsansvarige kan ge ett personuppgiftsbiträde i uppgift att överföra uppgifterna på sina vägnar.
Enligt 1 mom. får en behörig myndighet överföra personuppgifter till ett tredjeland eller en internationell organisation endast om de övriga bestämmelser som är tillämpliga på behandling av personuppgifter enligt den föreslagna lagen iakttas och alla de förutsättningar som uppräknas i momentet är uppfyllda. Till de överföringar som avses i momentet räknas vidareöverföring av personuppgifter till ett annat tredjeland eller en annan internationell organisation.
I 1 punkten förutsätts att överföringen för det första behövs för ett ändamål som nämns i 1 § 1 mom. i den föreslagna lagen. Personuppgifter får således överföras till ett tredjeland eller en internationell organisation endast om överföringen behövs för de ändamål som uppräknas i momentet i fråga, såsom för förebyggande, utredning och avslöjande av brott eller åklagarverksamhet som har samband med brott.
För att överföringen ska vara laglig ska personuppgifterna enligt 2 punkten överföras till en personuppgiftsansvarig i ett tredjeland eller en internationell organisation som är behörig att behandla personuppgifterna för ett ändamål som nämns i 1 § 1 mom. I 3 punkten förutsätts det dessutom att det finns ett i artikel 36 i dataskyddsdirektivet avsett giltigt beslut av Europeiska kommissionen om adekvat dataskyddsnivå i det land till vilket personuppgifterna är tänkta att överföras. Om inget sådant giltigt beslut av kommissionen finns, ska lämpliga skyddsåtgärder föreligga i enlighet med den föreslagna 42 §. Om inte heller några lämpliga skyddsåtgärder har vidtagits, får personuppgifterna överföras endast om undantag för särskilda situationer blir tillämpliga i enlighet med 43 §.
Om personuppgifterna har erhållits från en annan EU-medlemsstat, är en ytterligare förutsättning för överföring enligt 2 mom. att medlemsstaten i fråga har gett tillstånd till överföringen på förhand. Överföringar som görs utan ett sådant tillstånd är dock tillåtna i undantagsfall, om överföringen är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en stat eller mot en EU-medlemsstats väsentliga intressen och tillstånd inte kan erhållas i tid. Den myndighet som har ansvar för att ge förhandstillstånd ska dock informeras om överföringen utan dröjsmål.
I 3 mom. föreskrivs att om personuppgifterna överförs vidare till ett annat tredjeland eller en annan internationell organisation, får den behöriga myndighet som gjorde den ursprungliga överföringen godkänna vidareöverföringen med iakttagande av bestämmelserna i 1 och 2 mom. och med vederbörligt beaktande av brottets allvar, det ändamål för vilket personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland till vilket eller den internationella organisation till vilken personuppgifterna förs vidare, samt andra relevanta omständigheter.
42 §.Överföring på basis av lämpliga skyddsåtgärder. Genom paragrafen genomförs artikel 37 i dataskyddsdirektivet. Om kommissionen inte har antagit ett beslut som avses i 41 § 1 mom. 3 punkten, får personuppgifter enligt 1 mom. dock i vissa situationer överföras till ett tredjeland eller en internationell organisation, om de övriga förutsättningar som anges i 41 § uppfylls. En ytterligare förutsättning utöver de övriga förutsättningarna är att lämpliga skyddsåtgärder för personuppgifter har fastställts i en rättsligt bindande handling eller alternativt att den personuppgiftsansvarige efter att ha bedömt alla omständigheter kring en överföring av personuppgifter drar slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.
Sådana rättsligt bindande handlingar som avses i den föreslagna 1 mom. 1 punkten kan t.ex. vara rättsligt bindande bilaterala överenskommelser som genomförts genom en nationell lag. I en sådan handling ska det säkerställas att kraven på skydd för personuppgifter iakttas och att de registrerades rättigheter respekteras och att effektiva rättsmedel existerar. I fråga om de lämpliga skyddsåtgärder som avses i 2 punkten kan den personuppgiftsansvarige bl.a. ta hänsyn till att personuppgiftsöverföringarna kommer att omfattas av tystnadsplikt och principen om ett specifikt ändamål med behandlingen, vilket säkerställer att uppgifter inte behandlas för andra ändamål än de uttryckliga ändamålen med respektive överföring. Den personuppgiftsansvarige ska dessutom ta hänsyn till för vilket syfte personuppgifterna kommer att användas och i synnerhet att uppgifterna inte används t.ex. för att meddela dödsstraff eller för någon form av omänsklig behandling.
Enligt 2 mom. ska den personuppgiftsansvarige informera dataombudsmannen om de kategorier av överföringar som gjorts enligt 1 mom. 2 punkten. Uppgifterna om överföringarna i fråga ska bevaras så att de på begäran kan göras tillgängliga för dataombudsmannen. Uppgifterna ska innehålla information åtminstone om datum och tidpunkt för överföringarna, den mottagande behöriga myndigheten, grunderna för överföringarna och de personuppgifter som har överförts.
43 §. Undantag i särskilda situationer. Paragrafen innehåller bestämmelser om de grunder för undantag med stöd av vilka personuppgifter kan överföras till ett tredjeland eller en internationell organisation i de fall då kommissionen inte har antagit ett i 41 § 1 mom. 3 punkten avsett beslut och sådana lämpliga skyddsåtgärder för uppgiftsöverföringen som förutsätts i 42 § inte föreligger. För att en överföring ska kunna göras måste de allmänna förutsättningar för överföring av uppgifter som föreslås i 41 § vara uppfyllda. Eftersom det i de förutsättningar som tas in i paragrafen är fråga om undantag från förutsättningarna för överföring av uppgifter, ska förutsättningarna tolkas på ett inskränkande sätt. Paragrafen grundar sig på artikel 38 i dataskyddsdirektivet.
Enligt 1 mom. 1—3 punkten är en överföring möjlig endast om den är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, för att skydda intressen som är berättigade och av stor betydelse för den registrerade eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en EU-medlemsstat eller ett tredjeland. Det kan vara fråga om att skydda intressen av grundläggande betydelse t.ex. när en uppgiftsöverföring behövs för att skydda den registrerades eller någon annan persons liv. En förutsättning för överföring av personuppgifter i syfte att skydda den registrerades berättigade intressen är att den registrerades intresse väger tungt. Det är till denna del fråga om en i direktivet tillåten extra förutsättning för överföring av personuppgifter.
Enligt 4 punkten är en överföring möjlig i enskilda fall för de ändamål som nämns i 1 § 1 mom. eller för att fastställa, göra gällande eller försvara rättsliga anspråk som hänför sig till dem. Enligt sin ordalydelse kan den grund för överföring som avses i 4 punkten bli aktuell endast i enskilda fall, och bestämmelsen kan inte användas som rättsgrund t.ex. vid sedvanlig uppgiftsöverföring.
I 2 mom. föreskrivs det dock om en skyldighet att göra en intresseavvägning mellan olika rättigheter innan personuppgifter överförs på basis av 1 mom. 4 punkten. Personuppgifter får inte överföras med stöd av 4 punkten, om den berörda registrerades rättigheter ska anses väga tyngre än det allmännas intresse av en sådan överföring. Om det t.ex. är sannolikt att den registrerade utsätts för hot om våld eller blir föremål för förföljelse på grund av uppgiftsöverföringen, är det i allmänhet befogat att låta bli att överföra uppgifterna.
Uppgifter om överföringar som baserar sig på det föreslagna 1 mom. ska enligt 3 mom. bevaras och på begäran göras tillgängliga för dataombudsmannen. Sådana uppgifter ska innehålla information åtminstone om datum och tidpunkt för överföringen, den mottagande behöriga myndigheten, grunderna för överföringen och de personuppgifter som har överförts.
44 §. Överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer. Paragrafen innehåller bestämmelser om överföring av personuppgifter till enskilda mottagare och andra mottagare i tredjeländer. Sådana mottagare är enligt definitionen i regel andra än myndigheter som kan jämställas med behöriga myndigheter. Paragrafen grundar sig på artikel 39 i dataskyddsdirektivet. I artikeln ges det möjlighet att föreskriva om saken, men förpliktigar ändå inte till det.
I 1 mom. föreskrivs det om de förutsättningar under vilka en behörig myndighet trots vad som föreskrivs i 41 § 1 mom. 2 punkten i ett enskilt fall får överföra personuppgifter direkt till enskilda och andra mottagare som är etablerade i tredjeländer. Samtliga i momentet uppräknade förutsättningar ska uppfyllas samtidigt. De överföringar som avses i paragrafen blir aktuella endast i undantag och i enskilda fall.
En överföring är tillåten i synnerhet när den i enlighet med 1 punkten är nödvändig för att en överförande behörig myndighet ska kunna utföra en uppgift enligt 1 § 1 mom. som den har ansvar för. På grund av kravet på nödvändighet får uppgifter inte överföras om nämnda uppgifter kan skötas på något annat sätt som ingriper mindre i den registrerades rättigheter. Enligt 2 punkten är en förutsättning för överföring också att den behöriga myndighet som överför uppgifterna, i sina slutsatser efter att ha bedömt frågan, anser att de berörda registrerades rättigheter inte väger tyngre än det allmänna intresse som gör överföringen behövlig i det aktuella fallet. Den överförande myndigheten ska alltså göra en noggrann intresseavvägning till denna del.
En förutsättning för överföring är enligt 3 punkten också att den behöriga myndighet som överför uppgifterna, på grund av ärendets brådskande natur eller av någon annan orsak, anser att en överföring till en behörig myndighet i tredjelandet skulle vara ineffektiv eller olämplig. I § förutsätts emellertid att en sådan behörig myndighet i tredjelandet har informerats om överföringen utan obefogat dröjsmål, om inte detta skulle vara ineffektivt eller olämpligt.
Enligt 5 punkten ska den behöriga myndighet som överför uppgifterna informera mottagaren om det eller de specifika ändamål för vilket eller vilka denne får behandla personuppgifterna och att uppgifterna får behandlas endast under förutsättning att en sådan behandling är nödvändig. Mottagaren ska också informeras om att uppgifterna inte får behandlas för andra ändamål.
Enligt 6 punkten får överföringen inte strida mot Finlands internationella avtalsförpliktelser.
Dessutom ska de övriga bestämmelserna i den föreslagna lagen iakttas vid överföringen.
Enligt 2 mom. är den behöriga myndigheten skyldig att bevara information om varje överföring som utförts med stöd av 1 mom. och att informera dataombudsmannen om överföringen. Den information som avses i momentet ska lämnas utan obefogat dröjsmål.
8 kap. Tillsynsmyndighet
45 §. Dataombudsmannen. Paragrafen innehåller bestämmelser om nationell tillsynsmyndighet på lagens tillämpningsområde. Nationell tillsynsmyndighet är i Finland samma organ som på allmänna dataskyddsförordningens och den föreslagna dataskyddslagens område, dvs. dataombudsmannen.
Genom paragrafen genomförs till behövliga delar artikel 41, 42 och 45 i dataskyddsdirektivet. Största delen av de bestämmelser som gäller organisationen vid dataombudsmannens byrå tas in i den föreslagna dataskyddslagen. Det föreslås inte att exempelvis artikel 42.5 genomförs genom denna lag, eftersom det i den föreslagna dataskyddslagen tas in bestämmelser om dataombudsmannens personal och om att dataombudsmannen utnämner personalen vid dataombudsmannens byrå.
Tillsyn över efterlevnaden av den föreslagna lagen ska enligt 1 mom. utövas av dataombudsmannen enligt 8 § i dataskyddslagen.
Enligt 2 mom. ska bestämmelserna om tillsyn i den föreslagna lagen inte tillämpas på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman. Bestämmelserna grundar sig på artikel 45.2 i dataskyddsdirektivet. Strävan med bestämmelserna är framför allt att trygga domstolarnas och de högsta laglighetsövervakarnas oberoende när det sköter uppgifter som omfattas av den föreslagna lagens tillämpningsområde. I enlighet med vad som föreskrivs i 108 och 109 § i grundlagen övervakar justitiekanslern och justitieombudsmannen lagligheten i domstolarnas verksamhet. De övervakar också att domstolarna i all sin verksamhet iakttar lagstiftningen om skydd för personuppgifter.
Enligt 3 mom. är dataombudsmannen självständig och oberoende vid skötseln av sina uppgifter enligt den föreslagna lagen. Detta innebär bl.a. att det inte bör vara möjligt att direkt eller indirekt utifrån påverka anställda hos tillsynsmyndigheten när de sköter sina uppgifter och utövar sina befogenheter. De bör inte heller till denna del ta emot instruktioner från någon utomstående aktör.
46 §. Uppgifter. I paragrafen föreskrivs det om dataombudsmannens uppgifter på den föreslagna lagens tillämpningsområde. Paragrafen grundar sig på artikel 46 i dataskyddsdirektivet. De uppgifter som dataombudsmannens har enligt den föreslagna lagen skiljer sig till vissa delar från de uppgifter som dataombudsmannen påförts i artikel 59 i allmänna dataskyddsförordningen.
I 1 mom. uppräknas dataombudsmannens uppgifter. Enligt 1 punkten omfattar uppgifterna, utöver att utöva tillsyn över efterlevnaden av den föreslagna lagen, att öka allmänhetens medvetenhet om risker, lagstiftning, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter. Enligt 2 punkten ska dataombudsmannen också öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om deras skyldigheter enligt den föreslagna lagen. Ett sätt att fullgöra dessa uppgifter är t.ex. att publicera instruktioner och utbilda personuppgiftsansvariga.
Till dataombudsmannens uppgifter hör enligt 3 och 4 punkten att på begäran tillhandahålla information till registrerade om hur de ska utöva de rättigheter de har enligt den föreslagna lagen samt att ge rådgivning vid förhandssamråd enligt 21 §. Dataombudsmannen ska enligt 5 punkten göra utredningar om efterlevnaden av den föreslagna lagen. Ombudsmannen beslutar självständigt om att göra de utredningar som ombudsmannen anser behövliga. En utredning kan t.ex. gälla något visst förvaltningsområde eller något visst sätt att behandla uppgifter. Dataombudsmannens uppgift är enligt 6 punkten också att kontrollera lagligheten i behandlingen i enlighet med 29 §.
Enligt 7 punkten ska dataombudsmannen behandla begäranden om åtgärder från registrerade eller från samfund som avses i 56 §. Dataombudsmannen ska i enlighet med vad som föreskrivs i förvaltningslagen inom skälig tid informera den som lämnat in begäran om åtgärder hur utredningen fortskrider och om resultatet. Dataombudsmannen ska i enlighet med artikel 46.2 i dataskyddsdirektivet underlätta inlämningen av sådana begäranden om åtgärder som avses i denna punkt genom åtgärder, såsom att tillhandahålla en allmänt tillgänglig blankett för begäran om åtgärder, t.ex. på sin webbplats.
Enligt 8 punkten ska dataombudsmannen följa sådan teknisk och annan utveckling som påverkar skyddet av personuppgifter.
Enligt 2 mom. ska dataombudsmannen bidra till verksamheten i den dataskyddsstyrelse som inrättats genom allmänna dataskyddsförordningen. I artikel 51 i dataskyddsdirektivet uppräknas dataskyddsstyrelsens uppgifter på direktivets tillämpningsområde. Styrelsens uppgift är bl.a. att utfärda rekommendationer och föra fram bästa praxis när det gäller tillämpningen av direktivet. Dataombudsmannen får således inte föra ett ärende till dataskyddsstyrelsen då det är fråga om sådan behandling av personuppgifter som faller utanför direktivets tillämpningsområde, dvs. behandling som sker i samband med verksamhet som avses i 1 § 2 mom.
Enligt 3 mom. är dataombudsmannens åtgärder avgiftsfria för registrerade och för dataskyddsombud. Om en registrerads eller ett dataskyddsombuds begäranden dock på grund av att de upprepas eller av någon annan orsak är uppbenbart orimliga eller ogrundade, kan dataombudsmannen ta ut en avgift för åtgärderna på det sätt som föreskrivs i lagen om grunderna för avgifter till staten eller lämna det ärende som begäran gäller utan prövning. Endast i mycket exceptionella situationer kan det bli aktuellt att lämna ärendet utan prövning. En sådan situation kan uppstå t.ex. om ärendet redan har inletts vid dataombudsmannens byrå.
Om dataombudsmannen på det sätt som avses i 3 mom. tar ut en avgift eller lämnar ärendet utan prövning, ska dataombudsmannen enligt 4 mom. vid behov kunna visa att begäran är uppenbart ogrundad eller orimlig.
47 §. Rätt att få information. Paragrafen innehåller bestämmelser om dataombudsmannens rätt att få information. Genom paragrafen genomförs artikel 26 och artikel 47.1 i dataskyddsdirektivet. I dataskyddsdirektivet förutsätts det att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska åtminstone inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna utföra sina uppgifter.
Enligt 1 mom. har dataombudsmannen trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter.
En i huvuddrag liknande bestämmelse ingår i 39 § 1 mom. i personuppgiftslagen, enligt vilket dataombudsmannen utan hinder av sekretessbestämmelserna har rätt att få information om de personuppgifter som är föremål för behandling samt all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag.
I 2 mom. föreskrivs det om dataombudsmannen rätt att av personuppgiftsansvariga och personuppgiftsbiträden få upplysningar om omständigheter som dataombudsmannen behöver för att kunna sköta sina uppgifter. Upplysningar kan begäras t.ex. om sådana omständigheter som behövs för skötseln av dataombudsmannens uppgifter och som klarlägger den information som dataombudsmannen får med stöd av sin rätt till information eller som dataombudsmannen annars behöver få för att kunna sköta sina uppgifter. Den personuppgiftsansvarige och personuppgiftsbiträdet är dessutom även annars på begäran skyldiga att samarbeta med dataombudsmannen för att denne ska kunna utföra sina uppgifter.
48 §. Rätt att utföra inspektioner. Paragrafen innehåller bestämmelser om dataombudsmannens rätt att utföra inspektioner i enlighet med vad som förutsätts i artikel 47.1 och 47.4 i dataskyddsdirektivet. Syftet med bestämmelserna är att se till att dataombudsmannen har effektiva inspektionsbefogenheter samt att de rättsskyddsgarantier som hänför sig till dem förverkligas.
Enligt 1 mom. får dataombudsmannen utföra inspektioner i en personuppgiftsansvarigs eller ett personuppgiftsbiträde utrymmen, om en inspektion behövs för tillsynen över efterlevnaden av den föreslagna lagen.
I 2 mom. ingår en ytterligare förutsättning för att utföra inspektioner när inspektionen utförs i utrymmen som används för boende av permanent natur. Inspektion får då utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara ett straff enligt strafflagen.
I 3 mom. föreslås det för klarhetens skull en bestämmelse om att 39 § i förvaltningslagen ska iakttas i samband med inspektioner. I 39 § i förvaltningslagen ingår bestämmelser om vissa krav på förfarandet vid förrättande av inspektion.
49 §.Handräckning. I paragrafen föreskrivs det om dataombudsmannens rätt att få handräckning av polisen för att utföra sina uppgifter. Handräckning ges på begäran av dataombudsmannen. Motsvarande bestämmelser finns även för närvarande i 8 § i lagen om datasekretessnämnden och dataombudsmannen. Handräckning kan bli aktuellt t.ex. i samband med en inspektion som avses i 48 §, om dataombudsmannen hindras att utföra sina tjänsteuppdrag eller om polisbefogenheter annars behöver användas i dataombudsmannens uppgifter.
50 §. Anlitande av sakkunniga. Paragrafen innehåller bestämmelser om dataombudsmannens rätt att anlita utomstående sakkunniga. Skyddet av personuppgifter berör många olika delområden i samhället. Den specialkunskap som skötseln av dataombudsmannens uppgifter förutsätter kan i vissa fall förutsätta biträde av utomstående sakkunniga. Utomstående sakkunniga kan anlitas t.ex. i en situation då det behövs särskilda insikter i krypteringsteknik eller andra utvecklade informationssäkerhetsmetoder. Dataskyddsdirektivet förutsätter inte uttryckligen att det föreskrivs om saken i medlemsstaternas lagstiftning, men de föreslagna bestämmelserna bidrar till en effektiv skötsel av dataombudsmannens uppgifter.
Enligt 1 mom. får dataombudsmannens höra utomstående sakkunniga och begära utlåtanden från dem. Även i 7 § i lagen om datasekretessnämnden och dataombudsmannen föreskrivs det om dataombudsmannens och datasekretessnämndens rätt att höra sakkunniga och begära in utlåtanden av dem.
Enligt 2 mom. får dataombudsmannen vid inspektioner som avses i 48 § anlita biträde av utomstående sakkunniga. Enligt momentet kan dataombudsmannen till sakkunnig utse en person som givit sitt samtycke till uppdraget och som innehar avsevärd sakkunskap med tanke på skötseln av ombudsmannens uppgifter. En sakkunnig kan inte utföra en inspektion självständigt, utan den sakkunniges uppgift är av assisterande karaktär.
Enligt 3 mom. tillämpas på en sakkunnig bestämmelserna om tjänsteansvar när den sakkunnige utför uppgifter som avses i paragrafen. I momentet finns dessutom en hänvisning till skadeståndsansvar enligt skadeståndslagen.
51 §. Åtgärder. Paragrafen innehåller bestämmelser om dataombudsmannens befogenheter. Paragrafen grundar sig på artikel 47 i dataskyddsdirektivet. I paragrafen föreslås det mer omfattande befogenheter för dataombudsmannen än vad som förutsätts i dataskyddsdirektivet. När befogenheterna fastställts har strävan varit att de i tillämpliga delar och så långt det är möjligt ska överensstämma med befogenheterna i allmänna dataskyddsförordningen och att en effektiv tillsyn över skyddet av personuppgifter ska genomföras också på den föreslagna lagens område.
Enligt paragrafen kan dataombudsmannen i ärenden som omfattas av tillämpningsområdet för den föreslagna lagen ge den personuppgiftsansvarige handledning vid det förfarande för förhandssamråd som avses i 21 § (1 punkten), informera den personuppgiftsansvarige eller personuppgiftsbiträdet om påstådda överträdelser av bestämmelserna i den föreslagna lagen (2 punkten) och utfärda varningar till den personuppgiftsansvarige eller personuppgiftsbiträdet om att planerade behandlingar kan stå i strid med den föreslagna lagen (3 punkten). Enligt 4 punkten kan dataombudsmannen ge den personuppgiftsansvarige eller personuppgiftsbiträdet en anmärkning, om denne behandlat personuppgifter i strid med lag. En anmärkning innebär i praktiken att dataombudsmannen delger tillsynsobjektet sin motiverade ståndpunkt för framtiden om hur de bestämmelser som gäller behandling av personuppgifter borde tillämpas i vissa situationer. En anmärkning blir aktuell i en situation då det inte finns behov att vidta strängare åtgärder.
De åtgärder som uppräknas i 1—4 punkten är till karaktären något lättare än åtgärderna i 5—10 punkten. Med stöd av de sistnämnda bestämmelserna kan dataombudsmannen bl.a. ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att iaktta den registrerades begäranden om att utöva den registrerades rättigheter enligt den föreslagna lagen eller meddela ett tillfälligt eller bestående förbud eller ställa upp någon annan tillfällig eller bestående begränsning av behandlingen. Dessutom kan dataombudsmannen ålägga den personuppgiftsansvarige eller personuppgiftsbiträdet att se till att uppgiftsbehandlingen är förenlig med bestämmelserna i den föreslagna lagen, vid behov på ett bestämt sätt och inom en rimlig tid.
Enligt artikel 47.5 i dataskyddsdirektivet ska varje medlemsstat i lag säkerställa att varje nationell tillsynsmyndighet har befogenhet att göra rättsliga myndigheter uppmärksamma på överträdelser av de bestämmelser som antas i enlighet med direktivet och att, när så är lämpligt, inleda eller på annat sätt delta i rättsliga förfaranden, i syfte att säkerställa efterlevnaden av bestämmelser som antas i enlighet med direktivet. Även om det inte tas in någon uttrycklig bestämmelse om saken i den föreslagna lagen, ska dataombudsmannen ha rätt att göra en polisanmälan om dataombudsmannen misstänker att det på ett straffbart sätt har brutits mot bestämmelserna i den föreslagna lagen.
52 §. Vite. Enligt 1 mom. får dataombudsmannen förena ett i 51 § 5—10 punkten avsett beslut samt ett sådant föreläggande att lämna ut uppgifter som grundar sig på 47 § med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).
I 2 mom. föreslås bestämmelser om s.k. skydd mot självinkriminering för en fysisk person i samband med skyldigheten att lämna ut uppgifter. Vite kan inte riktas mot personen om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.
53 §. Hörande av dataombudsmannen. Paragrafen innehåller bestämmelser om i vilka situationer andra myndigheter ska höra dataombudsmannen. Förslaget grundar sig framför allt på de bestämmelser om att föreskriva om saken i lag som ingår i artikel 28.2 och 47.3 i dataskyddsdirektivet. Enligt dessa artiklar ska medlemsstaterna föreskriva att tillsynsmyndigheten ska rådfrågas under utarbetandet av ett förslag till lagstiftningsåtgärd som ska antas av ett nationellt parlament eller av en regleringsåtgärd som grundar sig på en sådan lagstiftningsåtgärd som rör behandling och att tillsynsmyndigheten på eget initiativ eller på begäran kan avge yttranden i frågor som rör skydd av personuppgifter.
I 1 mom. föreskrivs det i enlighet med dataskyddsdirektivet att dataombudsmannen på eget initiativ eller på begäran kan yttra sig i frågor som hänför sig till sådan behandling av personuppgifter som avses i 1 §.
Enligt 2 mom. ska dataombudsmannen ges tillfälle att bli hörd vid beredningen av lagstiftnings- eller förvaltningsreformer som gäller sådan behandling av personuppgifter som avses i 1 §. Syftet med den föreslagna bestämmelsen är att ge dataombudsmannen tillfälle att redan vid beredningen påverka lagstiftnings- och förvaltningsreformer som gäller behandlingen av personuppgifter. En bestämmelse med motsvarande innehåll ingår i 41 § 1 mom. i personuppgiftslagen.
I strafflagen föreskrivs det om hörande av dataombudsmannen när åklagaren eller en domstol behandlar ett brottmål. Åklagaren ska enligt 38 kap. 10 § i strafflagen (39/1889) höra dataombudsmannen innan åtal väcks för sekretessbrott, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av kommunikationshemlighet eller dataintrång, om brottet i fråga riktar sig mot ett personregister, samt innan åtal väcks för personregisterbrott. När domstolen behandlar ett mål som gäller ett sådant brott ska den ge dataombudsmannen tillfälle att bli hörd. I regeringens proposition med förslag till dataskyddslag föreslås det vissa ändringar i paragrafen i fråga.
54 §. Ömsesidigt bistånd. Paragrafen innehåller bestämmelser om ömsesidigt bistånd mellan tillsynsmyndigheterna. Genom paragrafen genomförs artikel 50.1, 50.2 och 50.7 i dataskyddsdirektivet.
Enligt 1 mom. ska dataombudsmannen avgiftsfritt ge motsvarande tillsynsmyndighet i en annan EU-medlemsstat de personuppgifter som myndigheten nödvändigt behöver i sitt tillsynsuppdrag samt andra behövliga uppgifter, och vid behov även annars bistå myndigheten vid utövandet av tillsynen. Uppgifterna ska också innefatta sekretessbelagda uppgifter. Dessutom ska dataombudsmannen vidta också andra behövliga åtgärder för att säkerställa ett effektivt samarbete. Trots att det ömsesidiga biståndet i princip är avgiftsfritt, kan tillsynsmyndigheter komma överens med andra tillsynsmyndigheter om regler för ersättning för särskilda utgifter i samband med tillhandahållande av ömsesidigt bistånd under exceptionella förhållanden.
Det ömsesidiga biståndet ska särskilt omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om att genomföra samråd, inspektioner och utredningar. En begäran om bistånd ska innehålla all nödvändig information, inklusive syftet med och skälen till denna. Information som utbytts får användas endast för det syfte för vilket den har begärts. De uppgifter som andra tillsynsmyndigheter begärt ska dataombudsmannen som regel sända på elektronisk väg med användning av ett standardiserat format, såsom det förutsätts i artikel 50.6 i dataskyddsdirektivet.
Enligt 2 mom. ska dataombudsmannen besvara en begäran från en tillsynsmyndighet som avses i 1 mom. utan obefogat dröjsmål och inte senare än en månad efter det att dataombudsmannen tagit emot begäran. Sådana åtgärder kan särskilt omfatta översändande av relevant information om genomförandet av en pågående utredning.
9 kap. Rättsskydd
55 §. Rapportering av överträdelser. Genom paragrafen genomförs artikel 48 i dataskyddsdirektivet, enligt vilken medlemsstaterna ska föreskriva att de behöriga myndigheterna ska inrätta effektiva mekanismer för att uppmuntra till konfidentiell rapportering av överträdelser av detta direktiv. Någon motsvarande bestämmelse ingår inte i den nuvarande nationella lagstiftningen om skydd för personuppgifter. Motsvarande rapporteringskanaler genom vilka rapporter om lagöverträdelser kan lämnas (eng. whistleblowing) är dock obligatoriska t.ex. för kreditinstitut med stöd av 7 kap. 6 § i kreditinstitutslagen (610/2014) samt för försäkringsbolag med stöd av 6 kap. 17 a § i försäkringsbolagslagen (521/2008).
Enligt 1 mom. ska den behöriga myndigheten ha förfaranden som gör det möjligt att konfidentiellt till myndigheten rapportera en misstänkt överträdelse av bestämmelserna i den föreslagna lagen. Rapporteringsförfarandet ska omfatta lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna. Rapporteringsförfarandet ska dessutom omfatta anvisningar som tryggar skyddet för rapportörens identitet. För att systemet ska fungera måste det finnas klara instruktioner för tillvägagångssätten. Dessutom måste systemet vara lätt att använda.
Enligt 2 mom. ska den behöriga myndigheten bevara behövlig information som sådana rapporter som avses i 1 mom. Informationen ska avföras fem år efter rapporteringen, om inte informationen fortsättningsvis behövs för en brottsutredning, en pågående rättegång eller en myndighetsundersökning eller för att trygga de rättigheter som rapportören eller den som är föremål för rapporten har. Behovet av fortsatt bevarande av uppgifterna ska i vilket fall som helst undersökas senast tre år efter den föregående kontrollen. En anteckning ska göras om kontrollen. Information som visat sig vara oriktig eller onödig ska dock avföras ur registret utan dröjsmål.
I 3 mom. föreskrivs det om en begränsning i den registrerades rätt att få veta rapportörens identitet. Om en fysisk person till den behöriga myndigheten har lämnat en rapport som avses i 1 mom. om en misstänkt överträdelse av bestämmelserna i den föreslagna lagen, ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs, i form av exempelvis motåtgärder eller diskriminering.
56 §. Rätt att föra ärenden till dataombudsmannen. Paragrafen innehåller bestämmelser om en registrerads rätt att föra ärenden till dataombudsmannen. Genom paragrafen genomförs i synnerhet artikel 52.1 samt artikel 55 i dataskyddsdirektivet. Möjligheten att föra ett ärende till den nationella tillsynsmyndigheten för behandling är ett betydande rättsmedel, om vilket det enligt dataskyddsdirektivet ska föreskrivas i medlemsstaternas lagstiftning.
Enligt första meningen i 1 mom. har en registrerad rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den föreslagna lagen eller någon annan lag som gäller behandling av personuppgifter. Om denna rättighet för den registrerade används i lagen också uttrycket ”begäran om åtgärder”. Med stöd av bestämmelserna i momentet ska den registrerade ha rätt att föra ett ärende till dataombudsmannen även när någon i verksamhet som omfattas av den föreslagna lagens tillämpningsområde bryter mot sådana bestämmelser om behandling av personuppgifter som finns i speciallagstiftning och som ska tillämpas i verksamheten i fråga.
I personuppgiftslagen föreskrivs det inte uttryckligen om någon sådan allmän rätt för en registrerad att inleda ett ärende vid dataombudsmannens byrå. Enligt 40 § 2 mom. i personuppgiftslagen ska dataombudsmannen dock avgöra ett ärende som en registrerad med stöd av 28 § (utövande av rätten till insyn) och 29 § (rättelse av en uppgift) fört till denne för behandling. Dataombudsmannen kan bestämma att den registeransvarige ska se till att den registrerades rätt till insyn tillgodoses eller att en uppgift rättas. Enligt personuppgiftslagen kan den registrerade inte inleda ett ärende heller i datasekretessnämnden. Den föreslagna bestämmelsen innebär således en betydande utvidgning av de rättsmedel en registrerad har till sitt förfogande.
Enligt det föreslagna momentet kan en registrerad framställa en begäran om åtgärder i vilken situation som helst där han eller hon anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot bestämmelserna om behandling av personuppgifter. En begäran om åtgärder kan t.ex. gälla den registrerades rätt till insyn, rätt att få uppgifter rättade eller lagligheten i grunden för behandlingen. På anförande av besvär iakttas förvaltningslagens bestämmelser om hur ett ärende inleds.
Enligt andra meningen i momentet får ärendet med den registrerades samtycke föras till dataombudsmannen också av ett allmännyttigt samfund som främjar skyddet av personuppgifter. Ett sådant allmännyttigt samfund som främjar skyddet av personuppgifter kan företräda flera registrerade i ett ärende riktat till dataombudsmannen som gäller en begäran om åtgärder. Bestämmelsen begränsar t.ex. inte den registrerades möjligheter att anlita ombud när den registrerade lägger fram en begäran om åtgärder för dataombudsmannen.
Den föreslagna bestämmelsen grundar sig på artikel 55 i dataskyddsdirektivet, enligt vilken medlemsstaterna i enlighet med deras nationella processrätt ska se till att den registrerade har rätt att ge ett organ, en organisation eller en sammanslutning utan vinstsyfte som har inrättats på lämpligt sätt och vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter vad gäller skyddet av deras personuppgifter, i uppdrag att lämna in en begäran om åtgärder för hans eller hennes räkning och att utöva de rättigheter som avses i artiklarna 52, 53 och 54 för hans eller hennes räkning.
57 §. Behandlingen av en begäran om åtgärder. Paragrafen innehåller bestämmelser om behandling av en sådan begäran om åtgärder som avses i 56 §.
Genom paragrafens 1 mom. genomförs artikel 46.1 f samt artikel 52.4 i dataskyddsdirektivet. Dataombudsmannen ska pröva ärendet, om inte ärendet är anhängigt i domstol. På handläggningen av ärendet tillämpas förvaltningslagen som allmän lag. Enligt vad som föreskrivs i 23 § i förvaltningslagen ska dataombudsmannen behandla ärendet utan obefogat dröjsmål, och ska bl.a. besvara en parts förfrågningar om hur behandlingen framskrider. I andra meningen i 1 mom. tas det in kompletterande bestämmelser om att dataombudsmannen inom rimlig tid ska informera den som framställt begäran om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs på grund av att en ytterligare utredning behövs eller av något annat skäl. Omständigheter av betydelse när rimlig tid bedöms är t.ex. ärendets art, komplexitet och omfattning.
I 2 mom. föreskrivs det om situationer då dataombudsmannen i ett ärende som har inletts hos dataombudsmannen anser att det behöver utredas huruvida ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet. I sådana situationer ska dataombudsmannen till denna del föra ärendet till en förvaltningsdomstol för avgörande. Förvaltningsdomstolen kan för sin del göra en begäran om förhandsavgörande hos EU-domstolen. På grund av att det förmodligen inte kommer att förekomma många sådana fall och på grund av den sakkunskap som behövs i ärendet bör fallen koncentreras till en enda förvaltningsdomstol, och därför ska dataombudsmannen enligt bestämmelsen föra ärendet till Helsingfors förvaltningsdomstol för behandling. Bestämmelserna i momentet grundar sig inte direkt på dataskyddsdirektivet utan på EU-domstolens rättspraxis och i synnerhet förhandsavgörandet i målet Schrems (C-362/14).
58 §. Ändringssökande. Paragrafen innehåller bestämmelser om sökande av ändring. Genom paragrafen genomförs artikel 53.1 och 53.3 i dataskyddsdirektivet. Avsikten med dem är att trygga en persons rätt till effektiva rättsmedel mot den nationella tillsynsmyndigheten, dvs. dataombudsmannen.
I 1 mom. föreskrivs det om rätt att överklaga dataombudsmannens beslut genom besvär. Enligt bestämmelsen får dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen. Bestämmelsen motsvarar innehållsmässigt 45 § 1 mom. i personuppgiftslagen. Huruvida ett beslut av dataombudsmannen är överklagbart bestäms med stöd av förvaltningsprocesslagen.
Enligt 2 mom. får besvär över förvaltningsdomstolens beslut anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Bestämmelsen motsvarar 45 § 2 mom. i personuppgiftslagen. I andra meningen i momentet föreskrivs det att även dataombudsmannen har rätt att söka ändring i förvaltningsdomstolens beslut. Rätt för dataskyddsmannen att söka ändring behövs i synnerhet för att säkerställa en enhetlig rättspraxis, även med beaktande av att dataombudsmannen är ledamot av Europeiska dataskyddsstyrelsen.
Enligt 3 mom. får det i dataombudsmannens beslut bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. På så sätt säkerställs att dataombudsmannen har möjlighet att ingripa effektivt i synnerhet i sådan lagstridig behandling av personuppgifter som kan medföra en risk för den registrerades rättigheter. Även enligt 45 § 3 mom. i personuppgiftslagen kan det i datasekretessnämndens beslut, på motsvarande vis som i den föreslagna bestämmelsen, bestämmas att beslutet ska iakttas även om det överklagas.
10 kap. Särskilda bestämmelser
59 §.Skadestånd. Paragrafen innehåller bestämmelser om den personuppgiftsansvariges skyldighet att ersätta den registrerade eller någon annan person för ekonomiska skada och annan skada som denne har tillfogats av att personuppgifter har behandlats i strid med lag. Artikel 56 i dataskyddsdirektivet ålägger medlemsstaterna att föreskriva att var och en som lidit materiell eller immateriell skada till följd av en olaglig behandling av personuppgifter eller av någon annan åtgärd som står i strid med de nationella bestämmelser som antas i enlighet med direktivet ska ha rätt till ersättning för denna skada från den personuppgiftsansvarige eller varje annan myndighet som är behörig enligt medlemsstaternas nationella rätt.
Enligt 1 mom. är den personuppgiftsansvarige skyldig att ersätta den registrerade eller någon annan person för ekonomisk skada och annan skada som denne tillfogats av att personuppgifter har behandlats i strid med denna lag. På samma sätt som för närvarande ska ersättningsansvaret således gälla ersättning för skada som tillfogats också någon annan person än den registrerade. Enligt bestämmelsen är det alltid den personuppgiftsansvarige som bär ersättningsansvaret.
I de föreslagna bestämmelserna kvarstår det skadeståndsansvar oberoende av vållande som ingår i 47 § i den gällande personuppgiftslagen. På samma sätt som för närvarande ska enligt paragrafen t.ex. sådan ekonomisk skada ersättas som den registrerade tillfogats på grund av att oriktiga uppgifter använts eller uppgifter lämnats ut i strid med lag. Ansvaret ska gälla också ekonomisk och annan skada som förorsakats av all annan olaglig behandling av personuppgifter. På sätt täcker ansvaret också lidande som förorsakats en person av att personuppgifter behandlats olagligt.
Paragrafens 2 mom. är informativt. Enligt det finns bestämmelser i övrigt om rätten till skadestånd i skadeståndslagen.
60 §. Straffbestämmelser. Det föreslås att det i paragrafen tas in en hänvisningsbestämmelse till de bestämmelser i strafflagen som kan komma i fråga som påföljder för överträdelser av lagen. I artikel 57 i dataskyddsdirektivet förutsätts att det föreskrivs om dem.
Paragrafen innehåller en hänvisningsbestämmelse till 38 kap. 9 § i strafflagen där det ska föreskrivas om dataskyddsbrott. En ny straffbestämmelse om dataskyddsbrott, genom vilken gällande straffbestämmelse om personregisterbrott upphävs, ingår i regeringens proposition med förslag till dataskyddslag.
I paragrafen hänvisas det också på samma sätt som i 48 § i personuppgiftslagen till 38 kap. 3, 4, 8 och 8 a § i strafflagen där det föreskrivs om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet samt för dataintrång och för grovt dataintrång. Till straff för brott mot de föreslagna bestämmelserna om tystnadsplikt i 61 § döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap.5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.
61 §. Tystnadsplikt. Paragrafen innehåller bestämmelser om tystnadsplikt för den som deltagit i behandlingen av personuppgifter. Den som har deltagit i behandlingen av personuppgifter får inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. Den som deltar i behandlingen av personuppgifter kan bl.a. vara en person som är anställd hos den personuppgiftsansvarige eller den behöriga myndigheten, ett dataskyddsombud eller en person som behandlar personuppgifter för den personuppgiftsansvariges räkning.
En tystnadspliktsbestämmelse med motsvarande innehåll ingår i 33 § i den gällande personuppgiftslagen där det sägs att den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, inte i strid med personuppgiftslagen för tredje man får röja de uppgifter som han på detta sätt har erhållit. En motsvarande paragraf ingår också i den föreslagna dataskyddslagen.
11 kap. Ikraftträdande och övergångsbestämmelser
62 §. Ikraftträdande. Paragrafen innefattar en sedvanlig ikraftträdandebestämmelse. Enligt artikel 63.1 i dataskyddsdirektivet ska medlemsstaterna senast den 6 maj 2018 anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa direktivet. Medlemsstaterna ska också tillämpa dessa bestämmelser från och med nämnda dag.
63 §. Övergångsbestämmelser. I 1 mom. tas det in en övergångsbestämmelse enligt vilken automatiserade behandlingssystem som har inrättats före den 6 maj 2016 i kan bringas i överensstämmelse med den föreslagna 19 § senast den 6 maj 2023.
Övergångsbestämmelsen grundar sig på artikel 63.2 i dataskyddsdirektivet. Övergångsbestämmelsen inverkar inte på automatiserade behandlingssystem som har inrättats efter den 6 maj 2016, vilka till alla delar ska bringas i överensstämmelser med den föreslagna lagen senast den 6 maj 2018.