Dataskyddslagen i kraft 1.1.2019

Den nya dataskyddslagen (1050/2018), som gäller behandling av personuppgifter, trädde i kraft den 1 januari 2019. Lagen kompletterar EU:s allmänna dataskyddsförordning och ger möjlighet till nationella preciseringar.

Dataskyddslagen utgör ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med dataskyddsförordningen, som började tillämpas i maj 2018.

I den nya dataskyddslagen föreskrivs det om vissa undantag från och preciseringar till EU:s dataskyddsförordning. I lagen föreskrivs det dessutom om den nationella tillsynsmyndigheten och om vissa särskilda situationer vid behandlingen av personuppgifter, bl.a. om samordning av tryggandet av yttrandefriheten och skyddet för personuppgifter.

När lagen träder i kraft upphävs den nuvarande personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994). Läs dataskyddslagen i sin helhet

Nedan en sammanfattning av det väsentligaste i dataskyddslagen:

Rättslig grund för behandling av personuppgifter i vissa fall (Kap 2 i dataskyddslagen)

Behandlingen av personuppgifter är endast laglig om och ifall den uppfyller åtminstone ett av villkoren i artikel 6.1 i EU dataskyddsförordningen.

Dataskyddslagen specificerar lagligheten av behandlingen av personuppgifter i fall där behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Enligt dataskyddslagen får personuppgifter behandlas i enlighet med ovan nämnda lagrum i dataskyddsförordningen, om det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas.

Personuppgifter får också behandlas när det behövs och behandlingen är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse.

Dessutom kan personuppgifter behandlas om behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas. Personuppgifter kan också behandlas om behandlingen av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

Åldersgränsen vid erbjudande av informationssamhällets tjänster till barn blir 13 år.

Informationssamhällets tjänster får i fortsättningen erbjudas direkt till ett barn om barnet är minst 13 år. Det innebär att ett barn som är under 13 år ska ha föräldrarnas samtycke till användning av sociala medier och andra tjänster som förutsätter att man lämnar sina personuppgifter. Den personuppgiftsansvarige ska kontrollera att detta samtycke har getts. I Finland är åldersgränsen lägre än den åldersgräns på 16 år som föreskrivs i förordningen.

Behandling av särskilda kategorier av personuppgifter

I artikel 9.1 i dataskyddsförordningen föreskrivs om förbud mot behandling av särskilda kategorier av personuppgifter. De särskilda kategorierna av personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

I 6 § i dataskyddslagen föreskrivs om de situationer där särskilda kategorier av personuppgifter får behandlas i den mån som behandlingen inte möjliggörs direkt av den nämnda artikeln 9.2 i dataskyddsförordningen. Personuppgifter kan bland annat behandlas om behandlingen beror på en uppgift som direkt har ålagts den personuppgiftsansvarige i lag; om det handlar om vetenskaplig eller historisk forskning eller statistikföring, eller om behandlingen handlar om vetenskapliga forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål.

Lagen förutsätter ändå att den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen när sådana uppgifter behandlas.

I 6 § i dataskyddslagen föreskrivs genom exempel om åtgärder som kan användas för att skydda de registrerades rättigheter. Förteckningen är inte tvingande eller heltäckande utan också andra skyddsåtgärder är möjliga. Sådana åtgärder är enligt lagen bland annat åtgärder för att det i efterskott ska kunna säkerställas och bevisas vem som har lagrat, ändrat eller överfört personuppgifterna; åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter, anonymisering av personuppgifter och särskilda förfarandebestämmelser för behandlingen av personuppgifter.

Dataombudsmannen fortsätter som tillsynsmyndighet (Kap 3 i dataskyddslagen)

De nationella myndighetsuppgifterna enligt EU:s dataskyddsförordning koncentreras hos dataombudsmannen. Till följd av det ökande antalet ärenden inrättas två tjänster som biträdande dataombudsman vid dataombudsmannens byrå.

Vid byrån inrättas dessutom en sakkunnignämnd med fem ledamöter. Nämnden ska på dataombudsmannens begäran ge utlåtanden om frågor som gäller tillämpningen av lagstiftningen. Den nuvarande datasekretessnämnden läggs ned, och den kommer därmed inte längre att bevilja tillstånd för behandling av personuppgifter, utan behandlingen grundar sig direkt på EU:s dataskyddsförordning, dataskyddslagen eller speciallagstiftning. För genomförandet av reformen har det reserverats avsevärda tilläggsresurser för dataombudsmannens byrå.

Ett sådant föreläggande att lämna ut uppgifter som dataombudsmannen meddelar ett företag, en sammanslutning eller en myndighet får förenas med vite.

Ett påföljdskollegium, som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans, får med minst tre medlemmar påföra administrativa påföljdsavgifter för överträdelse av bestämmelserna. Avgiften kan i lindrigare fall vara högst 10 miljoner euro eller två procent av ett företags totala årsomsättning och i allvarliga fall högst 20 miljoner euro eller fyra procent av ett företags totala årsomsättning.

Påföljdsavgiften baserar sig på EU:s dataskyddsförordning. Det finns också lindrigare medel, såsom anmärkningar.

Med stöd av det nationella handlingsutrymmet föreskrivs det i dataskyddslagen att administrativa påföljdsavgifter inte tillämpas på behandling av personuppgifter inom den offentliga sektorn. Detta motiveras med att myndigheterna är bundna av kravet på laglighet i förvaltningen och av tjänsteansvar och skadeståndsansvar. Grundlagsutskottet understödde denna lösning i sitt utlåtande.

I strafflagen tas det in bestämmelser som gör det straffbart för t.ex. den personuppgiftsansvariges anställda att obehörigen snoka i personuppgifter i strid med uppgifternas användningsändamål. Detta ska betraktas som dataskyddsbrott, för vilket straffet blir böter eller fängelse i högst ett år. Strafflagens nuvarande bestämmelse om personregisterbrott stryks.

Särskilda behandlingssituationer och behandling av personuppgifter (Kap 5 i dataskyddslagen)

 I kapitel 5 i nämns offentlighetsprincipen, d.v.s rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter. Enligt offentlighetslagen så tillämpas här vad som föreskrivs om offentlighet i myndigheternas verksamhet.

Under kapitel 5 29§ föreskrivs också om behandlingen av personbeteckningar. Man eftersträvar att behålla nuläget i fråga om behandling av personbeteckningar. Personbeteckningar får alltså behandlas med den registrerades samtycke eller om sådan behandling föreskrivs i lag. Dessutom får personbeteckningar behandlas om det är viktigt att entydigt identifiera den registrerade för att utföra en i lag angiven uppgift, tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter eller för historisk eller vetenskaplig forskning eller för statistikföring. Personbeteckningar får också behandlas i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa. På annan behandling av personuppgifter medan arbetsavtalsförhållandet pågår tillämpas lagen om integritetsskydd i arbetslivet.

Personbeteckningar får också lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen. Lagen föreskriver även att personbeteckningar inte onödigtvis får antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.

Dessutom bestäms i lagen om undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål.

Undantag för att trygga yttrandefriheten, forskning och arkivering

I dataskyddslagen föreskrivs det om vissa undantag eller friheter från villkoren för behandling av personuppgifter för att trygga yttrandefriheten t.ex. inom journalismen. Också vid historisk och vetenskaplig forskning, statistikföring och arkivering är det möjligt att avvika från vissa av de skyldigheter som följer av EU:s dataskyddsförordning, om det är nödvändigt t.ex. med tanke på forskningens ändamål.

Undantagen kan bl.a. innebära att den registrerade i dessa fall inte har rätt att kontrollera uppgifter om sig själv. Syftet med undantagen är att bevara en reglering som motsvarar den nuvarande. För att man vid behandling av personuppgifter ska få göra undantag från den registrerades rättigheter förutsätts det bl.a. att man gör en konsekvensbedömning avseende dataskydd eller förbinder sig att följa en särskild uppförandekod.

Dessutom är det fortsättningsvis möjligt att för forskning och statistikföring behandla uppgifter om personers hälsa, sexualliv, sexuella läggning, religion och politiska åsikter.