1
LAGFÖRSLAG
1.1
Beredskapslagen
Syftet med beredskapslagen är att under undantagsförhållanden skydda befolkningen samt trygga befolkningens försörjning och landets näringsliv, upprätthålla rättsordningen, de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt trygga rikets territoriella integritet och självständighet. Lagen innehåller bestämmelser om myndigheternas befogenheter under undantagsförhållanden och förberedelser inför undantagsförhållanden. I 103 § finns det bestämmelser om arbetspliktsregistret, som under undantagsförhållanden som avses i lagen inrättas för verkställighet av arbetsplikten och styrning av arbetskraften. I registret ska uppgifter om de arbetspliktiga och om arbetsgivarna föras in. Det är meningen att registerbestämmelserna ska uppfylla ett mål av allmänt intresse, vilket förutsätts i artikel 6.3 i dataskyddsförordningen. Den behandling av personuppgifter som avses i bestämmelserna kan också ses som behövlig med tanke på ett ändamålsenligt fullgörande av arbetsplikten. Den behandling av personuppgifter som anges i lagen har i fråga om såväl införande av uppgifter som rätten att få information begränsats till fullgörandet av arbetsplikten och har således i enlighet med proportionalitetsprincipen begränsats till vad som är nödvändigt med tanke på lagens syfte. Grunden för den behandling av personuppgifter som avses i paragrafen finns i artikel 6.1 c i dataskyddsförordningen.
Det föreslås att bestämmelserna ses över i fråga om personuppgiftsansvaret och särskilda kategorier av personuppgifter så att kraven i dataskyddsförordningen blir beaktade.
103 §. Arbetspliktsregistret. I 1 mom. ändras termen registeransvarig till personuppgiftsansvarig i den svenska språkversionen. Dessutom ersätts tredje meningen med en ny som gäller myndigheternas skyldighet att innan de för in uppgifter i registret se till att uppgifterna är riktiga. Ansvarig enligt dataskyddsförordningen för att personuppgifterna är riktiga och för att behandlingen av dem är lagenlig är den personuppgiftsansvarige, och ansvaret kan inte överföras på andra myndigheter. När dessa andra myndigheter själva behandlar personuppgifter som personuppgiftsansvariga vid skötseln av sina egna uppgifter, grundar sig kravet att se till att behandlingen av personuppgifterna är lagenlig direkt på dataskyddsförordningen. Det föreslås emellertid en skyldighet för myndigheterna att se till att de uppgifter som de för in är riktiga när de för in uppgifter i det informationssystem som arbets- och näringsministeriet är personuppgiftsansvarig för.
Paragrafens 2 mom. föreslås bli preciserat till den del det i samband med uppgifter om den arbetspliktiges arbetsförmåga kan finnas uppgifter om hälsotillstånd eller eventuell funktionsnedsättning. Arbetskraftsmyndigheten kan med stöd av 99 § 1 mom. bli tvungen att behandla uppgifter som gäller en arbetspliktigs hälsotillstånd eller eventuella funktionsnedsättning för att kunna bedöma hurdant arbete den arbetspliktige med beaktande av sitt hälsotillstånd kan åläggas att utföra. Uppgifter som gäller hälsotillstånd eller eventuell funktionsnedsättning och som hänför sig till arbetsförmågan får enligt den föreslagna bestämmelsen föras in i arbetspliktsregistret endast om det är nödvändigt att behandla dessa uppgifter för att de ska kunna beaktas på det sätt som avses i 99 § 1 mom. Det kriterium som fogats till momentet har i praktiken ingen begränsande inverkan på behandlingen av uppgifter om hälsotillstånd eller eventuell funktionsnedsättning, eftersom rätten att behandla uppgifterna i vilket fall som helst fortfarande bestäms med stöd av 99 § 1 mom. Rättslig grund för behandlingen av dessa personuppgifter, som kan jämställas med sådana uppgifter om hälsa som avses i artikel 9.1 i dataskyddsförordningen, är i dessa fall artikel 9.2 led h i dataskyddsförordningen. Enligt det ledet ska förbudet att behandla uppgifter inte tillämpas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda. I ett sådant fall ställer artikel 9.3 i dataskyddsförordningen som villkor för behandlingen att personuppgifterna behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av lagstadgad tystnadsplikt. Ansvaret för behandlingen av uppgifterna ska bäras av myndigheter, som enligt 22 § i lagen om offentlighet i myndigheternas verksamhet är bundna av handlingssekretess och enligt 23 § i den lagen av tystnadsplikt. Uppgifter om hälsotillstånd är enligt 24 § 1 mom. 25 punkten i den lagen sekretessbelagda.
1.2
Förvaltningslagen
Förvaltningslagen är en allmän lag med bestämmelser om grunderna för god förvaltning och om förfarandet i förvaltningsärenden. Den innehåller bestämmelser om behandlingen av ärenden och handlingar, men inga sådana särskilda bestämmelser om behandlingen av personuppgifter som skulle överlappa den allmänna dataskyddslagstiftningen. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i förvaltningslagen omfattas i regel av dataskyddsförordningen och dataskyddslagen.
42 §. Anteckning av uppgifter. Paragrafen innehåller en bestämmelse om anteckning av uppgifter som har inhämtats ur ett personregister som avses i personuppgiftslagen. Paragrafen föreslås bli ändrad på så sätt att hänvisningen till personuppgiftslagen stryks.
1.3
Partilagen
Lagen innehåller bestämmelser om behandling av personuppgifter som hänför sig såväl till det riksomfattande partiregistret som till partianhängare och finansiärer. Vid behandling av personuppgifter om ett partis anhängare framgår den politiska åsikten hos personerna i fråga. Behandlingen av dessa personuppgifter är dock tillåten med stöd av artikel 9.2 a och d i dataskyddsförordningen. I övrigt är den rättsliga grunden för behandling av anhängares personuppgifter i enlighet med artikel 6.1 c i dataskyddsförordningen en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen har också ett sådant mål av allmänt intresse som förutsätts i artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa att ett parti som ska registreras har det i lagen angivna antalet anhängare som är röstberättigade vid riksdagsval, kommunalval eller Europaparlamentsval. Av motiveringen till lagen framgår att de personuppgifter som behandlas ska begränsas till vissa grundläggande uppgifter, som dock inte har preciserats i lagen.
Behandlingen av personuppgifter som gäller finansiärer kan å sin sida anses vara nödvändig för att förebygga olämpliga försök att påverka partierna och osakliga bindningar mellan partierna och deras finansiärer samt för att möjliggöra effektiv tillsyn. Lagstiftningen har också tidigare ändrats i en riktning som ökar transparensen och tillsynen när det gäller partifinansieringen. (RP 6/2010 rd). Rättslig grund för behandling av personuppgifter är i dessa fall artikel 6.1 c i dataskyddsförordningen. Bestämmelserna om behandling av personuppgifter har i enlighet med proportionalitetsprincipen begränsats till vad som är nödvändigt för att säkerställa tillsynen. I lagen har den personuppgiftsansvarige dock inte preciserats i fråga om olika situationer där personuppgifter behandlas. Det föreslås att den personuppgiftsansvarige preciseras genom denna proposition med undantag för de situationer som avses i 3 §, vilka kommer att beaktas i ett separat lagstiftningsprojekt som gäller ändring av partilagen.
1 §. Parti och partiregistret. Det föreslås att formuleringen av paragrafen ändras så att justitieministeriets uppgift som personuppgiftsansvarig framgår tydligare. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Dessutom fogas ordet ”partiregistret” till paragrafrubriken.
9 f §. Redovisningsregistret och tillgången till uppgifter. Paragrafen innehåller bestämmelser om det register över redovisning av partifinansiering som förs av statens revisionsverk och om tillgången till de uppgifter som förs in i registret. I registret införs de uppgifter som ingår i specifikationerna av kostnaderna för och finansieringen av valkampanjen samt i förhandsredovisningarna. Dessutom får det i registret föras in uppgifter som ingår i specifikationer över bidrag som en partinära sammanslutning fått samt uppgifter som ingår i revisionsberättelser och bokslut för föreningar som får understöd som avses i 9 §. Registret finns tillgängligt i det allmänna datanätet. Enligt paragrafen har var och en rätt att ur registret få kopior och uppgifter trots vad som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. De uppgifter som avses i momentet kan också innehålla personuppgifter om enskilda personer till den del det är fråga om givare av bidrag på mer än 1 500 euro eller med deras samtycke också om givare av mindre bidrag.
Det föreslås att 1 mom. ändras så att statens revisionsverks uppgift som personuppgiftsansvarig för registret över redovisning av partifinansiering uttryckligen framgår av momentet. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Det är meningen att statens revisionsverk utöver att föra registret över redovisning av partifinansiering också ska ha andra uppgifter som personuppgiftsansvarig i enlighet med dataskyddsförordningen.
1.4
Vallagen
Vallagen tillämpas på riksdagsval, presidentval, kommunalval och Europaparlamentsval. Bestämmelser om kommunalval i landskapet Åland finns i landskapets lagstiftning. Till statsförfattningen i en demokratisk stat anses höra grundlagarna och de vanliga lagar som gäller de högsta statsorganens organisationsform och verksamhet samt medborgarnas allmänna rättigheter och utövandet av dessa. Vallagstiftningen är en viktig del av statsförfattningen. Den fastställer hur medborgarna ska använda sina aktiva politiska rättigheter som t.ex. rösträtten och rätten att ställa upp som kandidat i val. (RP 48/1998 rd) Vallagen innehåller bestämmelser om personregister som hänför sig till förrättandet av val samt bestämmelser om kontroll och rättelse av uppgifter i registren. Behandlingen av uppgifter om personer som är röstberättigade i val är också nödvändig för att säkerställa att valen förrättas på behörigt sätt. Rättslig grund för den behandling av personuppgifter som hänför sig till de register som avses i lagen är artikel 6.1 c i dataskyddsförordningen. Genom de bestämmelser i vallagen som gäller kontroll, rättelseyrkande och självrättelse i fråga om uppgifter i rösträttsregistret anpassas tillämpningen av dataskyddsförordningen i enlighet med dess artikel 6.3 till den del det är fråga om förfaranden som hänför sig till behandling av personuppgifter.
I 23 § 1—3 mom. i vallagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som tillämpas vid kontroll av uppgifter i rösträttsregistret och i fråga om information om hur rättelseyrkande ska framställas. I paragrafen föreskrivs det särskilt hur och var uppgifterna finns framlagda för den kontroll som avses i vallagen. Bestämmelserna i den gällande paragrafen ska tillämpas samtidigt med artikel 15 i dataskyddsförordningen, men bestämmelserna i vallagen tillämpas som speciallag på kontroll av rösträttsregister som inrättats för enskilda val. Också andra än de registrerade har rätt att få uppgifter ur rösträttsregistret med stöd av vallagen. Bestämmelserna i vallagen begränsar inte den registrerades rättigheter enligt dataskyddsförordningen. Dataskyddsförordningen ska också vara direkt tillämplig vid andra tidpunkter än de som anges i vallagen.
I 24 § i vallagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som ska tillämpas när yrkande framställas om rättelse av uppgifter i rösträttsregistret. I paragrafen anges det också inom vilken tid rättelse kan yrkas. Paragrafens bestämmelser ska tillämpas samtidigt med artikel 16 i dataskyddsförordningen, men de tillämpas på yrkande av rättelse av uppgifter i rösträttsregister som inrättats för enskilda val. Bestämmelserna i 24 § begränsar inte heller den registrerades rättigheter enligt dataskyddsförordningen, som tillämpas även vid andra tidpunkter än de som avses i vallagen.
I vallagens 26 § (självrättelse) ingår det mer detaljerade bestämmelser om anpassad tillämpning i fråga om kravet på korrekthet i artikel 5.1 led d i dataskyddsförordningen. Enligt det ledet måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Vallagen innehåller närmare bestämmelser om förfarandet för självrättelse av en felaktig anteckning i ett rösträttsregister som inrättats för enskilda val och om den tid när ändringarna senast ska göras. Bestämmelserna i paragrafen gäller emellertid inte enbart behandling av de registrerades personuppgifter, även om de anteckningar som ska rättas till stor del gäller personuppgifter eller uppgifter som har samband med dem.
Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad vars personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen ha rätt till ett effektivt rättsmedel. Den punkten innehåller en möjlighet att behålla även andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, och dessutom får den registrerade utöva den rätt som anges i artikel 77. I 27 § i vallagen föreskrivs det om rätten att söka ändring i ett beslut genom vilket ett rättelseyrkande enligt 24 § har förkastats eller avvisats eller i ett beslut som avses i 26 § 2 mom. En registrerad som så önskar ska i stället kunna använda rättsmedel som grundar sig direkt på dataskyddsförordningen, när det handlar om att få felaktiga personuppgifter rättade eller raderade.
Vallagens bestämmelser om behandling av personuppgifter och om ändringssökande kan anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att trygga medborgarnas utövande av sin rösträtt. Den lagens bestämmelser om behandling av personuppgifter bedöms även vara proportionella mot det legitima mål som eftersträvas.
31 §. Myndighet som behandlar kandidatansökningar. Till de kandidatansökningar som avses i lagen hänför det sig sådan behandling av personuppgifter i fråga om vilken den personuppgiftsansvarige behöver preciseras. Enligt paragrafen avses med den myndighet som behandlar kandidatansökningar valkretsnämnden vid riksdagsval, Helsingfors valkretsnämnd vid presidentval och Europaparlamentsval samt den kommunala centralvalnämnden vid kommunalval. Enligt förslaget ska det till paragrafen fogas ett nytt 2 mom. enligt vilket den myndighet som behandlar kandidatansökningar är personuppgiftsansvarig för sammanställningen av kandidatlistorna och för kandidatförteckningen för presidentval. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Innehållet i sammanställningen av kandidatlistor preciseras i 41 §. Bestämmelser om kandidatförteckningarna för presidentval finns i 42 §.
43 §. Riksomfattande kandidatregister. Paragrafen innehåller bestämmelser om det riksomfattande kandidatregistret. Till 1 mom. föreslås det bli fogat en uttrycklig bestämmelse enligt vilken justitieministeriet är personuppgiftsansvarig för registret. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. I 2 mom. föreskrivs det om skyldigheten för den myndighet som behandlar kandidatansökningarna att föra in kandidaternas personuppgifter i registret. Dessa myndigheter ska ändå inte betraktas som personuppgiftsansvariga för det riksomfattande kandidatregistret. Det föreslås inga ändringar i momentet.
1.5
Lagen om kandidaters valfinansiering
I lagen föreskrivs det om kandidaters valfinansiering och om redovisning av finansieringen vid riksdagsval, presidentval, kommunalval och Europaparlamentsval. Syftet med lagen är att öka öppenheten kring valfinansieringen och informationen om kandidaternas eventuella bindningar och att begränsa en ökning av kostnaderna för kandidaternas valkampanjer. Lagen innehåller bestämmelser om registret över redovisning av valfinansiering, och den behandling av personuppgifter som hänför sig till det omfattas av dataskyddsförordningen och dataskyddslagen. Den behandling av personuppgifter som föreskrivs i lagen uppfyller ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa öppenheten kring valfinansieringen. Det ansågs även i samband med stiftandet av lagen att öppenheten kring valfinansieringen kräver ett anmälningsförfarande för att klarlägga vilka bindningar finansieringen eventuellt ger upphov till (RP 8/2000 rd, RP 13/2009 rd). Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Personuppgifterna i redovisningen av valfinansieringen och i redovisningsregistret anges uttömmande i lagen, och behandlingen av personuppgifter har begränsats till vad som är nödvändigt med tanke på lagens syfte. Bestämmelserna bedöms således i enlighet med artikel 6.3 vara proportionella mot det mål som eftersträvas med lagen.
Lagen innehåller även bestämmelser om tillgången till uppgifter i redovisningsregistret. Grundlagsutskottet har i ett betänkande bedömt bestämmelserna utifrån skyddet för privatlivet, som tryggas i grundlagen. Att ett bidrag från en enskild person till en bestämd kandidat blir offentligt när det överstiger ett i lagen angivet högsta belopp griper för givarens del in i det skydd för privatlivet som 10 § i grundlagen garanterar. Grundlagsutskottet har emellertid ansett att kärnan i skyddet av privatlivet inte berörs av att ett sådant ekonomiskt bidrag görs offentligt. Förslaget grep inte heller in i den i 25 § i grundlagen tryggade valhemlighetens elementära beståndsdelar. (Se GrUB 2/2009 rd, s. 4, GrUB 8/2000 rd, s. 2).
12 §. Redovisningsregistret och tillgången till uppgifter. Paragrafen innehåller bestämmelser om det register över redovisning av valfinansiering som förs av statens revisionsverk och om tillgången till de uppgifter som ska föras in i registret. I registret införs de uppgifter som ingår i redovisningar, förhandsredovisningar och efterhandsredovisningar, kandidatens i lagen angivna personuppgifter, uppgifter om valfinansieringen och kostnaderna för valkampanjen samt uppgift om lämnad försäkran, om kandidaten har lämnat in en försäkran om att valfinansieringen inte har överskridit gränsen på 800 euro. Var och en har rätt att ur registret få kopior samt uppgifter genom ett allmänt datanät.
Det föreslås att 1 mom. ändras så att statens revisionsverks uppgift som personuppgiftsansvarig för registret över redovisning av valfinansiering uttryckligen framgår av momentet. Statens revisionsverk har utöver uppgiften att föra registret också andra uppgifter som personuppgiftsansvarig i enlighet med dataskyddsförordningen. Dessutom föreslås momentets svenska språkdräkt bli ändrad för att bättre motsvara den finska språkdräkten.
1.6
Sametingslagen
Syftet med sametingslagen har varit att tillförsäkra samerna såsom ett urfolk kulturell autonomi inom sitt hembygdsområde i ärenden som angår deras språk och kultur. Grunderna för denna autonomi ska anges i lag. Sametingslagen innehåller bestämmelser om sametinget, som sköter ärenden som hör till samernas autonomi. Valet till sametinget utgör en väsentlig del av genomförandet av autonomin. I lagen ingår det särskilda bestämmelser om behandling av personuppgifter i anslutning till förrättning av val till sametinget. Rösträtten framgår av vallängden, och de personuppgifter som ska ingå i den preciseras i lagen. Lagen innehåller också bestämmelser om vallängdsuppgifternas ändamålsbundenhet och om utlämnande av sådana uppgifter. I lagen föreskrivs det dessutom om meddelande på kort och om kandidatförteckningen. Också i fråga om kandidatförteckningen preciseras de personuppgifter som ska behandlas. Genom bestämmelserna i lagen anpassas bestämmelserna i dataskyddsförordningen i enlighet med dess artikel 6.3 till den del det är fråga om vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs, ändamålsbegränsningar och de ändamål för vilka uppgifter får lämnas ut av samt de förfaranden som ska tillämpas på behandlingen. Rättslig grund för den behandling av personuppgifter som avses i lagen är artikel 6.1 c. De särskilda bestämmelser som ingår i lagen tillämpas i anslutning till förrättandet av val till sametinget. På behandlingen av personuppgifter i samband med skötseln av sametingets uppgifter tillämpas dataskyddsförordningen och dataskyddslagen samtidigt.
I 26 § i sametingslagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som ska tillämpas vid yrkande att anteckningarna i vallängden ska rättas. I paragrafen anges det också inom vilken tid rättelse kan yrkas. Bestämmelserna överlappar delvis artikel 16 i dataskyddsförordningen till den del det gäller den registrerades rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Bestämmelserna i sametingslagen tillämpas som speciallag när det gäller yrkande att uppgifterna i en vallängd som upprättats för enskilda val ska rättas. Bestämmelserna begränsar inte den rätt som den registrerade har med stöd av dataskyddsförordningen och som kan utövas samtidigt samt vid andra tidpunkter än de som avses i sametingslagen.
I sametingslagens 26 a § (självrättelse) ingår det mer detaljerade bestämmelser om anpassad tillämpning i fråga om kravet på korrekthet i artikel 5.1 led d i dataskyddsförordningen. Enligt det ledet måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Sametingslagen innehåller närmare bestämmelser om förfarandet för självrättelse av en felaktig anteckning i en vallängd som inrättats för enskilda val och om den tid när ändringarna senast ska göras. Bestämmelserna i paragrafen gäller emellertid inte enbart behandling av de registrerades personuppgifter, även om de anteckningar som ska rättas till stor del gäller personuppgifter eller uppgifter som har samband med dem.
Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad vars personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen ha rätt till ett effektivt rättsmedel. Den punkten innehåller en möjlighet att behålla även andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, och dessutom får den registrerade utöva den rätt som anges i artikel 77. I 26 b § i sametingslagen föreskrivs det om sökande av ändring i ett i 26 § avsett beslut av sametingets styrelse och ett i 26 a § avsett beslut av valnämnden. En registrerad som så önskar ska i stället kunna använda rättsmedel som grundar sig direkt på dataskyddsförordningen, när det handlar om att få felaktiga personuppgifter rättade eller raderade.
Sametingslagens bestämmelser om behandling av personuppgifter och om sökande av ändring kan anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att trygga utövandet av rösträtten vid val till sametinget. Lagens bestämmelser om behandling av personuppgifter bedöms även vara proportionella mot det legitima mål som eftersträvas.
4 a §. Tillämpning av förvaltningsrättsliga författningar. Paragrafens hänvisning till personuppgiftslagen föreslås bli struken. Enligt rubriken gäller paragrafen förvaltningsrättsliga författningar, och hänvisningen behöver således inte ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen.
23 §. Vallängd. Valnämnden ska upprätta en vallängd över de röstberättigade i valet till sametinget. I vallängden antecknas de personuppgifter som preciseras i paragrafen. I 1 mom. föreslås det bli preciserat att valnämnden är personuppgiftsansvarig för vallängden. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Dessutom görs det en språklig översyn av momentet.
27 a §. Kandidatförteckning. Enligt 1 mom. ska valnämnden upprätta en kandidatförteckning över valbara kandidater. Det föreslås en sådan ändring av momentet att valnämndens uppgift som personuppgiftsansvarig för kandidatförteckningen preciseras. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen.
1.7
Föreningslagen
Föreningslagen tillämpas på ideell föreningsverksamhet, oavsett om den bedrivs i form av en registrerad eller oregistrerad förening. Enligt lagen får en förening bildas för gemensamt fullföljande av ett ideellt syfte. Syftet får inte strida mot lag eller god sed. Lagen gäller inte ekonomiska sammanslutningar där syftet är att ge medlemmarna ekonomisk vinning eller sammanslutningar som annars i huvudsak är ekonomiska. Bestämmelserna i föreningslagen gäller till största delen registrerade föreningar, men en del av bestämmelserna tillämpas också på oregistrerade föreningar och religiösa samfund. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i lagen omfattas av dataskyddsförordningen och dataskyddslagen. Lagen innehåller också särskilda bestämmelser om behandlingen av personuppgifter särskilt till den del det är fråga om kravet på att föra medlemsförteckning och behandlingen av personuppgifter i samband med registrering av en förening samt utlämnande av personuppgifter. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Bestämmelserna bedöms uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa att föreningsverksamheten uppfyller de krav som föreskrivs för den i lag. Registerbestämmelserna i lagen kan anses begränsa sig till vad som är nödvändigt med tanke på lagens syfte. Å andra sidan förutsätts registerreglering, till den del det är fråga om föreningsregistret, i nuläget också i Europeiska unionens lagstiftning om bekämpning av penningtvätt och av finansiering av terrorism, som delvis har genomförts i Finland genom bestämmelserna i föreningslagen.
Till den del det eventuellt är fråga om sådana uppgifter i anslutning till en förenings verksamhet som hör till särskilda kategorier av personuppgifter och kan avslöja i synnerhet politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, ska behandlingen av personuppgifter vara tillåten i enlighet med artikel 9.2 d i dataskyddsförordningen. Enligt punkt 2 d i artikeln ska det förbud mot behandling av uppgifter som anges i punkt 1 inte tillämpas om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. Ett krav för behandlingen av dessa uppgifter är i enlighet med den punkten emellertid att behandlingen enbart rör en förenings medlemmar eller tidigare medlemmar eller personer som på grund av föreningens ändamål har regelbunden kontakt med den och att personuppgifterna inte lämnas ut utanför föreningen utan den registrerades samtycke. På skyddsåtgärder som hänför sig till särskilda kategorier av personuppgifter tillämpas i enlighet med 6 § 1 mom. 2 punkten i dataskyddslagen de skyddsåtgärder som föreskrivs i 2 mom. i den paragrafen.
11 §. Medlemsförteckning. Enligt lagens 10 § kan medlemmar i en förening vara enskilda personer, sammanslutningar och stiftelser. Till den del det i den medlemsförteckning som avses i 11 § finns fysiska personer, är förteckningen förknippad med behandling av personuppgifter. Enligt den gällande paragrafen ska föreningens styrelse föra en medlemsförteckning. I förteckningen ska varje medlems fullständiga namn och hemort införas. Lagen förutsätter inte att andra personuppgifter införs i förteckningen, men föreningarna har t.ex. i föreningens stadgar kunnat besluta om införande också av andra personuppgifter. I praktiken kan en styrelsemedlem eller funktionär i föreningen ensam se till att förteckningen förs, men också då ansvarar styrelsen för att förteckningen förs på behörigt sätt. Detta innebär också att styrelsemedlemmarna tillsammans har ansvarat för den personuppgiftsansvariges skyldigheter enligt personuppgiftslagen (där kallad registeransvarig), inklusive skyldigheten att säkerställa att uppgifterna i medlemsförteckningen är uppdaterade.
I paragrafens 1 mom. föreslås det att hänvisningen till styrelsens skyldighet att föra medlemsförteckning stryks. Skyldigheten enligt lagens 35 § att utse en styrelse gäller enligt hänvisningsbestämmelserna inte oregistrerade föreningar. Även oregistrerade föreningar är emellertid skyldiga att föra en förteckning över sina medlemmar i enlighet med 11 §.
I 2 mom. föreslås det en sådan ändring att den föråldrade informativa hänvisningen till personregisterlagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Momentets sista mening föreslås bli struken som obehövlig med beaktande av det föreslagna nya momentet. Dessutom föreslås det till momentet bli fogat en mening enligt vilken andra uppgifter än sådana som nämns i 1 mom. får lämnas ut till en föreningsmedlem endast av särskilda skäl, när föreningen har samlat in också andra uppgifter om sina medlemmar. I den finska språkversionen ändras dessutom i första meningen ordet ”tarkoitettuihin” till ”mainittuihin”. Denna ändring påverkar inte svenskan. Genom dessa ändringar görs bestämmelserna tydligare, och föreningarnas medlemmar får ett starkare dataskydd.
Den rätt som i 2 mom. ges föreningens medlemmar att ta del av de uppgifter som nämns i 1 mom. gäller uppgifter om alla föreningsmedlemmar, inte enbart den registrerades egna personuppgifter. Momentet är fristående från den registrerades rätt enligt artikel 15 i dataskyddsförordningen till tillgång till personuppgifter och inskränker inte den registrerades rätt i detta avseende. Den registrerade har i fråga om sina egna personuppgifter också till övriga delar de rättigheter som anges i dataskyddsförordningen.
Den skyldighet som föreningens styrelse enligt den gällande paragrafen har att föra en medlemsförteckning föreslås bli flyttad till 3 mom. I momentet ska det preciseras att personuppgiftsansvarig för personuppgifterna i en medlemsförteckning är föreningen. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. För utförandet av den personuppgiftsansvariges uppgifter svarar i en registrerad förening i praktiken föreningens styrelse. Om en oregistrerad förening saknar styrelse, ska föreningens ordförande eller någon annan som sköter föreningens angelägenheter svara för utförandet av den personuppgiftsansvariges uppgifter. Den personuppgiftsansvariges uppgifter och skyldigheter bestäms för föreningars del i enlighet med dataskyddsförordningen och dataskyddslagen utan någon separat hänvisning till den allmänna författning som ska tillämpas. Det föreslagna nya momentet omfattar också den uppgift som styrelsen har att besluta om utlämnande av uppgifter, och som föreslås bli struken ur 2 mom. I fråga om oregistrerade föreningar föreslås ordföranden, styrelseordföranden eller någon annan som sköter föreningens angelägenheter besluta om utlämnande, med beaktande av att en oregistrerad förening inte nödvändigtvis har någon styrelse.
Med de föreslagna bestämmelserna om personuppgiftsansvaret för en förenings medlemsförteckning har man också strävat efter att undvika förväxling med den personuppgiftsansvarige för föreningsregistret. Personuppgiftsansvarig för föreningsregistret är enligt 47 § 1 mom. Patent- och registerstyrelsen. Även på föreningsregistret tillämpas dataskyddsförordningen och dataskyddslagen till den del registret innehåller personuppgifter.
47 §. Föreningsregistret och personuppgiftsansvarig. I 1 mom. föreslås det en teknisk ändring av formuleringen, så att Patent- och registerstyrelsen är personuppgiftsansvarig för föreningsregistret. Syftet med ändringen är att förenhetliga den formulering som i lagstiftningen används i fråga om den personuppgiftsansvarige. Paragrafens rubrik ändras så att den motsvarar paragrafens innehåll.
1.8
Stiftelselagen
Stiftelselagen tillämpas på alla stiftelser som är registrerade i Finland enligt den lagen, om inte något annat föreskrivs i den eller i någon annan lag. En stiftelse som omfattas av lagen ska ha ett nyttigt ändamål, och stiftelsen ska stödja eller bedriva verksamhet som främjar ändamålet. Ändamålet får inte vara att bedriva affärsverksamhet eller bereda någon i stiftelsens närståendekrets ekonomisk fördel, om det inte är fråga om en i lagen avsedd stödstiftelse och släktstiftelse. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i stiftelselagen omfattas av dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandling av personuppgifter i anslutning till myndighetsuppgifter som hänför sig till registrering av och tillsyn över stiftelser är artikel 6.1 c i dataskyddsförordningen. Lagen innehåller kompletterande särskilda bestämmelser i fråga om kategorier av registrerade personer eller av personuppgifter som behandlas samt i fråga om stiftelseregistret och utlämnande av personuppgifter. Behandlingen av personuppgifter hänför sig i synnerhet till stiftelseurkunden och stiftelseregistret, och dessutom kan den kopplas till olika situationer där uppgifter lämnas ut. Dessa bestämmelser begränsar sig till vad som är nödvändigt för att den myndighetstillsyn som föreskrivs i lagen ska kunna genomföras, och regleringen bedöms således uppfylla det krav på ett mål av allmänt intresse och på proportionalitet som finns i artikel 6.3 i dataskyddsförordningen. Å andra sidan förutsätts registerreglering, till den del det är fråga om stiftelseregistret, i nuläget också i Europeiska unionens lagstiftning om bekämpning av penningtvätt och av finansiering av terrorism, som delvis har genomförts i Finland genom bestämmelserna i stiftelselagen.
13 kap. Stiftelseregistret
1 §. Stiftelseregistret och personuppgiftsansvarig. Det föreslås en sådan ändring av paragrafens rubrik att termen ”personuppgiftsansvarig” enligt dataskyddslagstiftningen används i stället för ”registermyndighet”. Motsvarande ändring föreslås i 2 mom. Patent- och registerstyrelsen ska vara personuppgiftsansvarig för personuppgifter som ingår i stiftelseregistret. Till stiftelseregistrets datainnehåll hör dessutom andra uppgifter som enligt stiftelselagen ska anmälas till registret. Det föreslås att också hänvisningen till uttrycket ”registermyndighet” ska hållas kvar i momentet, med beaktande av Patent- och registerstyrelsens roll i tillsynen över stiftelser. Registrets datainnehåll när det gäller personuppgifter bestäms i enlighet med kapitlets 3 och 4 §. De personuppgifter som ska registreras kan hänföra sig till stiftelsens styrelseledamöter och deras ersättare, en eventuell verkställande direktör eller en ställföreträdare för verkställande direktören samt till ordföranden, ledamöterna och ersättarna i ett eventuellt förvaltningsråd, revisorerna och personer som eventuellt har getts rätt att företräda stiftelsen.
1.9
Jordabalken
Fastighetsköp ska enligt lagen ske i bunden form. Jordabalken innehåller bestämmelser som gäller alla fastighetsköp. Inskrivning av äganderätten till en fastighet (lagfart) är förknippad med rättsverkningar som skyddar förvärvaren av fastigheten och dennes avtalspartner. Behandlingen av personuppgifter i anslutning till inskrivning av äganderätt och andra ärenden som gäller fastighetsköp anses således uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen.
I 5 kap. i jordabalken föreskrivs det om inskrivningsärenden som hänför sig till fastighetsköp. Sådana är lagfart, inskrivning av särskilda rättigheter samt inteckning. Över inskrivningsärenden förs det ett lagfarts- och inteckningsregister, där det också införs anteckningar om övriga rättigheter och gravationer som hänför sig till fastigheter. Bestämmelser om lagfarts- och inteckningsregistret finns i 7 kap. Dessutom ingår bestämmelser om behandling av personuppgifter i 9 a kap., där det föreskrivs om elektroniska ärendehanteringssystem och deras användning Sådan behandling av personuppgifter som hänför sig till ärenden som avses i jordabalken omfattas av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.1 c ger att utfärda nationella bestämmelser som kompletterar dataskyddsförordningen utnyttjas i jordabalken särskilt när det gäller uppgifter som ska registreras och utlämnande av uppgifter. De bestämmelser om behandling av personuppgifter som ingår i jordabalken begränsar sig till vad som är nödvändigt för att säkerställa lagens mål av allmänt intresse och uppfyller således kravet på proportionalitet i artikel 6.3 i dataskyddsförordningen.
I 8 kap. i jordabalken föreskrivs det om rättelse av sakfel och tekniska fel och om det förfarande som ska tillämpas vid rättelse av sådana fel. Rättelse av sakfel innebär att beslut som grundar sig på uppenbart felaktiga eller bristfälliga uppgifter eller på uppenbart oriktig tillämpning av lag undanröjs och att ärendet avgörs på nytt. Rättelse av ett tekniskt fel innebär att ett uppenbart skriv- eller räknefel, ett tekniskt betingat fel eller andra jämförbara fel rättas. Bestämmelserna i kapitlet handlar således om annat än rättelse eller radering av felaktiga personuppgifter i enlighet med dataskyddsförordningen, och de överlappar inte bestämmelserna i den förordningen. I enlighet med dataskyddsförordningen är den personuppgiftsansvarige med stöd av den förordningen skyldig att rätta eller radera föråldrade eller felaktiga personuppgifter antingen på eget initiativ med stöd av artikel 5.1 d eller på begäran av den registrerade i enlighet med artikel 16 eller 17.
7 kap. Lagfarts- och inteckningsregister
1 §. Uppgifter som ska antecknas i lagfarts- och inteckningsregistret. I 3 mom. föreslås det en strykning av den informativa hänvisning till personuppgiftslagen enligt vilken den lagen ska tillämpas på behandlingen av personuppgifter i lagfarts- och inteckningsregistret, om inte något annat föreskrivs i denna lag. Dataskyddsförordningen och dataskyddslagen ska tillämpas utan någon separat hänvisning. I 8 kap. i jordabalken föreskrivs det om rättelse av fel. Bestämmelserna gäller dock rättelse av sakfel (1 §) och rättelse av tekniskt fel (2 §) och överlappar således inte bestämmelserna om behandling av personuppgifter. Jordabalken innehåller inte heller i övrigt sådana bestämmelser om behandling av personuppgifter som avviker från den allmänna dataskyddslagstiftningen.
1 a §. Syftet med lagfarts- och inteckningsregistret. Det föreslås att den svenska språkdräkten i 2 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”.
9 a kap. Elektroniska ärendehanteringssystem och deras användning
2 §. Behandling av data i ärendehanteringssystemen. Enligt 5 kap. 3 § avses i jordabalken med elektroniska ärendehanteringssystem det elektroniska fastighetsöverlåtelsesystemet och det elektroniska inteckningssystemet. Ärendehanteringssystemen är rikstäckande. Lagens 9 a kap. innehåller närmare bestämmelser om elektroniska ärendehanteringssystem och deras användning. I kapitlets 2 § 2 mom. föreslås det en strykning av den föråldrade hänvisningen till personuppgiftslagen. Dataskyddsförordningen och dataskyddslagen ska tillämpas utan någon uttrycklig hänvisning, på motsvarande sätt som i fråga om lagfarts- och fastighetsregistret. Jordabalken innehåller till denna del inte heller några bestämmelser som avviker från den allmänna dataskyddslagstiftningen. Dessutom ändras formuleringen av momentets andra mening så att Lantmäteriverket är personuppgiftsansvarig för personuppgifter som behandlas i ett elektroniskt ärendehanteringssystem. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen.
3 §. Statens skadeståndsansvar för fel och brister i ärendehanteringssystemens funktion. Statens skadeståndsansvar är något annat än det ansvar den personuppgiftsansvarige enligt dataskyddsförordningen har för att informationssystemen fungerar. Paragrafens rubrik föreslås bli ändrad så att den inte hänvisar till den personuppgiftsansvariges ansvar enligt den förordningen. Dessutom föreslås det till 3 mom. bli fogat en mening enligt vilken dataskyddsförordningen ska tillämpas på skada som orsakats genom behandling av personuppgifter. Genom momentet förtydligas förhållandet mellan jordabalken och dataskyddsförordningen när det gäller att bestämma skadeståndsansvaret. I det gällande momentet stryks, som en lagteknisk ändring, orden ”i tillämpliga delar”.
1.10
Lagen om registrering av vissa kreditgivare och kreditförmedlare
Lagen om registrering av vissa kreditgivare och kreditförmedlare innehåller bestämmelser om myndigheternas registrerings- och tillsynsuppgift i fråga om sådana aktörer som lämnar konsumentkrediter och förmedlar person-till-person-lån och som inte omfattas av Finansinspektionens tillsyn. Sådana aktörer är i huvudsak s.k. snabblåneföretag. I uppgiften är det fråga om tillstånds- och registreringsuppgifter som omfattar rättslig prövning och förhandskontroll och om tillsyn över lagenligheten i verksamheten inom branschen. Tillsynsuppgiften har koncentrerats till Regionförvaltningsverket i Södra Finland.
På behandlingen av uppgifter som ingår i registret över kreditgivare och förmedlare av person-till-person-lån tillämpas dataskyddsförordningen och dataskyddslagen. De uppgifter som ska föras in i registret gäller näringsidkare, men eftersom en näringsidkare i vissa fall kan vara en fysisk person ingår där också personuppgifter om enskilda näringsidkare. Dessa personuppgifter behövs för att identifiera enskilda näringsidkare. Dessutom förs det i fråga om alla företag som ska registreras i registret in personuppgifter om ansvariga personer och om dem som gör registeranmälningar. I registret förs det inte in personuppgifter som avses i artikel 9.1 eller 10 i dataskyddsförordningen och inte heller andra personuppgifter som ska anses vara känsliga. Personuppgiftsansvarig är Regionförvaltningsverket i Södra Finland, och rättslig grund för verkets behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Behandlingen av personuppgifter har i lagen begränsats till vad som behövs med tanke på myndighetstillsynen.
3 §. Register över kreditgivare och förmedlare av person-till-person-lån samt registeranmälan. I 1 mom. föreskrivs det om ett register över kreditgivare och förmedlare av person-till-person-lån. För att principerna om laglighet och ändamålsbegränsning vid behandling av personuppgifter enligt artikel 5.1 a och b i dataskyddsförordningen ska bli beaktade föreslås det att registrets ändamål preciseras i momentet. Samtidigt preciseras formuleringen av momentet i fråga om den personuppgiftsansvarige.
5 §. Tillförlitlighet. I paragrafen föreskrivs det om de faktorer på basis av vilka den som gör en registeranmälan inte anses tillförlitlig. Den som gör anmälan anses bl.a. inte tillförlitlig om han eller hon genom en lagakraftvunnen dom har dömts till fängelsestraff under de fem senaste åren före en bedömning eller till bötesstraff under de tre senaste åren före bedömningen för ett brott som kan anses visa att personen i fråga är uppenbart olämplig att tillhandahålla konsumentkrediter eller förmedla person-till-person-lån. Bedömningen av dessa omständigheter utgör behandling av sådana uppgifter som avses i artikel 10 i dataskyddsförordningen. Det finns dock inga uttryckliga bestämmelser i lag om behandlingen. Dataskyddsförordningen förutsätter inte nödvändigtvis bestämmelser i lag när uppgifter som avses i artikel 10 behandlas under tillsyn av en myndighet. De personuppgifter som avses i artikeln kan dock i ljuset av grundlagsutskottets tolkningspraxis betraktas som känsliga personuppgifter om vars behandling det är motiverat att i lag utfärda exakta och noggrant avgränsade bestämmelser. Enligt förslaget ska det till paragrafen fogas ett nytt 2 mom. enligt vilket regionförvaltningsverket uttryckligen har rätt att för utredning av den tillförlitlighet som avses i 1 mom. behandla uppgifter som gäller fängelsestraff och bötesstraff.
7 §. Uppgifter som ska föras in i registret och anmälan om ändringar. Paragrafen innehåller bestämmelser om datainnehållet i registret över kreditgivare och förmedlare av person-till-person-lån. Enligt 1 mom. 9 punkten antecknas i registret skälet till strykning ur registret och när denna har skett. Enligt 18 § ska regionförvaltningsverket bl.a. också avföra en kreditgivare eller en förmedlare av person-till-person-lån ur registret över kreditgivare och förmedlare av person-till-person-lån när den tillförlitlighet som enligt 4 § 1 mom. 3 punkten är en förutsättning för registrering inte längre uppfylls. Även om regionförvaltningsverket behöver behandla uppgifter som avses i artikel 10 i dataskyddsförordningen som ett led i utredningen av tillförlitligheten, behöver uppgifterna inte föras in i registret. Till 2 mom. föreslås det bli fogat en uttrycklig bestämmelse enligt vilken uppgifter om straffrättsliga påföljder inte ska antecknas i registret. På så sätt begränsas behandlingen av de personuppgifter som avses i artikel 10 till vad som är nödvändigt för att utreda tillförlitligheten.
8 §. Utlämnande av uppgifter. I paragrafen föreslås det en ändring av den föråldrade hänvisningen till personuppgiftslagens 13 §, som gäller behandling av personbeteckningar. De bestämmelser om behandling av personbeteckningar som ersätter den paragrafen finns i 29 § i dataskyddslagen.
Den gällande paragrafen gör det även möjligt att lämna ut personuppgifter via det allmänna datanätet. Grundlagsutskottet har ansett att det inom ramen för grundlagen är möjligt att offentliggöra personuppgifter i form av en offentlig informationstjänst, om argumenten för det är godtagbara med tanke på garantierna för rättsskydd och de grundläggande fri- och rättigheterna (GrUU 2/2017 rd, s. 7, GrUU 65/2014 rd, s. 4—5, GrUU 32/2008 rd, s. 2—3). Med avseende på skyddet för privatlivet och för personuppgifter är det enligt utskottet av relevans att det i webbaserade personregister inte går att söka uppgifter på stora grupper utan t.ex. bara genom enskild sökning. (GrUU 2/2017 rd, s. 7, GrUU 32/2008 rd, s. 3). Enligt förslaget ska det till paragrafen fogas en mening enligt vilken en förutsättning för utlämnande av uppgifter via ett allmänt datanät är att personuppgifter kan sökas endast som enskild sökning.
1.11
Utsökningsbalken
Utsökningsbalken tillämpas på verkställigheten av privaträttsliga skyldigheter som förelagts i tvistemål eller brottmål och som ingår i domar eller andra i utsökningsbalken avsedda utsökningsgrunder samt på verkställigheten av skyldigheter som förelagts genom ett förvaltningsprocessbeslut eller i förvaltningsförfarande, om det finns en utsökningsgrund enligt utsökningsbalken och verkställigheten förutsätter sådana åtgärder som avses i den lagen. Utsökningsbalken innehåller också bestämmelser om behandling av personuppgifter i samband med dessa åtgärder, inklusive bestämmelser om utsökningens informationssystem och utsökningsregistret samt bestämmelser om utlämnande av uppgifter. Sådan behandling av personuppgifter som avses i lagen omfattas, oberoende av utsökningsgrunden, i egenskap av administrativt förfarande av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger utnyttjas när det gäller registrets datainnehåll, avförande av uppgifter och utlämnande av personuppgifter. Dessutom föreslås det att bestämmelserna preciseras i fråga om uppgifter som hör till särskilda kategorier av personuppgifter samt andra känsliga personuppgifter. Avsikten är att samtidigt se över bestämmelserna om utlämnande av personuppgifter så att grundlagsutskottets tolkningspraxis beaktas.
1 kap. Allmänna bestämmelser
2 §. Förhållande till annan lagstiftning. Enligt förslaget fogas det till paragrafen ett nytt, informativt 2 mom. I momentet preciseras de allmänna författningar som ska tillämpas när personuppgifter behandlas i samband med utsökningsärenden, av den orsaken att utsökningsgrunden också kan vara ett brottmål. Utsökningsmyndigheterna kan också i vissa EU-medlemsstater höra till de behöriga myndigheter som avses i dataskyddsdirektivet. På myndigheter som avses i utsökningsbalken föreslås dock dataskyddsförordningen och den kompletterande dataskyddslagen bli tillämpade i alla situationer.
24 §. Utsökningens informationssystem och utsökningsregistret. Den andra meningen i 1 mom. föreslås bli struken. En bestämmelse om den personuppgiftsansvarige ska ingå i 25 §, och den drift och det utvecklande av informationssystemet som avses i det gällande momentet hör direkt med stöd av dataskyddsförordningen till den personuppgiftsansvariges uppgifter i enlighet med den föreslagna 25 §.
25 §. Personuppgiftsansvarig. I den gällande paragrafen föreskrivs det om Utsökningsverkets uppgift som personuppgiftsansvarig. Paragrafens andra mening föreslås bli struken. Enligt den sörjer Utsökningsverkets centralförvaltning för den allmänna driften av registret och meddelar föreskrifter om hur uppgifterna tekniskt ska föras in och behandlas. Centralförvaltningen är en del av Utsökningsverket, och verket har i egenskap av personuppgiftsansvarig möjlighet att utan bestämmelser i lag påföra centralförvaltningen uppgifter som den personuppgiftsansvarige har. Centralförvaltningens tjänstemän och utmätningsmännen behandlar personuppgifter direkt med stöd av dataskyddsförordningen, i enlighet med anvisningar från den personuppgiftsansvarige. I den finska språkversionen görs i den första meningen en ändring i fråga om begreppet personuppgiftsansvarig. Den ändringen påverkar inte svenskan.
26 §. Registrets datainnehåll. Det föreslås att 1 mom. 3 punkten formuleras om med beaktande av att personuppgiftslagen har upphävts. Dessutom föreslås det en högre registreringströskel i fråga om de socialvårdsförmåner som avses i lagen, så att på utmätningen inverkande nödvändiga uppgifter om socialvårdsförmåner får föras in i registret (specialuppgifter). Även om uppgifterna inte hör till de uppgifter som avses i artikel 9.1 eller 10 i dataskyddsförordningen utgör de känsliga uppgifter som avses i 11 § i den upphävda personuppgiftslagen, och på dem kan således fortfarande tillämpas de principer för bestämmelser i lag som framgår av grundlagsutskottets tolkningspraxis.
I momentet föreslås det en ny 4 punkt, med stöd av vilken det i utsökningsregistret får föras in sådana av parterna eller utomstående erhållna och av utsökningsmyndigheterna på annat sätt inhämtade uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning som är nödvändiga för beviljande av fria månader eller begränsning av utmätningen på lönen på grund av väsentligt nedsatt betalningsförmåga, eller som det annars med tanke på gäldenärens intresse är nödvändigt att föra in. Det föreslås även en ny 5 punkt, med stöd av vilken det i utsökningsregistret får föras in sådana av myndigheterna erhållna personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder och som det med tanke på utsökningsmyndigheternas skötsel av sina uppgifter i anslutning till brottmålet i fråga är nödvändigt att föra in. Bestämmelser om förutsättningarna för behandling av sådana personuppgifter finns i artikel 10 i dataskyddsförordningen och i 7 § i dataskyddslagen. Bestämmelser om tillämpliga skyddsåtgärder finns i 6 § 2 mom. i dataskyddslagen. Dataskyddsförordningen förutsätter inte nödvändigtvis bestämmelser i lag till den del det är fråga om personuppgifter som avses i artikel 10, när behandlingen sker under kontroll av en myndighet. De betraktas ändå i enlighet med grundlagsutskottets tolkningspraxis som känsliga personuppgifter, och därför är det motiverat att i lag separat föreskriva om rätten att behandla dem.
Dessutom föreslås det i momentet en ny 6 punkt, med stöd av vilken det i utsökningsregistret får föras in uppgifter om en registrerads hotfulla eller våldsamma beteende i samband med ett utsökningsärende eller uppgifter om andra omständigheter som äventyrar säkerheten, till den del det är nödvändigt att föra in uppgifterna för att utmätningsmannens säkerhet i arbetet ska kunna tryggas (uppgifter om säkerhet i arbetet). Bestämmelser om behandlingen av sådana uppgifter finns inte i artikel 9 eller 10 i dataskyddsförordningen, men de ska i enlighet med grundlagsutskottets tolkningspraxis betraktas som känsliga personuppgifter (se t.ex. GrUU 51/2018 rd, s. 11—12 och 13). En förutsättning för att uppgifterna ska få föras in är att de är nödvändiga och att de hänför sig till ett sådant beteende hos en registrerad som har samband med en utmätningsmans utövande av sina av befogenheter gentemot den registrerade i fråga. Vid sidan av hotfullt eller våldsamt beteende kan andra omständigheter som äventyrar säkerheten vara t.ex. information om utrustning för droganvändning i en lägenhet, vilket avslöjar omständigheter som gäller en persons privatliv.
27 §. Rätt att behandla uppgifter. Det föreslås att 1 mom. upphävs och att den informativa hänvisningen i momentet ska beaktas i ändrad form i kapitlets 2 §. Paragrafens 2 mom. föreslås bli ändrat på så sätt att det beaktas att tjänstemän vid Utsökningsverket i vissa situationer behöver behandla uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning, personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder samt uppgifter om säkerhet i arbetet. I syfte att beakta den högre tröskeln för behandling av specialuppgifter har momentet redan tidigare ändrats genom lag 778/2019. Samma tröskel för behandling föreslås också gälla de nya kategorierna av personuppgifter.
28 §. Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Den gällande paragrafen innehåller en bestämmelse om möjligheten att skjuta upp utövandet av en registrerads rätt till insyn i situationer där denna rätt skulle försvåra verkställigheten avsevärt. Det föreslås att paragrafen ändras i syfte att beakta bestämmelserna i dataskyddsförordningen och dataskyddslagen. Den gällande paragrafrubriken ”De registrerades rätt till insyn” föreslås bli ändrad så att den motsvarar paragrafens ändrade innehåll och rubriken för 34 § i dataskyddslagen.
Inom ramen för det handlingsutrymme som artikel 23 i dataskyddsförordningen ger kan en registrerads rätt enligt artikel 15 att få tillgång till uppgifter som samlats in om honom eller henne begränsas genom en lagstiftningsåtgärd, om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett mål enligt något av leden i artikel 23.1. Grund för att med stöd av 1 kap. 28 § i den gällande utsökningsbalken skjuta upp utövandet av en registrerads rätt till insyn kan närmast vara verkställande av straffrättsliga sanktioner i enlighet med led d eller verkställighet av civilrättsliga krav (civil law claims) i enlighet med led j. Möjligheten till denna begränsning kan bibehållas under förutsättning att lagstiftningsåtgärderna innehåller specifika bestämmelser avseende åtminstone de frågor som nämns i artikel 23.2, när så är relevant.
Paragrafens rubrik föreslås bli ändrad till ”Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne”. I 1 mom. föreslås det en bestämmelse om undantag från den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter. På samma sätt som enligt den gällande bestämmelsen ska rätten för en registrerad att få tillgång till uppgifter som samlats in om honom eller henne kunna skjutas upp fram till dess att behövliga utmätningar eller andra verkställighetsåtgärder har utförts och egendomen har tagits om hand av utmätningsmannen, dock högst sex månader från begäran om tillgång till uppgifterna. Hänvisningen till begäran om rätt till insyn föreslås emellertid bli struken ur momentet. Dessutom ska en förutsättning, i överensstämmelse med den gällande lagen, vara att tillgången till uppgifterna skulle kunna försvåra verkställigheten avsevärt och att uppskjutandet begränsas till vad som är behövligt. Avsikten med att skjuta upp rätten att få tillgång till uppgifter är att gäldenären inte ska kunna vidta åtgärder för att omintetgöra verkställigheten. Det är fråga om en säkringsåtgärd som syftar till att förhindra olämpliga metoder att undvika utsökning i synnerhet i utsökningsärenden som kräver utredningar i flera steg och som gäller stora fordringar, där utsökningsmyndighetens verksamhet kan äventyras om gäldenärerna öppet kan följa utsökningsmyndighetens åtgärder. Sådana åtgärder kan vara t.ex. utmätningsmannens förfrågningar hos banker eller andra utomstående. Det föreslagna momentet utgör en särskild bestämmelse i förhållande till 34 § 1 mom. i dataskyddslagen och ska tillämpas i stället för det momentet. Avvikande från bestämmelsen i dataskyddslagen innebär det inte att rätten till tillgång utesluts helt och hållet, utan endast att den skjuts upp.
Paragrafens 2 mom., som gäller dataombudsmannens kontrollrätt, överlappar dataskyddslagen. I 34 § 4 mom. i den lagen föreskrivs det att om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.
I det ändrade 2 mom. föreslås det en bestämmelse om den registrerades rätt att få tillgång till övriga uppgifter som rör honom eller henne, om tillgången till uppgifter skjuts upp endast delvis. Momentet motsvarar till innehållet 34 § 2 mom. i dataskyddslagen, men med beaktande av att bestämmelserna i det föreslagna 1 mom. avviker från dataskyddslagen behövs det en särskild bestämmelse för att klarlägga vilka ytterligare förutsättningar som är förknippade med begränsningen av rätten till tillgång. Det föreslagna nya momentet ska iakttas i stället för 34 § 2 mom. i dataskyddslagen. Enligt förslaget ska i dessa situationer i övrigt 34 § 3 och 4 mom. i dataskyddslagen iakttas. Den registrerade ska således få uppgifter som rör honom eller henne till den del de kan lämnas ut utan att utsökningen äventyras. Den registrerade ska också i enlighet med dataskyddslagen underrättas om orsakerna till begränsningen, om detta inte äventyrar utsökningen. Dessutom ska den registrerade ha rätt att begära att uppgifterna lämnas till dataombudsmannen. Den registrerades rätt till tillgång föreslås bli begränsad endast till de delar och under den tid som det är nödvändigt för att säkerställa verkställigheten av utsökningsåtgärder. Dessa bestämmelser bedöms uppfylla kraven i artikel 23.2 i dataskyddsförordningen på specifika bestämmelser, tillsammans med de bestämmelser i dataskyddsförordningen och dataskyddslagen som är allmänt tillämpliga på de registrerades rättigheter samt andra bestämmelser i utsökningsbalken.
29 §. Avförande av uppgifter. Paragrafen innehåller bestämmelser om avförande av uppgifter ur utsökningsregistret. I bestämmelserna i paragrafen används det handlingsutrymme som anges i artikel 6.3 i dataskyddsförordningen att utfärda sådana mer detaljerade bestämmelser om tiderna för avförande av uppgifter som möjliggör en lång bevaringstid (30 år) för ärendehanteringsuppgifter. En lång bevaringstid behövs i synnerhet för att långvariga utsökningsåtgärder ska kunna beaktas. I 1 mom. 2 punkten föreskrivs det emellertid om avförande av samarbetsuppgifterna när de inte längre behövs eller när ärendet inte längre är anhängigt eller när tiden för passivregistreringen upphör. I 3 punkten anges dessutom ett snabbare avförande för specialuppgifter än för ärendehanteringsuppgifter. Enligt den gällande punkten ska specialuppgifterna avföras10 år efter införandet eller tidigare, om uppgifterna uppenbarligen inte längre behövs. I 2 mom. anges det att specialuppgifterna får förvaras i längre tid än 10 år om det finns grundad anledning, dock inte över 20 år från det att de infördes. Med beaktande av att tiderna för avförandet är graderade och att specialuppgifterna i egenskap av känsliga uppgifter omfattas av en kortare bevaringstid bedöms bestämmelserna om tider för avförande vara proportionella.
Det föreslås att 1 mom. 3 punkten ändras så att den kortare bevaringstiden utöver specialuppgifter också ska gälla gäller uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning samt uppgifter om säkerhet i arbetet. Dessa uppgifter bedöms vara särskilt känsliga med tanke på skyddet för en persons privatliv, och därför är det motiverat att som en skyddsåtgärd när det gäller den registrerades rättigheter se till att uppgifterna inte bevaras längre än vad som är behövligt. Dessutom föreslås det en sådan ändring av 2 mom. att det i momentet hänvisas till alla uppgifter som avses i 3 punkten. En grundad anledning till att bevara uppgifter om hälsotillstånd eller funktionsnedsättning i mer än 10 år föreslås vara att de fortfarande är nödvändiga för beviljande av fria månader eller begränsning av utmätningen på lönen på grund av väsentligt nedsatt betalningsförmåga eller att det annars med tanke på gäldenärens intresse är nödvändigt att spara dem. Grunden för att bevara uppgifter om säkerhet i arbetet längre ska vara att en person som är föremål för utsökningsåtgärder fortfarande utgör ett hot mot utmätningsmannens säkerhet i arbetet.
3 kap. Allmänna bestämmelser om förfarandet
65 §. Känsliga personuppgifter och uppgifter om utomstående. Det föreslås en sådan ändring av 1 mom. att hänvisningen till i 11 § i personuppgiftslagen avsedda känsliga personuppgifter ersätts med hänvisningar till i artiklarna 9.1 och 10 i dataskyddsförordningen avsedda personuppgifter. När uppgifter inhämtas hos en utomstående ska det i överensstämmelse med den gällande bestämmelsen undvikas att utmätningsmannen får tillgång till sådana uppgifter. Utmätningsmannen ska med stöd av lagen precis som för närvarande ha rätt att behandla uppgifter om socialvårdsförmåner som gäldenären har mottagit. De ingår inte i de särskilda kategorier av personuppgifter som nämns i dataskyddsförordningen, så därför föreslås det att hänvisningen till socialvårdsförmåner stryks ur paragrafen som obehövlig.
69 §. Utlämnande av uppgifter för handläggningen av administrativa uppgifter. Den gällande 3 kap. 69 § innehåller huvudsakligen informativa bestämmelser om handlingars offentlighet och utlämnande av personuppgifter. Med tanke på att bestämmelser om utlämnande av personuppgifter finns i kapitlets 70—72 §, föreslås det att rätten enligt 69 § att trots sekretessbestämmelserna lämna ut uppgifter överförs till de paragraferna. Den informativa hänvisningen till lagen om offentlighet i myndigheternas verksamhet behöver inte behållas eftersom den allmänna lagen tillämpas på offentlighet för myndighetshandlingar också utan en särskild bestämmelse. Däremot föreslås det att det till 70—72 § fogas en innehållsmässig hänvisning till den lagen. Den interna informativa hänvisning som finns i den paragraf som föreslås bli upphävd och gäller det som föreskrivs i 1 kap. behöver inte heller behållas. Det föreslås också att den allmänna rätten att lämna ut uppgifter mellan utsökningsmyndigheterna stryks ur paragrafen med tanke på att det i och med organisationsreformen inte behöver föreskrivas om utlämnandet av uppgifter inom utsökningsväsendet. I paragrafen behövs det endast en bestämmelse om utlämnande av uppgifter till justitieministeriet för handläggningen av administrativa uppgifter. I fråga om den bestämmelse som ska behållas föreslås det att utsökningsmyndigheten trots sekretessbestämmelserna ska ha rätt att lämna ut uppgifter till justitieministeriet i den utsträckning uppgifterna är nödvändiga för handläggningen av administrativa uppgifter, detta med beaktande av grundlagsutskottets tolkningspraxis. Paragrafens rubrik föreslås också bli ändrad så att den motsvarar innehållet i paragrafen.
70 §. Förundersökningsmyndigheter och vissa andra myndigheter samt domstolar. I 1 mom. anges det till vilka myndigheter och för vilka ändamål en utsökningsmyndighet i enskilda fall ur en handling som finns hos utsökningsmyndigheten får lämna ut svarandens identifieringsuppgifter och kontaktinformation samt uppgifter om svarandens ekonomiska ställning och verksamhet. Det föreslås att det till momentets inledande stycke fogas en hänvisning till bestämmelser någon annanstans i lag, så att utsökningsmyndigheten i enskilda fall får lämna ut uppgifter som avses i momentet utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Uppgifterna ska också vara nödvändiga för de ändamål som anges i momentet.
I momentets 1 punkt föreslås det en sådan ändring att en utsökningsmyndighet har rätt att lämna ut nödvändiga uppgifter till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet. Sådana brott är t.ex. terroristbrott och spioneri. Enligt den gällande punkten får uppgifter lämnas ut till en åklagar- och förundersökningsmyndighet för utredning, förundersökning, åtalsprövning och domstolsbehandling av brott samt för förebyggande av grova brott. Denna punkt har också omfattat skyddspolisen i dess egenskap av förundersökningsmyndighet, men rätten att lämna ut uppgifter har inte begränsats enligt brottsbeteckning utan enligt hur grovt ett brott är. Sedan lagstiftningen om civil underrättelseinhämtning trädde i kraft är skyddspolisen inte längre en förundersökningsmyndighet. Enligt den ändrade 10 § i polisförvaltningslagen (110/1992) har skyddspolisen dock fortfarande till uppgift att förhindra brott som kan hota statsskicket och samhällsordningen eller rikets inre eller yttre säkerhet. De brott som omfattas av skyddspolisens befogenheter har kvarstått oförändrade vid lagändringen. Skyddspolisen får dessutom enligt 48 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) behandla bl.a. personuppgifter som behövs för att förhindra och avslöja brott som hotar stats- och samhällsordningen eller statens säkerhet. När det gäller utlämnande av uppgifter är det skäl att beakta att utlämnandet ska kopplas inte bara till den mottagande myndighetens befogenheter utan också till dess rätt att behandla personuppgifterna i fråga. Genom ändringen av bestämmelsen försäkrar man sig om att en utsökningsmyndighet fortfarande får lämna ut nödvändiga uppgifter till skyddspolisen för att förebygga brott som omfattas av dess befogenheter, men brotten preciseras i enlighet med de begränsningar som följer av polislagstiftningen.
Till 2 mom. fogas, på motsvarande sätt som till 1 mom., orden ”trots sekretessbestämmelserna”. Dessutom ska utlämnandet av uppgifterna vara nödvändigt för det ändamål som anges i momentet.
71 §. Skattemyndigheter och beviljare av offentliga stöd. I fråga om en utsökningsmyndighets rätt att lämna ut uppgifter föreslås att det till det inledande stycket i 1 mom. fogas en hänvisning till sekretessbestämmelserna, så att uppgifter får lämnas ut utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Dessutom ska utlämnandet av uppgifterna vara nödvändigt för det ändamål som anges i momentet.
72 §. Utlämnande av uppgifter på eget initiativ. Paragrafens 1 mom. innehåller bestämmelser om vissa situationer där utmätningsmannen på eget initiativ får lämna ut uppgifter till en i 70 § 1 mom. 1 punkten avsedd myndighet. Med tanke på de krav som följer av 10 § i grundlagen är ett sådant allmänt bemyndigande att lämna ut uppgifter rätt öppet och vagt. Bestämmelsen föreslås bli preciserad på så sätt att uppgifterna ska vara nödvändiga för att myndigheten i fråga ska kunna sköta sin uppgift. Motsvarande precisering föreslås också i 2 och 3 mom. Dessutom får 1 mom. en tydligare struktur. I 2 mom. föreslås det, i syfte att åtgärda dubbelreglering och för tydlighetens skull, att den andra meningen ersätts med en informativ hänvisning till en sådan tillämplig bestämmelse i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) där utsökningsmyndigheterna anges vara anmälningspliktiga myndigheter när det gäller tvivelaktiga transaktioner. Till 1—3 mom. ska det enligt föreslaget fogas en hänvisning till sekretessbestämmelserna, så att uppgifter får lämnas ut utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Paragrafens 4 mom. föreslås bli upphävt eftersom det överlappar kraven i artikel 5.1 c och d i dataskyddsförordningen.
4 kap. Utmätning
33 §. Registeranmälningar. Det föreslås att den svenska språkdräkten i 1 mom.6 punkten och 3 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”. Även i 2 mom. görs en översyn av den svenska språkdräkten.
1.12
Lagen om ändring av 1 kap. 2 § i utsökningsbalken
Utsökningsbalkens 1 kap. 2 § har ändrats genom lagen om ändring av 1 kap. 2 § i utsökningsbalken (26/2016). Paragrafen enligt den lagen har ännu inte trätt i kraft, utan avsikten är att den ska sättas i kraft separat genom förordning av statsrådet. Eftersom det har föreslagits att ett nytt 2 mom. fogas till den gällande 1 kap. 2 § i utsökningsbalken, behöver också den paragraf som ändrats genom lag 26/2016 ändras på motsvarande sätt. Samtidigt föreslås lag 26/2016 bli upphävd.
2 §. Förhållande till annan lagstiftning. Det föreslås att det till 1 kap. 2 § i utsökningsbalken, sådan paragrafen lyder ändrad genom lag 26/2016, fogas ett nytt, informativt 2 mom. I momentet preciseras de allmänna författningar som ska tillämpas när personuppgifter behandlas i samband med utsökningsärenden, av den orsaken att utsökningsgrunden också kan vara ett brottmål. Utsökningsmyndigheterna kan också i vissa EU-medlemsstater höra till de behöriga myndigheter som avses i dataskyddsdirektivet. På myndigheter som avses i utsökningsbalken föreslås dock dataskyddsförordningen och den kompletterande dataskyddslagen bli tillämpade i alla situationer.
1.13
Lagen om skuldsaneringsregistret
Ändamålet med det skuldsaneringsregister som anges i lagen är att säkerställa att aktuella uppgifter om enskilda personers skuldsaneringsärenden finns tillgängliga för domstolarnas och myndigheternas verksamhet, för bevakning av borgenärernas intressen, för tryggande av utomståendes intressen och rättigheter samt för statistik och forskning. Registerbestämmelserna kan således anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen. I lagen preciseras på ett uttömmande sätt registrets datainnehåll, som är begränsat till vad som behövs med tanke på registrets ändamål. Behandlingen är således också proportionell i enlighet med artikel 6.3 i dataskyddsförordningen. Rättslig grund för den behandling av personuppgifter som hänför sig till skuldsaneringsregistret är artikel 6.1 c i dataskyddsförordningen. Rättsregistercentralen har som personuppgiftsansvarig en lagstadgad skyldighet att föra registret. Det nationella handlingsutrymmet att utfärda bestämmelser som kompletterar dataskyddsförordningen utnyttjas särskilt när det gäller uppgifter som ska registreras och bevaringstiderna för dem samt utlämnande av personuppgifter.
1 §. Registrets ändamål och förvaltning. Det föreslås att formuleringen av paragrafens första mening ändras så att det tydligare framgår att Rättsregistercentralen är personuppgiftsansvarig för skuldsaneringsregistret och att centralen utöver att föra registret också fullt ut ska ha andra uppgifter som hör till en personuppgiftsansvarig. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. De övriga myndigheter som nämns i lagen, och särskilt den domstol enligt 2 § som behandlar skuldsaneringsärenden, ska i enlighet med gällande praxis fortfarande vara de som lämnar ut uppgifter, oberoende av hur uppgifterna lämnas ut.
5 §. Avförande av uppgifter ur registret. Det föreslås att paragrafens 3 mom. upphävs som obehövligt. Bestämmelser om den registrerades rätt att få uppgifter rättade finns i artikel 16 i dataskyddsförordningen, och bestämmelser om den personuppgiftsansvariges skyldighet att underrätta mottagare av uppgifter om eventuella rättelser av uppgifterna finns i artikel 19 i den förordningen. Bestämmelserna ska tillämpas utan någon uttrycklig hänvisning.
10 §. Förhållande till annan lagstiftning. Det föreslås att den informativa hänvisningen till personuppgiftslagen stryks ur paragrafen.
1.14
Lagen om näringsförbud
Näringsförbud enligt lagen om näringsförbud kan med stöd av den lagen meddelas i syfte att förhindra att otillbörlig och skadlig rörelse drivs samt för att bevara förtroendet för näringsverksamheten. Lagen innehåller sådana särskilda bestämmelser som hänför sig till behandlingen av personuppgifter och gäller näringsförbudsregistret och utlämnande av personuppgifter. Personuppgiftsansvarig för näringsförbudsregistret är Rättsregistercentralen.
Näringsförbudet har karakteriserats som en närmast näringsrättslig säkringsåtgärd som syftar till att förhindra olämplig och skadlig rörelse samt till att upprätthålla förtroendet för näringsverksamheten (RP 198/1996 rd, RP 269/2016 rd, HD 2004:131 och HD 1998:43). Näringsförbudet betraktas inte som en straffrättslig påföljd, även om näringsförbud enligt lagen alltid meddelas av allmän domstol på yrkande av åklagaren. Näringsförbud kan meddelas en i 2 § i lagen om näringsförbud avsedd person, om han eller hon vid drivandet av rörelse av någon annan orsak än betalningsoförmåga väsentligen har åsidosatt de lagstadgade skyldigheter som hänför sig därtill, eller om han eller hon vid drivandet av rörelse har gjort sig skyldig till brottsligt förfarande som inte kan anses ringa.
Sådan behandling av personuppgifter som hänför sig till näringsförbud omfattas av dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandlingen är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger att utfärda bestämmelser utnyttjas i lagen när det gäller personuppgifter som ska registreras och utlämnande av dem. Det är inte nödvändigt att göra ändringar i lagförslaget på grund av dataskyddsförordningen eller dataskyddslagen avseende brottmål. I lagen föreslås det emellertid en precisering av den allmänna lag som ska tillämpas på behandlingen av personuppgifter. Ändringen behövs eftersom det annars kan uppstå oklarhet om vilken lag som ska tillämpas, med beaktande av åklagarens roll i förfarandet.
1 a §. Förhållande till annan lagstiftning. Det föreslås att det till lagen fogas en ny paragraf som preciserar lagens förhållande till de rättsakter och författningar som allmänt tillämpas på behandlingen av personuppgifter, dvs. dataskyddsförordningen och dataskyddslagen.
21 §. Register. Det föreslås att den svenska språkdräkten i 2 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”. Dessutom görs det en sådan lagteknisk ändring i början av momentet att uttrycket ”utan hinder av” ersätts med uttrycket ”trots vad som föreskrivs i”.
1.15
Lagen om Institutet för kriminologi och rättspolitik
Enligt lagen om Institutet för kriminologi och rättspolitik har institutet till uppgift att bedriva oberoende kriminologisk och annan rättspolitisk forskning med beaktande av justitieministeriets och samhällets informationsbehov, följa och analysera brottsligheten, hur kontrollen av brottsligheten och påföljdssystemet fungerar, rättsförhållandena och lagstiftningens konsekvenser samt rapportera om utvecklingen inom dess områden, och förvalta de forskningsregister som behövs för att institutet ska kunna sköta sina lagbestämda uppgifter. De uppgifter som används för forskning och som förs in i register som hänför sig till den kan härröra från källor som i fråga om det ursprungliga ändamålet för behandlingen av personuppgifter omfattas av antingen dataskyddsförordningen eller dataskyddslagen avseende brottmål. Institutets behandling av personuppgifter utgör i förhållande till dessa ursprungliga ändamål för behandlingen sådan behandling av personuppgifter som avses i artiklarna 5.1 b och 89 i dataskyddsförordningen och i 5 § 3 mom. i dataskyddslagen avseende brottmål och som är förenlig med det ursprungliga ändamålet för behandlingen. Även om institutet behandlade personuppgifter från källor som omfattas av dataskyddslagen avseende brottmål, skulle det inte betraktas som en sådan behörig myndighet som avses i den lagen. Således tillämpas på den behandling av personuppgifter som hänför sig till institutets forskningsverksamhet till alla delar dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandlingen är artikel 6.1 e i dataskyddsförordningen (utförande av en uppgift av allmänt intresse). I denna lag behövs det ändå inga bestämmelser om rätten att för forskningsändamål behandla uppgifter som hör till särskilda kategorier av personuppgifter eftersom det i 6 § 1 mom. 7 punkten i dataskyddslagen redan föreskrivs om behandling av uppgifter som hör till särskilda kategorier av personuppgifter för vetenskaplig eller historisk forskning eller för statistikföring. Bestämmelsen i dataskyddslagen grundar sig på artikel 9.2 j i dataskyddsförordningen. Enligt dataskyddsförordningens artikel 9.2 j, som gäller särskilda kategorier av uppgifter, är behandling av uppgifter som avses i punkt 1 tillåten när behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt. En förutsättning är då att den nationella rätten står i proportion till det eftersträvade syftet, är förenligt med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter förutsätter alltså att institutet, som är personuppgiftsansvarig, i enlighet med 6 § 2 mom. i dataskyddslagen vidtar ändamålsenliga och särskilda åtgärder för att skydda den registrerades rättigheter. Av ansvarsskyldigheten enligt artikel 5.2 i dataskyddsförordningen följer att institutet också ska kunna visa att de valda skyddsåtgärderna är lämpliga och proportionella.
Också personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas, om uppgifterna behandlas för ovan avsedda syften som anges i 6 § 1 mom. 7 punkten i dataskyddslagen. Det som i 6 § 2 mom. i dataskyddslagen föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas också när personuppgifter som avses i artikel 10 i dataskyddsförordningen behandlas. Således kan det också vara möjligt att behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen för forskningsändamål direkt med stöd av en allmän lag, om den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar lämpliga skyddsåtgärder i enlighet med 6 § 2 mom. i dataskyddslagen. Det nationella handlingsutrymme som dataskyddsförordningen medger används dock i lagen till att utfärda kompletterande bestämmelser om institutets rätt att få information.
1 §. Administrativ ställning och uppgifter. Enligt 2 mom. 3 punkten ingår det i institutets uppgifter att förvalta de forskningsregister som behövs för att institutet ska kunna sköta sina lagbestämda uppgifter. Med beaktande av institutets rätt enligt 4 a § att få information och enligt 4 b § att förvalta personregister kan forskningsregistren också innehålla personuppgifter. Institutets lagstadgade uppgifter i fråga om uppföljning samt förvaltning av register är en offentlig förvaltningsuppgift som tilldelats någon annan än en myndighet (RP 121/2014 rd). Till dessa register hör också ett forskningsregister som innehåller uppgifter om brott och påföljder. Enligt artikel 10 i dataskyddsförordningen får ett fullständigt register över fällande domar i brottmål endast föras under kontroll av en myndighet. Motsvarande bestämmelse ingick i artikel 8.5 i det upphävda personuppgiftsdirektivet. Avsikten är att institutet på motsvarande sätt som för närvarande ska vara en sådan myndighet som avses i dataskyddsförordningen när det gäller registerföring av personuppgifter som rör brott och domar. Det föreslås att 3 punkten preciseras så att rätten att förvalta ett forskningsregister över brott och påföljder, vilket i praktiken kan jämställas med ett sådant fullständigt register över fällande domar i brottmål som avses i artikel 10, uttryckligen framgår.
Enligt förslaget fogas det till paragrafen ett nytt 3 mom. där institutets uppgift som personuppgiftsansvarig för de personuppgifter som ingår i forskningsregistren preciseras.
4 b §. Behandling av och sekretess för uppgifter. Paragrafen innehåller bestämmelser om personregister som hänför sig till forskning och utredningar samt om sekretess för de uppgifter som används vid forskning. Enligt motiveringen till det gällande 1 mom. har ett syfte med bestämmelsen varit att göra det möjligt att också upprätta ett bestående forskningsregister för brott och påföljder. I övrigt hänför sig de personuppgifter som ska registreras med stöd av momentet till de kategorier av uppgifter som avses i 4 a § 1 mom., av vilka en del hör till de särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och en del annars kan betraktas som känsliga personuppgifter enligt grundlagsutskottets tolkningspraxis. Enligt artikel 5.1 led e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får enligt led e dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. En förutsättning är dessutom att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I fråga om särskilda kategorier av personuppgifter är behandling på motsvarande sätt tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål på grundval av unionsrätten eller medlemsstaternas nationella rätt och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt artikel 89.1 i dataskyddsförordningen ska behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med förordningen, inbegripet särskilt iakttagandet av principen om uppgiftsminimering. Den principen kan iakttas t.ex. genom en begränsning av bevarandet av personuppgifter.
Det föreslås att 1 mom. upphävs med beaktande av att den där föreskrivna rätten för institutet att upprätta och förvalta personregister överlappar 1 § 2 mom. 3 punkten. Det är onödigt att i 4 b § på nytt föreskriva om förvaltningen av personregister. På behandlingen av personuppgifter ska dataskyddsförordningen och dataskyddslagen tillämpas direkt på det sätt som beskrivs ovan.
I 4 mom. föreslås hänvisningen till personuppgiftslagen, som tillämpas på behandling av personuppgifter, bli struken som obehövlig. Den lagen har ersatts av dataskyddsförordningen och dataskyddslagen, som ska vara tillämpliga utan någon uttrycklig informativ hänvisning. Däremot behöver hänvisningen till lagen om offentlighet i myndigheternas verksamhet finnas kvar.
1.16
Lagen om verkställighet av samhällspåföljder
Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i denna lag omfattas av dataskyddslagen avseende brottmål och lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015). Lagen innehåller inga andra preciserande bestämmelser om behandling av personuppgifter än de som gäller rätt till information.
45 §. Förfarandet vid utarbetandet av planen för strafftiden. I 1 mom. föreslås det en ändring av den föråldrade hänvisningen till lagen om behandling av personuppgifter vid verkställighet av straff.
1.17
Lagen om registret över djurhållningsförbud
Rättregistercentralen för ett riksomfattande register över de djurhållningsförbud som med stöd av 17 kap. 23 § i strafflagen meddelas som en säkringsåtgärd. Registret förs emellertid för tillsynen över att förbudet iakttas, vilket inte omfattas av bestämmelserna om tillämpningsområde i 1 § i dataskyddslagen avseende brottmål. Sådan behandling av personuppgifter som avses i lagen omfattas således av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandlingen är artikel 6.1 c i dataskyddsförordningen. I lagen utnyttjas det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger när det gäller personuppgifter som ska registreras och utlämnande av dem samt bevaringstiderna. Djurhållningsförbud kan som säkringsåtgärd jämföras med näringsförbud. Syftet med djurhållningsförbud är dels att försöka förhindra nya brott, dels att skydda djuren och trygga deras välfärd genom att förbjuda någon som har visat sig vara olämplig eller oförmögen att sörja för djurens välfärd att hålla djur. Att uppgifter kan lämnas ut ur registret över djurhållningsförbud t.ex. i förundersökningssyfte påverkar inte registrets ursprungliga användningsändamål, som är tillsyn.
2 §. Förhållande till annan lagstiftning. Det föreslås att paragrafens föråldrade hänvisning till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. En informativ hänvisning anses motiverad för att oklarheter ska kunna undvikas.
5 §. Utlämnande av uppgifter i form av registerutdrag. Det föreslås att 4 mom. upphävs. En informativ hänvisning till de registrerades rätt till insyn enligt dataskyddsförordningen behövs inte med beaktande av den hänvisning som fogas till 2 §.
1.18
Säkerhetsutredningslagen
Syftet med säkerhetsutredningslagen är att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen. Även om en säkerhetsutredning kan göras också för att skydda ekonomiska intressen av synnerligen stor betydelse, ligger tyngdpunkten i den verksamhet som avses i lagen emellertid på att trygga säkerheten genom att förebygga verksamhet som äventyrar den. Enligt den gällande lagen är skyddspolisen huvudsaklig personuppgiftsansvarig (i den lagen kallad huvudansvarig registerförare), men för säkerhetsutredningar som gäller anställda hos Försvarsmakten svarar Huvudstaben. Den behandling av personuppgifter som avses i denna lag kan anses ingå i tillämpningsområdet för dataskyddslagen avseende brottmål, vars nationella tillämpningsområde har utvidgats i förhållande till dataskyddsdirektivets tillämpningsområde så att det även omfattar sådan behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten och till försvaret, när det gäller behöriga myndigheter som avses i 3 § 1 mom. 5 punkten i dataskyddslagen avseende brottmål. På övriga i säkerhetsutredningslagen avsedda myndigheters behandling av personuppgifter ska dataskyddsförordningen och dataskyddslagen tillämpas. Dataskyddslagen avseende brottmål gör det också möjligt att utfärda speciallagstiftning som kompletterar den.
2 §. Lagens tillämpningsområde och förhållande till annan lagstiftning. Det föreslås att formuleringen av 1 mom. 6 punkten samordnas med uttrycket i 51 §. Uttrycket ”samkörning av uppgifter” motsvarar också bättre avsikten med skäl 22 i dataskyddsdirektivet. Enligt det skälet bör offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. I säkerhetsutredningslagen avses inte samkörning av hela register utan av personuppgifter i dem och uppgifter i anslutning till dem.
Till paragrafen föreslås det för tydlighetens skull bli fogat ett informativt nytt 3 mom. där det preciseras i vilken allmän författning det föreskrivs om respektive myndighets behandling av personuppgifter. Enbart skyddspolisen och Huvudstaben (personuppgiftsansvariga) kan betraktas som i dataskyddslagen avseende brottmål avsedda behöriga myndigheter om vars behandling av personuppgifter det föreskrivs i den lagen. Utrikesministeriets (nationell säkerhetsmyndighet) behandling av personuppgifter ska i alla situationer omfattas av dataskyddsförordningen och dataskyddslagen.
Kommunikationsverket har i enlighet med 3 § 1 mom. i lagen om Transport- och kommunikationsverket (935/2018) ersatts av Transport- och kommunikationsverket som behörig myndighet. I praktiken har uppgiften i och med omorganiseringen placerats vid Transport- och kommunikationsverkets cybersäkerhetscenter. Cybersäkerhetscentret behandlar inte personuppgifter med stöd av säkerhetsutredningslagen. I det fall att centret som ett led i bedömningen av informationssäkerheten i ett informationssystem har åtkomst till personuppgifter, ska dataskyddsförordningen tillämpas på det.
7 §. Anmärkningsrätt för den som utredningen gäller. I den gällande paragrafen föreskrivs det om rätten för den person som en säkerhetsutredning gäller att göra anmärkningar om sådant som framkommit i samband med en intervju eller vid kontroll av uppgifterna på blanketten för personuppgifter enligt 28 §. På samma sätt som i fråga om 4—6 § hänför sig också förfarandet enligt 7 § till anmärkningar om sådant som ligger till grund för en säkerhetsutredning och inte enbart till anmärkningar om personuppgifters korrekthet. Paragrafens 4 mom. innehåller en informativ hänvisning till den registrerades rätt till insyn enligt personuppgiftslagen och till en rätt i anslutning till det att få felaktiga personuppgifter rättade. Dataskyddslagen avseende brottmål innehåller motsvarande bestämmelser. Det föreslås att momentet upphävs som obehövligt.
9 §. Behöriga myndigheter. I 3 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya Transport- och kommunikationsverket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen.
46 §. Utfärdande av intyg över säkerhetsutredning av företag. I 3 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen.
48 §. Registret över säkerhetsutredningar och registrets ändamål samt registrering av uppgifter. Registret över säkerhetsutredningar är delvis ett personregister. Bestämmelser om registrets ändamål finns i 48 § i den gällande lagen. Detta ändamål föreslås inte bli utvidgat, men enligt förslaget ska utförandet av säkerhetsutredningar fogas till 1 mom. som en teknisk ändring, så att registrets huvudsakliga ändamål i överensstämmelse med rubriken tydligt framgår också av paragraftexten. I paragrafens rubrik föreslås det för tydlighetens skull också en sådan teknisk ändring att ordet dess byts ut mot registrets.
I syfte att beakta de bestämmelser om personuppgiftsansvariga som ingår i dataskyddslagen avseende brottmål och förtydliga förhållandet mellan de begrepp som används i paragrafen föreslås det att hänvisningarna till registerförare och myndigheter som för in uppgifter stryks ur 1 mom. Som uttryck är ”behörig myndighet som för in uppgifter i registret” otydligt i förhållande till termen registerförare, som dessutom med anledning av dataskyddsförordningen ska ersättas med termen personuppgiftsansvarig. Behöriga myndigheter som kan föra in personuppgifter i registret över säkerhetsutredningar är skyddspolisen, Huvudstaben och den nationella säkerhetsmyndigheten. Det föreslås att bestämmelserna om personuppgiftsansvariga flyttas till en separat paragraf.
I 2 mom. föreslås det för tydlighetens skull att uttrycket ”den behöriga myndigheten” ersätts med uttrycket ”skyddspolisen och Huvudstaben”, som är de enda i lagen avsedda behöriga myndigheter som utför säkerhetsutredningar. Den i momentet nämnda nationella säkerhetsmyndigheten lämnar ut personuppgifter när den registrerar uppgifter om de intyg över säkerhetsutredning av person och av företag som den utfärdat. Bestämmelser om utlämnande av uppgifter till den nationella säkerhetsmyndigheten finns i 11 § i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004). För utfärdandet av intyg och prövningen i anslutning till detta ska skyddspolisen (den myndighet som gjort utredningen) trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller. Detsamma gäller de intyg över säkerhetsutredning av företag som enligt 12 § förutsätts i en internationell förpliktelse som gäller informationssäkerhet. I 1 och 2 mom. föreslås det dessutom en översyn av den svenska språkdräkten.
I 4 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen.
Till paragrafen föreslås det bli fogat ett nytt 6 mom. enligt vilket den nationella säkerhetsmyndigheten och Transport- och kommunikationsverket är skyldiga att se till att de uppgifter som de för in i registret över säkerhetsutredningar motsvarar myndighetens avgöranden och anteckningarna i dess egna register och att anteckningarna har gjorts i enlighet med skyddspolisens tekniska krav. Den nationella myndigheten för i registret över säkerhetsutredningar in uppgifter om de intyg över säkerhetsutredningar som den beviljat, och i dessa anteckningar ingår personuppgifter endast i liten utsträckning. I de uppgifter som Transport- och kommunikationsverket registrerar ingår inga personuppgifter. För skyddspolisens och Huvudstabens del utgör ansvaret enligt 1 mom. i den gällande paragrafen för att anteckningarna är korrekta en del av den personuppgiftsansvariges ansvar enligt dataskyddsförordningen, så den bestämmelsen föreslås gälla endast den nationella säkerhetsmyndigheten och Transport- och kommunikationsverket. Den roll som skyddspolisen ges i det föreslagna nya momentet hänför sig till de uppgifter som personuppgiftsansvarig som föreslås för den i den nya 48 a §.
48 a §. Personuppgiftsansvariga. I lagen föreslås det en ny 48 a § med bestämmelser om personuppgiftsansvariga. Det är meningen att skyddspolisen och Huvudstaben ska vara gemensamt personuppgiftsansvariga för registret över säkerhetsutredningar, dock så att skyddspolisen svarar för största delen av de uppgifter som personuppgiftsansvarig om vilka det föreskrivs i dataskyddslagen avseende brottmål. Huvudstaben ska svara för den personuppgiftsansvariges skyldigheter om de personuppgifter som behandlas avser den som utredningen gäller och denne arbetar eller kommer att arbeta inom Försvarsmakten eller sköter ett uppdrag på förordnande av Försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom Försvarsmakten. Skyddspolisen ska svara för den personuppgiftsansvariges skyldigheter i övriga fall om de personuppgifter som behandlas avser den som utredningen gäller, samt svara för skötseln av de uppgifter som hänför sig till utlämnandet av personuppgifter ur registret över säkerhetsutredningar, till förandet av det registret och till informationssäkerheten. Dessa uppgifter föreslås även omfatta öppnande av tekniska anslutningar. Bestämmelser om skyddspolisens rätt att trots sekretessbestämmelserna lämna ut personuppgifter ur registret över säkerhetsutredningar finns i 50 §. I fråga om ärenden som gäller de registrerades utövande av sina rättigheter kan de gemensamt personuppgiftsansvariga utse en personuppgiftsansvarig som kontaktpunkt, t.ex. så att Huvudstaben är den primära kontaktpunkten för de registrerade när det är fråga om behandling av personuppgifter om anställda vid Huvudstaben, medan skyddspolisen är kontaktpunkt för övriga registrerade. I överensstämmelse med dataskyddslagen avseende brottmål ska det gemensamma personuppgiftsansvaret, oavsett kontaktpunkt, emellertid innebära att den registrerade får utöva sina rättigheter i förhållande till båda personuppgiftsansvariga.
Den föreslagna bestämmelsen om gemensamt personuppgiftsansvar grundar sig på 16 § i dataskyddslagen avseende brottmål. Enligt 1 mom. i den paragrafen ska de gemensamt personuppgiftsansvariga komma överens om den inbördes ansvarsfördelningen, om det inte föreskrivs om den i lag. Även om bestämmelsen ger handlingsutrymme till denna del, är det motiverat att i stora drag i den föreslagna lagen ange de personuppgiftsansvarigas ansvar och skyldigheter, som ska grunda sig på närmare bestämmelser i dataskyddslagen avseende brottmål. Grundlagsutskottet har även, särskilt när det gäller bestämmelser som har samband med de grundläggande fri- och rättigheterna, ansett det nödvändigt att det entydigt (GrUU 21/2001 rd, s. 4) eller annars exakt (GrUU 47/2001 rd, s. 3) framgår av lagen vilken myndighet som är behörig, eller att åtminstone utgångspunkterna för myndigheternas behörighetsförhållanden (GrUU 45/2001 rd, s. 5) och villkoren för överföring av behörighet framgår tillräckligt exakt av lagen (GrUU 7/2001 rd, s. 4; se även GrUU 11/2002 rd, s. 6, GrUU 52/2001 rd, s. 5, GrUU 47/2002 rd, s. 4—5, GrUU 65/2002 rd, s. 4). Dessutom har grundlagsutskottet nyligen fäst uppmärksamhet vid att bestämmelserna om samregisteransvarighet bör vara tillräckligt klara med tanke på 10 § i grundlagen när det gäller regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och grundlagsutskottets vedertagna praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten (GrUU 7/2019, s.7). Med anledning av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen bör det av bestämmelserna om samregisteransvarighet tydligt framgå vilken myndighet som är behörig att lämna ut uppgifter (se GrUU 7/2019 s. 6—7).
Det större ansvar för behandlingen av personuppgifter i anslutning till registret över säkerhetsutredningar som föreslås för skyddspolisen motsvarar nuläget, men enligt förslaget ska bestämmelserna göras tydligare genom att samma terminologi som i dataskyddslagen avseende brottmål används i lagen och genom att uppgiftsfördelningen mellan de personuppgiftsansvariga tydligare framgår av lagen. I den föreslagna lagstiftningslösningen när det gäller gemensamt personuppgiftsansvar har man även beaktat de ovan redovisade krav som följer av grundlagen.
49 §. Avförande av uppgifter ur registret över säkerhetsutredningar. Det föreslås att den andra meningen, som innehåller en hänvisning till personuppgiftslagen, stryks ur paragrafen. Dessutom föreslås det till paragrafens början bli fogat en hänvisning till 6 § 3 mom. i dataskyddslagen avseende brottmål. Det är meningen att i paragrafen avvika från det momentet genom att uttryckligen föreskriva när uppgifterna ska avföras. Till övriga delar ska kraven i 6 § i den lagen också tillämpas på registret över säkerhetsutredningar.
50 §. Utlämnande av uppgifter ur registret över säkerhetsutredningar. Det föreslås att 3 mom. ses över med hänsyn till att det i den nya lagen om behandling av personuppgifter i polisens verksamhet (616/2019) inte längre föreskrivs om informationssystemet för misstänkta. Den ändrade formuleringen motsvarar 25 § 2 mom., som redan tidigare har ändrats. Det föreslås dessutom en sådan översyn av momentets svenska språkdräkt att verbet ”prövats” ersätts med verbet ”bedömts”.
Till paragrafen föreslås det bli fogat ett nytt 5 mom. enligt vilket lagen om internationella förpliktelser som gäller informationssäkerhet ska tillämpas på utlämnande av personuppgifter till den nationella säkerhetsmyndigheten. Med stöd av 11 § 1 mom. i den lagen är skyddspolisen skyldig att trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information som behövs för sådan säkerhetsutredning av person som förutsätts i en internationell förpliktelse som gäller informationssäkerhet. Med tanke på säkerhetsutredningslagens 50 § 2 mom., enligt vilket skyddspolisen får lämna ut uppgifter till en av ett ministerium utsedd tjänsteman, och på de grundlagsaspekter som det redogörs för i samband med 48 a § behövs det en materiell hänvisningsbestämmelse.
51 §. Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av uppgifter i personregister. Med avvikelse från den gällande paragrafen föreslås det att ordet ”uppgifter” tas med i rubriken. Ändringen grundar sig på skäl 22 i dataskyddsdirektivet. Enligt det skälet bör offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. I paragrafen är det inte fråga om att samköra hela personregister utan om att samköra uppgifter som ingår i dem för att myndigheten ska kunna utföra sina uppgifter.
56 §. Dataombudsmannens rätt att utöva tillsyn. Det föreslås att paragrafen upphävs eftersom den överlappar bestämmelser i dataskyddslagen avseende brottmål. Dataombudsmannens rätt enligt 1 mom. att ta del av en säkerhetsutredning som har gjorts med stöd av lagen för att kontrollera att behandlingen av personuppgifter är laglig tillgodoses genom den rätt att få information som det föreskrivs om i 47 § i dataskyddslagen avseende brottmål. Den paragrafen omfattar i stor utsträckning de uppgifter och utredningar som behövs för skötseln av dataombudsmannens uppgifter. I 56 § 2 mom. i säkerhetsutredningslagen ingår en informativ hänvisning till rätten att utöva tillsyn och få information enligt den upphävda personuppgiftslagen. I dessa frågor tillämpas 23 och 47 § i dataskyddslagen avseende brottmål. Lagen ska tillämpas utan någon separat hänvisning.
60 §. Avgifter för säkerhetsutredningar. I 1 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar det nya Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen.
61 §. Hänvisning till straffbestämmelser. Enligt kärnan i den straffrättsliga legalitetsprincipen i grundlagens 8 § måste brottsrekvisitet anges tillräckligt exakt så att det utifrån bestämmelsens lydelse går att förutse om en viss åtgärd eller försummelse är straffbar. Kärnan i legalitetsprincipen är densamma i Europadomstolens och EU-domstolens praxis, där man har betonat lagstiftningens förutsebarhet, dvs. att det utifrån en bestämmelses lydelse ska gå att förutse vad som är straffbart. (GrUU 14/2018 rd, s. 21).
Den gällande paragrafen innehåller hänvisningar som gäller brott mot tystnadsplikten. Enligt förslaget ska paragrafens moment slås ihop. Hänvisningarna till tillämpliga straffbestämmelser ersätts med nya hänvisningar där det nya dataskyddsbrott som avses i 38 kap. 9 § i strafflagen och andra tillämpliga brottsbeteckningar beaktas. Dessutom stryks hänvisningen till personregisterförseelse enligt personuppgiftslagen som föråldrad. I paragrafen preciseras det vidare, på motsvarande sätt som i den gällande paragrafen, att också brott mot en förbindelse som avses i 40 § betraktas som brott mot sekretessen.
62 §. Ändringssökande. Det föreslås att hänvisningen i 1 mom. till förvaltningsprocesslagen (586/1996) ändras. Lagen har upphävts genom lagen om rättegång i förvaltningsärenden (808/2019), som träder i kraft den 1 januari 2020.
1.19
Lagen om Rättsregistercentralen
I lagen om Rättsregistercentralen föreskrivs det om centralens organisation och uppgifter. Lagen innehåller inga bestämmelser om behandling av personuppgifter. I 1 § 1 punkten preciseras emellertid Rättsregistercentralens uppgift som personuppgiftsansvarig (i den gällande lagen kallad registeransvarig).
1 §. Rättsregistercentralen. Enligt 1 mom. 1 punkten har Rättsregistercentralen till uppgift att vara personuppgiftsansvarig för informationssystemen och registren inom justitieministeriets förvaltningsområde samt förmedla av justitieförvaltningsmyndigheterna anmälda uppgifter till andra myndigheter. Bestämmelser om Rättsregistercentralens uppgifter finns dessutom i flera andra lagar. Rättsregistercentralens personuppgiftsansvar och skyldighet att lämna ut uppgifter anges närmare i lagstiftningen om olika register. Register som Rättsregistercentralen för är t.ex. straffregistret, bötesregistret, kungörelseregistret, näringsförbudsregistret, konkurs- och företagssaneringsregistret samt skuldsaneringsregistret. Rättsregistercentralen är också personuppgiftsansvarig för justitieförvaltningens riksomfattande informationssystem. Enligt motiveringen till 1 punkten har avsikten inte heller med de tidigare lagändringarna varit att ändra på det faktum att personuppgiftsansvaret för olika informationssystem och register avgörs enligt de lagar och förordningar som gäller dem (RP 122/2012 rd). Bestämmelser om all behandling av personuppgifter som omfattas av Rättsregistercentralens personuppgiftsansvar finns emellertid inte i speciallagstiftningen. Behandling av personuppgifter som grundar sig direkt på dataskyddsförordningen är t.ex. sådan behandling som hänför sig till personaladministration.
Formuleringen av 1 mom. 1 punkten kan leda till att Rättsregistercentralens uppgift som personuppgiftsansvarig uppfattas gälla alla informationssystem och register inom justitieministeriets förvaltningsområde. Denna punkt föreslås bli preciserad på så sätt att det föreskrivs särskilt om de informationssystem och register som omfattas av Rättsregistercentralens personuppgiftsansvar.
1.20
Lagen om konkurs- och företagssaneringsregistret
Lagen innehåller bestämmelser om det register som förs över konkurs- och företagssaneringsärenden. Registrets ändamål är att säkerställa att aktuella uppgifter finns tillgängliga för domstolarnas och myndigheternas verksamhet, bevakning av borgenärernas intressen samt tryggandet av utomståendes intressen och rättigheter. Sådan behandling av personuppgifter som hänför sig till registret omfattas av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger att utfärda bestämmelser utnyttjas i lagen när det gäller personuppgifter som ska registreras och utlämnande av dem. När det gäller rättelse av fel innehåller lagen bestämmelser som delvis överlappar bestämmelserna i dataskyddsförordningen.
1 §. Registrets ändamål och personuppgiftsansvarig. Det föreslås att paragrafens första mening ändras för att formuleringen ska motsvara de övriga bestämmelser i propositionen som preciseras i fråga om den personuppgiftsansvarige. Ändringen är teknisk.
11 §. Rättande av fel. Enligt 1 mom. ska Rättsregistercentralen utan onödigt dröjsmål på eget initiativ eller på yrkande rätta en felaktig uppgift i registret. Rättsregistercentralen ska upplysa den till vilken centralen har lämnat ut den felaktiga uppgiften om rättelsen, såvida detta inte är omöjligt eller orsakar oskäligt besvär. Enligt motiveringen till paragrafen har avsikten med momentet varit att rättelse av uppgifter som gäller en fysisk person ska omfattas av lagstiftningen om behandling av personuppgifter (personuppgiftslagen), men registret innehåller också andra uppgifter än sådana som gäller fysiska personer (RP 153/2003 rd). Paragrafen utesluter ändå inte att personuppgifter rättas med stöd av den. Registrets datainnehåll framgår av 3—6 §. Bestämmelserna i paragrafen överlappar således dataskyddsförordningen till den del det är fråga om rättelse av felaktiga personuppgifter. I paragrafen föreslås det ett nytt 3 mom. enligt vilket dataskyddsförordningen ska tillämpas på rättelse och radering av felaktiga personuppgifter. Bestämmelsen behövs för att förtydliga att dataskyddsförordningen alltid är direkt tillämplig på rättelse av personuppgifter. Bestämmelserna i 1 och 2 mom. ska tillämpas på rättelse av andra fel.
1.21
Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten
Tillämpningsområdet för dataskyddslagen avseende brottmål anges i lagens 1 §. I lagen anges som behöriga myndigheter också Försvarsmakten och polisen i vissa fall. De uppgifter som nämns i bestämmelserna om lagens tillämpningsområde täcker inte entydigt Försvarsmaktens och polisens uppgifter, om vilka det föreskrivs i säkerhetsutredningslagen. Bestämmelserna föreslås bli preciserade till denna del.
1 §. Tillämpningsområde. Det föreslås att 2 mom. 1 punkten ändras så att lagen ska tillämpas på Försvarsmaktens behandling av personuppgifter när uppgifterna behandlas för skötsel av uppgifter som avses i 9 § 3 mom. i säkerhetsutredningslagen. För dessa uppgifter svarar Försvarsmaktens huvudstab i enlighet med säkerhetsutredningslagen. Momentets 2 punkt föreslås bli ändrad på motsvarande sätt för att den ska omfatta uppgifter som avses i 9 § 1 mom. i den lagen. För dessa uppgifter svarar för polisens del skyddspolisen. Genom ändringarna förtydligas lagens förhållande till säkerhetsutredningslagen.
47 §. Rätt att få information. Enligt paragrafen har dataombudsmannen trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter. I paragrafen borde det emellertid i stället för till 22 § hänvisas till i 18 § avsedda register över behandlingar, som på begäran ska göras tillgängliga för tillsynsmyndigheten på grundval av myndighetens rätt till information (RP 31/2018 rd, s. 45). Paragrafen grundar sig på artikel 24 i dataskyddsdirektivet. Däremot ska en beskrivning som avses i 22 § göras offentligt tillgänglig. Även om uttrycket övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter är rätt vagt och även kan omfatta ett register som avses i 18 §, föreslås det att paragrafen för tydlighetens skull ses över genom att hänvisningen ändras till att gälla den paragrafen. Ändringen är teknisk.
3
Förhållande till grundlagen samt lagstiftningsordning
3.1
Skyddet för personuppgifter
De föreslagna lagändringarna är av betydelse med tanke på det skydd för personuppgifter och för privatlivet som garanteras i 10 § i grundlagen. Enligt 1 mom. i den paragrafen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottet har tidigare ansett det viktigt med tanke på skyddet för personuppgifter att reglera åtminstone registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, inbegripet rätten att lämna ut uppgifterna, och bevaringstiden för uppgifterna i personregister samt den registrerades rättsskydd (GrUU 25/1998 rd). Det har dessutom krävts att regleringen av dessa faktorer på lagnivå ska vara omfattande och detaljerad.
Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) samt respekten för privatlivet enligt artikel 7 och skyddet av personuppgifter enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I den mån som denna stadga omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska rättigheterna, i enlighet med artikel 52.3 i stadgan, ha samma innebörd och räckvidd som i konventionen. I EU-domstolens domar fastställs till denna del det centrala innehållet i respekten för privatlivet och skyddet för personuppgifter. Artikel 8 i Europakonventionen har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter.
3.2
Dataskyddsförordningen
Grundlagsutskottet har konstaterat att dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (GrUU 1/2018 rd). Grundlagsutskottet har också konstaterat att det inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Utskottet har emellertid kommenterat förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Enligt grundlagsutskottets tolkningspraxis är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4).
Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). Grundlagsutskottet understryker vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (se GrUU 14/2018 rd, s. 8). Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 4).
Grundlagsutskottet har i ett utlåtande om lagstiftning som kompletterar dataskyddsförordningen sett det som motiverat att justera sin tidigare ståndpunkt i fråga om lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. (GrUU 14/2018 rd, s. 4) Grundlagsutskottet anser också att vi med tanke på tydligheten bör förhålla oss restriktiva när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. (GrUU 14/2018 rd, s. 5)
I de lagförslag som ingår i propositionen har strävan varit att beakta det nationella handlingsutrymme som dataskyddsförordningen medger genom att gallra bort onödiga bestämmelser som överlappar dels dataskyddsförordningen, dels den kompletterande dataskyddslagen. I lagförslagen har man även fäst särskild uppmärksamhet vid särskilda kategorier av personuppgifter och bedömt om regleringen är tillräcklig till denna del. I och med de föreslagna ändringarna bedöms lagförslagen uppfylla de krav som följer av 10 § i grundlagen, i enlighet med grundlagsutskottets justerade tolkning. En närmare redogörelse för användningen av det nationella handlingsutrymmet finns i avsnitt 2.3 och i detaljmotiveringen till lagförslagen.
3.3
Dataskyddsdirektivet
Grundlagsutskottet ansåg i anslutning till sin justering av tolkningspraxis i fråga om 10 § i grundlagen att Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan polisdirektivet) till skillnad från den direkt tillämpliga dataskyddsförordningen inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6). I samband med behandlingen av dataskyddslagen avseende brottmål såg grundlagsutskottet det också som relevant att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten handlar det delvis om nationella beslut till följd av det tillämpningsområde för dataskyddsförordningen och polisdirektivet som kopplas till EU-rättens tillämpningsområde, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen. Följaktligen menar utskottet att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (GrUU 26/2018 rd, s. 3. Se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är enligt utskottet att dataskyddslagen avseende brottmål blir tillämplig som allmän lag på sitt tillämpningsområde och ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4).
Grundlagsutskottet har däremot också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se även GrUU 14/2018 rd, s. 6—7, GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 3—4). Även i samband med behandlingen av dataskyddslagen avseende brottmål påpekade grundlagsutskottet att det i princip inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Grundlagsutskottet har ytterligare preciserat sina riktlinjer inom tillämpningsområdet för dataskyddslagen avseende brottmål och bl.a. uppmärksammat behovet av bestämmelser som preciserar den allmänna lagen (GrUU 51/2018 rd och GrUU 52/2018 rd).
Dataskyddsdirektivet ger medlemsstaterna större handlingsutrymme när det gäller att bedöma hur EU-rätten ska genomföras nationellt. I propositionen har utgångspunkten ändå varit att det också är skäl att undvika bestämmelser som överlappar lagen om dataskydd avseende brottmål till den del det är möjligt. En del av de lagar som omfattas av den lagen ändrades redan i samband med behandlingen av den. I lagförslagen har man även fäst särskild uppmärksamhet vid särskilda kategorier av personuppgifter och bedömt om regleringen är tillräcklig till denna del. Till den del det föreslås ändringar i lagar som omfattas av dataskyddslagen avseende brottmål bedöms de föreslagna lagändringarna säkerställa att lagarnas bestämmelser om behandling av personuppgifter uppfyller kraven i 10 § i grundlagen. En närmare redogörelse för användningen av det nationella handlingsutrymmet finns i avsnitt 2.3 och i detaljmotiveringen till lagförslagen.
3.4
Särskilda kategorier av personuppgifter
Enligt grundlagsutskottet bör bestämmelserna om behandling av känsliga uppgifter fortfarande analyseras också utifrån praxis för tidigare bestämmelser på lagnivå (GrUU 14/2018 rd och GrUU 15/2018 rd). Till följd av att tillämpningen av dataskyddsförordningen inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd). Likväl menar grundlagsutskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga (GrUU 15/2018 rd). Med sådana avses en mängd uppgifter som är större än enbart de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen (se till denna del också t.ex. GrUU 17/2018 rd). Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 15/2018 rd, även GrUU 13/2016 rd, GrUU 14/2009 rd).
Även i skäl 51 i dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Grundlagsutskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 15/2018 rd). Grundlagsutskottet har i fråga om informationsresursen inom småbarnspedagogiken i sitt utlåtande GrUU 17/2018 rd förutsatt att bestämmelserna om behandling av uppgifter om hälsotillstånd och andra känsliga personuppgifter är detaljerade och heltäckande, inom den ram som dataskyddsförordningen tillåter.
Det föreslås att bestämmelserna om personuppgifter som hör till särskilda kategorier av personuppgifter och om personuppgifter som annars ska anses vara känsliga ses över i beredskapslagen och utsökningsbalken. I detaljmotiveringen till de föreslagna bestämmelserna har man dessutom bedömt de särskilda skyddsåtgärder som hänför sig till behandlingen av personuppgifter och som är avsedda att trygga de registrerades rättigheter. Det har även föreslagits att bestämmelserna om dessa åtgärder ska preciseras till vissa delar. Preciseringarna i beredskapslagen begränsar inte skyddet för de registrerades privatliv med tanke på att den gällande lagen också tillåter behandling av sådana uppgifter om hälsa som hänför sig till arbetsförmågan. Det föreslås att en förutsättning för registrering av uppgifterna ska vara att de är nödvändiga, vilket gör skyddet av uppgifter om hälsotillstånd och funktionsnedsättning effektivare. Däremot föreslås att det till utsökningsbalken fogas en uttrycklig rätt att i utsökningsregistret föra in vissa personuppgifter som hör till särskilda kategorier av personuppgifter eller uppgifter som annars ska betraktas som känsliga och som för närvarande inte omfattas av bestämmelserna om registrets datainnehåll. De nya kategorier av personuppgifter som ska föras in i registret begränsar skyddet för de registrerades privatliv även om strävan är att de föreslagna bestämmelserna om registrets datainnehåll ska vara klart avgränsade. Detta är av betydelse också med tanke på utlämnandet av personuppgifter. Registrering och annan behandling av dessa personuppgifter samt tröskeln för utlämnande av personuppgifter ska dessutom begränsas till vad som är nödvändigt för att utsökningsmyndigheten eller den myndighet som tar emot uppgifterna ska kunna sköta sina arbetsuppgifter. I och med denna skärpning bedöms ändringarna i utsökningsbalken tillsammans med bestämmelserna om skyddsåtgärder i dataskyddslagen uppfylla de krav som följer av 10 § i grundlagen.
3.5
Utlämnande av personuppgifter
Utifrån skyddet för privatliv och personuppgifter enligt 10 § 1 mom. i grundlagen har grundlagsutskottet bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut uppgifter trots sekretess och då noterat bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3, och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 19/2012 rd).
I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se GrUU 15/2018 rd och t.ex. GrUU 38/2016 rd). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är frågan inte bara om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 7/2019 rd, GrUU 15/2018 rd och GrUU 17/2016 rd, s. 6, och de utlåtanden som nämns där).
Vid beredningen av lagändringarna har man lagt vikt vid utsökningsbalkens bestämmelser om utlämnande av personuppgifter. Det föreslås en sådan precisering av bestämmelserna i utsökningsbalken att personuppgifterna ska vara nödvändiga för det ändamål som anges i lagen. Särskild vikt har i fråga om den lagts vid bestämmelser som bedömts vara vaga samt vid sådant utlämnande av personuppgifter ut som kan vara förenat med personuppgifter som hör till särskilda kategorier av personuppgifter eller andra personuppgifter som ska anses vara känsliga.
I utsökningsbalken föreslås det också en ändring som beaktar att skyddspolisen inte längre är förundersökningsmyndighet. Uppgifter i utsökningsregistret ska kunna lämna ut till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet, vilket motsvarar tidigare lagstiftning. I stället för grova brott som inte närmare definieras ska de ändamål för vilka personuppgifter får lämnas ut emellertid uttryckligen bindas till de brott som hänför sig till skyddspolisens befogenheter och rätt att behandla personuppgifter. Däremot kan det faktum att skyddspolisen tydligare än tidigare är en underrättelsemyndighet påverka skyddet för de registrerades privatliv. En begränsning av skyddet för privatlivet uppkommer särskilt utifrån det sätt på vilket personuppgifter samkörs med andra uppgifter som skyddspolisen behandlar. Skyddspolisen har t.ex. med stöd av 52 § i polisens personuppgiftslag rätt att få sådana uppgifter som behandlas med stöd av 2 kap. i den lagen, om de behövs för att skyddspolisen ska kunna utföra sina uppgifter.
Staten har länge i vissa situationer ansetts ha en bred prövningsmarginal när det gäller vad som är nödvändigt, t.ex. i fråga om upptagning av personuppgifter om personer som misstänks för terroristbrott. En begränsning måste dock grunda sig på lag och vara en nödvändig och proportionell åtgärd (se t.ex. Leander mot Sverige, 26.3.1987, punkterna 58—59 i domen, Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88 i domen). Redan det att myndigheten samlar in och lagrar uppgifter för senare användning ska betraktas som ingripande i privatlivet (S. och Marper mot Förenade kungariket, 4.12.2008, punkt 85 i domen). För att en åtgärd som begränsar rätten till privatliv ska vara förenlig med lagen förutsätts inte enbart att åtgärden grundar sig på lag, utan den ska också vara tillgänglig för de registrerade personerna och dess konsekvenser ska vara förutsägbara (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkt 76 i domen). Europadomstolen har i sin rättspraxis bl.a. betonat exakt och förutsägbart angivna behörighetsgrunder på lagnivå, en strikt tolkning av nödvändighetskriteriet, objektiva grunder för erhållande av nödvändiga uppgifter, förhandskontroll utförd av domstol eller ett oberoende administrativt organ, oberoende efterhandskontroll och tillgång till rättsskydd i domstol. (Weber och Saravia mot Tyskland, 29.6.2006, punkt 95, Liberty m.fl. mot Förenade kungariket, 1.10.2008, punkterna 59—60, Zakharov mot Ryssland, 4.12.2015, punkterna 229—230 och Szabó och Vissy mot Ungern, 12.1.2016, punkt 89)
Av särskild relevans för den registrerades rättsskydd är att utvidgningen av tillämpningsområdet för dataskyddslagen avseende brottmål till upprätthållande av den nationella säkerheten uppfyller den konstitutionella förpliktelsen om tryggande av personuppgifter (GrUU 26/2018 rd, s. 4). Av dataskyddslagen avseende brottmål följer i synnerhet bestämmelserna om den registrerades rättigheter samt tillsynsmyndighetens befogenheter. Dataombudsmannen har långtgående befogenheter och rätt att få uppgifter. Lagen innehåller också bestämmelser om rättsmedel. Även om den registrerade inte har direkt rätt till insyn i de personuppgifter som skyddspolisen behandlar, omfattas skyddspolisens behandling av personuppgifter utöver av den indirekta rätt till insyn som utövas via dataombudsmannen dessutom av domstolskontroll. Det föreslagna ändamålet med utlämnandet av personuppgifter uppfyller kravet på ett godtagbart mål. Med beaktande av rättssäkerhetsgarantierna i fråga om behandlingen av personuppgifter och de föreslagna preciseringarna i bestämmelserna om utlämnande av uppgifter bedöms den föreslagna bestämmelsen om utlämnande av uppgifter uppfylla kravet på proportionalitet.
Utskottet har sett det som möjligt att lämna ut personuppgifter genom en offentlig informationstjänst, om det finns godtagbara grunder för detta med tanke på rättssäkerhetsgarantierna och målen för de grundläggande fri- och rättigheterna (GrUU 65/2014 rd, s. 4—5, GrUU32/2008 rd, s. 2—3). Med avseende på skyddet för privatlivet och för personuppgifter är det enligt utskottet av relevans att det i webbaserade personregister inte går att söka uppgifter på stora grupper utan t.ex. bara genom enskild sökning. En sådan här avgränsning har setts som villkor för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 2/2017 rd, s. 7, GrUU 32/2008 rd, s. 3). Bestämmelsen i 8 § i lagen om registrering av vissa kreditgivare och kreditförmedlare föreslås bli ändrad på så sätt att uppgifter som lämnas ut genom ett allmänt datanät endast ska kunna sökas som enskild sökning. I och med de föreslagna ändringarna bedöms bestämmelserna uppfylla de krav som följer av 10 § i grundlagen.
Enligt regeringens bedömning kan propositionen behandlas i vanlig lagstiftningsordning.