Senast publicerat 03-11-2021 14:52

Regeringens proposition RP 2/2020 rd Regeringens proposition till riksdagen med förslag till lagar om ändring av vissa bestämmelser om behandling av personuppgifter inom justitieministeriets förvaltningsområde

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det sådana nödvändiga ändringar i lagstiftningen inom justitieministeriets förvaltningsområde som följer av Europeiska unionens dataskyddslagstiftning. Det föreslås en översyn av lagstiftningen inom justitieministeriets förvaltningsområde särskilt när det gäller tillämpningsområdet för dataskyddsförordningen och dataskyddslagen, men det förslås också ändringar i vissa lagar som omfattas av lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.  

Syftet med propositionen är att göra de särskilda bestämmelserna i anslutning till behandlingen av personuppgifter enhetligare och att göra dessa bestämmelsers förhållande till tillämpliga allmänna bestämmelser tydligare. 

De föreslagna lagarna avses träda i kraft så snart som möjligt, med undantag för vissa ändringar av utsökningsbalken, som avses träda i kraft den 1 december 2020. 

ALLMÄN MOTIVERING

Inledning

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet) trädde i kraft den 5 maj 2016. Genom dataskyddsförordningen upphävdes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan personuppgiftsdirektivet). Genom dataskyddsdirektivet upphävdes rådets rambeslut 2008/977/RIF, som gällde EU-medlemsstaternas gränsöverskridande behandling av personuppgifter i brottmål. 

Dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018), som kompletterar dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål), som utfärdades för genomförandet av dataskyddsdirektivet, trädde i kraft den 1 januari 2019.  

Dataskyddsförordningen tillämpas i regel på all behandling av personuppgifter. Dessutom kan dataskyddslagen eller nationell speciallagstiftning bli tillämplig vid sidan av dataskyddsförordningen. När polis, åklagare, domstolar, Brottspåföljdsmyndigheten, Tullen, gränsbevakningsmyndigheter och andra behöriga myndigheter behandlar personuppgifter i brottmål tillämpas dock dataskyddslagen avseende brottmål som allmän lag. Den lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållandet av den nationella säkerheten. 

Utöver de allmänna lagar som ska tillämpas vid behandling av personuppgifter finns det i speciallagstiftningen en hel del bestämmelser om behandling av personuppgifter. I samband med beredningen av denna proposition har man gått igenom 98 lagar inom justitieministeriets förvaltningsområde för att bedöma i vilken mån det är nödvändigt att ändra dem till följd av EU:s dataskyddslagstiftning. Av dem har 36 lagar utifrån den preliminära genomgången bedömts mer i detalj, och i 21 av dessa noterades omedelbara behov av ändringar. Bland de lagar som behöver ändras finns också kreditupplysningslagen (527/2007), betaltjänstlagen (290/2010) och partilagen (10/1969). I fråga om dem har ändringsbehovet bedömts och ändringarna beretts samtidigt med beredningen av denna proposition. Det är emellertid meningen att göra ändringarna i kreditupplysningslagen och betaltjänstlagen senare genom en separat proposition. Av ändringarna i partilagen har en del flyttats till en separat proposition. 

Nuläge

2.1  Lagstiftning och praxis

Utöver dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål finns det inom justitieministeriets förvaltningsområde flera tiotal gällande författningar där föreskrivna uppgifter eller föreskriven verksamhet innefattar behandling av personuppgifter. Endast en del av dem har bestämmelser som egentligen gäller behandling av personuppgifter. Lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015) är den enda gällande speciallag inom förvaltningsområdet som gäller behandling av personuppgifter. Lagen ändrades i samband med att dataskyddslagen avseende brottmål stiftades. De bestämmelser om behandling av personuppgifter som kompletterar den upphävda personuppgiftslagen (523/1999) innehåller vanligen undantag i fråga om bestämmelserna om de registrerades rätt till insyn och i fråga om behandling av känsliga personuppgifter samt bestämmelser om utlämnande av personuppgifter, om personregistrens datainnehåll och om samkörning av uppgifter. En del speciallagar innehåller också bestämmelser om tillsyn över behandlingen av personuppgifter. 

Orsaken till de många bestämmelserna om behandling av personuppgifter kan i hög grad härledas till kravet i 10 § 1 mom. i grundlagen att närmare bestämmelser om skydd för personuppgifter ska utfärdas genom lag och i grundlagsutskottets tidigare tolkningspraxis när det gäller detta och skyddet för privatlivet. Dessutom grundar sig bestämmelserna om utlämnande av personuppgifter i anslutning till myndigheternas verksamhet delvis på ett behov av att göra det möjligt att lämna ut personuppgifter trots sekretessbestämmelserna i lagen om offentlighet i myndigheternas verksamhet (621/1999).  

Denna proposition innehåller förslag till ändring av följande lagar när det gäller de bestämmelser om behandling av personuppgifter som omfattas av dataskyddsförordningen: beredskapslagen (1552/2011), förvaltningslagen (434/2003), partilagen (10/1969), vallagen (714/1998), lagen om kandidaters valfinansiering (273/2009), sametingslagen (974/1995), föreningslagen (503/1989), stiftelselagen (487/2015), jordabalken (540/1995), lagen om registrering av vissa kreditgivare och kreditförmedlare (853/2016), utsökningsbalken (705/2007), lagen om skuldsaneringsregistret (368/2017), lagen om näringsförbud (1059/1985), lagen om Institutet för kriminologi och rättspolitik (1139/2007), lagen om registret över djurhållningsförbud (21/2011), lagen om Rättsregistercentralen (625/2012) och lagen om konkurs- och företagssaneringsregistret (137/2004). Med undantag för förvaltningslagen och lagen om Rättsregistercentralen innehåller lagarna registerbestämmelser. En del av de lagar som föreslås bli ändrade innehåller också bestämmelser om utlämnande av personuppgifter. Dessutom har vissa av dem bestämmelser som i någon mån överlappar bestämmelserna i dataskyddsförordningen, särskilt när det gäller utövandet av de registrerades rättigheter. 

Bestämmelser som omfattas av dataskyddsdirektivet, och som inte har ändrats i samband med att dataskyddslagen avseende brottmål stiftades, finns i lagen om verkställighet av samhällspåföljder (400/2015). Det föreslås även ändringar i säkerhetsutredningslagen (726/2014), där den avsedda behandlingen av personuppgifter inte hör till EU-rättens område utan börjar omfattas av de allmänna dataskyddsbestämmelserna genom en nationell utvidgning av tillämpningsområdet. Lagen om verkställighet av samhällspåföljder innehåller inga registerbestämmelser, medan säkerhetsutredningslagen har bestämmelser om personregister. Dessutom innehåller lagarna bestämmelser om utlämnande av personuppgifter. I säkerhetsutredningslagen finns det också uttryckliga bestämmelser om de registrerades rätt till insyn och om tillsyn över behandlingen av personuppgifter. För att ändringarna i säkerhetsutredningslagen ska bli beaktade innehåller propositionen också ett förslag till ändring av bestämmelserna om tillämpningsområdet för dataskyddslagen avseende brottmål. 

En närmare beskrivning av bestämmelserna om behandling av personuppgifter i de lagar som föreslås bli ändrade och om de rättsliga grunderna för bestämmelserna finns i början av detaljmotiveringen till respektive lagförslag. 

2.1.1  Ålands landskapslagstiftning

Bestämmelser om landskapet Ålands lagstiftningsbehörighet finns i 18 § i självstyrelselagen för Åland (1144/1991). Bestämmelser om rikets lagstiftningsbehörighet finns i 27 § i den lagen. Av den lagstiftning som bedömdes i samband med beredningen av propositionen omfattas största delen av rikets lagstiftningsbehörighet. Åland har lagstiftningsbehörighet särskilt i fråga om näringsverksamhet med beaktande av bestämmelserna i 11 §, 27 § 2, 4, 9, 12—15, 17—19, 26, 27, 29—34, 37 och 40 punkten samt 29 § 1 mom. 3–5 punkten, dock så att även lagtinget har behörighet att vidta åtgärder för att främja sådan näringsverksamhet som avses i de nämnda punkterna, i fråga om beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet och i fråga om utsättande och utdömande av vite samt användning av andra tvångsmedel inom rättsområden som hör till landskapets lagstiftningsbehörighet.  

De lagar som föreslås i denna proposition blir direkt tillämpliga på Åland, med undantag för förslaget till lag om ändring av lagen om registret över djurhållningsförbud. 

2.2  Internationella förpliktelser

2.2.1  Lagstiftningen i EU

Dataskyddsförordningen är en direkt tillämplig rättsakt i EU:s medlemsstater. Vissa bestämmelser i förordningen ger ändå ett nationellt handlingsutrymme, och inom ramen för det kan man i en nationell lag utfärda kompletterande eller preciserande bestämmelser. Det nationella handlingsutrymme som dataskyddsförordningen ger gäller i synnerhet behandling av personuppgifter inom den offentliga sektorn, men i viss mån även inom den privata. Det nationella handlingsutrymmet förpliktar inte, med vissa undantag, medlemsstaterna att utfärda nationell lagstiftning som kompletterar eller preciserar dataskyddsförordningen utan det har överlåtits åt den nationella lagstiftaren att fatta beslut i frågan. Med tanke på att dataskyddsförordningen är en direkt tillämplig rättsakt bör det nationella handlingsutrymmet utnyttjas i begränsad omfattning. Grundlagsutskottet tog uttrycklig ställning i frågan när det behandlade dataskyddslagen, som kompletterar dataskyddsförordningen, och dataskyddslagen avseende brottmål. Utskottet konstaterade att skyddet för personuppgifter härefter i första hand bör tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen och att vi i fortsättningen bör förhålla oss restriktiva när det gäller att införa nationell speciallagstiftning. (Se närmare avsnitt 3.2 samt GrUU 14/2018 rd, s. 4—5 och GrUU 26/2018 rd, s. 2—3). Lagstiftningen ska i enlighet med dataskyddsförordningen också uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

Dataskyddsdirektivet anger en miniminivå för skyddet för personuppgifter inom direktivets tillämpningsområde men utgör inget hinder för att det nationellt utfärdas sådana bestämmelser om behandling av personuppgifter som är strängare än så. Direktivet kan genomföras genom en allmän lag men delvis också genom speciallagstiftning. Direktivet hindrar inte heller medlemsstaterna från att i sina nationella bestämmelser om straffprocessen precisera behandlingsåtgärder och behandlingsförfaranden som hänför sig till domstolars och andra rättsliga myndigheters behandling av personuppgifter.  

I enlighet med 2 § i dataskyddslagen avseende brottmål kan avvikelser från lagen göras också genom speciallagstiftning. Bestämmelsernas allmängiltighet utgör ändå inte i sig en tillräcklig grund för att genom särskilda bestämmelser föreskriva om frågor som redan regleras i författningarna i fråga. Lagstiftningen inom justitieministeriets förvaltningsområde sågs över till vissa delar i samband med att dataskyddslagen avseende brottmål stiftades. 

Till vissa av de EU-rättsakter på privaträttens och straffprocessrättens områden som kräver nationell genomförandelagstiftning hänför sig också ett behov av att utfärda särskilda nationella bestämmelser om behandling av personuppgifter. Behovet av lagändringar som hänför sig till sådan EU-rätt bedöms dock separat i samband med beredningen av genomförandelagstiftningen. Lagstiftning för genomförande av EU-rätten är t.ex. lagen om lagring av straffregisteruppgifter och om utlämnande av sådana uppgifter mellan Finland och de övriga medlemsstaterna i Europeiska unionen (214/2012), för vars del den EU-lagstiftning som kräver genomförande har ändrats. 

2.2.2  Internationella konventioner

Lagstiftningen om skydd för personuppgifter har i Europa på ett betydande sätt påverkats av Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 35—36/1992, nedan dataskyddskonventionen). Den kompletterades 2001 med ett tilläggsprotokoll om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (ETS nr 181). Tilläggsprotokollet trädde i kraft för Finlands del 2012. 

Europarådet har upprättat ett protokoll om ändring av dataskyddskonventionen (ETS nr 223). Finland har undertecknat protokollet men ännu inte ratificerat det. Ändringarna gör att konventionen innehållsmässigt kommer närmare EU:s dataskyddslagstiftning samtidigt som dess tillämpningsområde är större, särskilt med beaktande av att den tillämpas på behandling av personuppgifter i anslutning till försvaret och upprätthållande av den nationella säkerheten. De ändringar i sak som eventuellt behöver göras i lagstiftningen bedöms separat som ett led i genomförandet av protokollet. Protokollet medför inga omedelbara behov av ändringar i de speciallagar som har bedömts i samband med beredningen av denna proposition. 

2.3  Bedömning av nuläget

De bestämmelser om behandling av personuppgifter som ingår i gällande speciallagstiftning inom justitieministeriets förvaltningsområde består till största delen av bestämmelser som kompletterar den upphävda personuppgiftslagen. Bestämmelserna har i samband med andra lagstiftningsprojekt till vissa delar ändrats i enlighet med EU:s dataskyddslagstiftning. Till övriga delar har speciallagstiftningen bedömts i samband med beredningen av denna proposition i syfte att utreda om de särskilda bestämmelserna om behandling av personuppgifter motsvarar kraven enligt EU:s nya dataskyddslagstiftning och enligt de allmänna lagar som kompletterar den. 

När det gäller sådan behandling av personuppgifter som omfattas av dataskyddsförordningen är det möjligt med nationell lagstiftning som preciserar förordningen i de fall då denna uttryckligen ger medlemsstaterna nationellt handlingsutrymme. Flera artiklar i dataskyddsförordningen medger ett nationellt handlingsutrymme. 

Handlingsutrymmet kan användas när behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, dvs. när behandlingen behövs för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Syftet med behandlingen bestäms i den rättsliga grunden för behandlingen. Preciserande lagstiftning kan i dessa fall innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. bestämmelser om förutsättningarna för behandlingens lagenlighet, typen av uppgifter som behandlas, registrerade, förvaringstider, ändamålsbegränsning och behandlingsåtgärder. Medlemsstaternas nationella rätt ska enligt artikel 6 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Med beaktande av dataskyddsförordningens direkta tillämplighet och grundlagsutskottets tolkningspraxis under senare tid när det gäller bestämmelser i lag (se särskilt GrUU 14/2018 rd) bör användningen av speciallagstiftning begränsas enbart till det nödvändigaste. 

Nationellt handlingsutrymme ingår i fråga om behandling av särskilda kategorier av personuppgifter också i artikel 9.2 b, g, h, i och j och artikel 9.4 i dataskyddsförordningen. När det gäller artikel 9.2 är det oftast led g som är tillämpligt inom justitieministeriets förvaltningsområde, dvs. den nationella behandlingen behövs av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. En ytterligare förutsättning är att behandlingen ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.  

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. 

Artikel 23 i dataskyddsförordningen tillåter att det i en medlemsstats nationella rätt införs en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22. I artikel 23.1 anges de mål som berättigar till att den registrerades rättigheter frångås i syfte att säkerställa målen i fråga. Begränsningarna ska ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna, och lagstiftningsåtgärderna ska utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa att målet i fråga nås. I fråga om artiklarna 12–22 är en förutsättning för begränsningar dessutom att bestämmelserna i medlemsstatens lagstiftning motsvarar rättigheterna och skyldigheterna enligt dessa artiklar. I artikel 23.2 anges de minimikrav som den lagstiftning där begränsningarna föreskrivs ska innehålla när så är relevant. 

Det är möjligt att föreskriva om en personuppgiftsansvarig med stöd av dataskyddsförordningen. En definition av personuppgiftsansvarig finns i förordningens artikel 4.7, enligt vilken den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses kan föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt, om ändamålen och medlen för behandlingen av personuppgifter bestäms av unionsrätten eller medlemsstaternas nationella rätt. 

Nationellt handlingsutrymme ingår dessutom bl.a. i dataskyddsförordningens artikel 86 (behandling och allmänhetens tillgång till allmänna handlingar), artikel 87 (behandling av nationella identifikationsnummer) och artikel 89.2 och 89.3 (behandling av personuppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och för arkivändamål av allmänt intresse). 

Lagstiftningen inom justitieministeriets förvaltningsområde har när det gäller dataskyddsförordningens tillämpningsområde under beredningen bedömts särskilt i ljuset av följande kriterier: 

– vilken den rättsliga grunden är för behandlingen av personuppgifter, 

– om nationell lagstiftning som kompletterar dataskyddsförordningen är möjlig med stöd av artikel 6.1 c eller e, 

– hur de bestämmelser som gäller personuppgiftsansvar är skrivna, 

– om den nationella lagstiftningen möjliggör behandling av särskilda kategorier av personuppgifter till den del det är nödvändigt att behandla dessa personuppgifter, och om bestämmelserna om behandling av personuppgifter i de särskilda kategorierna och om skyddsåtgärder är tillräckliga i ljuset av artikel 9, 

– om behandlingen av uppgifter om fällande domar i brottmål och om överträdelser är förenlig med artikel 10, 

– om de begränsningar som i artikel 23 tillåts i en registrerads rättigheter är förenliga med det nationella handlingsutrymmet, 

– om handlingsutrymmet enligt kapitel IX i dataskyddsförordningen har använts i enlighet med förordningen, 

– om den nationella lagstiftningen innehåller onödiga bestämmelser som överlappar bestämmelser i dataskyddsförordningen eller dataskyddslagen (t.ex. bestämmelser om en registrerads utövande av sina rättigheter och om tillsyn), 

– om lagstiftningen innehåller bestämmelser om behandling av personbeteckningar, och 

– om lagstiftningen innehåller föråldrade författningshänvisningar eller terminologi som avviker från terminologin i dataskyddsförordningen. 

I fråga om den lagstiftning som har bedömts utifrån kriterierna ovan hänför sig behovet av ändringar oftast till bestämmelser antingen om de registrerades rättigheter eller om särskilda kategorier av personuppgifter eller personuppgifter som annars ska betraktas som känsliga. I en lag gäller behovet av ändringar bestämmelserna om gemensamt personuppgiftsansvar. I fråga om de registrerades rättigheter handlar det om bestämmelser som delvis överlappar bestämmelserna i dataskyddsförordningen. När det gäller särskilda kategorier av personuppgifter har bestämmelserna i två lagar vid bedömningen inte till alla delar ansetts vara tillräckligt tydliga och klart avgränsade, med beaktande även av kraven på särskilda skyddsåtgärder. Till övriga delar är behovet av ändringar i lagstiftningen mindre. I fråga om hänvisningsbestämmelserna har bedömningen gällt om det ska föreslås att hänvisningarna till den upphävda personuppgiftslagen stryks eller ersätts med nya hänvisningar till tillämplig dataskyddslagstiftning. I regel föreslås det att hänvisningarna ersätts bara om det annars kan bli oklart vilken allmän författning som ska tillämpas eller om det finns särskilda skäl till en hänvisning. 

I samband med behandlingen av dataskyddslagen avseende brottmål godkände riksdagen ändringar i vissa lagar inom justitieministeriets förvaltningsområde. Utöver det har behov av ändringar uppdagats i en sådan speciallag som omfattas av tillämpningsområdet för dataskyddslagen avseende brottmål. Dessutom behövs det ändringar i säkerhetsutredningslagen, där den avsedda behandlingen av personuppgifter i hög grad till följd av en nationell utvidgning av tillämpningsområdet omfattas av dataskyddslagen avseende brottmål. 

Enligt artikel 2.2 i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Den ska inte heller tillämpas på behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen, nedan EU-fördraget. Dataskyddsförordningen är således tillämplig på all behandling av personuppgifter som omfattas av unionsrätten, men inte på den behandling som omfattas av dataskyddsdirektivet. I Finland har dataskyddslagens tillämpningsområde emellertid utvidgats nationellt till att med vissa begränsningar gälla också sådan behandling av personuppgifter som inte omfattas av unionsrätten och som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Dataskyddslagen kompletterar dataskyddsförordningen och tillämpas parallellt med den. 

I likhet med dataskyddsförordningen tillämpas dataskyddsdirektivet inte på sådan behandling av personuppgifter som inte omfattas av unionsrätten. Dataskyddsdirektivet tillämpas t.ex. inte på den behandling av personuppgifter som hänför sig till nationell säkerhet, och därför bygger bestämmelser om behandling av personuppgifter i anslutning till sådan verksamhet helt och hållet på nationell prövning. Dataskyddslagen avseende brottmål har emellertid delvis utvidgats till att också gälla sådan behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten. 

Inom speciallagstiftning som hänför sig till användningen av det handlingsutrymme som dataskyddsförordningen medger och i speciallagstiftning som avviker från dataskyddslagen avseende brottmål måste man utöver kraven i allmänna författningar även beakta de krav som följer av grundlagen, Europeiska unionens stadga om de grundläggande rättigheterna och internationella förpliktelser avseende mänskliga rättigheter. 

Målsättning och de viktigaste förslagen

3.1  Målsättning

Ett mål för de lagförslag som ingår i denna proposition är att se till att lagstiftningen inom justitieministeriets förvaltningsområde är förenlig med dataskyddsförordningen, dataskyddslagen och dataskyddsdirektivet. 

Ett mål är också att göra lagstiftningen om behandling av personuppgifter tydligare genom att stryka sådana bestämmelser i speciallagstiftningen som överlappar bestämmelserna i allmänna lagar. Dessutom är det meningen att precisera speciallagstiftningen till den del det behövs på grund av EU-lagstiftningen. 

3.2  De viktigaste förslagen och alternativa handlingsvägar

3.2.1  Allmän lag som är tillämplig på säkerhetsutredningar

Det föreslogs inga ändringar av säkerhetsutredningslagen när dataskyddslagen och dataskyddslagen avseende brottmål stiftades, utan bedömningen av vilken allmän lag som är tillämplig på den behandling av personuppgifter som avses i säkerhetsutredningslagen lämnades till senare. Under beredningen av denna proposition har man särskilt bedömt om den behandling som avses i lagen hänför sig till upprätthållandet av den nationella säkerheten i den grad att det kan anses att behandlingen omfattas av den nationella utvidgning av tillämpningsområdet som tillämpats i dataskyddslagen avseende brottmål. Behandlingen måste då uppfylla kriterierna i bestämmelsen om tillämpningsområdet för dataskyddslagen avseende brottmål. 

Syftet med säkerhetsutredningslagen är enligt bestämmelsen om dess tillämpningsområde att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen. Även när en säkerhetsutredning kan göras för att trygga enskilda ekonomiska intressen av synnerligen stor betydelse är det huvudsakliga syftet med verksamhet som avses i lagen att förebygga verksamhet som äventyrar säkerheten. För sådana säkerhetsutredningar och sådan behandling av personuppgifter som avses i lagen svarar skyddspolisen och, i fråga om anställda hos Försvarsmakten, Huvudstaben. Polisen och Försvarsmakten är behöriga myndigheter som avses i dataskyddslagen avseende brottmål, när det är fråga om sådan behandling av personuppgifter som omfattas av lagens tillämpningsområde. Polisens och Försvarsmaktens uppgifter enligt säkerhetsutredningslagen nämns inte uttryckligen i bestämmelserna om tillämpningsområdet för dataskyddslagen avseende brottmål. Den behandling av personuppgifter som avses i säkerhetsutredningslagen kan emellertid i fråga om dessa myndigheter anses ingå i tillämpningsområdet för dataskyddslagen avseende brottmål, vars nationella tillämpningsområde har utvidgats i förhållande till dataskyddsdirektivets tillämpningsområde så att det även omfattar sådan behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten och till försvaret.  

Dataskyddsdirektivet ger mer handlingsutrymme än dataskyddsförordningen när det gäller kompletterande nationell lagstiftning. Dataskyddslagen avseende brottmål gör det också möjligt att avvika från dess bestämmelser i speciallagstiftning och att komplettera den. Ett mål är emellertid även när det gäller den behandling av personuppgifter som hänför sig till brottmål och upprätthållandet av den nationella säkerheten att undvika onödiga överlappande bestämmelser, t.ex. i fråga om de registrerades rättigheter. Det föreslås att den behandling av personuppgifter som avses i säkerhetsutredningslagen införs i tillämpningsområdet för dataskyddslagen avseende brottmål till den del det handlar om skyddspolisen och Huvudstaben som behöriga myndigheter. Däremot ska andra i säkerhetsutredningslagen avsedda myndigheters behandling av personuppgifter omfattas av dataskyddsförordningen när myndigheterna lämnar ut eller tar emot personuppgifter med stöd av säkerhetsutredningslagen, med beaktande av begränsningarna i fråga om de behöriga myndigheter som avses i dataskyddslagen avseende brottmål.  

Att en myndighet enligt lag har rätt att få uppgifter ur ett register som omfattas av dataskyddslagen avseende brottmål eller av en behörig myndighet som avses i den lagen gör inte mottagaren av uppgifterna till en behörig myndighet enligt lagen i fråga. Detsamma gäller i fråga om utlämnande av uppgifter för säkerhetsutredningar. 

Det föreslås en sådan precisering av bestämmelserna om tillämpningsområdet för dataskyddslagen avseende brottmål att de uttryckligen omfattar polisens och Försvarsmaktens uppgifter, om vilka det föreskrivs i säkerhetsutredningslagen. Till säkerhetsutredningslagen föreslås det för tydlighetens skull bli fogat bestämmelser om dess förhållande till dataskyddslagstiftningen. När det gäller myndigheter som lämnar ut och tar emot uppgifter föreslås det en precisering av bestämmelserna i syfte att säkerställa att olika myndigheters roll vid behandling av personuppgifter tydligt framgår av lagen. 

3.2.2  Personuppgiftsansvariga

I EU:s reviderade dataskyddslagstiftning är principerna för personuppgiftsansvaret relativt oförändrade jämfört med personuppgiftsdirektivet. I dataskyddsförordningen och dataskyddsdirektivet har man emellertid stärkt bestämmelserna om den personuppgiftsansvariges ansvar i anslutning till personuppgifter som behandlas av den personuppgiftsansvarige själv eller för dennes räkning. Den personuppgiftsansvarige ska särskilt se till att behandlingen av personuppgifter är korrekt och effektiv och kunna visa att behandlingen är förenlig med dataskyddsförordningen eller dataskyddslagen avseende brottmål. Den personuppgiftsansvarige ska i all behandling av personuppgifter beakta behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. 

Dataskyddsförordningen och dataskyddslagen avseende brottmål har även bestämmelser om den registrerades rättigheter, som bl.a. inkluderar rätt att få information om behandling av personuppgifterna, att ta del av personuppgifter som gäller den registrerade själv och att få felaktiga personuppgifter rättade eller raderade. Den registrerade utövar dessa rättigheter gentemot den personuppgiftsansvarige. Med tanke på den personuppgiftsansvariges roll att se till att den registrerade faktiskt kan utöva sina rättigheter föreslås det en precisering av lagstiftningen i de lagar där det kan uppstå oklarhet beträffande den personuppgiftsansvarige. En översyn av formuleringarna i bestämmelserna om den personuppgiftsansvarige föreslås för enhetlighetens skull även till vissa andra delar. Dessutom behöver de personuppgiftsansvariga preciseras i de lagar där det är fråga om gemensamt personuppgiftsansvariga som avses i artikel 26 i dataskyddsförordningen. Termen gemensamt personuppgiftsansvarig har inte använts i lagstiftningen i Finland, men situationer med gemensamt personuppgiftsansvar förekommer de facto i flera lagar inom justitieministeriets förvaltningsområde. Exempelvis i lagen om justitieförvaltningens riksomfattande informationssystem (372/2010) har ansvaret för uppgifter i anslutning till förvaltningen av informationssystemet påförts en annan myndighet än ansvaret för andra uppgifter som en personuppgiftsansvarig normalt har. Den lagen föreslås inte bli ändrad genom denna proposition. Bestämmelserna i den kommer att bedömas i samband med ett separat lagstiftningsprojekt. Dessutom ger vissa lagar (beredskapslagen, säkerhetsutredningslagen, vallagen) två eller flera myndigheter likadan tillgång till ett informationssystem eller register. Beredskapslagen och säkerhetsutredningslagen föreslås till vissa delar bli preciserade för att skillnaden mellan personuppgiftsansvar och registrering eller utlämnande av uppgifter ska bli klar. I en del av lagarna förekommer det olika situationer med personuppgiftsansvar där den personuppgiftsansvarige i en del fall är en privat sammanslutning eller en enskild (föreningslagen, partilagen, lagen om kandidaters valfinansiering). I dessa fall föreslås det att man håller fast vid nuläget genom att förtydliga och precisera paragraferna så att de olika fallen av personuppgiftsansvar framgår tydligare av lagen. Ändringsförslagen har tagits med i denna proposition, om lagarna inte har ändrats eller håller på att ändras genom en annan proposition. 

När det gäller gemensamt personuppgiftsansvar ger dataskyddsförordningen och dataskyddsdirektivet medlemsstaterna handlingsutrymme i fråga om huruvida de gemensamt personuppgiftsansvarigas ansvarsområden ska anges i lag och på vilket sätt det ska föreskrivas om dem. Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För bestämmelser i lag gäller åter det generella kravet att lagen ska vara exakt och noga avgränsad. Regleringen av befogenheter är enligt grundlagsutskottets uppfattning vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2). I propositionen föreslås de personuppgiftsansvarigas ansvar och skyldigheter som grundar sig på allmänt tillämpliga bestämmelser i dataskyddsförordningen och dataskyddslagen avseende brottmål bli angivna åtminstone i huvuddrag. Det gemensamma personuppgiftsansvaret har i utsökningsbalken ersatts med en bestämmelse om enskilda personuppgiftsansvariga. Den bestämmelsen träder i kraft den 1 januari 2020. Motsvarande ändring har redan gjorts i vallagen (lagändring 1132/2019). I denna proposition finns ett fall av myndigheters gemensamma personuppgiftsansvar i förslaget till lag om ändring av säkerhetsutredningslagen. Det föreslås en sådan precisering av bestämmelserna att personuppgiftsansvaret fördelas enligt de persongrupper som utredningen gäller, men i övrigt påförs den personuppgiftsansvariges uppgifter en enda myndighet, skyddspolisen, som särskilt ska svara för uppgifter i anslutning till utlämnandet av personuppgifter och informationssystemets informationssäkerhet. På det sättet ser man till att ansvarsfördelningen blir tydlig och att inga uppgifter lämnas utanför när det gäller personuppgiftsansvaret. De personuppgiftsansvariga ska med stöd av de allmänna lagarna kunna avtala närmare om detaljerna, t.ex. i fråga om vilken personuppgiftsansvarig som ska vara den primära kontaktpunkten för behandling av enskilda personuppgifter. 

3.2.3  Uppgifter som hör till särskilda kategorier av personuppgifter

De i artikel 9.1 i dataskyddsförordningen nämnda uppgifter som hör till särskilda kategorier av personuppgifter avser personuppgifter som till sin natur är särskilt känsliga med hänsyn till de grundläggande rättigheterna och friheterna. Enligt dataskyddsförordningen bör sådana uppgifter åtnjuta särskilt skydd eftersom behandling av dem kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utgångspunkten för dataskyddsförordningen är att sådana personuppgifter inte får behandlas, såvida inte behandling uttryckligen tillåts på grunder som anges i den förordningen. Om undantag genom lag görs från förbudet att behandla särskilda kategorier av personuppgifter, ska det uttryckligen föreskrivas om undantagen i unionsrätten eller i medlemsstaternas nationella rätt. De flesta grunder för undantag som nämns i artikel 9.2 förutsätter också särskilda skyddsåtgärder för att skydda de registrerades rättigheter vid behandling av särskilda kategorier av personuppgifter. Dessutom får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. 

Grundlagsutskottet har nyligen justerat sin ståndpunkt om kraven på författningsnivå för bestämmelserna om behandling av personuppgifter och på hur heltäckande och detaljerade bestämmelserna ska vara (GrUU 17/2018 rd, se GrUU 14/2018 rd). (Se närmare avsnitt 3.2 nedan.) Grundlagsutskottet anser att det i princip räcker med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Utskottet anser att de detaljerade bestämmelserna i förordningen också gör det möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. (GrUU 14/2018 rd, s. 4). Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. (GrUU 14/2018 rd, s. 5). 

Enligt grundlagsutskottet bör bestämmelserna om behandling av känsliga uppgifter fortfarande analyseras utifrån praxis för bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av bestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). Enligt grundlagsutskottet måste bestämmelser om behandling av känsliga personuppgifter vara detaljerade och heltäckande inom den ram som dataskyddsförordningen tillåter (GrUU 17/2018 rd, s. 7). 

Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (GrUU 14/2018 rd, s. 9). Likväl menar grundlagsutskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga. (GrUU 15/2018 rd, s. 38, GrUU 17/2018 rd, s. 6). Till följd av grundlagens rättshierarkiska ställning står det klart att de uppgifter som i utskottets praxis bedömts vara känsliga, exempelvis på grundval av de risker och hot som behandlingen medför, till sina områden inte helt motsvarar bestämmelserna i personuppgiftslagen (GrUU 15/2018 rd, s. 38, GrUU 17/2018 rd, s. 6). I den upphävda personuppgiftslagen har som känsliga personuppgifter utöver de uppgifter som anges i artikel 9.1 i dataskyddsförordningen även betraktats i artikel 10 i den förordningen avsedda personuppgifter som rör fällande domar i brottmål samt överträdelser (brott), och även personuppgifter som rör förmåner inom socialvården. Begreppet känsliga personuppgifter i personuppgiftslagen avviker således från dataskyddsförordningens begrepp särskilda kategorier av personuppgifter. 

Vid beredningen av denna proposition har det fästs särskild vikt vid bestämmelserna om behandling av uppgifter som hör till särskilda kategorier av personuppgifter och om behandling av andra personuppgifter som ska betraktas som känsliga. Lagarna inom justitieministeriets förvaltningsområde har bedömts i enlighet med ovannämnda principer och det handlingsutrymme som dataskyddsförordningen medger, och dessutom med tanke på till vilka delar det räcker med bestämmelserna i dataskyddsförordningen och dataskyddslagen, som är tillämpliga som allmän lagstiftning. I vissa lagförslag i propositionen (beredskapslagen, lagen om registrering av vissa kreditgivare och kreditförmedlare, utsökningsbalken) har det gjorts preciseringar till den del de gällande bestämmelserna inte har ansett vara tillräckliga. Strävan har varit att behålla nuläget i fråga om de känsliga personuppgifter som behandlas, men bestämmelserna föreslås vara klarare avgränsade än för närvarande. Dessutom föreslås det att de bestämmelserna om tillämpliga skyddsåtgärder till vissa delar görs tydligare. 

PROPOSITIONENS KONSEKVENSER

4.1  Ekonomiska konsekvenser

Reformen av dataskyddslagstiftningen har haft betydande ekonomiska konsekvenser. De har huvudsakligen varit en direkt följd av dataskyddsförordningen, som redan har börjat tillämpas, men de allmänna lagar som kompletterar EU:s dataskyddslagstiftning, dataskyddslagen och dataskyddslagen avseende brottmål, har medfört ytterligare konsekvenser. Att kraven är strängare och mer detaljerade än tidigare har lett till kostnader av olika grad för tillståndsmyndigheter, personuppgiftsansvariga och personuppgiftsbiträden inom såväl den privata som den offentliga sektorn. För att dessa aktörer ska kunna iaktta kraven i dataskyddslagstiftningen har de också behövt ändra bl.a. sina tillvägagångssätt och informationssystem. 

De lagändringar som föreslås i propositionen när det gäller myndigheter har i regel inga sådana självständiga ekonomiska konsekvenser till följd av dataskyddskraven som inte redan har uppkommit i samband med ikraftträdandet av de allmänna bestämmelserna om behandling av personuppgifter. Syftet med propositionen är att få de bestämmelser som föreslås bli ändrade att stämma överens med kraven i EU:s dataskyddslagstiftning och att göra deras förhållande till tillämpliga allmänna författningar om behandling av personuppgifter klarare. Ändringarna i de lagförslag som ingår i propositionen är huvudsakligen tekniska, och propositionen bedöms därför inte ha några betydande ekonomiska eller andra samhälleliga konsekvenser. Med undantag för föreningslagen gäller de föreslagna ändringarna inte privata sammanslutningar som personuppgiftsansvariga. De föreslagna ändringarna i propositionens lagförslag har även i övrigt utarbetats så att strävan har varit att i så hög grad som möjligt se till att nuläget och praxis kvarstår. Ekonomiska konsekvenser bedöms närmast uppstå till följd av de ändringsförslag som gäller utsökningsregistret och eventuellt av de ändringsförslag som gäller arbetspliktsregistret. I övrigt kan de föreslagna paragrafändringarna ha mindre verkningar på myndigheternas omkostnader i deras egenskap av personuppgiftsansvariga, vilket det redogörs för nedan. 

4.1.1  Konsekvenser för myndigheternas informationssystem

I 1 kap. 26 § i utsökningsbalken föreslås det ändringar som innebär att tre nya uppgiftskategorier förs in i utsökningsregistret. Dessa ändringar får konsekvenser för informationssystemen. Eftersom det är fråga om personuppgifter som ska betraktas som känsliga, förutsätter skyddet av den registrerades rättigheter att den personuppgiftsansvarige vidtar lämpliga och särskilda åtgärder i enlighet med dataskyddsförordningen och dataskyddslagen, t.ex. den personuppgiftsansvariges interna åtgärder för att förhindra tillträde till personuppgifter för andra än de som behöver dem för att sköta sina uppgifter och åtgärder för att i efterhand kunna säkerställa och bevisa vem som har registrerat, ändrat eller överfört personuppgifter. Personuppgifter kan t.ex. skyddas med mer begränsad synlighet än för andra uppgifter i ett informationssystem, vilket medför kostnadseffekter. Dessutom föreslås en kortare bevaringstid för två av de nya uppgiftskategorierna än för ärendehanteringsuppgifter. Även detta kan ha kostnadseffekter. 

För utsökningsregistrets del beräknas kostnadseffekterna uppgå till sammanlagt 5 000—10 000 euro. Avsikten är att täcka kostnaderna med anslag enligt besluten om ramarna för statsfinanserna och enligt statsbudgeten eller med andra anslag som reserverats för utveckling av informationssystemet.  

Beredskapslagen föreslås bli preciserad i fråga om förutsättningarna för att uppgifter om hälsotillstånd eller funktionsnedsättning ska få registreras i arbetspliktsregistret. Kravet ska beaktas när registret upprättas. Avsikten är att täcka kostnaderna med anslag enligt besluten om ramarna för statsfinanserna och enligt statsbudgeten eller med andra anslag som reserverats för utveckling av informationssystemet. 

4.1.2  Konsekvenser för myndigheterna

Översynen av speciallagstiftningen inom justitieministeriets förvaltningsområde för att den ska vara förenlig med dataskyddsförordningen kan medföra vissa mindre administrativa kostnader för myndigheterna inom förvaltningsområdet och för organisationer som sköter offentliga förvaltningsuppgifter. Syftet med propositionen är också att göra bestämmelserna tydligare särskilt i fråga om de konsekvenser som EU:s dataskyddslagstiftning har för de personuppgiftsansvariga, så att det ska vara lättare för myndigheterna att beakta kraven i dataskyddslagstiftningen. 

Preciseringarna i fråga om de personuppgiftsansvariga kan ha sådana konsekvenser för de personuppgiftsansvarigas tillvägagångssätt som ökar den administrativa bördan och som uppkommer särskilt av skyldigheten att höra dataskyddsmyndigheterna och att informera de registrerade samt av introduktion och utbildning för de anställda. Man kan t.ex. bli tvungen att se över dataskyddsbeskrivningarna. Dessa konsekvenser bedöms närmast gälla utsökningsväsendet, skyddspolisen och Huvudstaben i deras egenskap av personuppgiftsansvariga.  

Preciseringar av bestämmelserna om personuppgiftsansvariga föreslås i fråga om myndigheter i partilagen, vallagen, lagen om kandidaters valfinansiering, sametingslagen, stiftelselagen, jordabalken, lagen om skuldsaneringsregistret, lagen om Institutet för kriminologi och rättspolitik, säkerhetsutredningslagen och lagen om konkurs- och företagssaneringsregistret. Det är de föreslagna ändringarna av säkerhetsutredningslagen som bedöms medföra en administrativ börda. I enlighet med de gällande bestämmelserna i säkerhetsutredningslagen är skyddspolisen huvudsaklig personuppgiftsansvarig (i den gällande lagen kallad huvudansvarig registerförare). Huvudstabens uppgift som personuppgiftsansvarig framgår inte uttryckligen av lagen, men enligt säkerhetsutredningslagen har Huvudstaben en likadan uppgift som skyddspolisen i fråga om säkerhetsutredningar som gäller de egna anställda. En precisering att skyddspolisen och Huvudstaben är gemensamt personuppgiftsansvariga motsvarar således nuläget, och ändringarna beräknas inte ha några betydande konsekvenser. Däremot kan ett gemensamt personuppgiftsansvar förutsätta en precisering av interna anvisningar och av informationsmaterial som hänför sig till informationen till de registrerade. Dessutom kan de anställda behöva introduktion i vad gemensamt personuppgiftsansvar enligt dataskyddslagen avseende brottmål innebär. Den administrativa bördan bedöms bli liten. I de övriga lagarna handlar det om sådana tekniska förtydliganden i fråga om personuppgiftsansvaret genom vilka det nuvarande läget bibehålls till alla delar, och dessa förtydliganden medför således inte någon administrativ börda och inga kostnadseffekter. 

De personuppgiftsansvariga kan orsakas en administrativ börda också av de föreslagna ändringarna av bestämmelserna om utlämnande av personuppgifter. Till denna del föreslås det ändringar av lagen om registrering av vissa kreditgivare och kreditförmedlare och av utsökningsbalken. En ändring av lagen om registrering av vissa kreditgivare och kreditförmedlare på så sätt att uppgifter som lämnas ut genom ett allmänt datanät endast ska kunna sökas som enskild sökning medför en ändring i praxis för offentliggörande av uppgifter. Enligt en utredning som erhölls under lagberedningen påverkar den föreslagna ändringen dock inte informationssystemen och har inte heller några andra kostnadseffekter. 

I utsökningsbalken föreslås det i flera bestämmelser om utlämnande av uppgifter ändringar som syftar till att de uppgifter som lämnas ut ska vara nödvändiga för ändamålet. För att nödvändighet ska kunna anges som ett kriterium för utlämnande av uppgifter förutsätts den personuppgiftsansvarige från fall till fall bedöma om den myndighet som begär uppgifter har lämnat en tillräckligt specificerad begäran. I praktiken blir det den myndighet som begär uppgifter som ska bedöma hur nödvändiga de är, med undantag för utlämnande av uppgifter på eget initiativ. Utlämnandet av uppgifter har emellertid redan i de gällande bestämmelserna avgränsats till enskilda fall eller till utlämnande på eget initiativ, vilket innebär att en bedömning från fall till fall av hur behövliga uppgifterna är i praktiken förutsätts redan nu. Användningen av uppgifternas nödvändighet som ett kriterium innebär en mer framträdande skyldighet att göra en bedömning.  

Det föreslås dessutom att en utsökningsmyndighet ska ha rätt att lämna ut uppgifter ur utsökningsregistret till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet. Det har redan tidigare med stöd av gällande lagstiftning varit möjligt att lämna ut uppgifter till skyddspolisen för förebyggande av grova brott, och detta ska på samma sätt som tidigare ske på begäran av skyddspolisen. Det har inte skett någon förändring i fråga om vilka brott som omfattas av skyddspolisens befogenheter, utan endast förundersökningsbefogenheterna har slopats. Ändringen bedöms således inte ha några konsekvenser för myndigheternas utgifter. De föreslagna ändringarna kan ändå medföra ett behov av att precisera de interna anvisningarna i fråga om den personuppgiftsansvariges förfaranden. Den personuppgiftsansvarige ska dessutom se till att de registrerade informeras tillräckligt om bl.a. ändamålet med utlämnandet av personuppgifterna och om de rättsmedel som står till buds. Den administrativa bördan till följd av detta bedöms bli liten.  

I 50 § 3 mom. i säkerhetsutredningslagen föreslås det en ändring genom vilken hänvisningen till informationssystemet för misstänkta ersätts med en hänvisning till 7 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019). Uppgifterna i det register som ersätter informationssystemet för misstänkta är betydligt mer omfattande i fråga om de persongrupper som det innehåller, och dessutom har tröskeln för att registrera sådana uppgifter sänkts jämfört med den upphävda lagen om behandling av personuppgifter i polisens verksamhet (761/2003). Därför kan ändringen medföra en administrativ börda till följd av att myndigheterna noggrannare än tidigare måste bedöma vilka uppgifter i registret som är nödvändiga för en säkerhetsutredning. Den behandling av uppgifter som avses i 50 § 3 mom. i säkerhetsutredningslagen har emellertid begränsats genom de kriterier som ingår i lagens 25 § 2 mom., och som fortfarande ska uppfyllas. Ändringen motsvarar således till största delen nuläget, och den bedöms inte ha mer än små konsekvenser för myndigheternas verksamhet. I säkerhetsutredningslagen innebär dessutom preciseringen i fråga om gemensamt personuppgiftsansvariga tydligare än tidigare att de andra behöriga myndigheter som avses i lagen är myndigheter som antingen lämnar ut eller tar emot uppgifter. Praxis motsvarar emellertid nuläget också till denna del, och de myndigheter som lämnar ut och tar emot uppgifter orsakas ingen extra administrativ börda. 

Preciserande uppgifter som gäller behandlingen av särskilda kategorier av personuppgifter föreslås i beredskapslagen, lagen om registrering av vissa kreditgivare och kreditförmedlare och utsökningsbalken, vilka innehåller bestämmelser om informationssystem och register som förvaltas av myndigheter. I lagen om registrering av vissa kreditgivare och kreditförmedlare föreslås det en precisering av den rätt att behandla uppgifter som avser behandling av i artikel 10 i dataskyddsförordningen avsedda personuppgifter. Det är inte meningen att föra in uppgifterna i ett informationssystem, så det uppkommer inga kostnadseffekter i anslutning till ändringar av systemet. De ändringar i utsökningsbalken som gäller behandling av uppgifter om hälsotillstånd eller funktionsnedsättning, personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder samt uppgifter om säkerhet i arbetet är innehållsmässiga ändringar som inte enbart beror på den allmänna dataskyddslagstiftningen, utan också på tolkningspraxis i fråga om grundlagen. De lagändringar som hänför sig till behandlingen av särskilda kategorier av personuppgifter eller i övrigt känsliga personuppgifter kan medföra ett behov av introduktion för de anställda med hjälp av anvisningar eller utbildning. 

Dessutom kan utsökningsmyndigheterna orsakas en administrativ börda av de ändringar som föreslås i 1 kap. 28 § i utsökningsbalken och hänför sig till begränsningar i den registrerades rätt att få tillgång till uppgifter, om ändringarna medför ett behov av att se över tillvägagångssätten eller ordna introduktion för de anställda. Strävan har varit att i fråga om ändringarna hålla sig så nära nuläget som möjligt, och därför bedöms den administrativa bördan bli liten. 

De ovan preciserade lagändringarna kan särskilt i fråga om utbildningen få konsekvenser för myndighetens administrativa utgifter, som bedöms bli små. Avsikten är att täcka eventuella kostnader med anslag enligt besluten om ramarna för statsfinanserna och enligt statsbudgeten. 

4.2  Samhälleliga konsekvenser

4.2.1  Konsekvenser för medborgarnas ställning i samhället och för det civila samhällets verksamhet

Lagförslagen i propositionen har inga självständiga samhälleliga konsekvenser som är oberoende av den allmänna dataskyddslagstiftningen. 

Europeiska kommissionen har i sin egen konsekvensbedömning på EU-nivå fäst uppmärksamhet vid att en mer enhetlig reglering inom EU skapar klarhet i rättsläget och förbättrar medborganas förtroende för företagens och myndigheternas behandling av personuppgifter. Ändå sporrar den nya dataskyddslagstiftningen på lång sikt också till att utveckla informationssystemen så att de blir säkrare och så att informationssäkerheten förbättras. Dessutom kan en mer ingående reglering av behandlingen av personuppgifter och av tillsynen över behandlingen antas minska riskerna för dataskyddsförseelser och personuppgiftsincidenter. Samtidigt har de nya bestämmelserna också bedömts förbättra de registrerades rättsskydd. Effekterna av de ändringar som lagförslagen innehåller kan på det hela taget bedömas stödja dessa mål för den allmänna dataskyddslagstiftningen. 

Ett mål för propositionen är att göra lagstiftningen tydligare bl.a. genom att precisera vem som är personuppgiftsansvarig när det inte klart framgår av lagen. Dessa ändringar bedöms stärka medborgarnas möjligheter att som registrerade utöva sina rättigheter enligt den allmänna dataskyddslagstiftningen gentemot de personuppgiftsansvariga. Samtidigt bedöms preciseringarna i fråga om de personuppgiftsansvariga förbättra medborgarnas rättsskydd också genom att de personuppgiftsansvariga blir mer medvetna om sina skyldigheter. Sådana konsekvenser har i synnerhet ändringarna av föreningslagen, partilagen och vallagen, med tanke på att dessa lagar omfattar fler än en från varandra avvikande situationer som inbegriper personuppgiftsansvar. Dessa lagar är också i ett större perspektiv av betydelse för det civila samhällets verksamhet. Den uttryckliga bestämmelse som i föreningslagen föreslås om föreningars personuppgiftsansvar i fråga om sina egna medlemsregister betonar föreningarnas ställning i det civila samhället. Preciseringen av föreningslagen handlar om att de detaljer om personuppgiftsansvar som finns i motiveringen till en tidigare proposition om lagen föreslås bli införda i lagen, som således fullständigt kommer att motsvara nuläget. I princip har en förenings styrelse redan med stöd av den upphävda personuppgiftslagen i praktiken haft till uppdrag att sköta föreningens uppgifter som personuppgiftsansvarig, men skyldigheterna betonas tydligare när föreningens uppgift som personuppgiftsansvarig preciseras i lagen. 

Dessutom bedöms de preciseringar som gäller behandlingen av särskilda kategorier av personuppgifter stärka skyddet för medborgarnas privatliv, med beaktande av hur känsliga dessa uppgifter är. Sådana preciseringar föreslås i beredskapslagen, lagen om registrering av vissa kreditgivare och kreditförmedlare och utsökningsbalken. 

4.2.2  Övriga konsekvenser

Utkastet till regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning har utvärderats av rådet för bedömning av lagstiftningen. Rådet gav sitt utlåtande om utkastet till proposition den 8 februari 2018. Vid sidan av propositionen uppmärksammade rådet det faktum att avsikten har varit att utöver stiftandet av den lag som kompletterar förordningen även ändra hundratals nationella speciallagar. Enligt rådet är det i princip möjligt att lätta på regleringen eftersom en del bestämmelser i speciallagarna kan strykas tack vare det riskbaserade synsättet. Det kan emellertid också hända att regleringen ökar genom preciserande lagstiftning. Vid beredningen av denna proposition har strävan varit att beakta de iakttagelser som rådet för bedömning av lagstiftningen presenterat genom att man närmare har bedömt den allmänna lagstiftningens förhållande till speciallagstiftningen och försökt förtydliga det. 

BEREDNINGEN AV PROPOSITIONEN

5.1  Beredningsskeden och beredningsmaterial

Justitieministeriet tillsatte den 7 juni 2018 en arbetsgrupp med uppdrag att bereda förslag till de ändringar som dataskyddsförordningen och dataskyddsdirektivet förutsätter i lagstiftningen inom ministeriets förvaltningsområde. Arbetsgruppens mandat upphörde den 31 december 2018. Arbetsgruppen skulle bedöma om lagstiftningen inom justitieministeriets förvaltningsområde är förenlig med dataskyddsförordningen och dataskyddsdirektivet samt lägga fram förslag till de lagändringar som är nödvändiga på grund av EU-rättsakterna. Arbetsgruppen utarbetade sitt förslag i form av en regeringsproposition. Som ett led i beredningen hörde arbetsgruppen efter behov andra avdelningar och enheter vid justitieministeriet samt vissa andra aktörer. Den fortsatta beredningen har gjorts vid justitieministeriet. 

5.2  Remissyttranden och hur de har beaktats

Justitieministeriet begärde utlåtanden om utkastet till proposition av 17 myndigheter som berörs av de föreslagna lagändringarna. Begäran om utlåtande sändes för kännedom till rådet för bedömning av lagstiftningen, som finns vid statsrådet. Kommentarer lämnades av dataombudsmannens byrå, försvarsministeriet, inrikesministeriet, finansministeriet, Rättsregistercentralen, Regionsförvaltningsverket i Södra Finland, Riksfogdeämbetet, Lantmäteriverket och skyddspolisen. Utifrån remissvaren har det under den fortsatta beredningen gjorts sådana ändringar i lagförslagen och detaljmotiveringen som gäller ändringarna av vallagen, föreningslagen, jordabalken, utsökningsbalken och lagen om registret över djurhållningsförbud.  

Till propositionen har det dessutom fogats två nya lagförslag, nämligen förslag till ändring av lagen om konkurs- och företagssaneringsregistret och av dataskyddslagen avseende brottmål. 

Förslaget till ändring av 3 § i partilagen har förts över till ett separat lagstiftningsprojekt som gäller ändring av partilagen. I samband med detta är det meningen att ändra paragrafen mer ingående. 

Kommentarer till lagförslagen 

De föreslagna lagändringarna ansågs i remissvaren huvudsakligen vara behövliga. Under remissbehandlingen riktades ingen kritik mot de viktigaste förslagen i propositionen. 

De ändringar som föreslås i vallagen ansågs inte till alla delar vara förtydligande. De informativa hänvisningar till dataskyddsförordningen som föreslås i lagen har slopats under den fortsatta beredningen, och i stället har detaljmotiveringen kompletterats så att det tydligare framgår vilket förhållande bestämmelserna har till dataskyddsförordningen. Motsvarande ändringar har gjorts i förslaget till lag om ändring av sametingslagen. 

I fråga om föreningslagen har det i remissvaren fästs uppmärksamhet vid att en föreningsmedlems rätt att ta del av uppgifterna i medlemsförteckningen begränsas till medlemmens namn och hemort. Lagens 11 § 2 mom. har preciserats så att detta tydligare framgår också av lagen. Dessutom har motiveringen preciserats till den del det är fråga om en föreningsmedlems rätt att ta del av uppgifterna i föreningens medlemsförteckning i förhållande till rätten enligt dataskyddsförordningen att ta del av personuppgifter som gäller en själv. 

Förhållandet mellan jordabalkens skadeståndsbestämmelser och det skadeståndsansvar för felaktig behandling av personuppgifter som bestäms med stöd av dataskyddsförordningen har preciserats under den fortsatta beredningen. Dessutom har motiveringen till förslaget till lag om ändring av jordabalken preciserats för att klarlägga förhållandet mellan rättelse av sakfel och tekniskt fel enligt 8 kap. i jordabalken och rättelse eller radering av felaktiga personuppgifter enligt dataskyddsförordningen. 

I förslaget till lag om ändring av utsökningsbalken har det utöver tekniska ändringar gjorts innehållsmässiga ändringar i tre paragrafer. Man har låtit bli att göra en föreslagen ändring som gällde Utsökningsverkets centralförvaltning på den grunden att det vid sidan av dataskyddsförordningen anses vara tillräckligt att centralförvaltningens roll preciseras t.ex. i arbetsordningen. I de allmänt formulerade bestämmelserna om utlämnande av uppgifter har det dessutom av konstitutionella orsaker ansetts motiverat att hålla sig till den lösning enligt vilken tröskeln för utlämnande av uppgifter binds till nödvändighetskriteriet. Bestämmelserna i 1 kap. 26 och 27 § i utsökningsbalken har kompletterats för att beakta behovet att behandla uppgifter om säkerhet i arbetet. Lagens 3 kap. 69 § har ändrats så att bestämmelsen om utlämnande av uppgifter mellan två utsökningsmyndigheter föreslås bli struken som obehövlig, med beaktande av den organisationsreform som träder i kraft vid ingången av 2020. Det föreslås att 70 § 1 mom. 1 punkten i samma kapitel ses över för att möjliggöra att utsökningsmyndigheten fortfarande kan lämna ut uppgifter till skyddspolisen i syfte att förebygga brott som omfattas av dess befogenheter. I fråga om 1 kap. 28 § i utsökningsbalken har dessutom motiveringen justerats för att förtydliga förhållandet mellan de föreslagna särskilda bestämmelserna och 34 § i dataskyddslagen. 

I fråga om det lagförslag som gäller ändring av lagen om registret över djurhållningsförbud har hänvisningen till tillämpliga allmänna författningar om behandling av personuppgifter ändrats under den fortsatta beredningen. De allmänna författningar som ska tillämpas är dataskyddsförordningen och dataskyddslagen. 

Förhållandet mellan 86 § i betaltjänstlagen och dels dataskyddsförordningen, dels direktiv (EU) 2015/2366 har bedömts närmare. Den fortsatta beredningen av ändringarna resulterade i en bedömning enligt vilken beaktandet av kraven i dataskyddsförordningen förutsätter sådana ändringar som kräver en ny remissbehandling. Avsikten är att ta in lagförslaget i en annan proposition som lämnas senare. 

Övriga kommentarer 

Bedömningen av propositionens konsekvenser har preciserats så att ett separat stycke om konsekvenserna för informationssystemen har tagits in i motiveringen. Dessutom har de uppskattningar som gäller mindre administrativa utgifter och den administrativa bördan preciserats. 

Det har föreslagits att de materiella bestämmelserna i utsökningsbalken utvidgas. Riksfogdeämbetet har föreslagit att utsökningsmyndighetens rätt att få uppgifter enligt 3 kap. 66 § 3 punkten i utsökningsbalken ska utvidgas så att den utöver rättshandlingar också täcker andra sådana åtgärder som kan vara av betydelse när gäldenärens egendom eftersöks. Skyddspolisen har föreslagit att utsökningsmyndighetens rätt enligt 3 kap. 70 § 1 mom. att lämna ut uppgifter ska utvidgas så att uppgifter kan lämnas ut också för att skydda den nationella säkerheten. Ändringsförslagen har inte tagits in i denna proposition, eftersom de bedöms ha sådana konsekvenser för skyddet för privatlivet och myndigheternas verksamhet som anses kräva en noggrannare separat bedömning. 

Finansministeriet har fäst uppmärksamhet vid att propositionen innehåller lagförslag med sådana bestämmelser om teknisk anslutning som överlappar bestämmelserna i lagen om informationshantering inom den offentliga förvaltningen (906/2019). I samband med beredningen av propositionen har det bedömts att åtminstone en del av ändringarna har kostnadseffekter som kan vara betydande. Avsikten är att göra en separat bedömning av bestämmelserna om teknisk anslutning. 

SAMBAND MED ANDRA PROPOSITIONER

Vid justitieministeriet pågår ett projekt för ändring av 3 § i partilagen (OM021:00/2019). Avsikten är att ändra partilagen så att en ansökan om registrering av en förening i partiregistret i fortsättningen också ska kunna göras i justitieministeriets webbtjänst. Samtidigt blir det möjligt att på elektronisk väg samla in de stödförklaringar som krävs för registrering av ett parti.  

Vid justitieministeriet pågår också ett projekt för ändring av säkerhetsutredningslagen (OM015:00/2019). I projektet bereds sådana ändringar i säkerhetsutredningslagen som följer av kommissionens genomförandeförordning (EU) 2019/103 om luftfartsskydd. 

Lagändringarna i båda projekten gäller i princip andra bestämmelser än de ändringsförslag som ingår i denna proposition, men behandlingen av samtliga tre propositioner i riksdagen infaller antagligen delvis vid samma tidpunkt. 

DETALJMOTIVERING

LAGFÖRSLAG

1.1  Beredskapslagen

Syftet med beredskapslagen är att under undantagsförhållanden skydda befolkningen samt trygga befolkningens försörjning och landets näringsliv, upprätthålla rättsordningen, de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt trygga rikets territoriella integritet och självständighet. Lagen innehåller bestämmelser om myndigheternas befogenheter under undantagsförhållanden och förberedelser inför undantagsförhållanden. I 103 § finns det bestämmelser om arbetspliktsregistret, som under undantagsförhållanden som avses i lagen inrättas för verkställighet av arbetsplikten och styrning av arbetskraften. I registret ska uppgifter om de arbetspliktiga och om arbetsgivarna föras in. Det är meningen att registerbestämmelserna ska uppfylla ett mål av allmänt intresse, vilket förutsätts i artikel 6.3 i dataskyddsförordningen. Den behandling av personuppgifter som avses i bestämmelserna kan också ses som behövlig med tanke på ett ändamålsenligt fullgörande av arbetsplikten. Den behandling av personuppgifter som anges i lagen har i fråga om såväl införande av uppgifter som rätten att få information begränsats till fullgörandet av arbetsplikten och har således i enlighet med proportionalitetsprincipen begränsats till vad som är nödvändigt med tanke på lagens syfte. Grunden för den behandling av personuppgifter som avses i paragrafen finns i artikel 6.1 c i dataskyddsförordningen. 

Det föreslås att bestämmelserna ses över i fråga om personuppgiftsansvaret och särskilda kategorier av personuppgifter så att kraven i dataskyddsförordningen blir beaktade.  

103 §. Arbetspliktsregistret. I 1 mom. ändras termen registeransvarig till personuppgiftsansvarig i den svenska språkversionen. Dessutom ersätts tredje meningen med en ny som gäller myndigheternas skyldighet att innan de för in uppgifter i registret se till att uppgifterna är riktiga. Ansvarig enligt dataskyddsförordningen för att personuppgifterna är riktiga och för att behandlingen av dem är lagenlig är den personuppgiftsansvarige, och ansvaret kan inte överföras på andra myndigheter. När dessa andra myndigheter själva behandlar personuppgifter som personuppgiftsansvariga vid skötseln av sina egna uppgifter, grundar sig kravet att se till att behandlingen av personuppgifterna är lagenlig direkt på dataskyddsförordningen. Det föreslås emellertid en skyldighet för myndigheterna att se till att de uppgifter som de för in är riktiga när de för in uppgifter i det informationssystem som arbets- och näringsministeriet är personuppgiftsansvarig för. 

Paragrafens 2 mom. föreslås bli preciserat till den del det i samband med uppgifter om den arbetspliktiges arbetsförmåga kan finnas uppgifter om hälsotillstånd eller eventuell funktionsnedsättning. Arbetskraftsmyndigheten kan med stöd av 99 § 1 mom. bli tvungen att behandla uppgifter som gäller en arbetspliktigs hälsotillstånd eller eventuella funktionsnedsättning för att kunna bedöma hurdant arbete den arbetspliktige med beaktande av sitt hälsotillstånd kan åläggas att utföra. Uppgifter som gäller hälsotillstånd eller eventuell funktionsnedsättning och som hänför sig till arbetsförmågan får enligt den föreslagna bestämmelsen föras in i arbetspliktsregistret endast om det är nödvändigt att behandla dessa uppgifter för att de ska kunna beaktas på det sätt som avses i 99 § 1 mom. Det kriterium som fogats till momentet har i praktiken ingen begränsande inverkan på behandlingen av uppgifter om hälsotillstånd eller eventuell funktionsnedsättning, eftersom rätten att behandla uppgifterna i vilket fall som helst fortfarande bestäms med stöd av 99 § 1 mom. Rättslig grund för behandlingen av dessa personuppgifter, som kan jämställas med sådana uppgifter om hälsa som avses i artikel 9.1 i dataskyddsförordningen, är i dessa fall artikel 9.2 led h i dataskyddsförordningen. Enligt det ledet ska förbudet att behandla uppgifter inte tillämpas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda. I ett sådant fall ställer artikel 9.3 i dataskyddsförordningen som villkor för behandlingen att personuppgifterna behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av lagstadgad tystnadsplikt. Ansvaret för behandlingen av uppgifterna ska bäras av myndigheter, som enligt 22 § i lagen om offentlighet i myndigheternas verksamhet är bundna av handlingssekretess och enligt 23 § i den lagen av tystnadsplikt. Uppgifter om hälsotillstånd är enligt 24 § 1 mom. 25 punkten i den lagen sekretessbelagda. 

1.2  Förvaltningslagen

Förvaltningslagen är en allmän lag med bestämmelser om grunderna för god förvaltning och om förfarandet i förvaltningsärenden. Den innehåller bestämmelser om behandlingen av ärenden och handlingar, men inga sådana särskilda bestämmelser om behandlingen av personuppgifter som skulle överlappa den allmänna dataskyddslagstiftningen. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i förvaltningslagen omfattas i regel av dataskyddsförordningen och dataskyddslagen. 

42 §. Anteckning av uppgifter. Paragrafen innehåller en bestämmelse om anteckning av uppgifter som har inhämtats ur ett personregister som avses i personuppgiftslagen. Paragrafen föreslås bli ändrad på så sätt att hänvisningen till personuppgiftslagen stryks. 

1.3  Partilagen

Lagen innehåller bestämmelser om behandling av personuppgifter som hänför sig såväl till det riksomfattande partiregistret som till partianhängare och finansiärer. Vid behandling av personuppgifter om ett partis anhängare framgår den politiska åsikten hos personerna i fråga. Behandlingen av dessa personuppgifter är dock tillåten med stöd av artikel 9.2 a och d i dataskyddsförordningen. I övrigt är den rättsliga grunden för behandling av anhängares personuppgifter i enlighet med artikel 6.1 c i dataskyddsförordningen en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen har också ett sådant mål av allmänt intresse som förutsätts i artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa att ett parti som ska registreras har det i lagen angivna antalet anhängare som är röstberättigade vid riksdagsval, kommunalval eller Europaparlamentsval. Av motiveringen till lagen framgår att de personuppgifter som behandlas ska begränsas till vissa grundläggande uppgifter, som dock inte har preciserats i lagen. 

Behandlingen av personuppgifter som gäller finansiärer kan å sin sida anses vara nödvändig för att förebygga olämpliga försök att påverka partierna och osakliga bindningar mellan partierna och deras finansiärer samt för att möjliggöra effektiv tillsyn. Lagstiftningen har också tidigare ändrats i en riktning som ökar transparensen och tillsynen när det gäller partifinansieringen. (RP 6/2010 rd). Rättslig grund för behandling av personuppgifter är i dessa fall artikel 6.1 c i dataskyddsförordningen. Bestämmelserna om behandling av personuppgifter har i enlighet med proportionalitetsprincipen begränsats till vad som är nödvändigt för att säkerställa tillsynen. I lagen har den personuppgiftsansvarige dock inte preciserats i fråga om olika situationer där personuppgifter behandlas. Det föreslås att den personuppgiftsansvarige preciseras genom denna proposition med undantag för de situationer som avses i 3 §, vilka kommer att beaktas i ett separat lagstiftningsprojekt som gäller ändring av partilagen. 

1 §. Parti och partiregistret. Det föreslås att formuleringen av paragrafen ändras så att justitieministeriets uppgift som personuppgiftsansvarig framgår tydligare. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Dessutom fogas ordet ”partiregistret” till paragrafrubriken. 

9 f §. Redovisningsregistret och tillgången till uppgifter. Paragrafen innehåller bestämmelser om det register över redovisning av partifinansiering som förs av statens revisionsverk och om tillgången till de uppgifter som förs in i registret. I registret införs de uppgifter som ingår i specifikationerna av kostnaderna för och finansieringen av valkampanjen samt i förhandsredovisningarna. Dessutom får det i registret föras in uppgifter som ingår i specifikationer över bidrag som en partinära sammanslutning fått samt uppgifter som ingår i revisionsberättelser och bokslut för föreningar som får understöd som avses i 9 §. Registret finns tillgängligt i det allmänna datanätet. Enligt paragrafen har var och en rätt att ur registret få kopior och uppgifter trots vad som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. De uppgifter som avses i momentet kan också innehålla personuppgifter om enskilda personer till den del det är fråga om givare av bidrag på mer än 1 500 euro eller med deras samtycke också om givare av mindre bidrag. 

Det föreslås att 1 mom. ändras så att statens revisionsverks uppgift som personuppgiftsansvarig för registret över redovisning av partifinansiering uttryckligen framgår av momentet. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Det är meningen att statens revisionsverk utöver att föra registret över redovisning av partifinansiering också ska ha andra uppgifter som personuppgiftsansvarig i enlighet med dataskyddsförordningen. 

1.4  Vallagen

Vallagen tillämpas på riksdagsval, presidentval, kommunalval och Europaparlamentsval. Bestämmelser om kommunalval i landskapet Åland finns i landskapets lagstiftning. Till statsförfattningen i en demokratisk stat anses höra grundlagarna och de vanliga lagar som gäller de högsta statsorganens organisationsform och verksamhet samt medborgarnas allmänna rättigheter och utövandet av dessa. Vallagstiftningen är en viktig del av statsförfattningen. Den fastställer hur medborgarna ska använda sina aktiva politiska rättigheter som t.ex. rösträtten och rätten att ställa upp som kandidat i val. (RP 48/1998 rd) Vallagen innehåller bestämmelser om personregister som hänför sig till förrättandet av val samt bestämmelser om kontroll och rättelse av uppgifter i registren. Behandlingen av uppgifter om personer som är röstberättigade i val är också nödvändig för att säkerställa att valen förrättas på behörigt sätt. Rättslig grund för den behandling av personuppgifter som hänför sig till de register som avses i lagen är artikel 6.1 c i dataskyddsförordningen. Genom de bestämmelser i vallagen som gäller kontroll, rättelseyrkande och självrättelse i fråga om uppgifter i rösträttsregistret anpassas tillämpningen av dataskyddsförordningen i enlighet med dess artikel 6.3 till den del det är fråga om förfaranden som hänför sig till behandling av personuppgifter. 

I 23 § 1—3 mom. i vallagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som tillämpas vid kontroll av uppgifter i rösträttsregistret och i fråga om information om hur rättelseyrkande ska framställas. I paragrafen föreskrivs det särskilt hur och var uppgifterna finns framlagda för den kontroll som avses i vallagen. Bestämmelserna i den gällande paragrafen ska tillämpas samtidigt med artikel 15 i dataskyddsförordningen, men bestämmelserna i vallagen tillämpas som speciallag på kontroll av rösträttsregister som inrättats för enskilda val. Också andra än de registrerade har rätt att få uppgifter ur rösträttsregistret med stöd av vallagen. Bestämmelserna i vallagen begränsar inte den registrerades rättigheter enligt dataskyddsförordningen. Dataskyddsförordningen ska också vara direkt tillämplig vid andra tidpunkter än de som anges i vallagen. 

I 24 § i vallagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som ska tillämpas när yrkande framställas om rättelse av uppgifter i rösträttsregistret. I paragrafen anges det också inom vilken tid rättelse kan yrkas. Paragrafens bestämmelser ska tillämpas samtidigt med artikel 16 i dataskyddsförordningen, men de tillämpas på yrkande av rättelse av uppgifter i rösträttsregister som inrättats för enskilda val. Bestämmelserna i 24 § begränsar inte heller den registrerades rättigheter enligt dataskyddsförordningen, som tillämpas även vid andra tidpunkter än de som avses i vallagen. 

I vallagens 26 § (självrättelse) ingår det mer detaljerade bestämmelser om anpassad tillämpning i fråga om kravet på korrekthet i artikel 5.1 led d i dataskyddsförordningen. Enligt det ledet måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Vallagen innehåller närmare bestämmelser om förfarandet för självrättelse av en felaktig anteckning i ett rösträttsregister som inrättats för enskilda val och om den tid när ändringarna senast ska göras. Bestämmelserna i paragrafen gäller emellertid inte enbart behandling av de registrerades personuppgifter, även om de anteckningar som ska rättas till stor del gäller personuppgifter eller uppgifter som har samband med dem. 

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad vars personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen ha rätt till ett effektivt rättsmedel. Den punkten innehåller en möjlighet att behålla även andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, och dessutom får den registrerade utöva den rätt som anges i artikel 77. I 27 § i vallagen föreskrivs det om rätten att söka ändring i ett beslut genom vilket ett rättelseyrkande enligt 24 § har förkastats eller avvisats eller i ett beslut som avses i 26 § 2 mom. En registrerad som så önskar ska i stället kunna använda rättsmedel som grundar sig direkt på dataskyddsförordningen, när det handlar om att få felaktiga personuppgifter rättade eller raderade.  

Vallagens bestämmelser om behandling av personuppgifter och om ändringssökande kan anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att trygga medborgarnas utövande av sin rösträtt. Den lagens bestämmelser om behandling av personuppgifter bedöms även vara proportionella mot det legitima mål som eftersträvas. 

31 §. Myndighet som behandlar kandidatansökningar. Till de kandidatansökningar som avses i lagen hänför det sig sådan behandling av personuppgifter i fråga om vilken den personuppgiftsansvarige behöver preciseras. Enligt paragrafen avses med den myndighet som behandlar kandidatansökningar valkretsnämnden vid riksdagsval, Helsingfors valkretsnämnd vid presidentval och Europaparlamentsval samt den kommunala centralvalnämnden vid kommunalval. Enligt förslaget ska det till paragrafen fogas ett nytt 2 mom. enligt vilket den myndighet som behandlar kandidatansökningar är personuppgiftsansvarig för sammanställningen av kandidatlistorna och för kandidatförteckningen för presidentval. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Innehållet i sammanställningen av kandidatlistor preciseras i 41 §. Bestämmelser om kandidatförteckningarna för presidentval finns i 42 §. 

43 §. Riksomfattande kandidatregister. Paragrafen innehåller bestämmelser om det riksomfattande kandidatregistret. Till 1 mom. föreslås det bli fogat en uttrycklig bestämmelse enligt vilken justitieministeriet är personuppgiftsansvarig för registret. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. I 2 mom. föreskrivs det om skyldigheten för den myndighet som behandlar kandidatansökningarna att föra in kandidaternas personuppgifter i registret. Dessa myndigheter ska ändå inte betraktas som personuppgiftsansvariga för det riksomfattande kandidatregistret. Det föreslås inga ändringar i momentet. 

1.5  Lagen om kandidaters valfinansiering

I lagen föreskrivs det om kandidaters valfinansiering och om redovisning av finansieringen vid riksdagsval, presidentval, kommunalval och Europaparlamentsval. Syftet med lagen är att öka öppenheten kring valfinansieringen och informationen om kandidaternas eventuella bindningar och att begränsa en ökning av kostnaderna för kandidaternas valkampanjer. Lagen innehåller bestämmelser om registret över redovisning av valfinansiering, och den behandling av personuppgifter som hänför sig till det omfattas av dataskyddsförordningen och dataskyddslagen. Den behandling av personuppgifter som föreskrivs i lagen uppfyller ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa öppenheten kring valfinansieringen. Det ansågs även i samband med stiftandet av lagen att öppenheten kring valfinansieringen kräver ett anmälningsförfarande för att klarlägga vilka bindningar finansieringen eventuellt ger upphov till (RP 8/2000 rd, RP 13/2009 rd). Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Personuppgifterna i redovisningen av valfinansieringen och i redovisningsregistret anges uttömmande i lagen, och behandlingen av personuppgifter har begränsats till vad som är nödvändigt med tanke på lagens syfte. Bestämmelserna bedöms således i enlighet med artikel 6.3 vara proportionella mot det mål som eftersträvas med lagen. 

Lagen innehåller även bestämmelser om tillgången till uppgifter i redovisningsregistret. Grundlagsutskottet har i ett betänkande bedömt bestämmelserna utifrån skyddet för privatlivet, som tryggas i grundlagen. Att ett bidrag från en enskild person till en bestämd kandidat blir offentligt när det överstiger ett i lagen angivet högsta belopp griper för givarens del in i det skydd för privatlivet som 10 § i grundlagen garanterar. Grundlagsutskottet har emellertid ansett att kärnan i skyddet av privatlivet inte berörs av att ett sådant ekonomiskt bidrag görs offentligt. Förslaget grep inte heller in i den i 25 § i grundlagen tryggade valhemlighetens elementära beståndsdelar. (Se GrUB 2/2009 rd, s. 4, GrUB 8/2000 rd, s. 2). 

12 §. Redovisningsregistret och tillgången till uppgifter. Paragrafen innehåller bestämmelser om det register över redovisning av valfinansiering som förs av statens revisionsverk och om tillgången till de uppgifter som ska föras in i registret. I registret införs de uppgifter som ingår i redovisningar, förhandsredovisningar och efterhandsredovisningar, kandidatens i lagen angivna personuppgifter, uppgifter om valfinansieringen och kostnaderna för valkampanjen samt uppgift om lämnad försäkran, om kandidaten har lämnat in en försäkran om att valfinansieringen inte har överskridit gränsen på 800 euro. Var och en har rätt att ur registret få kopior samt uppgifter genom ett allmänt datanät. 

Det föreslås att 1 mom. ändras så att statens revisionsverks uppgift som personuppgiftsansvarig för registret över redovisning av valfinansiering uttryckligen framgår av momentet. Statens revisionsverk har utöver uppgiften att föra registret också andra uppgifter som personuppgiftsansvarig i enlighet med dataskyddsförordningen. Dessutom föreslås momentets svenska språkdräkt bli ändrad för att bättre motsvara den finska språkdräkten. 

1.6  Sametingslagen

Syftet med sametingslagen har varit att tillförsäkra samerna såsom ett urfolk kulturell autonomi inom sitt hembygdsområde i ärenden som angår deras språk och kultur. Grunderna för denna autonomi ska anges i lag. Sametingslagen innehåller bestämmelser om sametinget, som sköter ärenden som hör till samernas autonomi. Valet till sametinget utgör en väsentlig del av genomförandet av autonomin. I lagen ingår det särskilda bestämmelser om behandling av personuppgifter i anslutning till förrättning av val till sametinget. Rösträtten framgår av vallängden, och de personuppgifter som ska ingå i den preciseras i lagen. Lagen innehåller också bestämmelser om vallängdsuppgifternas ändamålsbundenhet och om utlämnande av sådana uppgifter. I lagen föreskrivs det dessutom om meddelande på kort och om kandidatförteckningen. Också i fråga om kandidatförteckningen preciseras de personuppgifter som ska behandlas. Genom bestämmelserna i lagen anpassas bestämmelserna i dataskyddsförordningen i enlighet med dess artikel 6.3 till den del det är fråga om vilken typ av uppgifter som ska behandlas och vilka registrerade som berörs, ändamålsbegränsningar och de ändamål för vilka uppgifter får lämnas ut av samt de förfaranden som ska tillämpas på behandlingen. Rättslig grund för den behandling av personuppgifter som avses i lagen är artikel 6.1 c. De särskilda bestämmelser som ingår i lagen tillämpas i anslutning till förrättandet av val till sametinget. På behandlingen av personuppgifter i samband med skötseln av sametingets uppgifter tillämpas dataskyddsförordningen och dataskyddslagen samtidigt. 

I 26 § i sametingslagen finns det mer detaljerade bestämmelser om anpassad tillämpning av dataskyddsförordningen i fråga om det förfarande som ska tillämpas vid yrkande att anteckningarna i vallängden ska rättas. I paragrafen anges det också inom vilken tid rättelse kan yrkas. Bestämmelserna överlappar delvis artikel 16 i dataskyddsförordningen till den del det gäller den registrerades rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Bestämmelserna i sametingslagen tillämpas som speciallag när det gäller yrkande att uppgifterna i en vallängd som upprättats för enskilda val ska rättas. Bestämmelserna begränsar inte den rätt som den registrerade har med stöd av dataskyddsförordningen och som kan utövas samtidigt samt vid andra tidpunkter än de som avses i sametingslagen. 

I sametingslagens 26 a § (självrättelse) ingår det mer detaljerade bestämmelser om anpassad tillämpning i fråga om kravet på korrekthet i artikel 5.1 led d i dataskyddsförordningen. Enligt det ledet måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Sametingslagen innehåller närmare bestämmelser om förfarandet för självrättelse av en felaktig anteckning i en vallängd som inrättats för enskilda val och om den tid när ändringarna senast ska göras. Bestämmelserna i paragrafen gäller emellertid inte enbart behandling av de registrerades personuppgifter, även om de anteckningar som ska rättas till stor del gäller personuppgifter eller uppgifter som har samband med dem. 

Enligt artikel 79.1 i dataskyddsförordningen ska varje registrerad vars personuppgifter har behandlats på ett sätt som inte är förenligt med dataskyddsförordningen ha rätt till ett effektivt rättsmedel. Den punkten innehåller en möjlighet att behålla även andra administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol, och dessutom får den registrerade utöva den rätt som anges i artikel 77. I 26 b § i sametingslagen föreskrivs det om sökande av ändring i ett i 26 § avsett beslut av sametingets styrelse och ett i 26 a § avsett beslut av valnämnden. En registrerad som så önskar ska i stället kunna använda rättsmedel som grundar sig direkt på dataskyddsförordningen, när det handlar om att få felaktiga personuppgifter rättade eller raderade. 

Sametingslagens bestämmelser om behandling av personuppgifter och om sökande av ändring kan anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att trygga utövandet av rösträtten vid val till sametinget. Lagens bestämmelser om behandling av personuppgifter bedöms även vara proportionella mot det legitima mål som eftersträvas. 

4 a §. Tillämpning av förvaltningsrättsliga författningar. Paragrafens hänvisning till personuppgiftslagen föreslås bli struken. Enligt rubriken gäller paragrafen förvaltningsrättsliga författningar, och hänvisningen behöver således inte ersättas med en hänvisning till dataskyddsförordningen och dataskyddslagen. 

23 §. Vallängd. Valnämnden ska upprätta en vallängd över de röstberättigade i valet till sametinget. I vallängden antecknas de personuppgifter som preciseras i paragrafen. I 1 mom. föreslås det bli preciserat att valnämnden är personuppgiftsansvarig för vallängden. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. Dessutom görs det en språklig översyn av momentet. 

27 a §. Kandidatförteckning. Enligt 1 mom. ska valnämnden upprätta en kandidatförteckning över valbara kandidater. Det föreslås en sådan ändring av momentet att valnämndens uppgift som personuppgiftsansvarig för kandidatförteckningen preciseras. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. 

1.7  Föreningslagen

Föreningslagen tillämpas på ideell föreningsverksamhet, oavsett om den bedrivs i form av en registrerad eller oregistrerad förening. Enligt lagen får en förening bildas för gemensamt fullföljande av ett ideellt syfte. Syftet får inte strida mot lag eller god sed. Lagen gäller inte ekonomiska sammanslutningar där syftet är att ge medlemmarna ekonomisk vinning eller sammanslutningar som annars i huvudsak är ekonomiska. Bestämmelserna i föreningslagen gäller till största delen registrerade föreningar, men en del av bestämmelserna tillämpas också på oregistrerade föreningar och religiösa samfund. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i lagen omfattas av dataskyddsförordningen och dataskyddslagen. Lagen innehåller också särskilda bestämmelser om behandlingen av personuppgifter särskilt till den del det är fråga om kravet på att föra medlemsförteckning och behandlingen av personuppgifter i samband med registrering av en förening samt utlämnande av personuppgifter. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Bestämmelserna bedöms uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, nämligen att säkerställa att föreningsverksamheten uppfyller de krav som föreskrivs för den i lag. Registerbestämmelserna i lagen kan anses begränsa sig till vad som är nödvändigt med tanke på lagens syfte. Å andra sidan förutsätts registerreglering, till den del det är fråga om föreningsregistret, i nuläget också i Europeiska unionens lagstiftning om bekämpning av penningtvätt och av finansiering av terrorism, som delvis har genomförts i Finland genom bestämmelserna i föreningslagen. 

Till den del det eventuellt är fråga om sådana uppgifter i anslutning till en förenings verksamhet som hör till särskilda kategorier av personuppgifter och kan avslöja i synnerhet politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, ska behandlingen av personuppgifter vara tillåten i enlighet med artikel 9.2 d i dataskyddsförordningen. Enligt punkt 2 d i artikeln ska det förbud mot behandling av uppgifter som anges i punkt 1 inte tillämpas om behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. Ett krav för behandlingen av dessa uppgifter är i enlighet med den punkten emellertid att behandlingen enbart rör en förenings medlemmar eller tidigare medlemmar eller personer som på grund av föreningens ändamål har regelbunden kontakt med den och att personuppgifterna inte lämnas ut utanför föreningen utan den registrerades samtycke. På skyddsåtgärder som hänför sig till särskilda kategorier av personuppgifter tillämpas i enlighet med 6 § 1 mom. 2 punkten i dataskyddslagen de skyddsåtgärder som föreskrivs i 2 mom. i den paragrafen. 

11 §. Medlemsförteckning. Enligt lagens 10 § kan medlemmar i en förening vara enskilda personer, sammanslutningar och stiftelser. Till den del det i den medlemsförteckning som avses i 11 § finns fysiska personer, är förteckningen förknippad med behandling av personuppgifter. Enligt den gällande paragrafen ska föreningens styrelse föra en medlemsförteckning. I förteckningen ska varje medlems fullständiga namn och hemort införas. Lagen förutsätter inte att andra personuppgifter införs i förteckningen, men föreningarna har t.ex. i föreningens stadgar kunnat besluta om införande också av andra personuppgifter. I praktiken kan en styrelsemedlem eller funktionär i föreningen ensam se till att förteckningen förs, men också då ansvarar styrelsen för att förteckningen förs på behörigt sätt. Detta innebär också att styrelsemedlemmarna tillsammans har ansvarat för den personuppgiftsansvariges skyldigheter enligt personuppgiftslagen (där kallad registeransvarig), inklusive skyldigheten att säkerställa att uppgifterna i medlemsförteckningen är uppdaterade. 

I paragrafens 1 mom. föreslås det att hänvisningen till styrelsens skyldighet att föra medlemsförteckning stryks. Skyldigheten enligt lagens 35 § att utse en styrelse gäller enligt hänvisningsbestämmelserna inte oregistrerade föreningar. Även oregistrerade föreningar är emellertid skyldiga att föra en förteckning över sina medlemmar i enlighet med 11 §. 

I 2 mom. föreslås det en sådan ändring att den föråldrade informativa hänvisningen till personregisterlagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. Momentets sista mening föreslås bli struken som obehövlig med beaktande av det föreslagna nya momentet. Dessutom föreslås det till momentet bli fogat en mening enligt vilken andra uppgifter än sådana som nämns i 1 mom. får lämnas ut till en föreningsmedlem endast av särskilda skäl, när föreningen har samlat in också andra uppgifter om sina medlemmar. I den finska språkversionen ändras dessutom i första meningen ordet ”tarkoitettuihin” till ”mainittuihin”. Denna ändring påverkar inte svenskan. Genom dessa ändringar görs bestämmelserna tydligare, och föreningarnas medlemmar får ett starkare dataskydd. 

Den rätt som i 2 mom. ges föreningens medlemmar att ta del av de uppgifter som nämns i 1 mom. gäller uppgifter om alla föreningsmedlemmar, inte enbart den registrerades egna personuppgifter. Momentet är fristående från den registrerades rätt enligt artikel 15 i dataskyddsförordningen till tillgång till personuppgifter och inskränker inte den registrerades rätt i detta avseende. Den registrerade har i fråga om sina egna personuppgifter också till övriga delar de rättigheter som anges i dataskyddsförordningen. 

Den skyldighet som föreningens styrelse enligt den gällande paragrafen har att föra en medlemsförteckning föreslås bli flyttad till 3 mom. I momentet ska det preciseras att personuppgiftsansvarig för personuppgifterna i en medlemsförteckning är föreningen. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. För utförandet av den personuppgiftsansvariges uppgifter svarar i en registrerad förening i praktiken föreningens styrelse. Om en oregistrerad förening saknar styrelse, ska föreningens ordförande eller någon annan som sköter föreningens angelägenheter svara för utförandet av den personuppgiftsansvariges uppgifter. Den personuppgiftsansvariges uppgifter och skyldigheter bestäms för föreningars del i enlighet med dataskyddsförordningen och dataskyddslagen utan någon separat hänvisning till den allmänna författning som ska tillämpas. Det föreslagna nya momentet omfattar också den uppgift som styrelsen har att besluta om utlämnande av uppgifter, och som föreslås bli struken ur 2 mom. I fråga om oregistrerade föreningar föreslås ordföranden, styrelseordföranden eller någon annan som sköter föreningens angelägenheter besluta om utlämnande, med beaktande av att en oregistrerad förening inte nödvändigtvis har någon styrelse. 

Med de föreslagna bestämmelserna om personuppgiftsansvaret för en förenings medlemsförteckning har man också strävat efter att undvika förväxling med den personuppgiftsansvarige för föreningsregistret. Personuppgiftsansvarig för föreningsregistret är enligt 47 § 1 mom. Patent- och registerstyrelsen. Även på föreningsregistret tillämpas dataskyddsförordningen och dataskyddslagen till den del registret innehåller personuppgifter. 

47 §. Föreningsregistret och personuppgiftsansvarig. I 1 mom. föreslås det en teknisk ändring av formuleringen, så att Patent- och registerstyrelsen är personuppgiftsansvarig för föreningsregistret. Syftet med ändringen är att förenhetliga den formulering som i lagstiftningen används i fråga om den personuppgiftsansvarige. Paragrafens rubrik ändras så att den motsvarar paragrafens innehåll. 

1.8  Stiftelselagen

Stiftelselagen tillämpas på alla stiftelser som är registrerade i Finland enligt den lagen, om inte något annat föreskrivs i den eller i någon annan lag. En stiftelse som omfattas av lagen ska ha ett nyttigt ändamål, och stiftelsen ska stödja eller bedriva verksamhet som främjar ändamålet. Ändamålet får inte vara att bedriva affärsverksamhet eller bereda någon i stiftelsens närståendekrets ekonomisk fördel, om det inte är fråga om en i lagen avsedd stödstiftelse och släktstiftelse. Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i stiftelselagen omfattas av dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandling av personuppgifter i anslutning till myndighetsuppgifter som hänför sig till registrering av och tillsyn över stiftelser är artikel 6.1 c i dataskyddsförordningen. Lagen innehåller kompletterande särskilda bestämmelser i fråga om kategorier av registrerade personer eller av personuppgifter som behandlas samt i fråga om stiftelseregistret och utlämnande av personuppgifter. Behandlingen av personuppgifter hänför sig i synnerhet till stiftelseurkunden och stiftelseregistret, och dessutom kan den kopplas till olika situationer där uppgifter lämnas ut. Dessa bestämmelser begränsar sig till vad som är nödvändigt för att den myndighetstillsyn som föreskrivs i lagen ska kunna genomföras, och regleringen bedöms således uppfylla det krav på ett mål av allmänt intresse och på proportionalitet som finns i artikel 6.3 i dataskyddsförordningen. Å andra sidan förutsätts registerreglering, till den del det är fråga om stiftelseregistret, i nuläget också i Europeiska unionens lagstiftning om bekämpning av penningtvätt och av finansiering av terrorism, som delvis har genomförts i Finland genom bestämmelserna i stiftelselagen. 

13 kap. Stiftelseregistret

1 §. Stiftelseregistret och personuppgiftsansvarig. Det föreslås en sådan ändring av paragrafens rubrik att termen ”personuppgiftsansvarig” enligt dataskyddslagstiftningen används i stället för ”registermyndighet”. Motsvarande ändring föreslås i 2 mom. Patent- och registerstyrelsen ska vara personuppgiftsansvarig för personuppgifter som ingår i stiftelseregistret. Till stiftelseregistrets datainnehåll hör dessutom andra uppgifter som enligt stiftelselagen ska anmälas till registret. Det föreslås att också hänvisningen till uttrycket ”registermyndighet” ska hållas kvar i momentet, med beaktande av Patent- och registerstyrelsens roll i tillsynen över stiftelser. Registrets datainnehåll när det gäller personuppgifter bestäms i enlighet med kapitlets 3 och 4 §. De personuppgifter som ska registreras kan hänföra sig till stiftelsens styrelseledamöter och deras ersättare, en eventuell verkställande direktör eller en ställföreträdare för verkställande direktören samt till ordföranden, ledamöterna och ersättarna i ett eventuellt förvaltningsråd, revisorerna och personer som eventuellt har getts rätt att företräda stiftelsen. 

1.9  Jordabalken

Fastighetsköp ska enligt lagen ske i bunden form. Jordabalken innehåller bestämmelser som gäller alla fastighetsköp. Inskrivning av äganderätten till en fastighet (lagfart) är förknippad med rättsverkningar som skyddar förvärvaren av fastigheten och dennes avtalspartner. Behandlingen av personuppgifter i anslutning till inskrivning av äganderätt och andra ärenden som gäller fastighetsköp anses således uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen. 

I 5 kap. i jordabalken föreskrivs det om inskrivningsärenden som hänför sig till fastighetsköp. Sådana är lagfart, inskrivning av särskilda rättigheter samt inteckning. Över inskrivningsärenden förs det ett lagfarts- och inteckningsregister, där det också införs anteckningar om övriga rättigheter och gravationer som hänför sig till fastigheter. Bestämmelser om lagfarts- och inteckningsregistret finns i 7 kap. Dessutom ingår bestämmelser om behandling av personuppgifter i 9 a kap., där det föreskrivs om elektroniska ärendehanteringssystem och deras användning Sådan behandling av personuppgifter som hänför sig till ärenden som avses i jordabalken omfattas av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.1 c ger att utfärda nationella bestämmelser som kompletterar dataskyddsförordningen utnyttjas i jordabalken särskilt när det gäller uppgifter som ska registreras och utlämnande av uppgifter. De bestämmelser om behandling av personuppgifter som ingår i jordabalken begränsar sig till vad som är nödvändigt för att säkerställa lagens mål av allmänt intresse och uppfyller således kravet på proportionalitet i artikel 6.3 i dataskyddsförordningen. 

I 8 kap. i jordabalken föreskrivs det om rättelse av sakfel och tekniska fel och om det förfarande som ska tillämpas vid rättelse av sådana fel. Rättelse av sakfel innebär att beslut som grundar sig på uppenbart felaktiga eller bristfälliga uppgifter eller på uppenbart oriktig tillämpning av lag undanröjs och att ärendet avgörs på nytt. Rättelse av ett tekniskt fel innebär att ett uppenbart skriv- eller räknefel, ett tekniskt betingat fel eller andra jämförbara fel rättas. Bestämmelserna i kapitlet handlar således om annat än rättelse eller radering av felaktiga personuppgifter i enlighet med dataskyddsförordningen, och de överlappar inte bestämmelserna i den förordningen. I enlighet med dataskyddsförordningen är den personuppgiftsansvarige med stöd av den förordningen skyldig att rätta eller radera föråldrade eller felaktiga personuppgifter antingen på eget initiativ med stöd av artikel 5.1 d eller på begäran av den registrerade i enlighet med artikel 16 eller 17. 

7 kap. Lagfarts- och inteckningsregister

1 §. Uppgifter som ska antecknas i lagfarts- och inteckningsregistret. I 3 mom. föreslås det en strykning av den informativa hänvisning till personuppgiftslagen enligt vilken den lagen ska tillämpas på behandlingen av personuppgifter i lagfarts- och inteckningsregistret, om inte något annat föreskrivs i denna lag. Dataskyddsförordningen och dataskyddslagen ska tillämpas utan någon separat hänvisning. I 8 kap. i jordabalken föreskrivs det om rättelse av fel. Bestämmelserna gäller dock rättelse av sakfel (1 §) och rättelse av tekniskt fel (2 §) och överlappar således inte bestämmelserna om behandling av personuppgifter. Jordabalken innehåller inte heller i övrigt sådana bestämmelser om behandling av personuppgifter som avviker från den allmänna dataskyddslagstiftningen. 

1 a §. Syftet med lagfarts- och inteckningsregistret. Det föreslås att den svenska språkdräkten i 2 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”. 

9 a kap. Elektroniska ärendehanteringssystem och deras användning

2 §. Behandling av data i ärendehanteringssystemen. Enligt 5 kap. 3 § avses i jordabalken med elektroniska ärendehanteringssystem det elektroniska fastighetsöverlåtelsesystemet och det elektroniska inteckningssystemet. Ärendehanteringssystemen är rikstäckande. Lagens 9 a kap. innehåller närmare bestämmelser om elektroniska ärendehanteringssystem och deras användning. I kapitlets 2 § 2 mom. föreslås det en strykning av den föråldrade hänvisningen till personuppgiftslagen. Dataskyddsförordningen och dataskyddslagen ska tillämpas utan någon uttrycklig hänvisning, på motsvarande sätt som i fråga om lagfarts- och fastighetsregistret. Jordabalken innehåller till denna del inte heller några bestämmelser som avviker från den allmänna dataskyddslagstiftningen. Dessutom ändras formuleringen av momentets andra mening så att Lantmäteriverket är personuppgiftsansvarig för personuppgifter som behandlas i ett elektroniskt ärendehanteringssystem. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. 

3 §. Statens skadeståndsansvar för fel och brister i ärendehanteringssystemens funktion. Statens skadeståndsansvar är något annat än det ansvar den personuppgiftsansvarige enligt dataskyddsförordningen har för att informationssystemen fungerar. Paragrafens rubrik föreslås bli ändrad så att den inte hänvisar till den personuppgiftsansvariges ansvar enligt den förordningen. Dessutom föreslås det till 3 mom. bli fogat en mening enligt vilken dataskyddsförordningen ska tillämpas på skada som orsakats genom behandling av personuppgifter. Genom momentet förtydligas förhållandet mellan jordabalken och dataskyddsförordningen när det gäller att bestämma skadeståndsansvaret. I det gällande momentet stryks, som en lagteknisk ändring, orden ”i tillämpliga delar”. 

1.10  Lagen om registrering av vissa kreditgivare och kreditförmedlare

Lagen om registrering av vissa kreditgivare och kreditförmedlare innehåller bestämmelser om myndigheternas registrerings- och tillsynsuppgift i fråga om sådana aktörer som lämnar konsumentkrediter och förmedlar person-till-person-lån och som inte omfattas av Finansinspektionens tillsyn. Sådana aktörer är i huvudsak s.k. snabblåneföretag. I uppgiften är det fråga om tillstånds- och registreringsuppgifter som omfattar rättslig prövning och förhandskontroll och om tillsyn över lagenligheten i verksamheten inom branschen. Tillsynsuppgiften har koncentrerats till Regionförvaltningsverket i Södra Finland. 

På behandlingen av uppgifter som ingår i registret över kreditgivare och förmedlare av person-till-person-lån tillämpas dataskyddsförordningen och dataskyddslagen. De uppgifter som ska föras in i registret gäller näringsidkare, men eftersom en näringsidkare i vissa fall kan vara en fysisk person ingår där också personuppgifter om enskilda näringsidkare. Dessa personuppgifter behövs för att identifiera enskilda näringsidkare. Dessutom förs det i fråga om alla företag som ska registreras i registret in personuppgifter om ansvariga personer och om dem som gör registeranmälningar. I registret förs det inte in personuppgifter som avses i artikel 9.1 eller 10 i dataskyddsförordningen och inte heller andra personuppgifter som ska anses vara känsliga. Personuppgiftsansvarig är Regionförvaltningsverket i Södra Finland, och rättslig grund för verkets behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Behandlingen av personuppgifter har i lagen begränsats till vad som behövs med tanke på myndighetstillsynen. 

3 §. Register över kreditgivare och förmedlare av person-till-person-lån samt registeranmälan. I 1 mom. föreskrivs det om ett register över kreditgivare och förmedlare av person-till-person-lån. För att principerna om laglighet och ändamålsbegränsning vid behandling av personuppgifter enligt artikel 5.1 a och b i dataskyddsförordningen ska bli beaktade föreslås det att registrets ändamål preciseras i momentet. Samtidigt preciseras formuleringen av momentet i fråga om den personuppgiftsansvarige. 

5 §. Tillförlitlighet. I paragrafen föreskrivs det om de faktorer på basis av vilka den som gör en registeranmälan inte anses tillförlitlig. Den som gör anmälan anses bl.a. inte tillförlitlig om han eller hon genom en lagakraftvunnen dom har dömts till fängelsestraff under de fem senaste åren före en bedömning eller till bötesstraff under de tre senaste åren före bedömningen för ett brott som kan anses visa att personen i fråga är uppenbart olämplig att tillhandahålla konsumentkrediter eller förmedla person-till-person-lån. Bedömningen av dessa omständigheter utgör behandling av sådana uppgifter som avses i artikel 10 i dataskyddsförordningen. Det finns dock inga uttryckliga bestämmelser i lag om behandlingen. Dataskyddsförordningen förutsätter inte nödvändigtvis bestämmelser i lag när uppgifter som avses i artikel 10 behandlas under tillsyn av en myndighet. De personuppgifter som avses i artikeln kan dock i ljuset av grundlagsutskottets tolkningspraxis betraktas som känsliga personuppgifter om vars behandling det är motiverat att i lag utfärda exakta och noggrant avgränsade bestämmelser. Enligt förslaget ska det till paragrafen fogas ett nytt 2 mom. enligt vilket regionförvaltningsverket uttryckligen har rätt att för utredning av den tillförlitlighet som avses i 1 mom. behandla uppgifter som gäller fängelsestraff och bötesstraff.  

7 §. Uppgifter som ska föras in i registret och anmälan om ändringar. Paragrafen innehåller bestämmelser om datainnehållet i registret över kreditgivare och förmedlare av person-till-person-lån. Enligt 1 mom. 9 punkten antecknas i registret skälet till strykning ur registret och när denna har skett. Enligt 18 § ska regionförvaltningsverket bl.a. också avföra en kreditgivare eller en förmedlare av person-till-person-lån ur registret över kreditgivare och förmedlare av person-till-person-lån när den tillförlitlighet som enligt 4 § 1 mom. 3 punkten är en förutsättning för registrering inte längre uppfylls. Även om regionförvaltningsverket behöver behandla uppgifter som avses i artikel 10 i dataskyddsförordningen som ett led i utredningen av tillförlitligheten, behöver uppgifterna inte föras in i registret. Till 2 mom. föreslås det bli fogat en uttrycklig bestämmelse enligt vilken uppgifter om straffrättsliga påföljder inte ska antecknas i registret. På så sätt begränsas behandlingen av de personuppgifter som avses i artikel 10 till vad som är nödvändigt för att utreda tillförlitligheten. 

8 §. Utlämnande av uppgifter. I paragrafen föreslås det en ändring av den föråldrade hänvisningen till personuppgiftslagens 13 §, som gäller behandling av personbeteckningar. De bestämmelser om behandling av personbeteckningar som ersätter den paragrafen finns i 29 § i dataskyddslagen. 

Den gällande paragrafen gör det även möjligt att lämna ut personuppgifter via det allmänna datanätet. Grundlagsutskottet har ansett att det inom ramen för grundlagen är möjligt att offentliggöra personuppgifter i form av en offentlig informationstjänst, om argumenten för det är godtagbara med tanke på garantierna för rättsskydd och de grundläggande fri- och rättigheterna (GrUU 2/2017 rd, s. 7, GrUU 65/2014 rd, s. 4—5, GrUU 32/2008 rd, s. 2—3). Med avseende på skyddet för privatlivet och för personuppgifter är det enligt utskottet av relevans att det i webbaserade personregister inte går att söka uppgifter på stora grupper utan t.ex. bara genom enskild sökning. (GrUU 2/2017 rd, s. 7, GrUU 32/2008 rd, s. 3). Enligt förslaget ska det till paragrafen fogas en mening enligt vilken en förutsättning för utlämnande av uppgifter via ett allmänt datanät är att personuppgifter kan sökas endast som enskild sökning. 

1.11  Utsökningsbalken

Utsökningsbalken tillämpas på verkställigheten av privaträttsliga skyldigheter som förelagts i tvistemål eller brottmål och som ingår i domar eller andra i utsökningsbalken avsedda utsökningsgrunder samt på verkställigheten av skyldigheter som förelagts genom ett förvaltningsprocessbeslut eller i förvaltningsförfarande, om det finns en utsökningsgrund enligt utsökningsbalken och verkställigheten förutsätter sådana åtgärder som avses i den lagen. Utsökningsbalken innehåller också bestämmelser om behandling av personuppgifter i samband med dessa åtgärder, inklusive bestämmelser om utsökningens informationssystem och utsökningsregistret samt bestämmelser om utlämnande av uppgifter. Sådan behandling av personuppgifter som avses i lagen omfattas, oberoende av utsökningsgrunden, i egenskap av administrativt förfarande av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger utnyttjas när det gäller registrets datainnehåll, avförande av uppgifter och utlämnande av personuppgifter. Dessutom föreslås det att bestämmelserna preciseras i fråga om uppgifter som hör till särskilda kategorier av personuppgifter samt andra känsliga personuppgifter. Avsikten är att samtidigt se över bestämmelserna om utlämnande av personuppgifter så att grundlagsutskottets tolkningspraxis beaktas. 

1 kap. Allmänna bestämmelser

2 §. Förhållande till annan lagstiftning. Enligt förslaget fogas det till paragrafen ett nytt, informativt 2 mom. I momentet preciseras de allmänna författningar som ska tillämpas när personuppgifter behandlas i samband med utsökningsärenden, av den orsaken att utsökningsgrunden också kan vara ett brottmål. Utsökningsmyndigheterna kan också i vissa EU-medlemsstater höra till de behöriga myndigheter som avses i dataskyddsdirektivet. På myndigheter som avses i utsökningsbalken föreslås dock dataskyddsförordningen och den kompletterande dataskyddslagen bli tillämpade i alla situationer. 

24 §. Utsökningens informationssystem och utsökningsregistret. Den andra meningen i 1 mom. föreslås bli struken. En bestämmelse om den personuppgiftsansvarige ska ingå i 25 §, och den drift och det utvecklande av informationssystemet som avses i det gällande momentet hör direkt med stöd av dataskyddsförordningen till den personuppgiftsansvariges uppgifter i enlighet med den föreslagna 25 §. 

25 §. Personuppgiftsansvarig. I den gällande paragrafen föreskrivs det om Utsökningsverkets uppgift som personuppgiftsansvarig. Paragrafens andra mening föreslås bli struken. Enligt den sörjer Utsökningsverkets centralförvaltning för den allmänna driften av registret och meddelar föreskrifter om hur uppgifterna tekniskt ska föras in och behandlas. Centralförvaltningen är en del av Utsökningsverket, och verket har i egenskap av personuppgiftsansvarig möjlighet att utan bestämmelser i lag påföra centralförvaltningen uppgifter som den personuppgiftsansvarige har. Centralförvaltningens tjänstemän och utmätningsmännen behandlar personuppgifter direkt med stöd av dataskyddsförordningen, i enlighet med anvisningar från den personuppgiftsansvarige. I den finska språkversionen görs i den första meningen en ändring i fråga om begreppet personuppgiftsansvarig. Den ändringen påverkar inte svenskan. 

26 §. Registrets datainnehåll. Det föreslås att 1 mom. 3 punkten formuleras om med beaktande av att personuppgiftslagen har upphävts. Dessutom föreslås det en högre registreringströskel i fråga om de socialvårdsförmåner som avses i lagen, så att på utmätningen inverkande nödvändiga uppgifter om socialvårdsförmåner får föras in i registret (specialuppgifter). Även om uppgifterna inte hör till de uppgifter som avses i artikel 9.1 eller 10 i dataskyddsförordningen utgör de känsliga uppgifter som avses i 11 § i den upphävda personuppgiftslagen, och på dem kan således fortfarande tillämpas de principer för bestämmelser i lag som framgår av grundlagsutskottets tolkningspraxis. 

I momentet föreslås det en ny 4 punkt, med stöd av vilken det i utsökningsregistret får föras in sådana av parterna eller utomstående erhållna och av utsökningsmyndigheterna på annat sätt inhämtade uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning som är nödvändiga för beviljande av fria månader eller begränsning av utmätningen på lönen på grund av väsentligt nedsatt betalningsförmåga, eller som det annars med tanke på gäldenärens intresse är nödvändigt att föra in. Det föreslås även en ny 5 punkt, med stöd av vilken det i utsökningsregistret får föras in sådana av myndigheterna erhållna personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder och som det med tanke på utsökningsmyndigheternas skötsel av sina uppgifter i anslutning till brottmålet i fråga är nödvändigt att föra in. Bestämmelser om förutsättningarna för behandling av sådana personuppgifter finns i artikel 10 i dataskyddsförordningen och i 7 § i dataskyddslagen. Bestämmelser om tillämpliga skyddsåtgärder finns i 6 § 2 mom. i dataskyddslagen. Dataskyddsförordningen förutsätter inte nödvändigtvis bestämmelser i lag till den del det är fråga om personuppgifter som avses i artikel 10, när behandlingen sker under kontroll av en myndighet. De betraktas ändå i enlighet med grundlagsutskottets tolkningspraxis som känsliga personuppgifter, och därför är det motiverat att i lag separat föreskriva om rätten att behandla dem. 

Dessutom föreslås det i momentet en ny 6 punkt, med stöd av vilken det i utsökningsregistret får föras in uppgifter om en registrerads hotfulla eller våldsamma beteende i samband med ett utsökningsärende eller uppgifter om andra omständigheter som äventyrar säkerheten, till den del det är nödvändigt att föra in uppgifterna för att utmätningsmannens säkerhet i arbetet ska kunna tryggas (uppgifter om säkerhet i arbetet). Bestämmelser om behandlingen av sådana uppgifter finns inte i artikel 9 eller 10 i dataskyddsförordningen, men de ska i enlighet med grundlagsutskottets tolkningspraxis betraktas som känsliga personuppgifter (se t.ex. GrUU 51/2018 rd, s. 11—12 och 13). En förutsättning för att uppgifterna ska få föras in är att de är nödvändiga och att de hänför sig till ett sådant beteende hos en registrerad som har samband med en utmätningsmans utövande av sina av befogenheter gentemot den registrerade i fråga. Vid sidan av hotfullt eller våldsamt beteende kan andra omständigheter som äventyrar säkerheten vara t.ex. information om utrustning för droganvändning i en lägenhet, vilket avslöjar omständigheter som gäller en persons privatliv. 

27 §. Rätt att behandla uppgifter. Det föreslås att 1 mom. upphävs och att den informativa hänvisningen i momentet ska beaktas i ändrad form i kapitlets 2 §. Paragrafens 2 mom. föreslås bli ändrat på så sätt att det beaktas att tjänstemän vid Utsökningsverket i vissa situationer behöver behandla uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning, personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder samt uppgifter om säkerhet i arbetet. I syfte att beakta den högre tröskeln för behandling av specialuppgifter har momentet redan tidigare ändrats genom lag 778/2019. Samma tröskel för behandling föreslås också gälla de nya kategorierna av personuppgifter. 

28 §. Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Den gällande paragrafen innehåller en bestämmelse om möjligheten att skjuta upp utövandet av en registrerads rätt till insyn i situationer där denna rätt skulle försvåra verkställigheten avsevärt. Det föreslås att paragrafen ändras i syfte att beakta bestämmelserna i dataskyddsförordningen och dataskyddslagen. Den gällande paragrafrubriken ”De registrerades rätt till insyn” föreslås bli ändrad så att den motsvarar paragrafens ändrade innehåll och rubriken för 34 § i dataskyddslagen. 

Inom ramen för det handlingsutrymme som artikel 23 i dataskyddsförordningen ger kan en registrerads rätt enligt artikel 15 att få tillgång till uppgifter som samlats in om honom eller henne begränsas genom en lagstiftningsåtgärd, om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett mål enligt något av leden i artikel 23.1. Grund för att med stöd av 1 kap. 28 § i den gällande utsökningsbalken skjuta upp utövandet av en registrerads rätt till insyn kan närmast vara verkställande av straffrättsliga sanktioner i enlighet med led d eller verkställighet av civilrättsliga krav (civil law claims) i enlighet med led j. Möjligheten till denna begränsning kan bibehållas under förutsättning att lagstiftningsåtgärderna innehåller specifika bestämmelser avseende åtminstone de frågor som nämns i artikel 23.2, när så är relevant. 

Paragrafens rubrik föreslås bli ändrad till ”Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne”. I 1 mom. föreslås det en bestämmelse om undantag från den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter. På samma sätt som enligt den gällande bestämmelsen ska rätten för en registrerad att få tillgång till uppgifter som samlats in om honom eller henne kunna skjutas upp fram till dess att behövliga utmätningar eller andra verkställighetsåtgärder har utförts och egendomen har tagits om hand av utmätningsmannen, dock högst sex månader från begäran om tillgång till uppgifterna. Hänvisningen till begäran om rätt till insyn föreslås emellertid bli struken ur momentet. Dessutom ska en förutsättning, i överensstämmelse med den gällande lagen, vara att tillgången till uppgifterna skulle kunna försvåra verkställigheten avsevärt och att uppskjutandet begränsas till vad som är behövligt. Avsikten med att skjuta upp rätten att få tillgång till uppgifter är att gäldenären inte ska kunna vidta åtgärder för att omintetgöra verkställigheten. Det är fråga om en säkringsåtgärd som syftar till att förhindra olämpliga metoder att undvika utsökning i synnerhet i utsökningsärenden som kräver utredningar i flera steg och som gäller stora fordringar, där utsökningsmyndighetens verksamhet kan äventyras om gäldenärerna öppet kan följa utsökningsmyndighetens åtgärder. Sådana åtgärder kan vara t.ex. utmätningsmannens förfrågningar hos banker eller andra utomstående. Det föreslagna momentet utgör en särskild bestämmelse i förhållande till 34 § 1 mom. i dataskyddslagen och ska tillämpas i stället för det momentet. Avvikande från bestämmelsen i dataskyddslagen innebär det inte att rätten till tillgång utesluts helt och hållet, utan endast att den skjuts upp. 

Paragrafens 2 mom., som gäller dataombudsmannens kontrollrätt, överlappar dataskyddslagen. I 34 § 4 mom. i den lagen föreskrivs det att om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade. 

I det ändrade 2 mom. föreslås det en bestämmelse om den registrerades rätt att få tillgång till övriga uppgifter som rör honom eller henne, om tillgången till uppgifter skjuts upp endast delvis. Momentet motsvarar till innehållet 34 § 2 mom. i dataskyddslagen, men med beaktande av att bestämmelserna i det föreslagna 1 mom. avviker från dataskyddslagen behövs det en särskild bestämmelse för att klarlägga vilka ytterligare förutsättningar som är förknippade med begränsningen av rätten till tillgång. Det föreslagna nya momentet ska iakttas i stället för 34 § 2 mom. i dataskyddslagen. Enligt förslaget ska i dessa situationer i övrigt 34 § 3 och 4 mom. i dataskyddslagen iakttas. Den registrerade ska således få uppgifter som rör honom eller henne till den del de kan lämnas ut utan att utsökningen äventyras. Den registrerade ska också i enlighet med dataskyddslagen underrättas om orsakerna till begränsningen, om detta inte äventyrar utsökningen. Dessutom ska den registrerade ha rätt att begära att uppgifterna lämnas till dataombudsmannen. Den registrerades rätt till tillgång föreslås bli begränsad endast till de delar och under den tid som det är nödvändigt för att säkerställa verkställigheten av utsökningsåtgärder. Dessa bestämmelser bedöms uppfylla kraven i artikel 23.2 i dataskyddsförordningen på specifika bestämmelser, tillsammans med de bestämmelser i dataskyddsförordningen och dataskyddslagen som är allmänt tillämpliga på de registrerades rättigheter samt andra bestämmelser i utsökningsbalken. 

29 §. Avförande av uppgifter. Paragrafen innehåller bestämmelser om avförande av uppgifter ur utsökningsregistret. I bestämmelserna i paragrafen används det handlingsutrymme som anges i artikel 6.3 i dataskyddsförordningen att utfärda sådana mer detaljerade bestämmelser om tiderna för avförande av uppgifter som möjliggör en lång bevaringstid (30 år) för ärendehanteringsuppgifter. En lång bevaringstid behövs i synnerhet för att långvariga utsökningsåtgärder ska kunna beaktas. I 1 mom. 2 punkten föreskrivs det emellertid om avförande av samarbetsuppgifterna när de inte längre behövs eller när ärendet inte längre är anhängigt eller när tiden för passivregistreringen upphör. I 3 punkten anges dessutom ett snabbare avförande för specialuppgifter än för ärendehanteringsuppgifter. Enligt den gällande punkten ska specialuppgifterna avföras10 år efter införandet eller tidigare, om uppgifterna uppenbarligen inte längre behövs. I 2 mom. anges det att specialuppgifterna får förvaras i längre tid än 10 år om det finns grundad anledning, dock inte över 20 år från det att de infördes. Med beaktande av att tiderna för avförandet är graderade och att specialuppgifterna i egenskap av känsliga uppgifter omfattas av en kortare bevaringstid bedöms bestämmelserna om tider för avförande vara proportionella. 

Det föreslås att 1 mom. 3 punkten ändras så att den kortare bevaringstiden utöver specialuppgifter också ska gälla gäller uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning samt uppgifter om säkerhet i arbetet. Dessa uppgifter bedöms vara särskilt känsliga med tanke på skyddet för en persons privatliv, och därför är det motiverat att som en skyddsåtgärd när det gäller den registrerades rättigheter se till att uppgifterna inte bevaras längre än vad som är behövligt. Dessutom föreslås det en sådan ändring av 2 mom. att det i momentet hänvisas till alla uppgifter som avses i 3 punkten. En grundad anledning till att bevara uppgifter om hälsotillstånd eller funktionsnedsättning i mer än 10 år föreslås vara att de fortfarande är nödvändiga för beviljande av fria månader eller begränsning av utmätningen på lönen på grund av väsentligt nedsatt betalningsförmåga eller att det annars med tanke på gäldenärens intresse är nödvändigt att spara dem. Grunden för att bevara uppgifter om säkerhet i arbetet längre ska vara att en person som är föremål för utsökningsåtgärder fortfarande utgör ett hot mot utmätningsmannens säkerhet i arbetet.  

3 kap. Allmänna bestämmelser om förfarandet

65 §. Känsliga personuppgifter och uppgifter om utomstående. Det föreslås en sådan ändring av 1 mom. att hänvisningen till i 11 § i personuppgiftslagen avsedda känsliga personuppgifter ersätts med hänvisningar till i artiklarna 9.1 och 10 i dataskyddsförordningen avsedda personuppgifter. När uppgifter inhämtas hos en utomstående ska det i överensstämmelse med den gällande bestämmelsen undvikas att utmätningsmannen får tillgång till sådana uppgifter. Utmätningsmannen ska med stöd av lagen precis som för närvarande ha rätt att behandla uppgifter om socialvårdsförmåner som gäldenären har mottagit. De ingår inte i de särskilda kategorier av personuppgifter som nämns i dataskyddsförordningen, så därför föreslås det att hänvisningen till socialvårdsförmåner stryks ur paragrafen som obehövlig. 

69 §. Utlämnande av uppgifter för handläggningen av administrativa uppgifter. Den gällande 3 kap. 69 § innehåller huvudsakligen informativa bestämmelser om handlingars offentlighet och utlämnande av personuppgifter. Med tanke på att bestämmelser om utlämnande av personuppgifter finns i kapitlets 70—72 §, föreslås det att rätten enligt 69 § att trots sekretessbestämmelserna lämna ut uppgifter överförs till de paragraferna. Den informativa hänvisningen till lagen om offentlighet i myndigheternas verksamhet behöver inte behållas eftersom den allmänna lagen tillämpas på offentlighet för myndighetshandlingar också utan en särskild bestämmelse. Däremot föreslås det att det till 70—72 § fogas en innehållsmässig hänvisning till den lagen. Den interna informativa hänvisning som finns i den paragraf som föreslås bli upphävd och gäller det som föreskrivs i 1 kap. behöver inte heller behållas. Det föreslås också att den allmänna rätten att lämna ut uppgifter mellan utsökningsmyndigheterna stryks ur paragrafen med tanke på att det i och med organisationsreformen inte behöver föreskrivas om utlämnandet av uppgifter inom utsökningsväsendet. I paragrafen behövs det endast en bestämmelse om utlämnande av uppgifter till justitieministeriet för handläggningen av administrativa uppgifter. I fråga om den bestämmelse som ska behållas föreslås det att utsökningsmyndigheten trots sekretessbestämmelserna ska ha rätt att lämna ut uppgifter till justitieministeriet i den utsträckning uppgifterna är nödvändiga för handläggningen av administrativa uppgifter, detta med beaktande av grundlagsutskottets tolkningspraxis. Paragrafens rubrik föreslås också bli ändrad så att den motsvarar innehållet i paragrafen. 

70 §. Förundersökningsmyndigheter och vissa andra myndigheter samt domstolar. I 1 mom. anges det till vilka myndigheter och för vilka ändamål en utsökningsmyndighet i enskilda fall ur en handling som finns hos utsökningsmyndigheten får lämna ut svarandens identifieringsuppgifter och kontaktinformation samt uppgifter om svarandens ekonomiska ställning och verksamhet. Det föreslås att det till momentets inledande stycke fogas en hänvisning till bestämmelser någon annanstans i lag, så att utsökningsmyndigheten i enskilda fall får lämna ut uppgifter som avses i momentet utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Uppgifterna ska också vara nödvändiga för de ändamål som anges i momentet. 

I momentets 1 punkt föreslås det en sådan ändring att en utsökningsmyndighet har rätt att lämna ut nödvändiga uppgifter till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet. Sådana brott är t.ex. terroristbrott och spioneri. Enligt den gällande punkten får uppgifter lämnas ut till en åklagar- och förundersökningsmyndighet för utredning, förundersökning, åtalsprövning och domstolsbehandling av brott samt för förebyggande av grova brott. Denna punkt har också omfattat skyddspolisen i dess egenskap av förundersökningsmyndighet, men rätten att lämna ut uppgifter har inte begränsats enligt brottsbeteckning utan enligt hur grovt ett brott är. Sedan lagstiftningen om civil underrättelseinhämtning trädde i kraft är skyddspolisen inte längre en förundersökningsmyndighet. Enligt den ändrade 10 § i polisförvaltningslagen (110/1992) har skyddspolisen dock fortfarande till uppgift att förhindra brott som kan hota statsskicket och samhällsordningen eller rikets inre eller yttre säkerhet. De brott som omfattas av skyddspolisens befogenheter har kvarstått oförändrade vid lagändringen. Skyddspolisen får dessutom enligt 48 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) behandla bl.a. personuppgifter som behövs för att förhindra och avslöja brott som hotar stats- och samhällsordningen eller statens säkerhet. När det gäller utlämnande av uppgifter är det skäl att beakta att utlämnandet ska kopplas inte bara till den mottagande myndighetens befogenheter utan också till dess rätt att behandla personuppgifterna i fråga. Genom ändringen av bestämmelsen försäkrar man sig om att en utsökningsmyndighet fortfarande får lämna ut nödvändiga uppgifter till skyddspolisen för att förebygga brott som omfattas av dess befogenheter, men brotten preciseras i enlighet med de begränsningar som följer av polislagstiftningen. 

Till 2 mom. fogas, på motsvarande sätt som till 1 mom., orden ”trots sekretessbestämmelserna”. Dessutom ska utlämnandet av uppgifterna vara nödvändigt för det ändamål som anges i momentet. 

71 §. Skattemyndigheter och beviljare av offentliga stöd. I fråga om en utsökningsmyndighets rätt att lämna ut uppgifter föreslås att det till det inledande stycket i 1 mom. fogas en hänvisning till sekretessbestämmelserna, så att uppgifter får lämnas ut utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Dessutom ska utlämnandet av uppgifterna vara nödvändigt för det ändamål som anges i momentet. 

72 §. Utlämnande av uppgifter på eget initiativ. Paragrafens 1 mom. innehåller bestämmelser om vissa situationer där utmätningsmannen på eget initiativ får lämna ut uppgifter till en i 70 § 1 mom. 1 punkten avsedd myndighet. Med tanke på de krav som följer av 10 § i grundlagen är ett sådant allmänt bemyndigande att lämna ut uppgifter rätt öppet och vagt. Bestämmelsen föreslås bli preciserad på så sätt att uppgifterna ska vara nödvändiga för att myndigheten i fråga ska kunna sköta sin uppgift. Motsvarande precisering föreslås också i 2 och 3 mom. Dessutom får 1 mom. en tydligare struktur. I 2 mom. föreslås det, i syfte att åtgärda dubbelreglering och för tydlighetens skull, att den andra meningen ersätts med en informativ hänvisning till en sådan tillämplig bestämmelse i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) där utsökningsmyndigheterna anges vara anmälningspliktiga myndigheter när det gäller tvivelaktiga transaktioner. Till 1—3 mom. ska det enligt föreslaget fogas en hänvisning till sekretessbestämmelserna, så att uppgifter får lämnas ut utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna. Paragrafens 4 mom. föreslås bli upphävt eftersom det överlappar kraven i artikel 5.1 c och d i dataskyddsförordningen. 

4 kap. Utmätning

33 §. Registeranmälningar. Det föreslås att den svenska språkdräkten i 1 mom.6 punkten och 3 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”. Även i 2 mom. görs en översyn av den svenska språkdräkten. 

1.12  Lagen om ändring av 1 kap. 2 § i utsökningsbalken

Utsökningsbalkens 1 kap. 2 § har ändrats genom lagen om ändring av 1 kap. 2 § i utsökningsbalken (26/2016). Paragrafen enligt den lagen har ännu inte trätt i kraft, utan avsikten är att den ska sättas i kraft separat genom förordning av statsrådet. Eftersom det har föreslagits att ett nytt 2 mom. fogas till den gällande 1 kap. 2 § i utsökningsbalken, behöver också den paragraf som ändrats genom lag 26/2016 ändras på motsvarande sätt. Samtidigt föreslås lag 26/2016 bli upphävd. 

2 §. Förhållande till annan lagstiftning. Det föreslås att det till 1 kap. 2 § i utsökningsbalken, sådan paragrafen lyder ändrad genom lag 26/2016, fogas ett nytt, informativt 2 mom. I momentet preciseras de allmänna författningar som ska tillämpas när personuppgifter behandlas i samband med utsökningsärenden, av den orsaken att utsökningsgrunden också kan vara ett brottmål. Utsökningsmyndigheterna kan också i vissa EU-medlemsstater höra till de behöriga myndigheter som avses i dataskyddsdirektivet. På myndigheter som avses i utsökningsbalken föreslås dock dataskyddsförordningen och den kompletterande dataskyddslagen bli tillämpade i alla situationer. 

1.13  Lagen om skuldsaneringsregistret

Ändamålet med det skuldsaneringsregister som anges i lagen är att säkerställa att aktuella uppgifter om enskilda personers skuldsaneringsärenden finns tillgängliga för domstolarnas och myndigheternas verksamhet, för bevakning av borgenärernas intressen, för tryggande av utomståendes intressen och rättigheter samt för statistik och forskning. Registerbestämmelserna kan således anses uppfylla ett mål av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen. I lagen preciseras på ett uttömmande sätt registrets datainnehåll, som är begränsat till vad som behövs med tanke på registrets ändamål. Behandlingen är således också proportionell i enlighet med artikel 6.3 i dataskyddsförordningen. Rättslig grund för den behandling av personuppgifter som hänför sig till skuldsaneringsregistret är artikel 6.1 c i dataskyddsförordningen. Rättsregistercentralen har som personuppgiftsansvarig en lagstadgad skyldighet att föra registret. Det nationella handlingsutrymmet att utfärda bestämmelser som kompletterar dataskyddsförordningen utnyttjas särskilt när det gäller uppgifter som ska registreras och bevaringstiderna för dem samt utlämnande av personuppgifter. 

1 §. Registrets ändamål och förvaltning. Det föreslås att formuleringen av paragrafens första mening ändras så att det tydligare framgår att Rättsregistercentralen är personuppgiftsansvarig för skuldsaneringsregistret och att centralen utöver att föra registret också fullt ut ska ha andra uppgifter som hör till en personuppgiftsansvarig. Det är möjligt att föreskriva om den personuppgiftsansvarige när ändamålen och medlen för behandlingen av personuppgifter anges i lagstiftningen på det sätt som avses i artikel 4.7 i dataskyddsförordningen. De övriga myndigheter som nämns i lagen, och särskilt den domstol enligt 2 § som behandlar skuldsaneringsärenden, ska i enlighet med gällande praxis fortfarande vara de som lämnar ut uppgifter, oberoende av hur uppgifterna lämnas ut. 

5 §. Avförande av uppgifter ur registret. Det föreslås att paragrafens 3 mom. upphävs som obehövligt. Bestämmelser om den registrerades rätt att få uppgifter rättade finns i artikel 16 i dataskyddsförordningen, och bestämmelser om den personuppgiftsansvariges skyldighet att underrätta mottagare av uppgifter om eventuella rättelser av uppgifterna finns i artikel 19 i den förordningen. Bestämmelserna ska tillämpas utan någon uttrycklig hänvisning. 

10 §. Förhållande till annan lagstiftning. Det föreslås att den informativa hänvisningen till personuppgiftslagen stryks ur paragrafen. 

1.14  Lagen om näringsförbud

Näringsförbud enligt lagen om näringsförbud kan med stöd av den lagen meddelas i syfte att förhindra att otillbörlig och skadlig rörelse drivs samt för att bevara förtroendet för näringsverksamheten. Lagen innehåller sådana särskilda bestämmelser som hänför sig till behandlingen av personuppgifter och gäller näringsförbudsregistret och utlämnande av personuppgifter. Personuppgiftsansvarig för näringsförbudsregistret är Rättsregistercentralen. 

Näringsförbudet har karakteriserats som en närmast näringsrättslig säkringsåtgärd som syftar till att förhindra olämplig och skadlig rörelse samt till att upprätthålla förtroendet för näringsverksamheten (RP 198/1996 rd, RP 269/2016 rd, HD 2004:131 och HD 1998:43). Näringsförbudet betraktas inte som en straffrättslig påföljd, även om näringsförbud enligt lagen alltid meddelas av allmän domstol på yrkande av åklagaren. Näringsförbud kan meddelas en i 2 § i lagen om näringsförbud avsedd person, om han eller hon vid drivandet av rörelse av någon annan orsak än betalningsoförmåga väsentligen har åsidosatt de lagstadgade skyldigheter som hänför sig därtill, eller om han eller hon vid drivandet av rörelse har gjort sig skyldig till brottsligt förfarande som inte kan anses ringa. 

Sådan behandling av personuppgifter som hänför sig till näringsförbud omfattas av dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandlingen är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger att utfärda bestämmelser utnyttjas i lagen när det gäller personuppgifter som ska registreras och utlämnande av dem. Det är inte nödvändigt att göra ändringar i lagförslaget på grund av dataskyddsförordningen eller dataskyddslagen avseende brottmål. I lagen föreslås det emellertid en precisering av den allmänna lag som ska tillämpas på behandlingen av personuppgifter. Ändringen behövs eftersom det annars kan uppstå oklarhet om vilken lag som ska tillämpas, med beaktande av åklagarens roll i förfarandet. 

1 a §. Förhållande till annan lagstiftning. Det föreslås att det till lagen fogas en ny paragraf som preciserar lagens förhållande till de rättsakter och författningar som allmänt tillämpas på behandlingen av personuppgifter, dvs. dataskyddsförordningen och dataskyddslagen.  

21 §. Register. Det föreslås att den svenska språkdräkten i 2 mom. ses över så att termen ”registeransvarig” ändras till ”personuppgiftsansvarig”. Dessutom görs det en sådan lagteknisk ändring i början av momentet att uttrycket ”utan hinder av” ersätts med uttrycket ”trots vad som föreskrivs i”. 

1.15  Lagen om Institutet för kriminologi och rättspolitik

Enligt lagen om Institutet för kriminologi och rättspolitik har institutet till uppgift att bedriva oberoende kriminologisk och annan rättspolitisk forskning med beaktande av justitieministeriets och samhällets informationsbehov, följa och analysera brottsligheten, hur kontrollen av brottsligheten och påföljdssystemet fungerar, rättsförhållandena och lagstiftningens konsekvenser samt rapportera om utvecklingen inom dess områden, och förvalta de forskningsregister som behövs för att institutet ska kunna sköta sina lagbestämda uppgifter. De uppgifter som används för forskning och som förs in i register som hänför sig till den kan härröra från källor som i fråga om det ursprungliga ändamålet för behandlingen av personuppgifter omfattas av antingen dataskyddsförordningen eller dataskyddslagen avseende brottmål. Institutets behandling av personuppgifter utgör i förhållande till dessa ursprungliga ändamål för behandlingen sådan behandling av personuppgifter som avses i artiklarna 5.1 b och 89 i dataskyddsförordningen och i 5 § 3 mom. i dataskyddslagen avseende brottmål och som är förenlig med det ursprungliga ändamålet för behandlingen. Även om institutet behandlade personuppgifter från källor som omfattas av dataskyddslagen avseende brottmål, skulle det inte betraktas som en sådan behörig myndighet som avses i den lagen. Således tillämpas på den behandling av personuppgifter som hänför sig till institutets forskningsverksamhet till alla delar dataskyddsförordningen och dataskyddslagen, och rättslig grund för behandlingen är artikel 6.1 e i dataskyddsförordningen (utförande av en uppgift av allmänt intresse). I denna lag behövs det ändå inga bestämmelser om rätten att för forskningsändamål behandla uppgifter som hör till särskilda kategorier av personuppgifter eftersom det i 6 § 1 mom. 7 punkten i dataskyddslagen redan föreskrivs om behandling av uppgifter som hör till särskilda kategorier av personuppgifter för vetenskaplig eller historisk forskning eller för statistikföring. Bestämmelsen i dataskyddslagen grundar sig på artikel 9.2 j i dataskyddsförordningen. Enligt dataskyddsförordningens artikel 9.2 j, som gäller särskilda kategorier av uppgifter, är behandling av uppgifter som avses i punkt 1 tillåten när behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt. En förutsättning är då att den nationella rätten står i proportion till det eftersträvade syftet, är förenligt med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Behandling av uppgifter som hör till särskilda kategorier av personuppgifter förutsätter alltså att institutet, som är personuppgiftsansvarig, i enlighet med 6 § 2 mom. i dataskyddslagen vidtar ändamålsenliga och särskilda åtgärder för att skydda den registrerades rättigheter. Av ansvarsskyldigheten enligt artikel 5.2 i dataskyddsförordningen följer att institutet också ska kunna visa att de valda skyddsåtgärderna är lämpliga och proportionella. 

Också personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas, om uppgifterna behandlas för ovan avsedda syften som anges i 6 § 1 mom. 7 punkten i dataskyddslagen. Det som i 6 § 2 mom. i dataskyddslagen föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas också när personuppgifter som avses i artikel 10 i dataskyddsförordningen behandlas. Således kan det också vara möjligt att behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen för forskningsändamål direkt med stöd av en allmän lag, om den personuppgiftsansvarige eller personuppgiftsbiträdet vidtar lämpliga skyddsåtgärder i enlighet med 6 § 2 mom. i dataskyddslagen. Det nationella handlingsutrymme som dataskyddsförordningen medger används dock i lagen till att utfärda kompletterande bestämmelser om institutets rätt att få information. 

1 §. Administrativ ställning och uppgifter. Enligt 2 mom. 3 punkten ingår det i institutets uppgifter att förvalta de forskningsregister som behövs för att institutet ska kunna sköta sina lagbestämda uppgifter. Med beaktande av institutets rätt enligt 4 a § att få information och enligt 4 b § att förvalta personregister kan forskningsregistren också innehålla personuppgifter. Institutets lagstadgade uppgifter i fråga om uppföljning samt förvaltning av register är en offentlig förvaltningsuppgift som tilldelats någon annan än en myndighet (RP 121/2014 rd). Till dessa register hör också ett forskningsregister som innehåller uppgifter om brott och påföljder. Enligt artikel 10 i dataskyddsförordningen får ett fullständigt register över fällande domar i brottmål endast föras under kontroll av en myndighet. Motsvarande bestämmelse ingick i artikel 8.5 i det upphävda personuppgiftsdirektivet. Avsikten är att institutet på motsvarande sätt som för närvarande ska vara en sådan myndighet som avses i dataskyddsförordningen när det gäller registerföring av personuppgifter som rör brott och domar. Det föreslås att 3 punkten preciseras så att rätten att förvalta ett forskningsregister över brott och påföljder, vilket i praktiken kan jämställas med ett sådant fullständigt register över fällande domar i brottmål som avses i artikel 10, uttryckligen framgår.  

Enligt förslaget fogas det till paragrafen ett nytt 3 mom. där institutets uppgift som personuppgiftsansvarig för de personuppgifter som ingår i forskningsregistren preciseras. 

4 b §. Behandling av och sekretess för uppgifter. Paragrafen innehåller bestämmelser om personregister som hänför sig till forskning och utredningar samt om sekretess för de uppgifter som används vid forskning. Enligt motiveringen till det gällande 1 mom. har ett syfte med bestämmelsen varit att göra det möjligt att också upprätta ett bestående forskningsregister för brott och påföljder. I övrigt hänför sig de personuppgifter som ska registreras med stöd av momentet till de kategorier av uppgifter som avses i 4 a § 1 mom., av vilka en del hör till de särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och en del annars kan betraktas som känsliga personuppgifter enligt grundlagsutskottets tolkningspraxis. Enligt artikel 5.1 led e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får enligt led e dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. En förutsättning är dessutom att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I fråga om särskilda kategorier av personuppgifter är behandling på motsvarande sätt tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål på grundval av unionsrätten eller medlemsstaternas nationella rätt och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt artikel 89.1 i dataskyddsförordningen ska behandlingen omfattas av lämpliga skyddsåtgärder i enlighet med förordningen, inbegripet särskilt iakttagandet av principen om uppgiftsminimering. Den principen kan iakttas t.ex. genom en begränsning av bevarandet av personuppgifter. 

Det föreslås att 1 mom. upphävs med beaktande av att den där föreskrivna rätten för institutet att upprätta och förvalta personregister överlappar 1 § 2 mom. 3 punkten. Det är onödigt att i 4 b § på nytt föreskriva om förvaltningen av personregister. På behandlingen av personuppgifter ska dataskyddsförordningen och dataskyddslagen tillämpas direkt på det sätt som beskrivs ovan. 

I 4 mom. föreslås hänvisningen till personuppgiftslagen, som tillämpas på behandling av personuppgifter, bli struken som obehövlig. Den lagen har ersatts av dataskyddsförordningen och dataskyddslagen, som ska vara tillämpliga utan någon uttrycklig informativ hänvisning. Däremot behöver hänvisningen till lagen om offentlighet i myndigheternas verksamhet finnas kvar. 

1.16  Lagen om verkställighet av samhällspåföljder

Sådan behandling av personuppgifter som hänför sig till verksamhet som avses i denna lag omfattas av dataskyddslagen avseende brottmål och lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (1069/2015). Lagen innehåller inga andra preciserande bestämmelser om behandling av personuppgifter än de som gäller rätt till information. 

45 §. Förfarandet vid utarbetandet av planen för strafftiden. I 1 mom. föreslås det en ändring av den föråldrade hänvisningen till lagen om behandling av personuppgifter vid verkställighet av straff. 

1.17  Lagen om registret över djurhållningsförbud

Rättregistercentralen för ett riksomfattande register över de djurhållningsförbud som med stöd av 17 kap. 23 § i strafflagen meddelas som en säkringsåtgärd. Registret förs emellertid för tillsynen över att förbudet iakttas, vilket inte omfattas av bestämmelserna om tillämpningsområde i 1 § i dataskyddslagen avseende brottmål. Sådan behandling av personuppgifter som avses i lagen omfattas således av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandlingen är artikel 6.1 c i dataskyddsförordningen. I lagen utnyttjas det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger när det gäller personuppgifter som ska registreras och utlämnande av dem samt bevaringstiderna. Djurhållningsförbud kan som säkringsåtgärd jämföras med näringsförbud. Syftet med djurhållningsförbud är dels att försöka förhindra nya brott, dels att skydda djuren och trygga deras välfärd genom att förbjuda någon som har visat sig vara olämplig eller oförmögen att sörja för djurens välfärd att hålla djur. Att uppgifter kan lämnas ut ur registret över djurhållningsförbud t.ex. i förundersökningssyfte påverkar inte registrets ursprungliga användningsändamål, som är tillsyn. 

2 §. Förhållande till annan lagstiftning. Det föreslås att paragrafens föråldrade hänvisning till personuppgiftslagen ersätts med en hänvisning till dataskyddsförordningen och dataskyddslagen. En informativ hänvisning anses motiverad för att oklarheter ska kunna undvikas. 

5 §. Utlämnande av uppgifter i form av registerutdrag. Det föreslås att 4 mom. upphävs. En informativ hänvisning till de registrerades rätt till insyn enligt dataskyddsförordningen behövs inte med beaktande av den hänvisning som fogas till 2 §. 

1.18  Säkerhetsutredningslagen

Syftet med säkerhetsutredningslagen är att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen. Även om en säkerhetsutredning kan göras också för att skydda ekonomiska intressen av synnerligen stor betydelse, ligger tyngdpunkten i den verksamhet som avses i lagen emellertid på att trygga säkerheten genom att förebygga verksamhet som äventyrar den. Enligt den gällande lagen är skyddspolisen huvudsaklig personuppgiftsansvarig (i den lagen kallad huvudansvarig registerförare), men för säkerhetsutredningar som gäller anställda hos Försvarsmakten svarar Huvudstaben. Den behandling av personuppgifter som avses i denna lag kan anses ingå i tillämpningsområdet för dataskyddslagen avseende brottmål, vars nationella tillämpningsområde har utvidgats i förhållande till dataskyddsdirektivets tillämpningsområde så att det även omfattar sådan behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten och till försvaret, när det gäller behöriga myndigheter som avses i 3 § 1 mom. 5 punkten i dataskyddslagen avseende brottmål. På övriga i säkerhetsutredningslagen avsedda myndigheters behandling av personuppgifter ska dataskyddsförordningen och dataskyddslagen tillämpas. Dataskyddslagen avseende brottmål gör det också möjligt att utfärda speciallagstiftning som kompletterar den. 

2 §. Lagens tillämpningsområde och förhållande till annan lagstiftning. Det föreslås att formuleringen av 1 mom. 6 punkten samordnas med uttrycket i 51 §. Uttrycket ”samkörning av uppgifter” motsvarar också bättre avsikten med skäl 22 i dataskyddsdirektivet. Enligt det skälet bör offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. I säkerhetsutredningslagen avses inte samkörning av hela register utan av personuppgifter i dem och uppgifter i anslutning till dem. 

Till paragrafen föreslås det för tydlighetens skull bli fogat ett informativt nytt 3 mom. där det preciseras i vilken allmän författning det föreskrivs om respektive myndighets behandling av personuppgifter. Enbart skyddspolisen och Huvudstaben (personuppgiftsansvariga) kan betraktas som i dataskyddslagen avseende brottmål avsedda behöriga myndigheter om vars behandling av personuppgifter det föreskrivs i den lagen. Utrikesministeriets (nationell säkerhetsmyndighet) behandling av personuppgifter ska i alla situationer omfattas av dataskyddsförordningen och dataskyddslagen. 

Kommunikationsverket har i enlighet med 3 § 1 mom. i lagen om Transport- och kommunikationsverket (935/2018) ersatts av Transport- och kommunikationsverket som behörig myndighet. I praktiken har uppgiften i och med omorganiseringen placerats vid Transport- och kommunikationsverkets cybersäkerhetscenter. Cybersäkerhetscentret behandlar inte personuppgifter med stöd av säkerhetsutredningslagen. I det fall att centret som ett led i bedömningen av informationssäkerheten i ett informationssystem har åtkomst till personuppgifter, ska dataskyddsförordningen tillämpas på det. 

7 §. Anmärkningsrätt för den som utredningen gäller. I den gällande paragrafen föreskrivs det om rätten för den person som en säkerhetsutredning gäller att göra anmärkningar om sådant som framkommit i samband med en intervju eller vid kontroll av uppgifterna på blanketten för personuppgifter enligt 28 §. På samma sätt som i fråga om 4—6 § hänför sig också förfarandet enligt 7 § till anmärkningar om sådant som ligger till grund för en säkerhetsutredning och inte enbart till anmärkningar om personuppgifters korrekthet. Paragrafens 4 mom. innehåller en informativ hänvisning till den registrerades rätt till insyn enligt personuppgiftslagen och till en rätt i anslutning till det att få felaktiga personuppgifter rättade. Dataskyddslagen avseende brottmål innehåller motsvarande bestämmelser. Det föreslås att momentet upphävs som obehövligt. 

9 §. Behöriga myndigheter. I 3 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya Transport- och kommunikationsverket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen. 

46 §. Utfärdande av intyg över säkerhetsutredning av företag. I 3 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen. 

48 §. Registret över säkerhetsutredningar och registrets ändamål samt registrering av uppgifter. Registret över säkerhetsutredningar är delvis ett personregister. Bestämmelser om registrets ändamål finns i 48 § i den gällande lagen. Detta ändamål föreslås inte bli utvidgat, men enligt förslaget ska utförandet av säkerhetsutredningar fogas till 1 mom. som en teknisk ändring, så att registrets huvudsakliga ändamål i överensstämmelse med rubriken tydligt framgår också av paragraftexten. I paragrafens rubrik föreslås det för tydlighetens skull också en sådan teknisk ändring att ordet dess byts ut mot registrets.  

I syfte att beakta de bestämmelser om personuppgiftsansvariga som ingår i dataskyddslagen avseende brottmål och förtydliga förhållandet mellan de begrepp som används i paragrafen föreslås det att hänvisningarna till registerförare och myndigheter som för in uppgifter stryks ur 1 mom. Som uttryck är ”behörig myndighet som för in uppgifter i registret” otydligt i förhållande till termen registerförare, som dessutom med anledning av dataskyddsförordningen ska ersättas med termen personuppgiftsansvarig. Behöriga myndigheter som kan föra in personuppgifter i registret över säkerhetsutredningar är skyddspolisen, Huvudstaben och den nationella säkerhetsmyndigheten. Det föreslås att bestämmelserna om personuppgiftsansvariga flyttas till en separat paragraf.  

I 2 mom. föreslås det för tydlighetens skull att uttrycket ”den behöriga myndigheten” ersätts med uttrycket ”skyddspolisen och Huvudstaben”, som är de enda i lagen avsedda behöriga myndigheter som utför säkerhetsutredningar. Den i momentet nämnda nationella säkerhetsmyndigheten lämnar ut personuppgifter när den registrerar uppgifter om de intyg över säkerhetsutredning av person och av företag som den utfärdat. Bestämmelser om utlämnande av uppgifter till den nationella säkerhetsmyndigheten finns i 11 § i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004). För utfärdandet av intyg och prövningen i anslutning till detta ska skyddspolisen (den myndighet som gjort utredningen) trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den som utredningen gäller. Detsamma gäller de intyg över säkerhetsutredning av företag som enligt 12 § förutsätts i en internationell förpliktelse som gäller informationssäkerhet. I 1 och 2 mom. föreslås det dessutom en översyn av den svenska språkdräkten. 

I 4 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar Transport- och kommunikationsverkets nya cybersäkerhetscenter med stöd av 3 § 1 mom. i lagen om Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen. 

Till paragrafen föreslås det bli fogat ett nytt 6 mom. enligt vilket den nationella säkerhetsmyndigheten och Transport- och kommunikationsverket är skyldiga att se till att de uppgifter som de för in i registret över säkerhetsutredningar motsvarar myndighetens avgöranden och anteckningarna i dess egna register och att anteckningarna har gjorts i enlighet med skyddspolisens tekniska krav. Den nationella myndigheten för i registret över säkerhetsutredningar in uppgifter om de intyg över säkerhetsutredningar som den beviljat, och i dessa anteckningar ingår personuppgifter endast i liten utsträckning. I de uppgifter som Transport- och kommunikationsverket registrerar ingår inga personuppgifter. För skyddspolisens och Huvudstabens del utgör ansvaret enligt 1 mom. i den gällande paragrafen för att anteckningarna är korrekta en del av den personuppgiftsansvariges ansvar enligt dataskyddsförordningen, så den bestämmelsen föreslås gälla endast den nationella säkerhetsmyndigheten och Transport- och kommunikationsverket. Den roll som skyddspolisen ges i det föreslagna nya momentet hänför sig till de uppgifter som personuppgiftsansvarig som föreslås för den i den nya 48 a §. 

48 a §. Personuppgiftsansvariga. I lagen föreslås det en ny 48 a § med bestämmelser om personuppgiftsansvariga. Det är meningen att skyddspolisen och Huvudstaben ska vara gemensamt personuppgiftsansvariga för registret över säkerhetsutredningar, dock så att skyddspolisen svarar för största delen av de uppgifter som personuppgiftsansvarig om vilka det föreskrivs i dataskyddslagen avseende brottmål. Huvudstaben ska svara för den personuppgiftsansvariges skyldigheter om de personuppgifter som behandlas avser den som utredningen gäller och denne arbetar eller kommer att arbeta inom Försvarsmakten eller sköter ett uppdrag på förordnande av Försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom Försvarsmakten. Skyddspolisen ska svara för den personuppgiftsansvariges skyldigheter i övriga fall om de personuppgifter som behandlas avser den som utredningen gäller, samt svara för skötseln av de uppgifter som hänför sig till utlämnandet av personuppgifter ur registret över säkerhetsutredningar, till förandet av det registret och till informationssäkerheten. Dessa uppgifter föreslås även omfatta öppnande av tekniska anslutningar. Bestämmelser om skyddspolisens rätt att trots sekretessbestämmelserna lämna ut personuppgifter ur registret över säkerhetsutredningar finns i 50 §. I fråga om ärenden som gäller de registrerades utövande av sina rättigheter kan de gemensamt personuppgiftsansvariga utse en personuppgiftsansvarig som kontaktpunkt, t.ex. så att Huvudstaben är den primära kontaktpunkten för de registrerade när det är fråga om behandling av personuppgifter om anställda vid Huvudstaben, medan skyddspolisen är kontaktpunkt för övriga registrerade. I överensstämmelse med dataskyddslagen avseende brottmål ska det gemensamma personuppgiftsansvaret, oavsett kontaktpunkt, emellertid innebära att den registrerade får utöva sina rättigheter i förhållande till båda personuppgiftsansvariga. 

Den föreslagna bestämmelsen om gemensamt personuppgiftsansvar grundar sig på 16 § i dataskyddslagen avseende brottmål. Enligt 1 mom. i den paragrafen ska de gemensamt personuppgiftsansvariga komma överens om den inbördes ansvarsfördelningen, om det inte föreskrivs om den i lag. Även om bestämmelsen ger handlingsutrymme till denna del, är det motiverat att i stora drag i den föreslagna lagen ange de personuppgiftsansvarigas ansvar och skyldigheter, som ska grunda sig på närmare bestämmelser i dataskyddslagen avseende brottmål. Grundlagsutskottet har även, särskilt när det gäller bestämmelser som har samband med de grundläggande fri- och rättigheterna, ansett det nödvändigt att det entydigt (GrUU 21/2001 rd, s. 4) eller annars exakt (GrUU 47/2001 rd, s. 3) framgår av lagen vilken myndighet som är behörig, eller att åtminstone utgångspunkterna för myndigheternas behörighetsförhållanden (GrUU 45/2001 rd, s. 5) och villkoren för överföring av behörighet framgår tillräckligt exakt av lagen (GrUU 7/2001 rd, s. 4; se även GrUU 11/2002 rd, s. 6, GrUU 52/2001 rd, s. 5, GrUU 47/2002 rd, s. 4—5, GrUU 65/2002 rd, s. 4). Dessutom har grundlagsutskottet nyligen fäst uppmärksamhet vid att bestämmelserna om samregisteransvarighet bör vara tillräckligt klara med tanke på 10 § i grundlagen när det gäller regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och grundlagsutskottets vedertagna praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten (GrUU 7/2019, s.7). Med anledning av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen bör det av bestämmelserna om samregisteransvarighet tydligt framgå vilken myndighet som är behörig att lämna ut uppgifter (se GrUU 7/2019 s. 6—7). 

Det större ansvar för behandlingen av personuppgifter i anslutning till registret över säkerhetsutredningar som föreslås för skyddspolisen motsvarar nuläget, men enligt förslaget ska bestämmelserna göras tydligare genom att samma terminologi som i dataskyddslagen avseende brottmål används i lagen och genom att uppgiftsfördelningen mellan de personuppgiftsansvariga tydligare framgår av lagen. I den föreslagna lagstiftningslösningen när det gäller gemensamt personuppgiftsansvar har man även beaktat de ovan redovisade krav som följer av grundlagen. 

49 §. Avförande av uppgifter ur registret över säkerhetsutredningar. Det föreslås att den andra meningen, som innehåller en hänvisning till personuppgiftslagen, stryks ur paragrafen. Dessutom föreslås det till paragrafens början bli fogat en hänvisning till 6 § 3 mom. i dataskyddslagen avseende brottmål. Det är meningen att i paragrafen avvika från det momentet genom att uttryckligen föreskriva när uppgifterna ska avföras. Till övriga delar ska kraven i 6 § i den lagen också tillämpas på registret över säkerhetsutredningar. 

50 §. Utlämnande av uppgifter ur registret över säkerhetsutredningar. Det föreslås att 3 mom. ses över med hänsyn till att det i den nya lagen om behandling av personuppgifter i polisens verksamhet (616/2019) inte längre föreskrivs om informationssystemet för misstänkta. Den ändrade formuleringen motsvarar 25 § 2 mom., som redan tidigare har ändrats. Det föreslås dessutom en sådan översyn av momentets svenska språkdräkt att verbet ”prövats” ersätts med verbet ”bedömts”. 

Till paragrafen föreslås det bli fogat ett nytt 5 mom. enligt vilket lagen om internationella förpliktelser som gäller informationssäkerhet ska tillämpas på utlämnande av personuppgifter till den nationella säkerhetsmyndigheten. Med stöd av 11 § 1 mom. i den lagen är skyddspolisen skyldig att trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information som behövs för sådan säkerhetsutredning av person som förutsätts i en internationell förpliktelse som gäller informationssäkerhet. Med tanke på säkerhetsutredningslagens 50 § 2 mom., enligt vilket skyddspolisen får lämna ut uppgifter till en av ett ministerium utsedd tjänsteman, och på de grundlagsaspekter som det redogörs för i samband med 48 a § behövs det en materiell hänvisningsbestämmelse. 

51 §. Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av uppgifter i personregister. Med avvikelse från den gällande paragrafen föreslås det att ordet ”uppgifter” tas med i rubriken. Ändringen grundar sig på skäl 22 i dataskyddsdirektivet. Enligt det skälet bör offentliga myndigheters begäranden om att uppgifter ska lämnas ut alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. I paragrafen är det inte fråga om att samköra hela personregister utan om att samköra uppgifter som ingår i dem för att myndigheten ska kunna utföra sina uppgifter. 

56 §. Dataombudsmannens rätt att utöva tillsyn. Det föreslås att paragrafen upphävs eftersom den överlappar bestämmelser i dataskyddslagen avseende brottmål. Dataombudsmannens rätt enligt 1 mom. att ta del av en säkerhetsutredning som har gjorts med stöd av lagen för att kontrollera att behandlingen av personuppgifter är laglig tillgodoses genom den rätt att få information som det föreskrivs om i 47 § i dataskyddslagen avseende brottmål. Den paragrafen omfattar i stor utsträckning de uppgifter och utredningar som behövs för skötseln av dataombudsmannens uppgifter. I 56 § 2 mom. i säkerhetsutredningslagen ingår en informativ hänvisning till rätten att utöva tillsyn och få information enligt den upphävda personuppgiftslagen. I dessa frågor tillämpas 23 och 47 § i dataskyddslagen avseende brottmål. Lagen ska tillämpas utan någon separat hänvisning. 

60 §. Avgifter för säkerhetsutredningar. I 1 mom. föreslås det en teknisk ändring vars syfte är att beakta att Kommunikationsverkets namn har ändrats. Genom lagen om Transport- och kommunikationsverket har Kommunikationsverket, som svarar för de säkerhetsutredningar av företag som avses i säkerhetsutredningslagen, införlivats med det nya verket. Till följd av omorganiseringen svarar det nya Transport- och kommunikationsverket för de uppgifter som Kommunikationsverket har enligt säkerhetsutredningslagen. 

61 §. Hänvisning till straffbestämmelser. Enligt kärnan i den straffrättsliga legalitetsprincipen i grundlagens 8 § måste brottsrekvisitet anges tillräckligt exakt så att det utifrån bestämmelsens lydelse går att förutse om en viss åtgärd eller försummelse är straffbar. Kärnan i legalitetsprincipen är densamma i Europadomstolens och EU-domstolens praxis, där man har betonat lagstiftningens förutsebarhet, dvs. att det utifrån en bestämmelses lydelse ska gå att förutse vad som är straffbart. (GrUU 14/2018 rd, s. 21). 

Den gällande paragrafen innehåller hänvisningar som gäller brott mot tystnadsplikten. Enligt förslaget ska paragrafens moment slås ihop. Hänvisningarna till tillämpliga straffbestämmelser ersätts med nya hänvisningar där det nya dataskyddsbrott som avses i 38 kap. 9 § i strafflagen och andra tillämpliga brottsbeteckningar beaktas. Dessutom stryks hänvisningen till personregisterförseelse enligt personuppgiftslagen som föråldrad. I paragrafen preciseras det vidare, på motsvarande sätt som i den gällande paragrafen, att också brott mot en förbindelse som avses i 40 § betraktas som brott mot sekretessen. 

62 §. Ändringssökande. Det föreslås att hänvisningen i 1 mom. till förvaltningsprocesslagen (586/1996) ändras. Lagen har upphävts genom lagen om rättegång i förvaltningsärenden (808/2019), som träder i kraft den 1 januari 2020. 

1.19  Lagen om Rättsregistercentralen

I lagen om Rättsregistercentralen föreskrivs det om centralens organisation och uppgifter. Lagen innehåller inga bestämmelser om behandling av personuppgifter. I 1 § 1 punkten preciseras emellertid Rättsregistercentralens uppgift som personuppgiftsansvarig (i den gällande lagen kallad registeransvarig). 

1 §. Rättsregistercentralen. Enligt 1 mom. 1 punkten har Rättsregistercentralen till uppgift att vara personuppgiftsansvarig för informationssystemen och registren inom justitieministeriets förvaltningsområde samt förmedla av justitieförvaltningsmyndigheterna anmälda uppgifter till andra myndigheter. Bestämmelser om Rättsregistercentralens uppgifter finns dessutom i flera andra lagar. Rättsregistercentralens personuppgiftsansvar och skyldighet att lämna ut uppgifter anges närmare i lagstiftningen om olika register. Register som Rättsregistercentralen för är t.ex. straffregistret, bötesregistret, kungörelseregistret, näringsförbudsregistret, konkurs- och företagssaneringsregistret samt skuldsaneringsregistret. Rättsregistercentralen är också personuppgiftsansvarig för justitieförvaltningens riksomfattande informationssystem. Enligt motiveringen till 1 punkten har avsikten inte heller med de tidigare lagändringarna varit att ändra på det faktum att personuppgiftsansvaret för olika informationssystem och register avgörs enligt de lagar och förordningar som gäller dem (RP 122/2012 rd). Bestämmelser om all behandling av personuppgifter som omfattas av Rättsregistercentralens personuppgiftsansvar finns emellertid inte i speciallagstiftningen. Behandling av personuppgifter som grundar sig direkt på dataskyddsförordningen är t.ex. sådan behandling som hänför sig till personaladministration. 

Formuleringen av 1 mom. 1 punkten kan leda till att Rättsregistercentralens uppgift som personuppgiftsansvarig uppfattas gälla alla informationssystem och register inom justitieministeriets förvaltningsområde. Denna punkt föreslås bli preciserad på så sätt att det föreskrivs särskilt om de informationssystem och register som omfattas av Rättsregistercentralens personuppgiftsansvar.  

1.20  Lagen om konkurs- och företagssaneringsregistret

Lagen innehåller bestämmelser om det register som förs över konkurs- och företagssaneringsärenden. Registrets ändamål är att säkerställa att aktuella uppgifter finns tillgängliga för domstolarnas och myndigheternas verksamhet, bevakning av borgenärernas intressen samt tryggandet av utomståendes intressen och rättigheter. Sådan behandling av personuppgifter som hänför sig till registret omfattas av dataskyddsförordningen och dataskyddslagen. Rättslig grund för behandling av personuppgifter är artikel 6.1 c i dataskyddsförordningen. Det nationella handlingsutrymme som artikel 6.3 i dataskyddsförordningen ger att utfärda bestämmelser utnyttjas i lagen när det gäller personuppgifter som ska registreras och utlämnande av dem. När det gäller rättelse av fel innehåller lagen bestämmelser som delvis överlappar bestämmelserna i dataskyddsförordningen. 

1 §. Registrets ändamål och personuppgiftsansvarig. Det föreslås att paragrafens första mening ändras för att formuleringen ska motsvara de övriga bestämmelser i propositionen som preciseras i fråga om den personuppgiftsansvarige. Ändringen är teknisk. 

11 §. Rättande av fel. Enligt 1 mom. ska Rättsregistercentralen utan onödigt dröjsmål på eget initiativ eller på yrkande rätta en felaktig uppgift i registret. Rättsregistercentralen ska upplysa den till vilken centralen har lämnat ut den felaktiga uppgiften om rättelsen, såvida detta inte är omöjligt eller orsakar oskäligt besvär. Enligt motiveringen till paragrafen har avsikten med momentet varit att rättelse av uppgifter som gäller en fysisk person ska omfattas av lagstiftningen om behandling av personuppgifter (personuppgiftslagen), men registret innehåller också andra uppgifter än sådana som gäller fysiska personer (RP 153/2003 rd). Paragrafen utesluter ändå inte att personuppgifter rättas med stöd av den. Registrets datainnehåll framgår av 3—6 §. Bestämmelserna i paragrafen överlappar således dataskyddsförordningen till den del det är fråga om rättelse av felaktiga personuppgifter. I paragrafen föreslås det ett nytt 3 mom. enligt vilket dataskyddsförordningen ska tillämpas på rättelse och radering av felaktiga personuppgifter. Bestämmelsen behövs för att förtydliga att dataskyddsförordningen alltid är direkt tillämplig på rättelse av personuppgifter. Bestämmelserna i 1 och 2 mom. ska tillämpas på rättelse av andra fel. 

1.21  Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

Tillämpningsområdet för dataskyddslagen avseende brottmål anges i lagens 1 §. I lagen anges som behöriga myndigheter också Försvarsmakten och polisen i vissa fall. De uppgifter som nämns i bestämmelserna om lagens tillämpningsområde täcker inte entydigt Försvarsmaktens och polisens uppgifter, om vilka det föreskrivs i säkerhetsutredningslagen. Bestämmelserna föreslås bli preciserade till denna del. 

1 §. Tillämpningsområde. Det föreslås att 2 mom. 1 punkten ändras så att lagen ska tillämpas på Försvarsmaktens behandling av personuppgifter när uppgifterna behandlas för skötsel av uppgifter som avses i 9 § 3 mom. i säkerhetsutredningslagen. För dessa uppgifter svarar Försvarsmaktens huvudstab i enlighet med säkerhetsutredningslagen. Momentets 2 punkt föreslås bli ändrad på motsvarande sätt för att den ska omfatta uppgifter som avses i 9 § 1 mom. i den lagen. För dessa uppgifter svarar för polisens del skyddspolisen. Genom ändringarna förtydligas lagens förhållande till säkerhetsutredningslagen. 

47 §. Rätt att få information. Enligt paragrafen har dataombudsmannen trots sekretessbestämmelserna rätt att avgiftsfritt få en i 22 § avsedd beskrivning över behandlingsåtgärderna, de i 19 § avsedda logguppgifterna samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter. I paragrafen borde det emellertid i stället för till 22 § hänvisas till i 18 § avsedda register över behandlingar, som på begäran ska göras tillgängliga för tillsynsmyndigheten på grundval av myndighetens rätt till information (RP 31/2018 rd, s. 45). Paragrafen grundar sig på artikel 24 i dataskyddsdirektivet. Däremot ska en beskrivning som avses i 22 § göras offentligt tillgänglig. Även om uttrycket övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter är rätt vagt och även kan omfatta ett register som avses i 18 §, föreslås det att paragrafen för tydlighetens skull ses över genom att hänvisningen ändras till att gälla den paragrafen. Ändringen är teknisk. 

Ikraftträdande

Lagarna föreslås träda i kraft så snart som möjligt, med undantag för vissa ändringar i utsökningsbalken som föreslås träda i kraft först den 1 december 2020 och lagen om ändring av 1 kap. 2 § i utsökningsbalken som det är meningen ska träda i kraft vid en tidpunkt som föreskrivs genom förordning. 

Förhållande till grundlagen samt lagstiftningsordning

3.1  Skyddet för personuppgifter

De föreslagna lagändringarna är av betydelse med tanke på det skydd för personuppgifter och för privatlivet som garanteras i 10 § i grundlagen. Enligt 1 mom. i den paragrafen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottet har tidigare ansett det viktigt med tanke på skyddet för personuppgifter att reglera åtminstone registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna användningsändamål, inbegripet rätten att lämna ut uppgifterna, och bevaringstiden för uppgifterna i personregister samt den registrerades rättsskydd (GrUU 25/1998 rd). Det har dessutom krävts att regleringen av dessa faktorer på lagnivå ska vara omfattande och detaljerad. 

Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) samt respekten för privatlivet enligt artikel 7 och skyddet av personuppgifter enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I den mån som denna stadga omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska rättigheterna, i enlighet med artikel 52.3 i stadgan, ha samma innebörd och räckvidd som i konventionen. I EU-domstolens domar fastställs till denna del det centrala innehållet i respekten för privatlivet och skyddet för personuppgifter. Artikel 8 i Europakonventionen har i Europadomstolens rättspraxis ansetts omfatta även skyddet för personuppgifter. 

3.2  Dataskyddsförordningen

Grundlagsutskottet har konstaterat att dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (GrUU 1/2018 rd). Grundlagsutskottet har också konstaterat att det inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Utskottet har emellertid kommenterat förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Enligt grundlagsutskottets tolkningspraxis är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). 

Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). Grundlagsutskottet understryker vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (se GrUU 14/2018 rd, s. 8). Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 4). 

Grundlagsutskottet har i ett utlåtande om lagstiftning som kompletterar dataskyddsförordningen sett det som motiverat att justera sin tidigare ståndpunkt i fråga om lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. (GrUU 14/2018 rd, s. 4) Grundlagsutskottet anser också att vi med tanke på tydligheten bör förhålla oss restriktiva när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. (GrUU 14/2018 rd, s. 5) 

I de lagförslag som ingår i propositionen har strävan varit att beakta det nationella handlingsutrymme som dataskyddsförordningen medger genom att gallra bort onödiga bestämmelser som överlappar dels dataskyddsförordningen, dels den kompletterande dataskyddslagen. I lagförslagen har man även fäst särskild uppmärksamhet vid särskilda kategorier av personuppgifter och bedömt om regleringen är tillräcklig till denna del. I och med de föreslagna ändringarna bedöms lagförslagen uppfylla de krav som följer av 10 § i grundlagen, i enlighet med grundlagsutskottets justerade tolkning. En närmare redogörelse för användningen av det nationella handlingsutrymmet finns i avsnitt 2.3 och i detaljmotiveringen till lagförslagen. 

3.3  Dataskyddsdirektivet

Grundlagsutskottet ansåg i anslutning till sin justering av tolkningspraxis i fråga om 10 § i grundlagen att Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan polisdirektivet) till skillnad från den direkt tillämpliga dataskyddsförordningen inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s. 6). I samband med behandlingen av dataskyddslagen avseende brottmål såg grundlagsutskottet det också som relevant att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten handlar det delvis om nationella beslut till följd av det tillämpningsområde för dataskyddsförordningen och polisdirektivet som kopplas till EU-rättens tillämpningsområde, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen. Följaktligen menar utskottet att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (GrUU 26/2018 rd, s. 3. Se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är enligt utskottet att dataskyddslagen avseende brottmål blir tillämplig som allmän lag på sitt tillämpningsområde och ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). 

Grundlagsutskottet har däremot också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se även GrUU 14/2018 rd, s. 6—7, GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 3—4). Även i samband med behandlingen av dataskyddslagen avseende brottmål påpekade grundlagsutskottet att det i princip inte ingår i dess konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Grundlagsutskottet har ytterligare preciserat sina riktlinjer inom tillämpningsområdet för dataskyddslagen avseende brottmål och bl.a. uppmärksammat behovet av bestämmelser som preciserar den allmänna lagen (GrUU 51/2018 rd och GrUU 52/2018 rd). 

Dataskyddsdirektivet ger medlemsstaterna större handlingsutrymme när det gäller att bedöma hur EU-rätten ska genomföras nationellt. I propositionen har utgångspunkten ändå varit att det också är skäl att undvika bestämmelser som överlappar lagen om dataskydd avseende brottmål till den del det är möjligt. En del av de lagar som omfattas av den lagen ändrades redan i samband med behandlingen av den. I lagförslagen har man även fäst särskild uppmärksamhet vid särskilda kategorier av personuppgifter och bedömt om regleringen är tillräcklig till denna del. Till den del det föreslås ändringar i lagar som omfattas av dataskyddslagen avseende brottmål bedöms de föreslagna lagändringarna säkerställa att lagarnas bestämmelser om behandling av personuppgifter uppfyller kraven i 10 § i grundlagen. En närmare redogörelse för användningen av det nationella handlingsutrymmet finns i avsnitt 2.3 och i detaljmotiveringen till lagförslagen. 

3.4  Särskilda kategorier av personuppgifter

Enligt grundlagsutskottet bör bestämmelserna om behandling av känsliga uppgifter fortfarande analyseras också utifrån praxis för tidigare bestämmelser på lagnivå (GrUU 14/2018 rd och GrUU 15/2018 rd). Till följd av att tillämpningen av dataskyddsförordningen inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd). Likväl menar grundlagsutskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga (GrUU 15/2018 rd). Med sådana avses en mängd uppgifter som är större än enbart de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen (se till denna del också t.ex. GrUU 17/2018 rd). Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 15/2018 rd, även GrUU 13/2016 rd, GrUU 14/2009 rd). 

Även i skäl 51 i dataskyddsförordningen framhålls det att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Grundlagsutskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 15/2018 rd). Grundlagsutskottet har i fråga om informationsresursen inom småbarnspedagogiken i sitt utlåtande GrUU 17/2018 rd förutsatt att bestämmelserna om behandling av uppgifter om hälsotillstånd och andra känsliga personuppgifter är detaljerade och heltäckande, inom den ram som dataskyddsförordningen tillåter. 

Det föreslås att bestämmelserna om personuppgifter som hör till särskilda kategorier av personuppgifter och om personuppgifter som annars ska anses vara känsliga ses över i beredskapslagen och utsökningsbalken. I detaljmotiveringen till de föreslagna bestämmelserna har man dessutom bedömt de särskilda skyddsåtgärder som hänför sig till behandlingen av personuppgifter och som är avsedda att trygga de registrerades rättigheter. Det har även föreslagits att bestämmelserna om dessa åtgärder ska preciseras till vissa delar. Preciseringarna i beredskapslagen begränsar inte skyddet för de registrerades privatliv med tanke på att den gällande lagen också tillåter behandling av sådana uppgifter om hälsa som hänför sig till arbetsförmågan. Det föreslås att en förutsättning för registrering av uppgifterna ska vara att de är nödvändiga, vilket gör skyddet av uppgifter om hälsotillstånd och funktionsnedsättning effektivare. Däremot föreslås att det till utsökningsbalken fogas en uttrycklig rätt att i utsökningsregistret föra in vissa personuppgifter som hör till särskilda kategorier av personuppgifter eller uppgifter som annars ska betraktas som känsliga och som för närvarande inte omfattas av bestämmelserna om registrets datainnehåll. De nya kategorier av personuppgifter som ska föras in i registret begränsar skyddet för de registrerades privatliv även om strävan är att de föreslagna bestämmelserna om registrets datainnehåll ska vara klart avgränsade. Detta är av betydelse också med tanke på utlämnandet av personuppgifter. Registrering och annan behandling av dessa personuppgifter samt tröskeln för utlämnande av personuppgifter ska dessutom begränsas till vad som är nödvändigt för att utsökningsmyndigheten eller den myndighet som tar emot uppgifterna ska kunna sköta sina arbetsuppgifter. I och med denna skärpning bedöms ändringarna i utsökningsbalken tillsammans med bestämmelserna om skyddsåtgärder i dataskyddslagen uppfylla de krav som följer av 10 § i grundlagen. 

3.5  Utlämnande av personuppgifter

Utifrån skyddet för privatliv och personuppgifter enligt 10 § 1 mom. i grundlagen har grundlagsutskottet bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut uppgifter trots sekretess och då noterat bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 2—3, och de utlåtanden som nämns där). Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (t.ex. GrUU 19/2012 rd). 

I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se GrUU 15/2018 rd och t.ex. GrUU 38/2016 rd). Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är frågan inte bara om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 7/2019 rd, GrUU 15/2018 rd och GrUU 17/2016 rd, s. 6, och de utlåtanden som nämns där). 

Vid beredningen av lagändringarna har man lagt vikt vid utsökningsbalkens bestämmelser om utlämnande av personuppgifter. Det föreslås en sådan precisering av bestämmelserna i utsökningsbalken att personuppgifterna ska vara nödvändiga för det ändamål som anges i lagen. Särskild vikt har i fråga om den lagts vid bestämmelser som bedömts vara vaga samt vid sådant utlämnande av personuppgifter ut som kan vara förenat med personuppgifter som hör till särskilda kategorier av personuppgifter eller andra personuppgifter som ska anses vara känsliga. 

I utsökningsbalken föreslås det också en ändring som beaktar att skyddspolisen inte längre är förundersökningsmyndighet. Uppgifter i utsökningsregistret ska kunna lämna ut till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet, vilket motsvarar tidigare lagstiftning. I stället för grova brott som inte närmare definieras ska de ändamål för vilka personuppgifter får lämnas ut emellertid uttryckligen bindas till de brott som hänför sig till skyddspolisens befogenheter och rätt att behandla personuppgifter. Däremot kan det faktum att skyddspolisen tydligare än tidigare är en underrättelsemyndighet påverka skyddet för de registrerades privatliv. En begränsning av skyddet för privatlivet uppkommer särskilt utifrån det sätt på vilket personuppgifter samkörs med andra uppgifter som skyddspolisen behandlar. Skyddspolisen har t.ex. med stöd av 52 § i polisens personuppgiftslag rätt att få sådana uppgifter som behandlas med stöd av 2 kap. i den lagen, om de behövs för att skyddspolisen ska kunna utföra sina uppgifter. 

Staten har länge i vissa situationer ansetts ha en bred prövningsmarginal när det gäller vad som är nödvändigt, t.ex. i fråga om upptagning av personuppgifter om personer som misstänks för terroristbrott. En begränsning måste dock grunda sig på lag och vara en nödvändig och proportionell åtgärd (se t.ex. Leander mot Sverige, 26.3.1987, punkterna 58—59 i domen, Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkterna 87 och 88 i domen). Redan det att myndigheten samlar in och lagrar uppgifter för senare användning ska betraktas som ingripande i privatlivet (S. och Marper mot Förenade kungariket, 4.12.2008, punkt 85 i domen). För att en åtgärd som begränsar rätten till privatliv ska vara förenlig med lagen förutsätts inte enbart att åtgärden grundar sig på lag, utan den ska också vara tillgänglig för de registrerade personerna och dess konsekvenser ska vara förutsägbara (Segerstedt-Wiberg m.fl. mot Sverige, 6.6.2006, punkt 76 i domen). Europadomstolen har i sin rättspraxis bl.a. betonat exakt och förutsägbart angivna behörighetsgrunder på lagnivå, en strikt tolkning av nödvändighetskriteriet, objektiva grunder för erhållande av nödvändiga uppgifter, förhandskontroll utförd av domstol eller ett oberoende administrativt organ, oberoende efterhandskontroll och tillgång till rättsskydd i domstol. (Weber och Saravia mot Tyskland, 29.6.2006, punkt 95, Liberty m.fl. mot Förenade kungariket, 1.10.2008, punkterna 59—60, Zakharov mot Ryssland, 4.12.2015, punkterna 229—230 och Szabó och Vissy mot Ungern, 12.1.2016, punkt 89) 

Av särskild relevans för den registrerades rättsskydd är att utvidgningen av tillämpningsområdet för dataskyddslagen avseende brottmål till upprätthållande av den nationella säkerheten uppfyller den konstitutionella förpliktelsen om tryggande av personuppgifter (GrUU 26/2018 rd, s. 4). Av dataskyddslagen avseende brottmål följer i synnerhet bestämmelserna om den registrerades rättigheter samt tillsynsmyndighetens befogenheter. Dataombudsmannen har långtgående befogenheter och rätt att få uppgifter. Lagen innehåller också bestämmelser om rättsmedel. Även om den registrerade inte har direkt rätt till insyn i de personuppgifter som skyddspolisen behandlar, omfattas skyddspolisens behandling av personuppgifter utöver av den indirekta rätt till insyn som utövas via dataombudsmannen dessutom av domstolskontroll. Det föreslagna ändamålet med utlämnandet av personuppgifter uppfyller kravet på ett godtagbart mål. Med beaktande av rättssäkerhetsgarantierna i fråga om behandlingen av personuppgifter och de föreslagna preciseringarna i bestämmelserna om utlämnande av uppgifter bedöms den föreslagna bestämmelsen om utlämnande av uppgifter uppfylla kravet på proportionalitet. 

Utskottet har sett det som möjligt att lämna ut personuppgifter genom en offentlig informationstjänst, om det finns godtagbara grunder för detta med tanke på rättssäkerhetsgarantierna och målen för de grundläggande fri- och rättigheterna (GrUU 65/2014 rd, s. 4—5, GrUU32/2008 rd, s. 2—3). Med avseende på skyddet för privatlivet och för personuppgifter är det enligt utskottet av relevans att det i webbaserade personregister inte går att söka uppgifter på stora grupper utan t.ex. bara genom enskild sökning. En sådan här avgränsning har setts som villkor för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 2/2017 rd, s. 7, GrUU 32/2008 rd, s. 3). Bestämmelsen i 8 § i lagen om registrering av vissa kreditgivare och kreditförmedlare föreslås bli ändrad på så sätt att uppgifter som lämnas ut genom ett allmänt datanät endast ska kunna sökas som enskild sökning. I och med de föreslagna ändringarna bedöms bestämmelserna uppfylla de krav som följer av 10 § i grundlagen. 

Enligt regeringens bedömning kan propositionen behandlas i vanlig lagstiftningsordning. 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag  om ändring av 103 § i beredskapslagen 

I enlighet med riksdagens beslut 
ändras i beredskapslagen (1552/2011) 103 § 1 och 2 mom. som följer: 
103 § Arbetspliktsregistret 
Arbets- och näringsministeriet inrättar under undantagsförhållanden som avses i 3 § 1, 2, 4 och 5 punkten för verkställighet av arbetsplikten och styrning av arbetskraften ett arbetspliktsregister för vilket arbets- och näringsministeriet är personuppgiftsansvarig. Uppgifterna i registret används och uppgifter registreras av närings-, trafik- och miljöcentralerna samt arbets- och näringsbyråerna. Dessa myndigheter ska se till att uppgifterna är riktiga innan de förs in i registret. 
Arbetspliktsregistret innehåller uppgifter om de arbetspliktiga och om arbetsgivarna. I registret införs den arbetspliktiges identifikationsuppgifter. I registret kan det dessutom föras in uppgifter om den arbetspliktiges yrke, utbildning och sysselsättning samt försörjningsplikt, arbetsförmåga och anlitbarhet. I registret förs det dessutom in uppgifter om namnen på arbetsgivarna och om produktions- eller servicebranscher samt om var verksamhetsställena finns. Uppgifter som gäller hälsotillstånd eller funktionsnedsättning och som hänför sig till arbetsförmågan får registreras om det är nödvändigt att behandla uppgifterna för att de ska kunna beaktas på det sätt som avses i 99 § 1 mom. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag  om ändring av 42 § i förvaltningslagen  

I enlighet med riksdagens beslut 
ändras i förvaltningslagen (434/2003) 42 § som följer: 
42 § Anteckning av uppgifter 
Uppgifter om muntligen framförda yrkanden och utredningar som kan inverka på avgörandet i ett ärende ska antecknas eller registreras på något annat sätt. Detsamma gäller uppgifter som har inhämtats ur ett personregister. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag  om ändring av 1 och 9 f § i partilagen 

I enlighet med riksdagens beslut 
ändras i partilagen (10/1969) 1 § och 9 f § 1 mom., sådana de lyder i lag 683/2010, som följer: 
1 § Parti och partiregistret 
Med parti avses i denna lag en registrerad förening som är införd i partiregistret. Justitieministeriet är personuppgiftsansvarig för partiregistret. 
9 f § Redovisningsregistret och tillgången till uppgifter 
I registret över redovisning av partifinansiering ska de uppgifter registreras som ingår i redovisningar enligt 8 c §, i specifikationer enligt 9 a § 2 mom. och 9 b § och i handlingar enligt 9 d § 1 mom. Statens revisionsverk är personuppgiftsansvarig för registret. Trots vad som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) har var och en rätt att ur registret få kopior samt uppgifter genom ett allmänt datanät. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag  om ändring av 31 och 43 § i vallagen 

I enlighet med riksdagens beslut 
ändras i vallagen (714/1998) 43 § 1 mom., sådant det lyder i lag 496/2013, och 
fogas till 31 §, sådan den lyder i sin finska språkdräkt i lag 563/2015, ett nytt 2 mom. som följer: 
31 § Myndighet som behandlar kandidatansökningar 
Kläm 
Den myndighet som behandlar kandidatansökningar är personuppgiftsansvarig för sammanställningen av kandidatlistorna och för kandidatförteckningen för presidentval. 
43 § Riksomfattande kandidatregister 
Justitieministeriet ska upprätta ett register i vilket införs alla kandidater i hela landet som vid valet i fråga tagits upp i sammanställningarna av kandidatlistorna eller i kandidatförteckningen för presidentvalet (riksomfattande kandidatregister). Justitieministeriet är personuppgiftsansvarig för det riksomfattande kandidatregistret. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag  om ändring av 12 § i lagen om kandidaters valfinansiering 

I enlighet med riksdagens beslut 
ändras i lagen om kandidaters valfinansiering (273/2009) 12 § 1 mom., sådant det lyder i lag 684/2010, som följer: 
12 § Redovisningsregistret och tillgången till uppgifter 
I registret över redovisning av valfinansiering ska de uppgifter som ingår i redovisningar, förhandsredovisningar och efterhandsredovisningar registreras. Har en kandidat lämnat en försäkran enligt 6 § 5 mom., ska de uppgifter som anges i 1 mom. 1, 2 och 5 punkten i den paragrafen samt uppgift om lämnad försäkran antecknas i registret. Statens revisionsverk är personuppgiftsansvarig för registret. Trots det som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) har var och en rätt att ur registret få kopior samt uppgifter genom ett allmänt datanät. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag  om ändring av sametingslagen 

I enlighet med riksdagens beslut 
ändras i sametingslagen (974/1995) 4 a §, 23 § 1 mom. och 27 a § 1 mom., sådana de lyder, 4 a § i lag 1026/2003 och 23 § 1 mom. och 27 a § 1 mom. i lag 1279/2002, som följer: 
4 a § Tillämpning av förvaltningsrättsliga författningar 
På sametinget och dess organ tillämpas förvaltningslagen (434/2003), lagen om offentlighet i myndigheternas verksamhet (621/1999) och arkivlagen (831/1994), om inte något annat föreskrivs i denna lag. 
23 § Vallängd 
Valnämnden ska upprätta en vallängd över de röstberättigade på basis av vallängden för föregående val och uppgifterna i befolkningsdatasystemet. Valnämnden är personuppgiftsansvarig för vallängden. I vallängden antecknas den röstberättigades namn och personbeteckning samt den röstberättigades hemkommun och adress, om dessa uppgifter är kända. Hemkommunen och adressen får dock inte antecknas i vallängden, om dessa uppgifter ska hållas hemliga enligt 24 § 1 mom. 31 punkten i lagen om offentlighet i myndigheternas verksamhet. 
Kläm 
27 a § Kandidatförteckning 
Valnämnden upprättar en kandidatförteckning över valbara kandidater senast den 21 dagen innan valförrättningen inleds. Valnämnden är personuppgiftsansvarig för kandidatförteckningen. Kandidatförteckningen ska ha en övergripande rubrik, som specificerar valet, och en förteckning över kandidaterna i nummerordning med 2 som första nummer. Kandidaternas ordningsföljd i förteckningen bestäms genom lottning utförd av valnämnden. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag  om ändring av 11 och 47 § i föreningslagen 

I enlighet med riksdagens beslut 
ändras i föreningslagen (503/1989) 11 § och 47 § 1 mom., sådana de lyder, 11 § delvis ändrad i lag 1614/1992 och 47 § 1 mom. i lag 1098/2014, som följer: 
11 § Medlemsförteckning 
Det ska föras en förteckning över medlemmarna i en förening. I förteckningen ska varje medlems fullständiga namn och hemort införas.  
Föreningens medlemmar ska på begäran ges tillfälle att ta del av de uppgifter som nämns i 1 mom. Om föreningen samlar in andra uppgifter än sådana som nämns i 1 mom., får de lämnas ut till en föreningsmedlem endast av särskilda skäl. På utlämnande av uppgifter ur medlemsförteckningen tillämpas i övrigt Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och dataskyddslagen (1050/2018). 
Personuppgiftsansvarig för personuppgifterna i en förteckning som avses i 1 mom. är föreningen. För utförandet av den personuppgiftsansvariges uppgifter svarar i en registrerad förening styrelsen eller, om föreningen är oregistrerad, ordföranden, styrelseordföranden eller någon annan som sköter föreningens angelägenheter. 
47 § Föreningsregistret och personuppgiftsansvarig 
Personuppgiftsansvarig för föreningsregistret är Patent- och registerstyrelsen. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

8. Lag  om ändring av 13 kap. 1 § i stiftelselagen 

I enlighet med riksdagens beslut 
ändras i stiftelselagen (487/2015) rubriken för 13 kap. 1 § samt 13 kap. 1 § 2 mom. som följer: 
13 kap. 
Stiftelseregistret 
1 § Stiftelseregistret och personuppgiftsansvarig 
Kläm 
Personuppgiftsansvarig för stiftelseregistret är Patent- och registerstyrelsen, som i denna lag även kallas registermyndigheten. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

9. Lag  om ändring av 7 och 9 a kap. i jordabalken 

I enlighet med riksdagens beslut 
ändras i jordabalken (540/1995) 7 kap. 1 § 3 mom. och den svenska språkdräkten i 1 a § 2 mom. samt 9 a kap. 2 § 2 mom., rubriken för 3 § och 3 § 3 mom., sådana de lyder, 7 kap. 1 § 3 mom. i lag 572/2009, den svenska språkdräkten i 7 kap. 1 a § 2 mom. i lag 922/2013 samt 9 a kap. 2 § 2 mom., rubriken för 3 § och 3 § 3 mom. i lag 96/2011, som följer: 
7 kap. 
Lagfarts- och inteckningsregister 
1 §  Uppgifter som ska antecknas i lagfarts- och inteckningsregistret 
Kläm 
För att de registrerade entydigt ska kunna specificeras ska identifierings- och kontaktuppgifterna för de sökande och rättsinnehavare som finns antecknade i lagfarts- och inteckningsregistret införas som personuppgifter. Likaså ska uppgifter om dödsdag införas. Dessutom ska ändringar i uppgifterna införas i registret. 
Kläm 
1 a §  Syftet med lagfarts- och inteckningsregistret 
Kläm 
Personuppgiftsansvarig för lagfarts- och inteckningsregistret är Lantmäteriverket. 
9 a kap. 
Elektroniska ärendehanteringssystem och deras användning 
2 § Behandling av data i ärendehanteringssystemen 
Kläm 
Personuppgiftsansvarig för personuppgifter som behandlas i ett elektroniskt ärendehanteringssystem är Lantmäteriverket. 
3 § Statens skadeståndsansvar för fel och brister i ärendehanteringssystemens funktion  
Kläm 
I fråga om ersättning av skada iakttas bestämmelserna i 13 kap. 6—8 §. På ersättning av skada som orsakats genom behandling av personuppgifter tillämpas Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

10. Lag  om ändring av lagen om registrering av vissa kreditgivare och kreditförmedlare 

I enlighet med riksdagens beslut 
ändras i lagen om registrering av vissa kreditgivare och kreditförmedlare (853/2016) 3 § 1 mom., 7 § 2 mom. och 8 § samt 
fogas till 5 § ett nytt 2 mom. som följer: 
3 § Register över kreditgivare och förmedlare av person-till-person-lån samt registeranmälan 
För tillsynen över kreditgivare och förmedlare av person-till-person-lån förs det ett register (register över kreditgivare och förmedlare av person-till-person-lån) för vilket Regionförvaltningsverket i Södra Finland, nedan regionförvaltningsverket, är personuppgiftsansvarig. 
Kläm 
5 § Tillförlitlighet 
Kläm 
Regionförvaltningsverket har rätt att för utredning av den tillförlitlighet som avses i 1 mom. behandla uppgifter som gäller fängelsestraff och bötesstraff. 
7 § Uppgifter som ska föras in i registret och anmälan om ändringar 
Kläm 
I registret antecknas också uppgifter om dem som har meddelats ett förbud enligt 17 § 1 mom. att tillhandahålla konsumentkrediter eller förmedla person-till-person-lån utan registrering. Dessa uppgifter och uppgifter om sanktionerna enligt 1 mom. 8 punkten ska strykas ur registret fem år efter utgången av det år då förbudet eller sanktionen påfördes. Uppgifter om straffrättsliga påföljder ska inte antecknas i registret. 
Kläm 
8 § Utlämnande av uppgifter 
Trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får personuppgifter lämnas ut ur registret i form av utskrifter, göras allmänt tillgängliga i ett elektroniskt datanät eller lämnas ut på något annat sätt i elektronisk form. Personuppgifter ska i ett elektroniskt datanät endast kunna sökas som enskild sökning. Personbeteckningar får dock lämnas ut med stöd av denna lag endast om uppgiften lämnas i form av en utskrift eller i teknisk lagringsform och om mottagaren med stöd av 29 § i dataskyddslagen (1050/2018) eller med stöd av någon annan lag har rätt att behandla personbeteckningar. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

11. Lag  om ändring av utsökningsbalken 

I enlighet med riksdagens beslut 
upphävs i utsökningsbalken (705/2007) 1 kap. 27 § 1 mom. och 3 kap. 72 § 4 mom., 
ändras 1 kap. 24 § 1 mom., 25 §, 26 § 1 mom. 3 punkten, 27 § 2 mom., 28 §, 29 § 1 mom. 3 punkten och 29 § 2 mom., 3 kap. 65 § 1 mom., 69 §, det inledande stycket i 70 § 1 mom., 70 § 1 mom. 1 punkten, 70 § 2 mom., det inledande stycket i 71 § 1 mom. och 72 § 1—3 mom. samt den svenska språkdräkten i 4 kap. 33 § 1 mom. 6 punkten och 33 § 2 och 3 mom., 
av dem 1 kap. 24 § 1 mom., 25 § och 27 § 2 mom. samt 3 kap. 69 § sådana de lyder i lag 778/2019, och 
fogas till 1 kap. 2 § ett nytt 2 mom. och till 1 kap. 26 § 1 mom., sådant det lyder i lag 778/2019, nya 4—6 punkter som följer: 
1 kap. 
Allmänna bestämmelser 
2 §  Förhållande till annan lagstiftning 
Kläm 
Utöver vad som föreskrivs i denna lag finns bestämmelser om behandling av personuppgifter i samband med utsökningsärenden i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050/2018). 
24 § Utsökningens informationssystem och utsökningsregistret 
Utsökningens informationssystem är ett för skötseln av utsökningsmyndigheternas uppgifter inrättat informationssystem som är avsett för utsökningsmyndigheternas riksomfattande bruk och som drivs med hjälp av automatisk databehandling. 
Kläm 
25 § Personuppgiftsansvarig 
Personuppgiftsansvarig för utsökningsregistret är Utsökningsverket. 
26 § Registrets datainnehåll 
I utsökningsregistret får det samlas och föras in 
 En icke ändrad del av lagtexten har utelämnats 
3) av parterna eller utomstående erhållna och av utsökningsmyndigheterna på annat sätt inhämtade uppgifter i utsökningsärendet, inklusive nödvändiga uppgifter om socialvårdsförmåner som erhållits av gäldenären och som kan påverka utmätningen (specialuppgifter), 
4) sådana av parterna eller utomstående erhållna och av utsökningsmyndigheterna på annat sätt inhämtade uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning som är nödvändiga för beviljande av fria månader eller begränsning av utmätningen på lönen på grund av väsentligt nedsatt betalningsförmåga, eller som det annars med tanke på gäldenärens intresse är nödvändigt att föra in, 
5) av myndigheterna erhållna personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder, till den del det med tanke på skötseln av utsökningsmyndigheternas uppgifter är nödvändigt att föra in dem, 
6) uppgifter om en registrerads hotfulla eller våldsamma beteende i samband med ett utsökningsärende eller om andra omständigheter som äventyrar säkerheten, till den del det är nödvändigt att föra in uppgifterna för att utmätningsmannens säkerhet i arbetet ska kunna tryggas (uppgifter om säkerhet i arbetet). 
 En icke ändrad del av lagtexten har utelämnats 
27 § Rätt att behandla uppgifter 
Kläm 
Tjänstemän vid Utsökningsverket får i utsökningsärenden eller utsökningsförvaltningsärenden trots sekretessbestämmelserna behandla uppgifter som avses i 26 § i den utsträckning som de behöver det för att sköta sina tjänsteuppdrag. Specialuppgifter, uppgifter om gäldenärens hälsotillstånd eller funktionsnedsättning, personuppgifter som rör straffrättsliga påföljder eller säkringsåtgärder samt uppgifter om säkerhet i arbetet får dock endast behandlas till den del det är nödvändigt för skötseln av de uppdragen. Tjänstemän vid justitieministeriet får i utsökningsförvaltningsärenden trots sekretessbestämmelserna behandla uppgifter som avses i 26 § i den utsträckning det är nödvändigt för att de ska kunna sköta sina tjänsteuppdrag. 
28 § Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne 
Den i artikel 15 i dataskyddsförordningen avsedda rätten för en registrerad att få tillgång till uppgifter som samlats in om honom eller henne kan skjutas upp, om tillgången till uppgifterna skulle kunna försvåra verkställigheten avsevärt. Rätten att få tillgång till uppgifter kan skjutas upp till behövliga delar för att säkerställa verkställigheten fram till dess att behövliga utmätningar eller andra verkställighetsåtgärder har utförts och egendomen har tagits om hand av utmätningsmannen, dock högst sex månader från begäran om tillgång till uppgifterna. 
Om den i artikel 15 i dataskyddsförordningen avsedda rätten skjuts upp endast delvis, har den registrerade rätt att få tillgång till övriga uppgifter som rör honom eller henne. När en registrerads rätt att få tillgång till uppgifter som samlats in om honom eller henne skjuts upp i enlighet med 1 mom., ska i övrigt 34 § 3 och 4 mom. i dataskyddslagen iakttas. 
29 § Avförande av uppgifter 
Ur utsökningsregistret skall följande uppgifter avföras: 
 En icke ändrad del av lagtexten har utelämnats 
3) specialuppgifterna, uppgifterna om gäldenärens hälsotillstånd eller funktionsnedsättning och uppgifterna om säkerhet i arbetet 10 år efter införandet eller tidigare, om uppgifterna uppenbarligen inte längre behövs. 
De i 3 punkten avsedda uppgifterna får bevaras i längre tid än 10 år om det finns grundad anledning, dock inte över 20 år från det att de infördes. 
3 kap. 
Allmänna bestämmelser om förfarandet 
65 § Känsliga personuppgifter och uppgifter om utomstående 
När uppgifter inhämtas hos en utomstående ska det undvikas att utmätningsmannen får tillgång till i artikel 9.1 i dataskyddsförordningen avsedda personuppgifter som hör till särskilda kategorier av personuppgifter eller i artikel 10 i den förordningen avsedda personuppgifter, om uppgifterna inte har samband med utsökningsärendet.  
Kläm 
69 §  Utlämnande av uppgifter för handläggningen av administrativa uppgifter 
Utsökningsmyndigheten får trots sekretessbestämmelserna lämna ut uppgifter till justitieministeriet i den utsträckning det är nödvändigt för handläggningen av administrativa uppgifter.  
70 § Förundersökningsmyndigheter och vissa andra myndigheter samt domstolar 
Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag får en utsökningsmyndighet trots sekretessbestämmelserna i enskilda fall på begäran ur en handling som finns hos utsökningsmyndigheten lämna ut svarandens identifieringsuppgifter och kontaktinformation samt nödvändiga uppgifter om svarandens ekonomiska ställning och verksamhet till 
1) en åklagar- och förundersökningsmyndighet för utredning, förundersökning, åtalsprövning och domstolsbehandling av brott samt för förebyggande av grova brott och till skyddspolisen för förebyggande av brott som hotar stats- och samhällsordningen eller statens säkerhet, 
 En icke ändrad del av lagtexten har utelämnats 
Utmätningsmannen får trots sekretessbestämmelserna för domstol uppge uppgifter som gäller ett utsökningsärende och som är nödvändiga vid behandling av ärenden som avses i 1 mom. samt av utsökningsbesvär, verkställighetstvister och återvinningsärenden. Bestämmelserna i 73 § hindrar inte utmätningsmannen att för domstolen uppge uppgifter som är nödvändiga för behandlingen av utsökningsbesvär och verkställighetstvister, även om uppgiftslämnaren åberopar sin rätt att vägra vittna. 
Kläm 
71 § Skattemyndigheter och beviljare av offentliga stöd 
Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag får en utsökningsmyndighet trots sekretessbestämmelserna i enskilda fall på begäran ur sina handlingar lämna ut svarandens identifieringsuppgifter och kontaktinformation samt uppgifter om svarandens ekonomiska ställning och verksamhet, om uppgifterna är nödvändiga för 
Kläm 
72 § Utlämnande av uppgifter på eget initiativ 
Utmätningsmannen får, utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna, på eget initiativ lämna ut uppgifter till en i 70 § 1 mom. 1 punkten avsedd myndighet för ett ändamål som nämns i den punkten, om uppgifterna är nödvändiga för skötseln av den myndighetens uppgifter, om det finns skäl att misstänka att en svarande eller en utomstående kan ha gjort sig skyldig till ett under allmänt åtal hörande  
1) brott som har begåtts i samband med utsökningsförfarandet, 
2) brott som väsentligt äventyrar verkställighetens resultat,  
3) bokföringsbrott, eller  
4) annat än i 1—3 punkten avsett brott för vilket det inte är föreskrivet lindrigare straff än fängelse i fyra månader. 
Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag får utmätningsmannen trots sekretessbestämmelserna på eget initiativ lämna ut uppgifter också till de myndigheter som avses i 70 § 1 mom. 5—7 punkten för de ändamål som nämns i respektive punkt, om det finns skäl att misstänka att svaranden eller en utomstående kan ha gjort sig skyldig till ett brott som hör under allmänt åtal, om uppgifterna är nödvändiga för att den myndigheten ska kunna sköta sin uppgift. På anmälningar om tvivelaktiga transaktioner tillämpas 9 kap. 5 § 1 mom. i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017). 
Utmätningsmannen kan, utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller i någon annan lag och trots sekretessbestämmelserna, på eget initiativ lämna ut uppgifter till en myndighet, ett samfund, en sammanslutning eller en stiftelse som avses i 71 §, om det finns skäl att misstänka att svaranden eller en utomstående kan ha gjort sig skyldig till en gärning som avses i 29 kap. 1—4 § i strafflagen (39/1889) eller till missbruk av offentlig förmån och uppgifterna är nödvändiga för att myndigheten, samfundet, sammanslutningen eller stiftelsen ska kunna sköta sin uppgift. 
4 kap. 
Utmätning 
33 § Registeranmälningar 
Utmätningsmannen skall genast anmäla 
 En icke ändrad del av lagtexten har utelämnats 
6) utmätning av annan egendom till andra personuppgiftsansvariga enligt vad som föreskrivs särskilt. 
Kan uppgifter om utmätningen införas även i något annat offentligt register än ett sådant som avses i 1 mom., ska utmätningsmannen vid behov anmäla utmätningen till den som är personuppgiftsansvarig för registret i fråga. 
Närmare bestämmelser om anmälningarna till de personuppgiftsansvariga utfärdas genom förordning av statsrådet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . Bestämmelserna i 1 kap. 24 § 1 mom., 25 §, 26 § 1 mom. 4—6 punkten och 27 § 2 mom. samt 3 kap. 69 § träder dock i kraft först den 20 . 
 Slut på lagförslaget 

12. Lag  om ändring av 1 kap. 2 § i utsökningsbalken 

I enlighet med riksdagens beslut 
ändras i utsökningsbalken (705/2007) 1 kap. 2 §, sådan den lyder i lag / , som följer: 
1 kap. 
Allmänna bestämmelser 
2 §  Förhållande till annan lagstiftning 
I enlighet med vad som föreskrivs i andra lagar, i Europeiska unionens lagstiftning eller i internationella fördrag som är bindande för Finland iakttas förfarandet enligt denna lag även vid verkställighet som avser 
1) skatter, offentliga avgifter och andra offentligrättsliga eller med dem jämförliga fordringar, 
2) böter, vissa straffrättsliga påföljder eller staten tilldömda ersättningar, 
3) vårdnad om barn, överlämnande av barn till vårdnadshavaren eller umgängesrätt, 
4) utomlands eller i en internationell domstol givna domar, skiljedomar eller andra utsökningsgrunder, 
5) domar eller beslut av vissa institutioner och organ inom Europeiska unionen, 
6) lösöre som sålts genom avbetalningsköp, 
7) andra säkringsåtgärder än sådana som avses i 7 kap. i rättegångsbalken. 
Utöver vad som föreskrivs i denna lag finns bestämmelser om behandling av personuppgifter i samband med utsökningsärenden i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen (1050/2018). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft vid en tidpunkt som föreskrivs genom förordning av statsrådet. 
Genom denna lag upphävs lagen om ändring av 1 kap. 2 § i utsökningsbalken (26/2016). 
 Slut på lagförslaget 

13. Lag  om ändring av lagen om skuldsaneringsregistret 

I enlighet med riksdagens beslut 
upphävs i lagen om skuldsaneringsregistret (368/2017) 5 § 3 mom. och 
ändras 1 och 10 § som följer: 
1 § Registrets ändamål och förvaltning 
Rättsregistercentralen är personuppgiftsansvarig för ett skuldsaneringsregister. Ändamålet med registret är att säkerställa att aktuella uppgifter om privatpersoners skuldsaneringsärenden finns tillgängliga för domstolarnas och myndigheternas verksamhet, för bevakning av borgenärernas intressen, för tryggande av utomståendes intressen och rättigheter samt för statistik och forskning. 
10 § Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag, tillämpas på sekretess för och utlämnande av personuppgifter lagen om offentlighet i myndigheternas verksamhet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

14. Lag  om ändring av lagen om näringsförbud 

I enlighet med riksdagens beslut 
ändras i lagen om näringsförbud (1059/1985) den svenska språkdräkten i 21 § 2 mom., sådant det lyder i lag 1107/2006, och 
fogas till lagen en ny 1 a § som följer: 
1 a § Förhållande till annan lagstiftning 
Bestämmelser om behandling av personuppgifter i ärenden som gäller näringsförbud finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
21 § Register 
Kläm 
Trots vad som föreskrivs i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) har var och en rätt att få uppgifter om gällande näringsförbud i registret även i form av kopior och utskrifter. Rättsregistercentralen får lämna ut uppgifter med hjälp av en teknisk anslutning eller annars elektroniskt till domstolar och andra myndigheter som behöver uppgifter för skötseln av sina lagstadgade uppgifter, till sammanslutningar som bedriver kreditupplysningsverksamhet samt till kredit- och finansinstitut och andra sammanslutningar som i sin verksamhet kontinuerligt behöver uppgifterna för bedömning av avtalsparters tillförlitlighet eller något annat jämförbart ändamål som är godtagbart. Innan en teknisk anslutning öppnas ska mottagaren ge den personuppgiftsansvarige en utredning om skyddet av uppgifterna. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

15. Lag  om ändring av 1 och 4 b § i lagen om Institutet för kriminologi och rättspolitik 

I enlighet med riksdagens beslut 
upphävs i lagen om Institutet för kriminologi och rättspolitik (1139/2007) 4 b § 1 mom., sådant det lyder i lag 1066/2014, 
ändras 1 § 2 mom. 3 punkten och 4 b § 4 mom., sådana de lyder, 1 § 2 mom. 3 punkten i lag 1066/2014 och 4 b § 4 mom. i lag 301/2013, och 
fogas till 1 §, sådan den lyder i lag 1066/2014, ett nytt 3 mom. som följer: 
1 § Administrativ ställning och uppgifter 
Kläm 
Institutet har till uppgift att 
 En icke ändrad del av lagtexten har utelämnats 
3) förvalta ett forskningsregister över brott och påföljder samt övriga forskningsregister som behövs för att institutet ska kunna sköta de uppgifter det har enligt lag. 
Institutet är personuppgiftsansvarig för de personuppgifter som ingår i forskningsregistren. 
4 b § Behandling av och sekretess för uppgifter 
Kläm 
På utlämnande av personuppgifter som har registrerats i ett forskningsregister tillämpas i övrigt lagen om offentlighet i myndigheternas verksamhet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

16. Lag  om ändring av 45 § i lagen om verkställighet av samhällspåföljder 

I enlighet med riksdagens beslut 
ändras i lagen om verkställighet av samhällspåföljder (400/2015) 45 § 1 mom. som följer: 
45 § Förfarandet vid utarbetandet av planen för strafftiden 
Den misstänkte eller dömde ska för utarbetandet av planen för strafftiden och för verkställigheten av straffet lämna behövlig information om de läkemedel som han eller hon använder. Med stöd av den misstänktes eller dömdes skriftliga samtycke får informationen om läkemedelsbehandlingen införas i det register som innehåller uppgifter om avtjänandet av samhällspåföljder. Bestämmelser om behandling av uppgifter vid utförandet av verkställighetsuppdrag finns i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

17. Lag  om ändring av 2 och 5 § i lagen om registret över djurhållningsförbud 

I enlighet med riksdagens beslut 
upphävs i lagen om registret över djurhållningsförbud (21/2011) 5 § 4 mom. och 
ändras 2 § som följer: 
2 § Förhållande till annan lagstiftning 
Om inte något annat föreskrivs i denna lag, tillämpas på uppgifters och handlingars offentlighet och på utlämnande av dem vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999). På den övriga behandlingen av personuppgifter tillämpas vad som föreskrivs i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

18. Lag  om ändring av säkerhetsutredningslagen 

I enlighet med riksdagens beslut 
upphävs i säkerhetsutredningslagen (726/2014) 7 § 4 mom. och 56 §, 
ändras 2 § 1 mom. 6 punkten, 9 § 4 mom., 46 § 3 mom., 48 § 1, 2 och 4 mom., 49 §, 50 § 3 mom., rubriken för 51 §, 60 § 1 mom., 61 § och 62 § 1 mom. samt 
fogas till 2 § ett nytt 3 mom., till 48 § ett nytt 6 mom., till lagen en ny 48 a § och till 50 § ett nytt 5 mom. som följer: 
2 § Lagens tillämpningsområde och förhållande till annan lagstiftning 
I denna lag föreskrivs om 
 En icke ändrad del av lagtexten har utelämnats 
6) samkörning av uppgifter i personregister för att kontrollera att den som utredningen gäller är oförvitlig och tillförlitlig och om de åtgärder som ska genomföras med anledning av samkörningen. 
 En icke ändrad del av lagtexten har utelämnats 
Bestämmelser om skyddspolisens och Huvudstabens behandling av personuppgifter finns i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018). Bestämmelser om andra myndigheters behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen (1050/2018). 
9 § Behöriga myndigheter 
Kläm 
Transport- och kommunikationsverket gör som ett led i en säkerhetsutredning av företag en utredning om nivån på informationssäkerheten i informationssystem och datakommunikation. 
Kläm 
46 § Utfärdande av intyg över säkerhetsutredning av företag 
Kläm 
Om en säkerhetsutredning av företag uteslutande har gällt säkerheten i informationssystem och datakommunikation, får Transport- och kommunikationsverket, som har gjort utredningen, utfärda ett intyg över den. 
Kläm 
48 § Registret över säkerhetsutredningar och registrets ändamål samt registrering av uppgifter 
För utförandet av säkerhetsutredningar, för undvikande av onödiga säkerhetsutredningar, för att uppgifter ska kunna förmedlas mellan de behöriga myndigheterna samt för att tillförlitligheten och oförvitligheten hos dem som utredningarna gäller ska kunna kontrolleras ska det föras ett register över säkerhetsutredningar.  
I registret över säkerhetsutredningar ska skyddspolisen och Huvudstaben utan dröjsmål registrera att en ansökan om säkerhetsutredning kommit in, namnet på den som utredningen gäller och andra identifieringsuppgifter, utredningens omfattning samt uppgifter om resultatet av utredningen eller att ett intyg över säkerhetsutredning utfärdats och dess giltighet och återkallelse samt uppgifter om arbetsgivaren för den som en säkerhetsutredning av person gäller, om dessa uppgifter är tillgängliga. Den nationella säkerhetsmyndigheten ska registrera uppgifter om de intyg över säkerhetsutredning av person och av företag som den utfärdat i enlighet med vad som förutsätts i en internationell förpliktelse som gäller informationssäkerhet. 
Kläm 
Transport- och kommunikationsverket får registrera uppgifter om 
1) de intyg som det har utfärdat enligt lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation och de uppgifter som antecknats i intygen, 
2) de bedömningsorgan som har godkänts i enlighet med lagen om bedömningsorgan för informationssäkerhet, 
3) intyg utfärdade av godkända bedömningsorgan så som föreskrivs i lagen om bedömningsorgan för informationssäkerhet. 
 En icke ändrad del av lagtexten har utelämnats 
Den nationella säkerhetsmyndigheten och Transport- och kommunikationsverket är skyldiga att se till att de uppgifter som de för in i registret över säkerhetsutredningar motsvarar myndighetens avgöranden och anteckningarna i dess egna register och att anteckningarna har gjorts i enlighet med skyddspolisens tekniska krav. 
48 a § Personuppgiftsansvariga 
Skyddspolisen och Huvudstaben är gemensamt personuppgiftsansvariga för registret över säkerhetsutredningar. Huvudstaben svarar för den personuppgiftsansvariges skyldigheter om de personuppgifter som behandlas avser den som utredningen gäller och denne arbetar eller kommer att arbeta inom Försvarsmakten eller sköter ett uppdrag på förordnande av Försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom Försvarsmakten. Skyddspolisen svarar för den personuppgiftsansvariges skyldigheter i övriga fall om de personuppgifter som behandlas avser den som utredningen gäller, samt svarar för skötseln av de uppgifter som hänför sig till utlämnandet av personuppgifter ur registret över säkerhetsutredningar, till förandet av det registret och till informationssäkerheten. 
49 § Avförande av uppgifter ur registret över säkerhetsutredningar 
Med avvikelse från 6 § 3 mom. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ska de uppgifter som förts in i registret över säkerhetsutredningar avföras senast tre år efter det att en ny motsvarande säkerhetsutredning har gjorts eller giltigheten för en säkerhetsutredning eller ett intyg över säkerhetsutredning har upphört eller de arbetsuppgifter för vilka säkerhetsutredningen gjordes har upphört eller intyget över säkerhetsutredning har återkallats.  
50 § Utlämnande av uppgifter ur registret över säkerhetsutredningar 
Kläm 
Skyddspolisen får trots sekretessbestämmelserna med hjälp av teknisk anslutning lämna centralkriminalpolisen uppgifter om ansökan om säkerhetsutredning för att samköras med uppgifter om i 7 § 2 mom. i lagen om behandling av personuppgifter i polisens verksamhet avsedda persongrupper med tanke på de anmälningar som avses i 25 § 2 mom. i denna lag och på prövning i fråga om dem. Centralkriminalpolisen ska utplåna de uppgifter som fåtts genom samkörningen omedelbart efter det att behovet av anmälan har bedömts eller anmälan har sänts till skyddspolisen. 
Kläm 
På utlämnande av personuppgifter till den nationella säkerhetsmyndigheten tillämpas lagen om internationella förpliktelser som gäller informationssäkerhet. 
51 § Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av uppgifter i personregister 
Kläm 
60 § Avgifter för säkerhetsutredningar 
För säkerhetsutredningar som de behöriga myndigheterna gör med stöd av denna lag och för Transport- och kommunikationsverkets sakkunniguppgifter i samband med säkerhetsutredningar av företag tas det hos sökanden ut en avgift med iakttagande av lagen om grunderna för avgifter till staten (150/1992). Den som utredningen gäller svarar dock för kostnaderna i samband med genomförande av en säkerhetsutredning av företag, om utredningen har gjorts på ansökan av en myndighet. 
Kläm 
61 § Hänvisning till straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet finns i 3 § och för grov kränkning av kommunikationshemlighet i 4 § det kapitlet samt bestämmelser om straff för dataintrång i 8 § och för grovt dataintrång i 8 a § i det kapitlet. Till straff för brott mot tystnadsplikten enligt 59 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. Som ovan avsett brott mot sekretessen betraktas också brott mot en förbindelse som avses i 40 § i denna lag. 
62 § Ändringssökande 
En behörig myndighets beslut enligt denna lag får överklagas genom besvär hos förvaltningsdomstolen. Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

19. Lag  om ändring av 1 § i lagen om Rättsregistercentralen 

I enlighet med riksdagens beslut 
ändras i lagen om Rättsregistercentralen (625/2012) 1 § 1 mom. 1 punkten som följer: 
1 § Rättsregistercentralen 
Rättsregistercentralen är ett ämbetsverk som hör till justitieministeriets förvaltningsområde och som har till uppgift att 
1) vara personuppgiftsansvarig för informationssystem och register inom justitieministeriets förvaltningsområde enligt vad som särskilt föreskrivs om dem samt förmedla av justitieförvaltningsmyndigheterna anmälda uppgifter till andra myndigheter, 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

20. Lag  om ändring av 1 och 11 § i lagen om konkurs- och företagssaneringsregistret 

I enlighet med riksdagens beslut 
ändras i lagen om konkurs- och företagssaneringsregistret (137/2004) 1 § och 
fogas till 11 § ett nytt 3 mom. som följer: 
1 § Registrets ändamål och personuppgiftsansvarig 
Över konkurs- och företagssaneringsärenden förs det ett gemensamt register, för vilket Rättsregistercentralen är personuppgiftsansvarig. Registrets ändamål är att säkerställa att aktuella uppgifter om konkurs- och företagssaneringsärenden finns tillgängliga för domstolarnas och myndigheternas verksamhet, bevakningen av borgenärernas intressen samt tryggandet av utomståendes intressen och rättigheter. 
11 § Rättande av fel 
Kläm 
På rättelse och radering av felaktiga personuppgifter tillämpas Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

21. Lag  om ändring av 1 och 47 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 

I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) 1 § 2 mom. 1 och 2 punkten samt 47 § 1 mom. som följer: 
1 § Tillämpningsområde 
Kläm 
Utöver vad som föreskrivs i 1 mom. tillämpas denna lag på 
1) sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a eller i 3 eller 4 punkten i lagen om försvarsmakten (551/2007), och sådan behandling av personuppgifter som utförs av Försvarsmaktens huvudstab för skötsel av uppgifter som avses i 9 § 3 mom. i säkerhetsutredningslagen (726/2014), 
2) sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 kap. 1 § 1 mom. i polislagen (872/2011) avsedd uppgift som hänför sig till skyddet av den nationella säkerheten, och vid uppdrag som avses i 9 § 1 mom. i säkerhetsutredningslagen, 
 En icke ändrad del av lagtexten har utelämnats 
47 § Rätt att få information 
Dataombudsmannen har trots sekretessbestämmelserna rätt att avgiftsfritt få i 18 § avsedda register över behandlingar, i 19 § avsedda logguppgifter samt övriga uppgifter som behövs för att dataombudsmannen ska kunna sköta sina uppgifter. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 6 februari 2020 
Statsminister Sanna Marin 
Justitieminister Anna-Maja Henriksson