Senast publicerat 03-11-2021 13:25

Regeringens proposition RP 52/2018 rd Regeringens proposition till riksdagen med förslag till ändring av socialtrygghets- och försäkringslagstiftningen med anledning av EU:s allmänna dataskyddsförordning

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I propositionen föreslås det sådana ändringar i socialtrygghets- och försäkringslagstiftningen som följer av EU:s allmänna dataskyddsförordning. Syftet med propositionen är att den nationella socialtrygghets- och försäkringslagstiftningen ska börja stämma överens med dataskyddsförordningen. Det föreslås att bestämmelser som står i strid med eller överlappar dataskyddsförordningen upphävs, eftersom förordningen är direkt tillämplig rätt. I propositionen föreslås dessutom vissa bestämmelser som preciserar dataskyddsförordningen och nödvändiga undantag från dataskyddsförordningens förpliktelser.

Det föreslås bestämmelser i lag om vissa fall av utlämnande av personuppgifter som för närvarande baserar sig på den registrerades samtycke.

Det föreslås att lagstiftningen om försäkringsbolag utökas med bestämmelser som möjliggör behandling av personuppgifter som hänför sig till brottsmisstankar och domar i brottmål och utlämnande av dem till andra försäkringsbolag för upprätthållande av så kallade missbruksregister. Motsvarande bestämmelse föreslås även i kreditinstitutslagen.

Det föreslås att lagstiftningen om social trygghet utökas med bestämmelser om undantag från dataskyddsförordningens rätt att begränsa behandlingen. Den registrerade ska inte, om dennes krav på begränsning är uppenbart ogrundat, ha rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter till den del det är fråga om skötsel av en lagstadgad uppgift.

Det föreslås att socialtrygghets- och försäkringslagstiftningen utökas med bestämmelser om automatiserade beslut. Automatiserade beslut ska vara tillåtna vid verkställigheten av lagstadgad social trygghet, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. Att fatta automatiserade beslut vid privatförsäkring ska vara tillåtet, men den registrerade ska ha rätt att kräva att ärendet ska behandlas på nytt av en fysisk person.

Lagarna avses träda i kraft den 25 maj 2018, dvs. samma dag som dataskyddsförordningen börjar tillämpas.

ALLMÄN MOTIVERING

1 Inledning

Europeiska unionens dataskyddsförordning (2016/679 (EU), nedan dataskyddsförordningen) har trätt i kraft den 24 maj 2016 och den börjar tillämpas i medlemsstaterna den 25 maj 2018. Genom dataskyddsförordningen upphävs Europaparlamentets och rådets direktiv 95/46/EG, som i Finland har genomförts genom personuppgiftslagen (523/1999).

Dataskyddsförordningen är en nationellt direkt tillämplig rättsakt, men den tillåter medlemsstaterna ett direktivliknande nationellt spelrum. Det nationella spelrummet ger medlemsstaterna möjlighet att i vissa frågor införa nationell lagstiftning som kompletterar eller preciserar dataskyddsförordningen. Dessutom är det i vissa situationer möjligt att genom nationell lagstiftning avvika från förpliktelser i dataskyddsförordningen.

Riksdagen behandlar som bäst regeringens proposition till riksdagen med förslag till allmän lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018rd), som innehåller ett förslag till en ny allmän lag som kompletterar dataskyddsförordningen och som kallas dataskyddslagen. Genom dataskyddslagen upphävs personuppgiftslagen. Dataskyddslagen består av ett antal paragrafer som kompletterar och preciserar dataskyddsförordningen.

Ändringarna i dataskyddsregleringen förutsätter också att annan nationell lagstiftning ses över. Bestämmelserna om behandling av personuppgifter måste stämma överens med dataskyddsförordningen. I speciallagstiftning kan också tas in bestämmelser som preciserar dataskyddsförordningen eller undantag från förordningens förpliktelser när detta är möjligt inom ramen för det nationella spelrummet. Syftet med denna regeringsproposition är att den nationella socialtrygghets- och försäkringslagstiftningen ska börja stämma överens med dataskyddsförordningen.

2 Nuläge och bedömning av nuläget

2.1 Behandling av personuppgifter vid verkställigheten av social trygghet och inom försäkringsverksamheten

I Finland är en del av den sociala tryggheten ordnad genom lagstadgade försäkringar, vilkas syfte är att trygga utkomsten i händelse av olika sociala risker, såsom ålderdom, arbetsoförmåga och familjeförsörjarens död. Socialförsäkringssystemet består av arbetspensioner, arbetsolycksfalls- och yrkessjukdomsförsäkring och folkpension. Även de ersättningar som betalas ur trafikförsäkringen och patientförsäkringen hör delvis till den lagstadgade sociala tryggheten. Den praktiska verkställigheten av socialförsäkringen sköts av offentliga och privata försäkringsanstalter såsom Folkpensionsanstalten, arbetspensionsanstalterna, arbetslöshetskassorna och skadeförsäkringsbolagen.

Det som i detta kapitel konstateras om socialförsäkringar gäller också personskadeersättningar som betalas enligt trafikförsäkringslagen (460/2016) och patientskadelagen (585/1986) och de bestämmelser om rätt till information som hänför sig till utbetalningen av dem.

Vid verkställigheten av socialförsäkring är det nödvändigt att behandla förmånssökandenas personuppgifter och ofta även uppgifter om deras hälsotillstånd. För närvarande baserar sig behandlingen av personuppgifter i socialförsäkringsärenden i allmänhet på 8 § 4 punkten i personuppgiftslagen, enligt vilken personuppgifter får behandlas om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift eller förpliktelse som anvisas den personuppgiftsansvarige i lag eller som påförts honom med stöd av lag. Dataskyddsförordningen förutsätter att det alltid finns en godtagbar grund till att personuppgifter behandlas, och det föreskrivs om detta i artikel 6 i förordningen. Vid verkställigheten av socialförsäkring baserar sig behandlingen av personuppgifter i allmänhet på artikel 6.1 c i dataskyddsförordningen, dvs. behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. För att denna grund ska få användas förutsätts att det bestäms om den, förutom i förordningen, i nationell rätt som är tillämplig på den personuppgiftsansvarige.

Verkställigheten av socialförsäkring är en lagstadgad uppgift för olika försäkringsanstalter. I lag förskrivs också om ansökan om förmåner, villkoren för beviljande av förmåner, verkställighet och sökande av ändring. Förmåner beviljas i allmänhet på grund av ansökan, och i samband med den meddelar sökanden försäkringsanstalten de personuppgifter som är nödvändiga för att avgöra förmånen.

Det finns bestämmelser i lag med stöd av vilka försäkringsanstalterna har rätt att utan en parts samtycke få uppgifter som är nödvändiga till exempel för behandlingen av förmånsärenden även från andra än förmånssökanden själv. Med stöd av dessa bestämmelser kan personuppgifter fås från till exempel andra försäkringsanstalter och myndigheter. I bestämmelserna anges ändamålen med uppgifterna och de instanser från vilka uppgifter kan fås.

Villkoren för att bevilja flertalet socialförsäkringsförmåner hänför sig till sökandens hälsotillstånd och funktionsförmåga. I dessa situationer är det nödvändigt att behandla hälsouppgifter, som hör till de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen. För närvarande bestäms det om behandlingen av känsliga personuppgifter, såsom uppgifter om hälsotillstånd, i 12 § i personuppgiftslagen. Med stöd av 12 § 11 punkten i personuppgiftslagen får försäkringsanstalter behandla uppgifter om den försäkrades och ersättningssökandens hälsotillstånd som de fått i försäkringsverksamheten. Dessutom är det möjligt att behandla känsliga uppgifter i socialförsäkringsärenden med stöd av 12 § 5 punkten, enligt vilken sådan behandling är tillåten som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag.

I dataskyddsförordningen bestäms det om behandling av så kallade särskilda kategorier av personuppgifter, såsom uppgifter om hälsotillstånd, i artikel 9. När man behandlar personuppgifter som hör till särskilda kategorier av personuppgifter ska det inte bara föreligga en rättslig grund för behandlingen av personuppgifter enligt artikel 6 utan också något av villkoren i artikel 9.2 vara uppfyllt. Enligt artikel 9.2 b i dataskyddsförordningen är det tillåtet att behandla uppgifter som tillhör särskilda kategorier av personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt medlemsstaternas nationella rätt. Enligt artikel 9.2 g är behandling tillåten, om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd. Bägge leden förutsätter dessutom att det fastställs lämpliga skyddsåtgärder.

I regeringens proposition RP 9/2018 rd föreslås en bestämmelse i dataskyddslagen med stöd av vilken försäkringsanstalterna har rätt att behandla uppgifter om den försäkrades och ersättningssökandens hälsotillstånd som de fått i försäkringsverksamheten, om de är nödvändiga för att utreda anstaltens ansvar. Bestämmelsen motsvarar den nuvarande 12 § 11 punkten i personuppgiftslagen. Enligt detaljmotiveringen föreslås bestämmelsen med stöd av artikel 9.2 g i dataskyddsförordningen. Den bestämmelse som föreslås i dataskyddslagen gör det möjligt för försäkringsanstalterna att även i fortsättningen behandla uppgifter om hälsotillstånd i samband med behandlingen och verkställigheten av förmåner och ersättningar. I dataskyddslagen föreskrivs dessutom att uppgifter som hör till särskilda kategorier av personuppgifter får behandlas, om behandlingen av uppgifterna föreskrivs i lag eller behandlingen av uppgifterna föranleds av en uppgift som har ålagts den personuppgiftsansvarige i lag. Speciallagstiftningen innehåller dessutom ett antal närmare bestämmelser om behandlingen av uppgifter om hälsotillstånd.

När det gäller frivilliga privata försäkringar baserar sig behandlingen av personuppgifter oftast på artikel 6.1 b i dataskyddsförordningen, dvs. avtal. Det är lagligt att behandla personuppgifter när behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part. Dessutom kan åtgärder vidtas på begäran av den registrerade innan ett sådant avtal ingås. Motsvarande behandlingsgrund ingår i 8 § 2 punkten i den gällande personuppgiftslagen. Dessutom kan behandlingen basera sig på den registrerades samtycke i enlighet med artikel 6.1 a. Den försäkrade eller ersättningstagaren kan lämna försäkringsbolaget sitt samtycke till att dennes personuppgifter behandlas för ett eller flera ändamål. För att det ska vara lagligt att behandla personuppgifter med stöd av samtycke måste samtycket uppfylla kraven i artikel 7 i dataskyddsförordningen. Jämfört med det gällande samtycket enligt 8 § 1 punkten i personuppgiftslagen skärper dataskyddsförordningen villkoren för samtycke något.

Det kan också vara nödvändigt att behandla personuppgifter för att fullgöra en rättslig förpliktelse som åvilar försäkringsbolaget i enlighet med artikel 6.1 c i personuppgiftsförordningen. Då ska grunden för behandlingen fastställas i den nationella rätten. Som ett exempel på en sådan lagstadgad förpliktelse kan nämnas 6 kap. 9 § i försäkringsbolagslagen, enligt vilken försäkringsbolaget ska underrätta Finansinspektionen om de personer som ansvarar för centrala funktioner samt redogöra för lämpligheten och tillförlitligheten hos dessa personer.

Det kan också vara nödvändigt att behandla personuppgifter för ändamål som rör försäkringsbolagets berättigade intressen i enlighet med artikel 6.1 f i dataskyddsförordningen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter. Vid intresseavvägningen ska den personuppgiftsansvarige beakta de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige. I dataskyddsförordningens ingress konstateras att åtminstone behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör ett berättigat intresse. Enligt skäl 48 i ingressen kan personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. De ovannämnda behandlingsgrunderna är med undantag av artikel 6.1 c exklusiva så att medlemsstaterna inte kan bestämma om dem i sin nationella lagstiftning.

2.2 Utlämnande av personuppgifter och sekretessbestämmelser

Allmänna dataskyddsförordningen gör det möjligt att samordna den nationella handlingsoffentligheten med dataskyddsförordningens skydd av personuppgifter. Det nationella spelrummet gäller också privaträttsliga sammanslutningars handlingar när de arbetar för att utföra ett uppdrag som grundar sig på allmänt intresse.

Lagen om offentlighet i myndigheternas verksamhet (621/1999; nedan offentlighetslagen) gäller fastställande av offentlighet för myndigheternas handlingar, tystnadsplikt och tidpunkten för när en handling blir offentlig. Offentlighetslagen tillämpas också på sammanslutningar och inrättningar som utför offentliga uppdrag när de utövar offentlig makt. I speciallagstiftningen finns ett antal bestämmelser som kompletterar offentlighetslagen. Exempelvis med stöd av 191 § i lagen om pension för arbetstagare tillämpas offentlighetslagens bestämmelser om handlingssekretess på arbetspensionsanstalterna vid verkställigheten av lagen om pension för arbetstagare även när de inte utövar offentlig makt.

I 30 kap. 1 § i försäkringsbolagslagen ingår en allmän bestämmelse om sekretess. I samma kapitel föreskrivs också ett antal undantag från sekretessen, så att uppgifter i vissa situationer ska kunna lämnas ut trots sekretessbestämmelserna. Bestämmelserna gäller också annat än personuppgifter, till exempel uppgifter som hänför sig till affärsverksamhet. Dataskyddsförordningens bestämmelser om utlämnande och annan behandling av uppgifter gäller endast personuppgifter, så i fråga om dessa andra uppgifter är det nödvändigt att fortfarande föreskriva om utlämnande och sekretess i den nationella lagstiftningen.

Med stöd av bestämmelserna om utlämnande av uppgifter får försäkringsanstalterna trots sekretessbestämmelserna lämna ut uppgifter som de fått exempelvis till myndigheter eller andra försäkringsanstalter. I bestämmelserna om utlämnande av uppgifter anges de instanser till vilka uppgifter får lämnas ut och de ändamål för vilka uppgifter får lämnas ut. Det har också kunnat ställas andra villkor för utlämnandet av uppgifter. När bestämmelserna gäller utlämnande av personuppgifter ska de krav som dataskyddsförordningen ställer på behandlingen av personuppgifter beaktas när uppgifter lämnas ut. Då ska det finnas en rättslig grund för behandlingen. När uppgifter lämnas ut till myndigheter baserar sig mottagarens rätt att få uppgifter i allmänhet på artikel 6 c i dataskyddsförordningen, dvs. behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.

När uppgifter lämnas ut ska man också beakta principen om ändamålsbegränsning, som det bestäms om i artikel 5 i dataskyddsförordningen. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen.

Med stöd av artikel 6.4 i dataskyddsförordningen är behandling av personuppgifter för andra ändamål förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in, om behandlingen grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I annat fall ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, personuppgifternas art och eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

Om det i lag föreskrivs att uppgifter ska lämnas ut för ett ändamål som inte är förenligt med det ändamål för vilket uppgifterna ursprungligen samlades in, ska villkoret för utlämnande vara den registrerades samtycke eller så ska bestämmelsen om utlämnande utgöra en nödvändig och proportionell åtgärd för att skydda de mål som avses i artikel 23.1. Dessa mål är bland annat unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, såsom folkhälsa och social trygghet, en tillsyns-, inspektions- eller regleringsfunktion som har samband med myndighetsutövning samt skydd av den registrerade eller andras rättigheter och friheter.

2.3 Utlämnande av personuppgifter på grund av samtycke

Enligt 6.1 a i dataskyddsförordningen är det lagligt att behandla personuppgifter, om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. I artikel 7 bestäms om villkoren för samtycke. Villkoren för samtycke anges noggrannare i dataskyddsförordningen än i det upphävda personuppgiftsdirektivet, där det har konstaterats att med samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. I personuppgiftslagen finns en definition av samtycke som motsvarar personuppgiftsdirektivet.

I artikel 7 i dataskyddsförordningen sägs att om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. De registrerade ska ha rätt att när som helst återkalla sitt samtycke, och det ska vara lika lätt att återkalla som att ge sitt samtycke. Om det är fråga om särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen, ska samtycket vara uttryckligt.

I förordningens ingress sägs att för att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.

I förordningens ingress konstateras dessutom att vid skriftliga förklaringar som rör andra frågor bör det säkerställas att de registrerade är medvetna om att samtycke ges. Det ska också gå att ta tillbaka samtycket utan problem för den registrerade. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Tystnad, på förhand ikryssade rutor eller inaktivitet bör inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften.

Behandlingen av personuppgifter i samband med verkställigheten av social trygghet baserar sig i regel på lag. Om det inte finns någon bestämmelse om behandlingen av personuppgifter, kan behandlingen basera sig på exempelvis samtycke. På ansökningsblanketterna som gäller sociala trygghetsförmåner kan det för närvarande begäras samtycke till att uppgifter som fåtts för behandlingen av ett förmånsärende får lämnas vidare. Man förfar på detta sätt till exempel inom arbetspensionssystemet, där det i rehabiliteringsansökan begärs samtycke till att uppgifterna får lämnas vidare till bland annat yrkesutbildade personer inom hälso- och sjukvården som är med och planerar eller genomför rehabiliteringen.

Samtycke som begärs på de nuvarande ansökningsblanketterna uppfyller inte dataskyddsförordningens krav, eftersom samtycke i princip inte kan betraktas som en tillräcklig grund för att lämna ut uppgifter när det är fråga om skötseln av lagstadgad, offentlig förvaltningsuppgift och när den personuppgiftsansvarige är en myndighet eller någon annan instans som utövar offentlig makt. När en förmån söks vet man inte heller nödvändigtvis till exakt vilken instans som uppgifterna kommer att lämnas, så sökanden kan inte få specificerad information om det. Dessutom ska det vara lika lätt att återkalla som att ge sitt samtycke. Vid verkställigheten av social trygghet kan ett återkallat samtycke till exempel leda till att rehabiliteringsåtgärderna avbryts. Att använda samtycke som rättslig grund för behandlingen av personuppgifter kan i praktiken visa sig vara besvärligt i situationer där samtycke begärs av en stor grupp personer för verkställigheten av lagstadgad social trygghet.

Det är i många situationer nödvändigt att uppgifter kan lämnas till olika instanser på ett sätt som motsvarar nuläget för att avgöra ansökningar och genomför rehabilitering. När det gäller till exempel arbetsoförmåga och rehabilitering stödjer dessutom ingripande i problem med arbetsförmågan och utredning av rehabiliteringsmöjligheterna i ett så tidigt skede som möjligt motivation och livsglädje i arbetet och en lyckad rehabilitering. I dessa situationer är samarbete och utlämnande av uppgifter i anslutning till det nödvändigt men tanke på personens eget intresse. När uppgifter utlämnas för avgörandet av ett rehabiliteringsärende och för rehabiliteringen genomförs principen om en lucka, så att den registrerade inte behöver lämna samma information till flera olika instanser i fler omgångar, utan informationen efterfrågas bara en gång.

Med hänsyn till förordningens villkor för att använda samtycke som rättslig grund för behandling bör det i princip inte användas för behandling av uppgifter som krävs i samband med avgörandet av till exempel sjuk- eller invalidpensions-, arbetslivspensions- och rehabiliteringsansökningar. Utlämnandet av uppgifter för behandlingen av pensions- och rehabiliteringsärenden bör således i första hand basera sig på lag.

2.4 Behandling av personuppgifter i anslutning till domar i brottmål samt överträdelser

Bedrägeri- och ekobrott som riktar sig mot försäkringsbolag orsakar årligen stora förluster för försäkringsbolagen och, i form av högre försäkringspremier, för alla försäkringstagare. Ett sätt att förebygga brottslighet mot försäkringsbolag är att försäkringsbolagen delar information sinsemellan via gemensamma skade- och missbruksregister. Syftet med registren är att försäkringsbolagen delar information sinsemellan om anmälda skador samt om brott eller misstänkta brott mot dem. Till exempel kreditinstituten har motsvarande system.

Enligt 30 kap. 3 § i försäkringsbolagslagen och 16 kap. 10 § 4 mom. 6 punkten i lagen om försäkringsföreningar har försäkringsanstalter rätt att lämna ut uppgifter som omfattas av sekretess till andra försäkringsanstalter om brott som riktats mot dem samt om skador som anmälts till dem för något viktigt intresse i anslutning till förebyggande av brott mot försäkringsanstalter, om datasekretessnämnden har beviljat tillstånd. Enligt lagen om utländska försäkringsbolag har ett utländskt försäkringsbolag rätt att lämna ut uppgifter till andra försäkringsanstalter om brott som riktats mot försäkringsbolaget samt om skador som anmälts till det för något viktigt intresse i anslutning till förebyggande av brott mot försäkringsanstalter och i enlighet med vad datasekretessnämnden närmare bestämmer med stöd av 43 § 3 mom. personuppgiftslagen. Utlämnande och utbyte av uppgifter har således krävt specialtillstånd av datasekretessnämnden enligt 43 § i personuppgiftslagen. På arbetsolycksfallsförsäkringar och yrkessjukdomsförsäkringar tillämpas inte 30 kap. 3 § i försäkringsbolagslagen, utan bestämmelserna om utlämnande av dessa uppgifter finns i 255 § i lagen om olycksfall i arbetet och om yrkessjukdomar, som gäller endast lagstadgad försäkring och kräver datasekretessnämndens tillstånd.

Försäkringsbolagens missbruksregister har funnits sedan 1996. Tillstånd har senast beviljats den 21 september 2017. Tillstånd har beviljats till 30 försäkringsbolag och till Trafikförsäkringscentralen. Datasekretessnämndens beslut innehåller detaljerade bestämmelser om bland annat lagring av personuppgifter, avförande av uppgifter samt uppgifter som ska lämnas till den registrerade. Den 4 juli 2017 fanns det 273 personer i registret. För närvarande är Suomen Asiakastieto Oy missbruksregistrets tekniska upprätthållare.

För att en anteckning ska få göras i registret förutsätts att den misstänkta brottsliga gärningen har anmälts till polisen eller åklagaren. Anteckningen ska göras inom ett år från det att försäkringsbolaget har inlett straffprocessen eller fått information om den. Uppgifterna ska avföras ur registret, om den registrerade personen har konstaterats oskyldig i domstolen eller om straffprocessen har lagts ner. Uppgifterna ska avföras senast fem år efter det att de registrerades första gången. Den registrerade ska underrättas första gången en anteckning om honom eller henne görs i registret. Den registrerade ska också underrättas när uppgifter i registret används för beslutsfattande samt om vilken försäkringsanstalts register som uppgifterna härrör ur samt när de har skaffats, om avslag på en försäkringsansökan eller något annat för den registrerade negativt beslut beror på uppgifter i registret. Försäkringsbolagen får använda uppgifter i registret för ersättningsbehandling och dessutom när frivilliga försäkringar beviljas och sägs upp. Lagstadgade försäkringar omfattas av avtalstvång, så de kan inte nekas på grund av en anteckning i registret.

Utöver missbruksregistret har försäkringsbolagen ett så kallat skaderegister. I skaderegistret antecknas grundläggande uppgifter om skador som anmälts till försäkringsbolaget. Grundläggande uppgifter om skador är personbeteckning eller FO-nummer, den försäkringsanstalt som beviljat försäkringen, tidpunkten då skadan inträffade, skadenummer, fordonets eller båtens registreringstecken, försäkringsslaget som kod och skadetypen som kod. I skaderegistret antecknas inte uppgifter om kredit-, borgens-, rättsskydds- och sjukförsäkringar och inte om obligatoriska försäkringar enligt lagen om olycksfall i arbetet och om yrkessjukdomar. Försäkringsbolaget får begära närmare uppgifter om skadorna i fråga av andra försäkringsbolag, om det framgår av de grundläggande uppgifterna i skaderegistret att ersättningsansökan som gäller samma skada har gjorts till flera försäkringsbolag, ersättningssökanden inom en kort tid har anmält flera skador eller gjort flera skadeanmälningar av samma typ. Enligt datasekretessnämndens tillstånd får uppgifter som fåtts från ett annat försäkringsbolag på grund av skaderegistret användas endast för att förebygga brottslighet som riktas mot försäkringsbolagen. Uppgifterna får inte användas vid kundurval, marknadsföring, prissättning av försäkringar eller i något annat motsvarande syfte.

För närvarande klassificeras de uppgifter om brottsliga gärningar, straff eller andra påföljder vid brott som avses i 11 § i personuppgiftslagen såsom känsliga personuppgifter. Enligt artikel 10 i dataskyddsförordningen får sådan behandling som avses i artikel 6.1 avseende personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt de bestämmelser i unionsrätten eller medlemsstaternas nationella rätt som gäller lämpliga åtgärder till skydd för den registrerades rättigheter och friheter. När det gäller det nuvarande missbruksregistret är det fråga om behandling av brottsuppgifter, så om behandlingen ska fortsätta som förr krävs nationell reglering om saken.

När datasekretessnämnden har beviljat tillstånd har den ansett att behandlingen av uppgifter i anslutning till skaderegistret är nödvändig för att tillgodose den personuppgiftsansvariges, dvs. försäkringsbolagets rätt, och denna grund för behandlingen ändras inte i och med ikraftträdandet av förordningen. Även i dataskyddsförordningens ingress konstateras att sådan behandling av personuppgifter som är absolut nödvändig för att förhindra bedrägerier utgör ett berättigat intresse för berörd personuppgiftsansvarig. Eftersom artikel 6.1 f i dataskyddsförordningen i fortsättningen utgör rättslig grund för sådan behandling av skadeuppgifter som anknyter till skaderegistret, är det inte längre möjligt att ha kompletterande nationell reglering om skaderegistret.

2.5 Den registrerades rätt att begränsa behandlingen

Enligt artikel 18.1 a i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas, om den registrerade bestrider personuppgifternas korrekthet. Då begränsas behandlingen under en tid som ger den personuppgiftsansvarige möjligheten att kontrollera om personuppgifterna är korrekta. Om behandlingen har begränsats i enlighet med detta får sådana personuppgifter endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse.

Med stöd av artikel 23 i dataskyddsförordningen får den registrerades rätt enligt artikel 18 begränsas i nationell rätt på vissa villkor. Enligt artikel 23 får den registrerades rätt begränsas, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att säkerställa något av de syften som uppräknas i bestämmelsen. Enligt bestämmelsen kan ett sådant syfte vara bland annat en medlemsstats viktiga mål av generellt allmänt intresse, däribland social trygghet, eller en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning eller skydd av den registrerade. Nationell lagstiftning, som begränsar den registrerades rättigheter, ska innehålla specifika bestämmelser, när så är relevant, avseende bland annat ändamålen med behandlingen och omfattningen av begränsningarna.

Vid verkställighet av socialförsäkring kan den som ansöker om en förmån, den som tecknar försäkring eller någon annan ersättningstagare bestrida korrektheten hos någon personuppgift som gäller honom eller henne, till exempel hälsotillstånd, arbetsinkomster eller omständigheterna kring skadefallet, och med stöd av artikel 18 kräva att uppgifterna inte ska behandlas. I samband med verkställigheten av social trygghet kan den registrerades rätt att begränsa behandlingen leda till att lagstadgade förmåner inte kan beviljas eller betalas ut eller att utbetalningen av en förmån inte ens av giltiga skäl kan avbrytas, upphöra eller ändras till rätt belopp. Med tanke på verkställandet av socialförsäkringssystemet är det problematiskt om denna rätt kan utövas ogrundat för att skjuta upp eller förhindra en lagstadgad verksamhet. Genom att ogrundat kräva en begränsning av behandlingen kan den som ansöker om en förmån till exempel fördröja utfärdandet av ett negativt beslut. I detta avseende är det nödvändigt att genom nationell lagstiftning begränsa den registrerades rätt att kräva att behandlingen ska begränsas.

2.6 Automatiserade beslut

Med stöd av artikel 22.1 i dataskyddsförordningen ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Profilering är en del av automatiserat beslutsfattande. Med profilering avses varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person. Med stöd av artikel 22.2 ska bestämmelsen ändå inte tillämpas om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, om automatiserade enskilda beslut tillåts enligt medlemsstatens nationella rätt som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller om beslutet grundar sig på den registrerades uttryckliga samtycke.

Enligt artikel 22.4 får automatiserade beslut inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9, såsom uppgifter om hälsa, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder för att skydda den registrerades rättigheter och friheter samt berättigade intressen har verkställts. Artikel 9.2 a om behandling av särskilda kategorier av personuppgifter gäller situationer där den registrerade har lämnat sitt samtycke till behandlingen av personuppgifter och artikel 9.2 g gäller situationer där behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt.

Enligt 31 § i den nuvarande personuppgiftslagen är automatiserade beslut tillåtna endast om detta har reglerats i lag, eller om beslutet fattas i samband med att ett avtal ingås eller fullgörs, under förutsättning att skyddet av den registrerades rättigheter säkerställs eller att den registrerades begäran om ingående eller fullgörande av ett avtal uppfylls genom beslutet. I den nya dataskyddslagen föreslås ingen motsvarande bestämmelse om automatiserade beslut.

Försäkringsanstalterna meddelar för närvarande beslut som baserar sig enbart på automatisk behandling i vissa ärendekategorier. För att försäkringsanstalterna även i fortsättningen ska kunna utnyttja och utveckla sina beslutsprocesser bör automatiserade beslut tillåtas genom lag. I lagstiftningen bör det dessutom beaktas att när datatekniken utvecklas kan automatiserat beslutsfattande utnyttjas ännu mera i försäkringsverksamheten och vid verkställandet av social trygghet. Exempelvis införandet av inkomstregistret och utvecklandet av den elektroniska dataöverföringen ökar avsevärt möjligheterna till automatisk behandling. Ett av de centrala målen för statsminister Juha Sipiläs regering är att utnyttja de möjligheter som digitaliseringen erbjuder. I anslutning till detta hör digitalisering av offentliga tjänster och skapande av en tillväxtmiljö för digital affärsverksamhet till regeringens spetsprojekt.

3 Målsättning och de viktigaste förslagen

Syftet med propositionen är att den nationella socialtrygghets- och försäkringslagstiftningen ska börja stämma överens med dataskyddsförordningen. Det föreslås att bestämmelser som strider mot eller överlappar dataskyddsförordningen upphävs, eftersom förordningen är direkt tillämplig rätt. I propositionen föreslås dessutom vissa bestämmelser som kompletterar dataskyddsförordningen och nödvändiga undantag från dataskyddsförordningens förpliktelser.

3.1 Utlämnande av personuppgifter och sekretessbestämmelser

I propositionen föreslås att vissa bestämmelser om hemlighållande och utlämnande av uppgifter preciseras. Det föreslås att 30 kap. 3 § i försäkringsbolagslagen, 203 § 2 mom. i lagen om pension för arbetstagare och 255 § 4 mom. i lagen om olycksfall i arbetet och om yrkessjukdomar preciseras så att det av bestämmelsernas ordalydelse framgår att dataskyddsförordningen alltid är primär i förhållande till den nationella lagstiftningen när det gäller behandlingen av personuppgifter. I paragraferna föreskrivs endast om undantag från de nationella sekretessbestämmelserna. När uppgifter utlämnas ska man alltid säkerställa att behandlingen och utlämnandet av personuppgifter stämmer överens med dataskyddsförordningen. I vissa bestämmelser om utlämnande av uppgifter preciseras dessutom de ändamål för vilka uppgifter lämnas ut.

3.2 Utlämnande av personuppgifter på grund av samtycke

I propositionen föreslås att det ska föreskrivas i lag om vissa fall av utlämnande av personuppgifter som för närvarande baserar sig på den registrerades samtycke. I arbetspensionslagarna föreslås bestämmelser med stöd av vilka uppgifter som är nödvändiga för att avgöra rehabiliteringsärenden samt för rehabiliteringen ska kunna lämnas till sådana genom lag angivna aktörer som på olika sätt är med och avgör ansökan, utreder rehabiliteringsmöjligheterna och genomför rehabiliteringen. Till arbetspensionslagarna fogas dessutom bestämmelser med stöd av vilka till sjuk- och hälsovårdsaktörer får lämnas uppgifter som hänför sig till behandlingen av invalidpensions- eller arbetslivspensionsärenden, om uppgifterna är nödvändiga för att avgöra ett pensionsärende. Till arbetsgivaren kan dock som hittills lämnas ut uppgifter om hälsotillstånd och om förhandsbeslut om rehabilitering endast med samtycke. Bestämmelserna om utlämnande av uppgifter i olycksfallsförsäkringslagarna och lagarna om pensioner och rehabilitering som verkställs av Folkpensionsanstalterna preciseras så att de motsvarar ovannämnda bestämmelser som föreslås i arbetspensionslagarna. Av de förmåner som Folkpensionsanstalten verkställer föreskrivs det bland annat i fråga om folkpension, utkomstskydd för arbetslösa och bostadsbidrag i lag om erhållandet av uppgifter för att avgöra ärenden när erhållandet av uppgifter för närvarande baserar sig på samtycke.

Behandlingen av personuppgifter enligt förslaget i de situationer som nämns ovan baserar sig på artikel 6.1 c i dataskyddsförordningen, dvs. behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Om de personuppgifter som ska behandlas dessutom hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen baserar sig behandlingen på artikel 9.2 b, enligt vilken det är möjligt att behandla särskilda kategorier av personuppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

3.3 Behandling av personuppgifter i anslutning till domar i brottmål samt till överträdelser

Det föreslås att en bestämmelse om behandling av personuppgifter i anslutning till domar i brottmål samt till överträdelser fogas till försäkringsbolagslagen och lagen om utländska försäkringsbolag. Syftet med ändringarna är att aktörerna i försäkringsbranschen ska kunna fortsätta att använda missbruksregistret även när dataskyddsförordningen träder i kraft. Förslaget motsvarar i huvudsak innehållet och villkoren i datasekretessnämndens tillstånd. Då bestämmelserna om detta i fortsättningen ska finnas i försäkringsbolagslagen, kommer registret att kunna användas även av de försäkringsbolag som inte har ansökt hos datasekretessnämnden om tillstånd att använda registret. Jämfört med nuläget kan användningen av missbruksregistret således öka. De övriga aktörer som inte har gjort denna ansökan hos datasekretessnämnden föreslås inte få rätt att använda missbruksregistret, eftersom dessa aktörer inte bedöms ha något av allmänintresset motiverat behov av att behandla brottsuppgifter. När det gäller försäkringsbolagen har hänsyn tagits till att det för närvarande bara finns några försäkringsföreningar i Finland, som samtliga bedriver endast försäkring av fiskeredskap.

Enligt artikel 10 i dataskyddsförordningen förutsätts för att behandling av personuppgifter som rör fällande domar i brottmål och överträdelser ska tillåtas i medlemsstaternas nationella rätt att lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs i den nationella rätten. För att garantera den registrerades rättsskydd ska en anteckning i missbruksregistret kunna göras först när det missbruk som ska registreras har anmälts till polisen, någon annan förundersökningsmyndighet eller åklagaren. För att skydda de registrerades rättigheter föreskrivs i lagen att en anteckning i missbruksregistret ska avföras inom fem år efter det att anteckningen gjordes. De registrerades rättigheter skyddas också av att det föreskrivs om tystnadsplikt för försäkringsanstalternas anställda i lagen. Försäkringsverksamheten är tillståndspliktig, noggrant reglerad och övervakad.

Den föreslagna regleringen uppfyller sålunda dataskyddsförordningens krav på behöriga åtgärder för att skydda de registrerades rättigheter och friheter.

En motsvarande bestämmelse föreslås även i kreditinstitutslagen.

3.4 Den registrerades rätt att begränsa behandlingen

Det föreslås att socialförsäkringslagstiftningen och övriga lagar om lagstadgade förmåner utökas med bestämmelser om undantag från rätten att begränsa behandlingen enligt artikel 18 i dataskyddsförordningen. Den registrerade ska inte ha rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter när det är fråga om skötseln av en lagstadgad uppgift, om den registrerades krav är uppenbart ogrundat. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Syftet med bestämmelsen är att förhindra att den registrerade ogrundat strävar efter att avbryta en lagstadgad verksamhet genom att hänvisa till sin rätt att begränsa behandlingen. Om rätten inte begränsas, kan den registrerade skjuta upp behandlingen av ett lagstadgat ärende eller förhindra behandlingen helt och hållet genom att upprepat bestrida personuppgifternas korrekthet.

Begränsning av behandling betyder att till exempel beslut om förmåner inte kan verkställas innan den personuppgiftsansvarige kan säkerställa att uppgifterna är korrekta. I en sådan situation kan den personuppgiftsansvariga dock behandla personuppgifterna med stöd av artikel 18.2 med den registrerades samtycke. Om ett beslut om en förmån är nödvändigt till exempel för att trygga den registrerades utkomst, kan beslutet därmed fattas med den registrerades samtycke. Med stöd av artikel 18.2 i dataskyddsförordningen är behandlingen av uppgifter möjlig även i sådana situationer där personuppgifter behandlas för att skydda rättigheterna hos en annan fysisk eller juridisk person eller av skäl som gäller ett viktigt intresse inom unionen eller en medlemsstat.

Rätten att begränsa behandling kan dock hindra beslutsfattandet, om den registrerade inte ger sitt samtycke till behandlingen av personuppgifterna och då beslutet inte är nödvändigt för att skydda rättigheterna hos en annan person. I dessa fall kan begränsningen av behandlingen förhindra meddelande av sådana negativa beslut som till exempel gäller avslutande av en förmån eller rättelse av ett felaktigt beslut. Begränsningen av behandlingen kan också försvåra verkställigheten av prioriteringen av förmånerna till exempel mellan de olika ersättningssystemen eller vid behandlingen av de förmåner som beviljas i sista hand, till exempel garantipension eller utkomststöd. Om registrerades krav på korrigering av uppgifter är uppenbart ogrundat, är det trots kravet motiverad att personuppgifterna kan behandlas vid lagstadgad verksamhet.

Den registrerades rättsskydd garanteras genom förvaltningslagen, rätten att söka ändring samt andra bestämmelser om förfarandet. Vid skötseln av lagstadgade uppgifter tillämpas förvaltningslagen, enligt vilken myndigheten ska se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och de utredningar som behövs för att ärendet ska kunna avgöras. Det behandlade ärendet ska utredas grundligt, och gällande bestämmelser och föreskrifter följas. Den som ansöker om en förmån har alltid rätt att söka ändring i ett beslut om en lagstadgad förmån. Om förmånssökanden anser att ett beslut inte är lagenligt, kan han eller hon få saken prövad av en besvärsinstans. I socialförsäkringsärenden är det också möjligt att ansöka om att ett lagakraftvunnet beslut ska undanröjas, om beslutet baserar sig på en oriktig eller bristfällig utredning eller är uppenbart lagstridigt. Dessutom kan försäkringsanstalten alltid rätta ett lagakraftvunnet beslut till förmånssökandens fördel, om det senare framkommer en ny utredning i ärendet. Begränsningen av den registrerades rätt äventyrar således inte förmånssökandes rättsskydd. Begränsningen kan ses som en nödvändig och proportionell åtgärd för att garantera social trygghet på det sätt som avses i artikel 23.1 e i dataskyddsförordningen. Även om den registrerades rätt begränsas, är den personuppgiftsansvarige fortfarande skyldig att utreda den registrerades bestridande av personuppgifternas korrekthet. Enligt artikel 16 i dataskyddsförordningen ska den personuppgiftsansvarige utan onödigt dröjsmål rätta sådana personuppgifter om den registrerade som är oklara och felaktiga.

3.5 Automatiserade beslut

Det föreslås att socialtrygghets- och försäkringslagstiftningen utökas med bestämmelser om automatiserade beslut. Med stöd av artikel 22 i dataskyddsförordningen är beslut som enbart grundas på automatiserad behandling tillåtna endast om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, grundar sig på den registrerades uttryckliga samtycke eller om automatiserade beslut tillåts enligt en medlemsstats nationella rätt. Med stöd av artikel 22.2 b i dataskyddsförordningen tillåts automatiserade beslut inom försäkringsverksamheten och vid verkställigheten av lagstadgad social trygghet. Den nationella regleringen gör det möjligt för försäkringsanstalterna att fatta automatiserade beslut även annars än med den registrerades uttryckliga samtycke eller när det är nödvändigt för ingående eller fullgörande av ett avtal. Bestämmelserna gör det möjligt att i framtiden utnyttja datateknik och elektroniska förfaranden i större utsträckning än nu, när det är ändamålsenligt med tanke på ärendenas art och omfattning och med beaktande av kraven på god förvaltning och tillgodoseendet av de grundläggande rättigheterna.

Med hjälp av automatiserat beslutsfattande är det möjligt att effektivisera beslutsverksamheten och styra personresurserna från rutinuppgifter till beslutsverksamhet som kräver prövning samt kundservice. I klara och enkla ärenden kan automatisk behandling vara effektivare och noggrannare än när arbetstagare handlägger ärendena. Automatisk behandling möjliggör snabb handläggning av ärendena, och vid automatisk behandling försvinner risken för mänskliga fel nästan helt och hållet. Automatisk behandling kan genomföras så att den avbryts och överförs till en handläggare när vissa omständigheter föreligger. Vid automatisk behandling är det till exempel möjligt att meddela avslag i endast tämligen begränsade situationer.

Den gällande nationella lagstiftningen måste emellertid beaktas när man bedömer i hur stor utsträckning beslutsverksamheten kan automatiseras. Om det är fråga om skötseln av en offentlig förvaltningsuppgift, måste försäkringsanstalten beakta kraven på god förvaltning samt de bestämmelser om förfarande som finns i speciallagstiftningen. Förvaltningslagen förutsätter bland annat att försäkringsanstalten ska motivera sitt beslut samt se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. I förvaltningslagen föreskrivs också om hörande av part. Även förmånslagarna innehåller preciserade bestämmelser om motiveringen av beslut. Vid verkställigheten av lagstadgade försäkringar ska man alltid iaktta kraven på god förvaltning och tillgodose sökandenas rättsskydd. Vid skötseln av en offentlig förvaltningsuppgift ska hänsyn tas även till bestämmelser om tjänsteansvar, och att automatiseringen av besluten inte får ändra vem som ansvarar för beslutsfattandet. I ärenden där beslutet kräver prövning ska försäkringsanstalten beakta alla fakta och synpunkter som är av betydelse för ärendet. Vid en helhetsprövning kan avgörandet alltså inte basera sig helt och hållet på schematiskt beslutsfattande. Automatiserat beslutsfattande ska vara möjligt i de ärenden där de rättsliga förutsättningarna och det sakliga innehållet är tillräckligt entydigt, så att avgörandet av ärendet inte förutsätter prövning från fall till fall.

Vid lagstadgad verksamhet är automatiserade beslut således i praktiken tillåtna när de är möjliga med tanke på ärendenas art och omfattning. Det är omöjligt att föreskriva i detalj i lagstiftningen om de ärendekategorier där automatiserade beslut kan fattas, eftersom datateknikens utveckling kan bredda användningsområdet för automatisk behandling. I framtiden kan det till exempel bli möjligt att fatta automatiserade beslut med hjälp av artificiell intelligens utan att äventyra rättsskyddet även i sådana ärenden där det ännu inte är möjligt med dagens teknik.

Vid privatförsäkring ska automatiserade beslut tillåtas. I regel ska ett försäkringsbolag få fatta automatiserade beslut för de kundgrupper för vilka det anser att ett automatiserat beslutsfattande är ändamålsenligt. Försäkringsbolagen ska dock även vid de automatiserade besluten iaktta god försäkringssed och behandla de försäkrade lika.

På vissa villkor ska det vara möjligt att fatta automatiserade beslut även när besluten baserar sig på särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen, såsom uppgifter om hälsotillstånd. Enligt artikel 22.4 i dataskyddsförordningen får automatiserade beslut inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1, såvida inte artikel 9.2 a om den registrerades samtycke eller artikel 9.2 g om att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse gäller. Såsom orsaker som gäller ett allmänt intresse nämns i artikel 23 i dataskyddsförordningen bland annat den sociala tryggheten och de tillsyns-, inspektions- eller regleringsuppgifter som hänför sig till det. I skäl 52 i dataskyddsförordningen konstateras det i fråga om artikel 9 att det är möjligt inom de branscher som omfattas av lagstiftningen om socialt skydd, inklusive pensionerna, att göra undantag från förbudet att behandla personuppgifter.

Försäkringsanstalterna behöver kunna behandla uppgifter om hälsotillstånd som är nödvändiga med tanke på beslutsverksamheten med hänsyn till ett viktigt allmänt intresse, och med denna motivering föreslå en bestämmelse om rätt för försäkringsanstalter att behandla uppgifter om hälsotillstånd i den nya dataskyddslagen. Enligt bestämmelsen ska behandlingsförbudet enligt artikel 9.1 i dataskyddsförordningen inte tillämpas då försäkringsanstalten behandlar sådana i försäkringsverksamheten erhållna uppgifter som gäller hälsa, sjukdom eller handikapp i fråga om den försäkrade och den som söker ersättning eller vårdåtgärder riktade till denne, eller jämförbara åtgärder som behövs för att utreda försäkringsanstaltens ansvar. Det ska vara möjligt att fatta automatiserade beslut som baserar sig på uppgifter om hälsotillstånd i situationer där den rättsliga grunden för behandlingen är ovannämnda bestämmelse i dataskyddslagen, om det även i övrigt med beaktande av ärendets art och omfattning är möjligt att meddela beslutet. Vid verkställigheten av socialförsäkring ska försäkringsanstalterna beakta att vissa förmånslagar har bestämmelser om att en sakkunnigläkare ska delta i avgörandet av ärenden som inbegriper medicinska frågor. En sådan bestämmelse ingår till exempel i 40 § i lagen om pension för arbetstagare, enligt vilken en legitimerad läkare ska delta i beredningen av ärenden som gäller arbetsoförmåga eller rehabilitering samt av andra ärenden som inbegriper medicinska frågor och anteckna sin motiverade bedömning i handlingarna. Bestämmelsen förhindrar att ärenden som inbegriper medicinska frågor avgörs enbart genom automatisk behandling.

Vid behandling av uppgifter om hälsotillstånd och när beslut som baserar sig på sådana uppgifter fattas, ska den personuppgiftsansvarige och personuppgiftsbiträdet alltid fastställa lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. I dataskyddslagen har det föreslagits en förteckning över de åtgärder som ska anses vara lämpliga och särskilda åtgärder. Dessa åtgärder är till exempel utnämning av ett dataskyddsombud, åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och personuppgifterna, en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen samt andra tekniska, förfarandemässiga och organisatoriska åtgärder.

I artikel 22 i dataskyddsförordningen sägs att om automatiserade beslut tillåts enligt en medlemsstats nationella rätt ska den fastställa lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen. Den nationella lagstiftningen kan anses innehålla sådana lämpliga åtgärder, eftersom försäkringsverksamheten och verkställigheten av social trygghet i Finland är övervakad och i detalj reglerad verksamhet. Den registrerades rättigheter skyddas med hjälp av lagbestämmelserna om förfarande och sökande av ändring.

Verkställigheten av socialförsäkring har genom lag uppdragits åt självständiga offentligrättsliga inrättningar och privata försäkringsanstalter. När det sköter offentliga förvaltningsuppdrag ska de iaktta förvaltningslagen vid verkställigheten. Lagens syfte är att genomföra och främja god förvaltning samt rättsskydd. För rättsskyddet finns ett besvärssystem i två steg. Ändring i försäkringsanstaltens beslut söks först hos en besvärsnämnd, i vars beslut man kan söka ändring hos försäkringsdomstolen. Inom socialförsäkringen tillämpas ett självrättelsesystem, där besvären först går till den försäkringsanstalt som fattat beslutet. Försäkringsanstalten prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling. Den som fått ett automatiserat beslut har således alltid rätt att få beslutets lagenlighet prövat av en människa. Utöver det egentliga ändringssökandet finns det vid verkställigheten av socialförsäkringen även andra metoder för att åtgärda ett eventuellt felaktigt beslut. Lagen innehåller bestämmelser till exempel om korrigering av skriv- och kalkyleringsfel samt om förmånssökandens möjlighet att lämna in en ny utredning. Lagligheten i verksamheten hos dem som verkställer lagstadgade försäkringar övervakas också av riksdagens justitieombudsman och justitiekanslern i statsrådet, till vilka man kan framställa klagomål över försäkringsanstalters verksamhet.

Försäkringsverksamheten är tillståndspliktig. Finansinspektionen beviljar försäkringsbolagen koncession och övervakar dem som tillhandahåller tjänster i försäkringsbranschen. Tillsynen omfattar tillsyn över de förfaranden som iakttas i kundrelationer. De allmänna domstolarna är besvärsinstanser i ersättningsärenden. Rekommendationer om hur meningsskiljaktigheter som gäller frivilliga försäkringar ska avgöras ges dessutom av försäkringsnämnden och konsumenttvistenämnden, när det gäller trafikskador av trafikskadenämnden och när det gäller patientförsäkring av patientskadenämnden. Nämndernas behandling är avgiftsfri. I syfte att skydda den registrerades rättigheter och friheter samt berättigade intressen ska det i lagstiftningen om privatförsäkring föreskrivas om den registrerades rätt att kräva att ärendet ska behandlas på nytt av en fysisk person.

Artikel 35 i dataskyddsförordningen förutsätter att den personuppgiftsansvarige ska göra en konsekvensbedömning avseende dataskydd, om en viss typ av behandling särskilt vid användning av ny teknik sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.3 är kravet på en konsekvensbedömning särskilt viktigt när det är fråga om en systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut som har rättsliga följder för fysiska personer grundar sig eller på liknande sätt i betydande grad påverkar fysiska personer. Konsekvensbedömningen är särskilt viktig också i de fall då det är fråga om en behandling i stor omfattning av sådana särskilda kategorier av uppgifter som avses i artikel 9.1 eller av sådana i artikel 10 avsedda uppgifter som rör fällande domar i brottmål och överträdelser.

I fråga om de särskilda kategorierna av personuppgifter finns skäl att notera att de handlingar som innehåller uppgifter om en persons hälsotillstånd eller handikapp eller om den hälsovård eller rehabilitering som denne har erhållit är sekretessbelagda enligt 24 § 1 mom. 25 punkten i offentlighetslagen. Offentlighetslagen tillämpas på offentliga sammanslutningar när de utövar offentlig makt. I fråga om privatförsäkring föreskrivs det i 30 kap. 1 § i försäkringsbolagslagen om tystnadsplikten bland annat gällande uppgifter om hälsotillstånd.

4 Propositionens konsekvenser

Propositionen har inga betydande konsekvenser för statsfinanserna och inga andra samhälleliga konsekvenser. De konsekvenser som hänför sig till reformen av dataskyddslagstiftningen följer direkt av allmänna dataskyddsförordningen. Strävan med propositionen är att socialtrygghets- och försäkringslagstiftningen ska börja stämma överens med dataskyddsförordningen.

4.1 Konsekvenser för myndigheterna

De ändringar som föreslås i propositionen underlättar verkställigheten av social trygghet. Det blir enklare att lämna ut uppgifter i förmånsärenden när man i vissa ärenden som gäller utlämnande av uppgifter kan avstå från att begära samtycke, och användningen av uppgifter i fortsättningen baserar sig direkt på lag. När dataskyddsförordningen införs skulle det bli mycket besvärligt att använda samtycke, och om inte ens samtycke kan användas, borde förmånssökanden själv lämna samma uppgifter flera gånger till olika instanser. När automatiserade beslut kan utnyttjas vid verkställigheten av social trygghet blir verkställigheten effektivare och frigörs arbetstagarresurser från rutinuppgifter för mer krävande arbetsuppgifter och till exempel kundservice.

I propositionen föreslås att vid verkställigheten av social trygghet ska den registrerade inte ha rätt enligt artikel 18 i dataskyddsförordningen att kräva att behandlingen av personuppgifter begränsas, om den registrerades krav är uppenbart ogrundat. Syftet med bestämmelsen är att förhindra att den registrerade ogrundat strävar efter att avbryta en lagstadgad verksamhet genom att hänvisa till sin rätt att begränsa behandlingen.

4.2 Konsekvenser för företagen

Möjligheten att fatta automatiserade beslut inom försäkringsverksamheten gör det möjligt att effektivisera verksamheten och föra över resurser till exempelvis utvecklandet av nya tjänster och servicekanaler.

Bestämmelserna om försäkringsbranschens missbruksregister gör det möjligt för försäkringsbolagen att fortsätta att dela information med andra försäkringsbolag om missbruk för att förebygga eventuella framtida missbruk och utreda missbruk. I och med förslaget kan användningen av missbruksregistret även omfatta de försäkringsbolag som inte har ansökt hos datasekretessnämnden om tillstånd att få använda missbruksregistret. För närvarande finns det 47 skadeförsäkringsbolag och 15 livförsäkringsbolag i Finland. Datasekretessnämnden har beviljat 30 tillstånd till skadeförsäkringsbolag och till Trafikförsäkringscentralen. Om det inte längre skulle vara möjligt att använda registren när dataskyddsförordningen införs, kunde de ekonomiska skador som missbruk orsakar försäkringsbolagen öka.

4.3 Konsekvenser för medborgarna

I propositionen föreslås undantag från dataskyddsförordningen bestämmelser i fråga om begränsning av behandlingen av personuppgifter samt automatiserade beslut. I lagstadgade socialtrygghetsärenden ska den registrerade inte ha rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter, om den registrerades krav i fråga om personuppgifternas korrekthet är uppenbart ogrundat.. Begränsningen har ansetts vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. När det gäller lagstadgad social trygghet skyddas den registrerade av flera slags rättsmedel, och den registrerades rättsskydd äventyras således inte av att rätten begränsas.

Det ska vara tillåtet att använda automatiserade beslut inom social trygghet och försäkringsverksamhet. Den nationella lagstiftningen sätter gränser för automatiseringen av beslut, och verksamheten är reglerad och övervakad, så det kan inte anses att automatiserade beslut äventyrar den registrerades rättskydd.

De ändringar som föreslås i propositionen underlättar försäkringsverksamheten och verkställigheten av social trygghet. Det ligger i de registrerades intresse att beslutsverksamheten effektiviseras, om behandlingstiderna för förmåner och ersättningar förkortas. Effektiviserad verksamhet kan också ha en positiv inverkan genom att försäkringspremierna sjunker.

5 Beredningen av propositionen

Propositionen har beretts som tjänsteuppdrag vid social- och hälsovårdsministeriet. Social- och hälsovårdsministeriet sände utkastet till regeringens proposition för remissbehandling den 13 december 2017. Det lämnades in sammanlagt 24 utlåtanden. Ett sammandrag av utlåtandena publiceras i statsrådets tjänst för projektinformation.

Efter remissbehandlingen preciserades propositionen på grund av de inkomna remissvaren. Vid den fortsatta beredningen beaktades även regeringens proposition till riksdagen om förslag till dataskyddslag (RP 9/2018 rd), som överlämnades till riksdagen den 1 mars 2018.

Nästan alla remissinstanser förhöll sig allmänt positiva till propositionen och många av de remissinstanser som understödde propositionen ansåg att det är bra att helheten av lagstiftningen om social trygghet och försäkring sammanförs i en och samma proposition. I flera utlåtanden ansågs ändringarna i lagstiftningen om social trygghet och försäkring nödvändiga. Många remissinstanser föreslog dock alternativ till paragrafförslagen i fråga om bestämmelserna på det egna området eller konstaterade att det utöver de föreslagna ändringarna finns andra bestämmelser på det egna området som behöver ändras och som inte har beaktats i propositionen.

I många utlåtanden tog man ställning till förslagen om bestämmelserna om de automatiserade besluten. Flera av aktörerna inom försäkringsbranschen och av de organisationer som svarar för verkställigheten av den sociala tryggheten meddelade att de understöder de föreslagna bestämmelserna som sådana eller att de anser att de är viktiga med tanke på verkställigheten. I utlåtandena föreslog man också att bestämmelsen om automatiserade beslut ska fogas till några andra lagar utöver de som ingick i utkastet till propositionen. Finansinspektionen, Justitieministeriet, löntagarcentralorganisationerna och finansministeriet fäste uppmärksamhet vid att regleringen borde preciseras och ramvillkoren i fråga om de automatiserade besluten definieras noggrannare i lagen. Bestämmelserna om automatiserade beslut och motiveringarna till dessa har preciserats på basis av utlåtandena. Bestämmelsen om automatiserade beslut har tagits in i trafikförsäkringslagen, patientskadelagen, lagen om olycksfall i arbetet och om yrkessjukdomar, lagen om försäkringskassor och lagen om studiestöd.

Flera av remissinstanserna ansåg att förslaget till bestämmelsen om att den registrerade inte ska ha rätt att begränsa behandlingen när det är fråga om skötsel av lagstadgad verksamhet är motiverat. Justitieministeriet och löntagarcentralorganisationerna ansåg dock att avgränsningen av begränsningen borde bedömas ytterligare vid den fortsatta beredningen. Vid den fortsatta beredningen ändrades begränsningens tillämpningsområde så att det endast gäller situationer där den registrerades krav är uppenbart ogrundat.

Vad gäller behandlingen av sådana personuppgifter som gäller brottsdomar och förseelser understödde flera remissinstanser förslagen om missbruksregistret. I fråga om bestämmelsen om registret föreslogs det dock flera preciseringar, vilka har beaktats i den mån det är möjligt. Propositionen har preciserats bland annat när det gäller de uppgifter som ska antecknas i registret. Många aktörer inom försäkringsbranschen konstaterade att det finns ett behov att kunna utnyttja missbruksregistret. Vid den fortsatta beredningen beslutades det att tillåta användningen av registret endast för försäkringsbolagen och för Trafikförsäkringscentralen, som har datasekretessnämndens tillstånd att behandla brottsuppgifter. Syftet med detta är att säkerställa att känsliga brottsuppgifter endast behandlas av sådana instanser som faktiskt kan använda uppgifterna för förebyggande av brott. På finansministeriets begäran har ett förslag till en paragraf om kreditinstitutens missbruksregister lagts till i propositionen.

I flera utlåtanden understöddes förslaget om att den behandling av personuppgifter som baserar sig på samtycke i de ärenden som gäller arbetsoförmåga och rehabilitering ska ersättas av en rätt enligt lag. Löntagarcentralorganisationerna konstaterade dock att det i lagarna om förmånerna inte borde föreskrivas att uppgifter kan lämnas ut direkt från försäkringsinstitut till arbetsgivare. Bestämmelserna har efter remissbehandlingen ändrats så att uppgifter om hälsotillstånd inte kan lämnas ut till arbetsgivaren utan samtycke. Dessutom har ordalydelsen i bestämmelserna kompletterats med anledning av remissvaren.

Dataombudsmannens byrå konstaterade i sitt utlåtande i fråga om 30 kap. 3 § i försäkringsbolagslagen och de övriga motsvarande bestämmelserna att detaljmotiveringarna borde innehålla en beskrivning av vad som är syftet med ”Om inte något annat följer av den allmänna dataskyddsförordningen”. Dataombudsmannens byrå fäste även uppmärksamhet vid att utlämnande av uppgifter för de ändamål som avses i paragrafens 1 mom. 7 punkt även förutsätter att man säkerställer att den instans som tar emot uppgifterna har en sådan lagenlig grund för behandlingen som föreskrivs i lagstiftningen, dvs. i dataskyddsförordningen och dataskyddslagen. Enligt utlåtandet skulle detta vara bra att nämna i motiveringarna till dessa bestämmelser. Dataombudsmannens byrå föreslog också att det i motiveringarna till 36 § i lagen om försäkringsförmedling ska nämnas att begränsningen härleds ur artikel 23. Motiveringarna till de ovannämnda paragraferna har preciserats på basis av utlåtandet.

Undervisnings- och kulturministeriet föreslog i sitt utlåtande att lagen om studiestöd ska ingå i regeringspropositionen, och på grund av detta har även ett förslag till ändring av lagen om studiestöd tagits med i regeringspropositionen.

6 Samband med andra propositioner

Samtidigt som denna proposition behandlar riksdagen regeringens proposition till riksdagen med förslag till allmän lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd). Propositionen innehåller ett förslag till dataskyddslag, som ska utgöra nationell allmän lag om behandling av personuppgifter. Om den föreslagna dataskyddslagen ändras under riksdagsbehandlingen, kan ändringarna avspegla sig i de lagändringar som föreslås i denna proposition.

Samtidigt som denna proposition behandlar riksdagen regeringens proposition till riksdagen med förslag till lag om försäkringsdistribution och till vissa lagar som har samband med den (RP 172/2017). Genom propositionen upphävs den gällande lagen om försäkringsförmedling och stiftas en ny lag om försäkringsdistribution. Lagarna avses träda i kraft den 23 februari 2018. Det torde dock bli nödvändigt att skjuta upp ikraftträdandet, eftersom kommissionens delegerade förordningar om saken har fördröjts. Den sannolika ikraftträdandetidpunkten torde vara den 23 oktober 2018. Eftersom dataskyddsförordningen börjar tillämpas redan den 25 maj 2018, är det i detta sammanhang nödvändigt att ändra även lagen om försäkringsförmedling, som kommer att ersättas med lagstiftningen om försäkringsdistribution.

Samtidigt som denna proposition behandlar riksdagen regeringens proposition till riksdagen med förslag till lag om upphävande av lagen om Utbildningsfonden och till lagar om ändring av lagen om vuxenutbildningsstöd och av lagen om finansiering av arbetslöshetsförmåner. Propositionen kan inverka på de föreslagna ändringarna av lagen om vuxenutbildningsstöd, av lagen om finansiering av arbetslöshetsförmåner och av lagen om Utbildningsfonden i denna proposition.

DETALJMOTIVERING

1 Lagförslag

1.1 Lagen om underhållsstöd

38 §. Begränsning av den registrerades rätt. Det föreslås att paragrafens nuvarande bestämmelse om Folkpensionsanstaltens informationsskyldighet upphävs som onödig. Enligt den gällande paragrafen ska Folkpensionsanstalten på förhand på lämpligt sätt informera den som ansöker om underhållsstöd om var uppgifter om honom eller henne kan inhämtas och till vem uppgifterna i regel kan lämnas ut. Dataskyddsförordningen innehåller mer detaljerade bestämmelser om den personuppgiftsansvariges informationsskyldighet, så bestämmelsen bör upphävas som onödig.

Bestämmelser om den personuppgiftsansvariges informationsskyldighet finns i artiklarna 13—15 i dataskyddsförordningen. I artikel 13 bestäms om den information som ska lämnas den registrerade när personuppgifter samlas in direkt från den registrerade och i artikel 14 bestäms om situationer där personuppgifter samlas in från någon annan än den registrerade. Med stöd av artiklarna ska den personuppgiftsansvarige informera den registrerade om bland annat mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt varifrån personuppgifterna har erhållits. Dessutom har den registrerade med stöd av artikel 15 rätt till tillgång till sina personuppgifter och till bland annat information om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt all tillgänglig information om varifrån dessa uppgifter kommer. Dataskyddsförordningens bestämmelser är direkt tillämpliga, så det behöver inte föreskrivas separat om Folkpensionsanstaltens informationsskyldighet i lagen om underhållsstöd.

Paragrafen upphävs inte helt och hållet, utan i den intas nya bestämmelser om begränsning av den registrerades rätt. Sålunda föreslås att också paragrafens rubrik ändras. I paragrafen föreskrivs i fortsättningen om begränsning av den registrerades rätt. Innehållet i den reviderade paragrafen motsvarar den nya 96 § som föreslås i folkpensionslagen. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i fråga om folkpensionslagen.

1.2 Lagen om pensionsstiftelser

70 §. I paragrafen föreskrivs om registret över pensionsstiftelser som förs av Finansinspektionen, om de anteckningar som ska göras i det och om uppgifter som ska lämnas ut ur det. Uppgifterna i registret är personuppgifter när de gäller medlemmar i pensionsstiftelsens styrelse och förvaltningsråd samt sådana personer som har rätt att teckna pensionsstiftelsens namn. I fråga om de ovannämnda personerna anges i registret som personuppgifter fullständigt namn, personbeteckning, adress och medborgarskap. Om en person inte har någon finsk personbeteckning, antecknas födelsedatum i registret. Det är Finansinspektionens lagstadgade skyldighet att föra registret. Sålunda baserar sig behandlingen av personuppgifter på artikel 6.1 c i dataskyddsförordningen, dvs. behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Det föreslås att till paragrafen fogas ett nytt 4 mom., där utlämnandet av personuppgifter ur registret preciseras. Enligt paragrafen får uppgifter trots det som föreskrivs i 16 § 3 mom. i offentlighetslagen lämnas ut elektroniskt även när mottagaren inte har rätt enligt bestämmelserna om skydd av personuppgifter att registrera och använda sådana personuppgifter. När det är fråga om personbeteckningens slutled och en utomlands bosatt fysisk persons hemadress lämnas dock uppgiften ut ur registret endast om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. I övrigt ska uppgiften om personens hemland lämnas ut i stället för den utomlands bosatta fysiska personens hemadress. I sak motsvarar momentet 1 a § i handelsregisterlagen.

71 §. Det föreslås att 2 mom. ändras så att för fysiska personer anges i fortsättningen hemkommun i stället för hemadress. För fysiska personer som är bosatta utomlands antecknas i registret hemadress i stället för hemkommun. Förslaget motsvarar de uppgifter som ska anges för fysiska personer i handelsregistret. Det är motiverat att avstå från att samla in hemadresser också med tanke på dataskyddsförordningens princip om uppgiftsminimering.

132 c §. I paragrafen föreskrivs om pensionsstiftelsens rätt att lämna ut uppgifter trots den tystnadsplikt som föreskrivs i 132 §.

I paragrafens 1 mom. föreskrivs det om de ändamål för vilka uppgifter får lämnas ut. Momentets 1 och 2 punkter motsvarar den gällande lagen.

Enligt gällande 1 mom. 3 punkten har en pensionsstiftelse rätt att lämna ut uppgifter som omfattas av tystnadsplikten till en annan försäkringsanstalt i fråga om brott som riktats mot pensionsstiftelsen och i fråga om förmåner som sökts hos denna, om detta är nödvändigt för att förebygga brottslighet som riktas mot försäkringsanstalter och om datasekretessnämnden har beviljat tillstånd enligt 43 § personuppgiftslagen att behandla uppgifterna. Pensionsstiftelserna har inte ansökt om tillstånd av datasekretessnämnden att lämna ut uppgifter om förmåner som sökts hos en pensionsanstalt och om brott som riktats mot denna, och i fortsättningen ska det inte vara möjligt att ansöka om datasekretessnämndens tillstånd. Eftersom inga tillstånd har sökts, kan sådan behandling av personuppgifter som baserar sig på bestämmelsen inte anses nödvändig för pensionsstiftelserna på grund av allmänintresset, så det föreslås att det inte föreskrivs om detta i fortsättningen. I 1 mom. 3 punkten föreslås en bestämmelse om rätt för en pensionsstiftelse att lämna ut uppgifter till en nämnd i försäkringsbranschen eller till ett behörigt organ för behandling av ärenden som förelagts organet i fråga, som motsvarar 165 c § 3 punkten i lagen om försäkringskassor. Pensionsstiftelserna ska ha rätt att lämna ut uppgifter till en nämnd i försäkringsbranschen eller till ett organ som har meddelats Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG. Med stöd av 20.2 får uppgifter lämnas ut till nämnden eller till ett organ för behandling av ärenden som förelagts organet i fråga. I praktiken möjliggör bestämmelsen utlämnande av uppgifter till Försäkrings- och finansrådgivningen FINE samt till den försäkringsnämnd som lyder under denna och som ger rekommendationer i beslut om tilläggspensionsförmåner. Bestämmelser om ändringssökande vid arbetspensionsförsäkring finns i lagen om pension för arbetstagare.

I paragrafens 1 mom. 4 punkten föreskrivs om rätt för en pensionsstiftelse att med social- och hälsovårdsministeriets tillstånd lämna ut uppgifter för vetenskaplig eller historisk forskning. Enligt artikel 5.1 b i dataskyddsförordningen ska användning av uppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte anses vara oförenlig med de ursprungliga ändamålen. I momentet stryks således omnämnandet av social- och hälsovårdsministeriets tillstånd. Utlämnandet av uppgifter förutsätter att den som tar emot uppgifterna har en lagenlig grund för behandlingen av uppgifterna. Pensionsstiftelsen kan således i fortsättningen fatta beslut om utlämnande själv med stöd av dataskyddsförordningen och annan lagstiftning. Paragrafens 1 mom. 5 punkt motsvarar den gällande lagen.

Paragrafens 2 mom. motsvarar i övrigt den gällande lagstiftningen, men det preciseras så att en pensionsstiftelse kan lämna ut endast nödvändiga uppgifter. Ändringen baserar sig på grundlagsutskottets avgörandepraxis. Grundlagsutskottet har ansett att om det datainnehåll som ska lämnas ut inte uppräknas på ett uttömmande sätt, ska regleringen innehålla ett krav på att uppgifterna är nödvändiga för något ändamål.

Det föreslås att i fortsättningen i paragrafen föreskrivs det inte om bemyndigande att utfärda förordning. Enligt paragrafens gällande 3 mom. kan social- och hälsovårdsministeriet vid be-hov meddela föreskrifter om tillämpningen av 1 och 2 mom. i denna paragraf. Bestämmelser om skydd för personuppgifter måste utfärdas genom lag och preciserande bestämmelser be-hövs inte längre.

133 §. Det föreslås att till lagen fogas en ny paragraf, med stöd av vilken en pensionsstiftelse har rätt att fatta sådana automatiserade beslut som avses i dataskyddsförordningen. Paragrafen är nödvändig för att tilläggspensionsanstalterna ska kunna fatta automatiserade beslut i större utsträckning än vad dataskyddsförordningen annars tillåter. I fråga om lagstadgad arbetspensionsförsäkring gäller lagen om pension för arbetstagare, som också föreslås bli utökad med en 105 b §, som tillåter automatiserade beslut Enligt paragrafens 2 mom. ska den registrerade ha rätt att kräva att ett automatiserat beslut behandlas på nytt av en fysisk person. Pensionsstiftelserna övervakas av Finansinspektionen. Tillsynen innefattar övervakning av de förfaranden som ska iakttas i kundrelationerna. I ersättningsärenden är de allmänna domstolarna besvärsinstanser. Utöver detta ger Försäkringsnämnden rekommendationer om avgörande vid sådana tvister som gäller tilläggspensioner.

1.3 Lagen om pensionsstöd

22 §. Bestämmelser om förfarandet i fråga om pensionsstöd och ändringssökande. I paragrafen föreskrivs det om de bestämmelser i lagen om garantipension som tillämpas vid verkställigheten av pensionsstöd. I paragrafen föreslås ett omnämnande av den föreslagna bestämmelse om begränsning av den registrerades rätt som ska tillämpas även vid verkställigheten av pensionsstöd.

1.4 Pensionslagen för den offentliga sektorn

3 §. Centrala definitioner. I 1 mom. föreslås samma ändringar som i 2 § 1 mom. i lagen om pension för arbetstagare.

113 a §. Automatiserade beslut. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 105 b § i lagen om pension för arbetstagare som föreslås i propositionen. Rättsmedlen enligt pensionslagen för den offentliga sektorn motsvarar rättsmedlen enligt lagen om pension för arbetstagare. Kevas tillsyn skiljer sig dock från de andra arbetspensionsanstalterna så att Keva är en självständig offentligrättslig inrättning, och den allmänna tillsynen över den ankommer på finansministeriet.

153 §. En offentlig arbetsgivares skyldighet att lämna uppgifter. Det föreslås att 3 mom. ändras med samma motivering som 195 § 2 mom. i lagen om pension för arbetstagare.

153 a §. Kevas rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering. Det är fråga om en paragraf vars innehåll motsvarar den nya 195 a § i lagen om pension för arbetstagare som föreslås i propositionen.

155 §. Arbetstagarnas och de pensionssökandes rätt att få uppgifter. Det föreslås att paragrafen upphävs med samma motivering som 193 § i lagen om pension för arbetstagare.

165 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 210 a § som föreslås i lagen om pension för arbetstagare. Förslaget om begränsningen av den registrerades rätt behövs i alla lagar om arbetspension och på samma grunder som anges i fråga om lagen om pension för arbetstagare.

1.5 Folkpensionslagen

63 a §. Automatiserade beslut. Det är fråga om en ny paragraf. Paragrafen gör det möjligt att meddela sådana automatiserade beslut som avses i artikel 22.1 i dataskyddsförordningen vid verkställigheten av den lagstadgade sociala trygghet som Folkpensionsanstalten sköter. I artikel 22 § i dataskyddsförordningen avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.

Det ska vara tillåtet att meddela automatiserade beslut, om meddelande av ett automatiserat beslut är möjligt med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning. I beslutsverksamheten ska även de särskilda bestämmelser om förfaranden som finns i förmånslagarna och lagen om folkpensionsanstalten tillämpas, som till exempel bestämmelsen om motiveringen av förmånsbeslut enligt 22 a § i lagen om Folkpensionsanstalten. Folkpensionsanstalten ska också kunna meddela automatiserade beslut som baserar sig på uppgifter om hälsotillståndet, när behandlingen av uppgifter om hälsotillståndet baserar sig på artikel 9.2 g i dataskyddsförordningen, dvs. behandlingen är nödvändig av hänsyn till ett allmänt intresse.

Den nationella lagstiftningen innehåller behöriga åtgärder för att trygga de registrerades rättigheter och friheter samt berättigade intressen. De förmåner som Folkpensionsanstalten verkställer är lagstadgade sociala trygghetsförmåner, och det föreskrivs om grunderna för beviljande av dem i lag. Den registrerades rättigheter tryggas med hjälp av lagens bestämmelser om förfarandet och ändringssökande. Folkpensionsanstalten är en självständig offentligrättslig inrättning, på vars verksamhet förvaltningslagen och offentlighetslagen tillämpas. Dess verksamhet övervakas av fullmäktige som väljs av riksdagen.

Om den som fått ett förmånsbeslut är missnöjd med Folkpensionsanstaltens beslut, får han eller hon söka ändring i beslutet i enlighet med förmånslagstiftningens bestämmelser om sökande av ändring. En part har rätt att få ett automatiserat besluts lagenlighet prövat av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser. Inom socialförsäkringen används ett självrättelsesystem, där besvären först går till Folkpensionsanstalten. Folkpensionsanstalten prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling.

86 §. Uppgifter för avgörande av en förmån. Det föreslås att omnämnandet av samtycke stryks i 1 mom. 7 punkten. I punkten avsett samtycke som begärs av den som sökt eller fått en förmån kan inte uppfylla dataskyddsförordningens krav på användande av samtycke som grund för behandling av personuppgifter. När samtycke begärs kan man till exempel inte försäkra sig om att det är frivilligt, framför allt inte om uppgifterna i vilket fall som helst kan fås från ett penninginstitut med stöd av bestämmelsen. I praktiken kan ett samtycke inte heller återtas, om de erhållna uppgifter till exempel använts som grund för att avgöra en förmån. Behandlingen av personuppgifter enligt paragrafen ska i fortsättningen basera sig på artikel 6.1 c i dataskyddsförordningen.

I 2 mom. föreskrivs om rätt för Folkpensionsanstalten och besvärsinstanserna att få uppgifter om social- och hälsovård som är nödvändiga för avgörandet av ett sjukpensionsärende. Genom den sista meningen i momentet har rätten att få uppgifter begränsats till situationer där pensionssökanden inte själv lämnar dessa uppgifter. Det föreslås att denna begränsning stryks. Begränsningen har inte någon praktisk betydelse för pensionssökanden, eftersom bestämmelsen ger Folkpensionsanstalten och besvärsinstanserna rätt att få uppgifterna, även om pensionssökanden inte lämnar dem själv. Pensionssökanden kan inte förbjuda att uppgifterna lämnas ut med stöd av bestämmelsen. Trots att meningen stryks ska huvudprincipen när sjukpensionsärenden avgörs fortfarande vara att sökanden själv lämnar de uppgifter som behövs. I 57 § i folkpensionsanstalten bestäms om pensionssökandens skyldighet att lämna uppgifter för behandlingen av pensionsärendet under och efter ansökningsfasen.

Den behandling av personuppgifter i samband med ett sjukpensionsärende som avses i momentet baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. I momentet föreskrivs att de uppgifter som lämnas ut ska vara nödvändiga för att avgöra sjukpensionsärendet. I momentet anges dessutom de instanser från vilka uppgifter kan fås.

90 §. Utlämnande av uppgifter i vissa fall. Det föreslås att 3 punkten preciseras så att med stöd av bestämmelsen får utlämnas endast de uppgifter som uppräknas i bestämmelsen och som är nödvändiga för en undersökning som görs för att utreda arbetsoförmågan i samband med ett anhängigt förmånsärende. Behandlingen av personuppgifter enligt 3 punkten baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I 3 punkten uppräknas datainnehållet i de uppgifter som ska lämnas ut och anges de instanser till vilka uppgifter kan lämnas ut. Dessutom föreskrivs det att de uppgifter som lämnas ut ska vara nödvändiga för att genomföra en undersökning som görs för att utreda eller på nytt bedöma arbetsoförmågan.

Det föreslås att till paragrafen fogas en ny 5 punkt, där det föreskrivs om utlämnande av uppgifter i handlingar som hänför sig till behandlingen av ett anhängigt sjukpensionsärende till företagshälsovården, läkaren och en vård- och undersökningsinrättning för utredande av hälsotillståndet eller bedömning av arbetsförmågan, om uppgifterna är nödvändiga för att avgöra sjukpensionsärendet.

Behandlingen av de personuppgifter som avses i paragrafen baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I 5 punkten anges de instanser till vilka uppgifter kan lämnas ut. Dessutom föreskrivs där att de uppgifter som lämnas ut ska vara nödvändiga för att avgöra sjukpensionsärendet.

Ändamålet med uppgifterna enligt ovannämnda bestämmelser i paragrafen är förenligt med det ändamål för vilket uppgifterna har samlats in. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna bestämmelse gäller också en situation enligt momentet, där företagshälsovården, läkaren samt en vård- och undersökningsinrättning får uppgifter om en person som sökt en förmån på grund av arbetsoförmåga. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

96 §. Uppgifter till sökande. Det föreslås att paragrafens nuvarande bestämmelse upphävs som onödig. Enligt den gällande paragrafen ska Folkpensionsanstalten på förhand informera pensionssökanden om var uppgifter om honom eller henne finns att få och vart uppgifterna i regel kan lämnas ut. Dataskyddsförordningen innehåller mer detaljerade bestämmelser om den personuppgiftsansvariges informationsskyldighet, så bestämmelsen bör upphävas som onödig.

Paragrafen upphävs inte helt och hållet, utan i den intas nya bestämmelser om begränsning av den registrerades rätt. Där föreskrivs ett undantag från den registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Den registrerade har inte rätt att kräva att Folkpensionsanstalten ska begränsa behandlingen av personuppgifterna, om den registrerades krav är uppenbart ogrundat. Begränsningen av rätten ska tillämpas när det är fråga om skötsel av en uppgift enligt folkpensionslagen. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Syftet med begränsningen av den registrerades rätt är att förhindra att den registrerade ogrundat strävar efter att avbryta skötseln av uppgifter enligt folkpensionslagen genom att hänvisa till sin rätt att begränsa behandlingen.

Folkpensionsanstalten är en myndighet, som iakttar förvaltningslagen i sin beslutsverksamhet. Med stöd av förvaltningslagen ska Folkpensionsanstalten se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. I ärenden enligt folkpensionslagen har den registrerade tillgång till rättsmedlen enligt 12 kap. i folkpensionslagen, som gör det möjligt att ett beslut som eventuellt meddelats utifrån felaktiga uppgifter blir rättat. Bestämmelserna om ändringssökande fungerar som garanti för den registrerades rättsskydd när den registrerade med stöd av lag förvägras möjlighet att begränsa behandlingen av uppgifter. Folkpensionslagen innehåller också bestämmelser om rättelse av sakfel. Om ett beslut av Folkpensionsanstalten grundar sig på en klart oriktig eller bristfällig utredning eller på uppenbart oriktig tillämpning av lag eller om det har skett ett fel i förfarandet då beslutet fattades, kan Folkpensionsanstalten undanröja sitt felaktiga beslut och avgöra ärendet på nytt. Ett beslut får rättas till en parts fördel. Rättelse av ett beslut till en parts nackdel förutsätter att parten samtycker till att beslutet rättas. Den föreslagna begränsningen av den registrerades rättigheter kan betraktas som en nödvändig och proportionell åtgärd, och begränsningen hotar inte den registrerades grundläggande rättigheter.

1.6 Lagen om vuxenutbildningsstöd

18 a §. Automatiserade beslut. Det är fråga om en ny paragraf. Paragrafen gör det möjligt att meddela sådana automatiserade beslut som avses i artikel 22.1 i dataskyddsförordningen vid verkställigheten av vuxenutbildningsstödet, som sköts av Utbildningsfonden. I artikel 22 § i dataskyddsförordningen avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.

Det ska vara tillåtet att meddela automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven i denna lag och kraven på god förvaltning är möjligt.

Den nationella lagstiftningen innehåller behöriga åtgärder för att trygga de registrerades rättigheter och friheter samt berättigade intressen. Det föreskrivs i lag om grunderna för beviljande av vuxenutbildningsstöd. Den registrerades rättigheter tryggas med hjälp av lagens bestämmelser om förfarandet och ändringssökande. För beviljande och utbetalning samt övrig verkställighet av vuxenutbildningsstödet svarar Utbildningsfonden, vars verksamhet övervakas av Finansinspektionen. Uppgifterna i anslutning till statsborgen för studielån som betalas mottagare av vuxenutbildningsstöd sköts av Folkpensionsanstalten. Folkpensionsanstalten är en självständig offentligrättslig inrättning, på vars verksamhet förvaltningslagen och offentlighetslagen tillämpas. Dess verksamhet övervakas av fullmäktige som väljs av riksdagen.

Om den som fått ett beslut om vuxenutbildningsstöd är missnöjd med Folkpensionsanstaltens beslut, får han eller hon söka ändring i beslutet i enlighet med bestämmelserna om sökande av ändring i lagen om vuxenutbildningsstöd. En part har rätt att få ett automatiserat besluts lagenlighet prövat av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser. Även inom vuxenutbildningsstödet används ett självrättelsesystem, där besvären först går till Utbildningsfonden. Utbildningsfonden prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling.

18 b §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 96 § som föreslås i folkpensionslagen. Där föreskrivs ett undantag från den registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Den registrerade har inte rätt att kräva att Utbildningsfonden ska begränsa behandlingen av personuppgifterna, om den registrerades krav är uppenbart ogrundat. Begränsningen av den registrerades rätt ska tillämpas till den del det är fråga om skötseln av uppgifter enligt lagen om vuxenutbildningsstöd. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Syftet med begränsningen av den registrerades rätt är att förhindra att den registrerade ogrundat strävar efter att avbryta verkställandet av lagen om vuxenutbildningsstöd genom att hänvisa till sin rätt att begränsa behandlingen.

För beviljande och utbetalning samt övrig verkställighet av vuxenutbildningsstödet svarar Utbildningsfonden som avses i lagen om Utbildningsfonden (1306/2002) och vars verksamhet övervakas av Finansinspektionen. Utbildningsfonden är en fond som förvaltas av arbetsmarknadsparterna, vars syfte är att främja de färdigheter som krävs i arbete genom att bevilja stöd för yrkesinriktad utbildning och utveckling. De vuxenutbildningsförmåner som Utbildningsfonden beviljar är vuxenutbildningsstöd och yrkesexamensstipendium.

Utbildningsfonden iakttar förvaltningslagen i sin beslutsverksamhet. Med stöd av förvaltningslagen ska den se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. I ärenden enligt lagen om vuxenutbildningsstöd har den registrerade tillgång till rättsmedlen enligt lagen om vuxenutbildningsstöd, som gör det möjligt att ett beslut som eventuellt meddelats utifrån felaktiga uppgifter blir rättat. Bestämmelserna om ändringssökande fungerar som garanti för den registrerades rättsskydd när den registrerade med stöd av lag förvägras möjlighet att begränsa behandlingen av uppgifter. Lagen om vuxenutbildningsstöd innehåller också bestämmelser om rättelse av fel. Grundar sig ett beslut av Utbildningsfonden på en klart oriktig eller bristfällig utredning eller på uppenbart oriktig tillämpning av lag eller har det skett ett fel i förfarandet då beslutet fattades, kan fonden undanröja sitt felaktiga beslut och avgöra ärendet på nytt. Ett beslut får rättas till en parts fördel. Rättelse av ett beslut till en parts nackdel förutsätter att parten samtycker till att beslutet rättas. Den föreslagna begränsningen av den registrerades rättigheter kan betraktas som en nödvändig och proportionell, och begränsningen hotar inte den registrerades grundläggande rättigheter.

29 §. Tystnadsplikt. Det föreslås att 1 mom. ändras så att det utökas med hänvisningar till de paragrafer med stöd av vilka uppgifter erhålls.

Det föreslås att 3 mom. upphävs som onödigt. För närvarande innehåller momentet en så kallad informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet och personuppgiftslagen, dvs. bestämmelsen saknar substansinnehåll. I fortsättningen ersätts personuppgiftslagen av allmänna dataskyddsförordningen och dataskyddslagen, som blir tillämpliga i enlighet med bestämmelserna om deras tillämpningsområde utan hänvisning. Även lagen om offentlighet i myndigheternas verksamhet blir i fortsättningen tillämplig som allmän lag i enlighet med bestämmelserna om dess tillämpningsområde utan hänvisning.

1.7 Lagen om tillämpning av lagstiftningen om bosättningsbaserad social trygghet

15 a §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsplikt upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i fråga om 96 § i folkpensionslagen.

1.8 Lagen om Pensionsskyddscentralen

2 a §. Automatiserade beslut och begränsning av den registrerades rätt. Det är fråga om en ny paragraf. I 1 mom. föreskrivs om begränsning av den registrerades rätt. Bestämmelsens innehåll motsvarar den nya 210 a § som föreslås i lagen om pension för arbetstagare.

I 2 mom. föreskrivs om automatiserade beslut. Bestämmelsens innehåll motsvarar den nya 105 b § som föreslås i lagen om pension för arbetstagare. Med stöd av bestämmelsen kan Pensionsskyddscentralen fatta automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen vid verkställigheten av lagen om Pensionsskyddscentralen och arbetspensionslagarna. Med stöd av lagen om Pensionsskyddscentralen är Pensionsskyddscentralens lagstadgade uppgift bland annat att avgöra om finsk lagstiftning om social trygghet ska tillämpas på en person som arbetar utomlands. Pensionsskyddscentralen avgör saken på begäran av en arbetsgivare, arbetstagare, tjänsteman eller företagare. Pensionsskyddscentralen utfärdar ett intyg för utstationerad arbetstagare (s.k. A1-intyg) i fråga om avgörandet. Bestämmelsen om automatiserade beslut är nödvändig så att Pensionsskyddscentralen kan utfärda intyg för utstationerade arbetstagare vid automatiserad behandling. I artikel 22 i dataskyddsförordningen avses med automatiserat beslutsfattande ett beslut som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. Ett intyg för utstationerad arbetstagare är inte ett överklagbart beslut, men sökanden kan särskilt begära att få ett överklagbart beslut i ärendet. Utfärdandet av intyget är dock förenat med de rättsliga följder som avses i artikel 22 i dataskyddsförordningen.

Enligt 1 § i lagen om Pensionsskyddscentralen är Pensionsskyddscentralen samordnande organ för verkställigheten och utvecklandet av arbetspensionsskyddet. Pensionsskyddscentralens uppgifter baserar sig på lag och det föreskrivs om dem i 2 §. Ändring i Pensionsskyddscentralens beslut kan sökas enligt vad som bestäms i lagen om pension för arbetstagare. Även på undanröjande av beslut tillämpas lagen om pension för arbetstagare.

1.9 Lagen om bostadsbidrag för pensionstagare

43 §. Uppgifter för avgörande av bostadsbidrag. Det föreslås att 2 mom. ändras med samma motivering som 86 § 1 mom. 7 punkten i folkpensionslagen.

50 §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om informationsskyldighet upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i samband med 96 § i folkpensionslagen.

1.10 Lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner

59 §. Erhållande av uppgifter på begäran. Det föreslås att 2 mom. ändras med samma motivering som i 86 § 2 mom. i folkpensionslagen. Det föreslås att 5 mom. ändras med samma motivering som 86 § 1 mom. 7 punkten i folkpensionslagen.

63 §. Utlämnande av uppgifter. I 1 mom. föreskrivs om rätt för Folkpensionsanstalten att lämna uppgifter som den har erhållit i samband med förmånsärenden enligt denna lag till den som tillhandahåller rehabiliteringen, till den som tagit initiativ till rehabiliteringen och till den som ansvarar för vården och rehabiliteringen av klienten samt för upprättandet av rehabiliteringsplanen när uppgifterna är nödvändiga för rehabiliteringen. Det föreslås att momentet ändras så att det föreskrivs noggrannare är tidigare om de ändamål för vilka uppgifter får lämnas ut. Den nuvarande bestämmelsen gör det inte möjligt att lämna uppgifter till exempelvis arbetsgivaren eller arbets- och näringsbyrån. Det föreslås att momentet ändras så att det ger möjlighet att i större utsträckning än nu lämna ut uppgifter som är nödvändiga för verkställigheten av förmåner enligt denna lag till aktörer som deltar i utredande av sökandens rehabiliteringsmöjligheter och i genomförande av rehabiliteringsåtgärderna, om uppgifterna är nödvändiga för rehabiliteringen. Uppgifterna kan vara nödvändiga för att ändamålsenliga rehabiliteringsåtgärder som motsvarar rehabiliteringsklientens individuella behov ska kunna planeras och sättas in vid rätt tidpunkt samt för att säkerställa samarbetet mellan de aktörer som deltar i rehabiliteringen som en del av rehabiliteringsprocessen. Folkpensionsanstalten ska dock inte ha rätt att lämna uppgifter om sökandens hälsotillstånd till arbetsgivaren utan sökandens samtycke. I 1 mom. förutsätts att ärendet har inletts vid Folkpensionsanstalten, dvs. att sökanden har ansökt om en förmån enligt denna lag hos Folkpensionsanstalten.

64 §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsskyldighet upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i samband med 96 § i folkpensionslagen.

1.11 Lagen om Utbildningsfonden

10 §. Upplysningsplikt. Paragrafens bestämmelse om upplysningsplikt för Utbildningsfonden är onödig med samma motivering som 38 § i lagen om underhållsstöd, och det föreslås att paragrafen upphävs. Förslaget om begränsningen av den registrerades rätt behövs när Utbildningsfonden sköter en lagstadgad uppgift och på samma grunder som anges i samband med 96 § i folkpensionslagen.

1.12 Lagen om stöd för hemvård och privat vård av barn

23 a §. Rätt att få uppgifter. Det föreslås att 2 mom. ändras med samma motivering som 86 § 1 mom. 7 punkten i folkpensionslagen.

24 §. Utlämnande av uppgifter i vissa fall. Enligt 1 mom. sänder Folkpensionsanstalten i samband med utbetalningen av stödet kommunerna uppgifter som de barn som omfattas av stödet samt om de personer, sammanslutningar och samfund som har rätt till och får stöd och om beloppen av de stöd som betalas. Det föreslås att momentet kompletteras med det ändamål för vilket uppgifterna lämnas ut. Folkpensionsanstalten sänder kommunen uppgifterna för att kontrollera kommunens betalningsskyldighet. Med stöd av 9 § 1 mom. i lagen om stöd för hemvård och privat vård av barn betalar kommunen ersättning till Folkpensionsanstalten för de kostnader som föranleds av stöd som har betalts enligt denna lag, med undantag av kostnader för stöd som betalats enligt 3 § 2 och 3 mom., för vilka staten betalar ersättning till Folkpensionsanstalten. Före utbetalningen av stöden för vård av barn betalar kommunen den uppskattade sammanlagda stödsumman till Folkpensionsanstalten. När det faktiska stödbeloppet klarnar i samband med att Folkpensionsanstalten betalar förmånen till stödtagarna eller vårdproducenterna, sänds kommunerna en lista av vilken framgår den exakta sammanlagda summan av förmånerna under den aktuella månaden. Utifrån denna lista kan kommunen i fråga om varje barn kontrollera till vem vilken förmån har betalts och hur mycket.

Sådan behandling av personuppgifter i kommunen som avses i momentet baserar sig på artikel 6.1 c i dataskyddsförordningen, eftersom kommunen har lagstadgad skyldighet att finansiera stöden för vård av barn. Behandlingen hänför sig till finansieringen av stöden för vård av barn och ändamålet är förenligt med det ändamål för vilket uppgifterna ursprungligen har samlats in.

24 c §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsplikt upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i samband med 96 § i folkpensionslagen.

1.13 Lagen om försök med basinkomst

13 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 96 § som föreslås i folkpensionslagen. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten och på samma grunder som anges i samband med 96 § i folkpensionslagen.

18 §. Register för försöket med basinkomst. Det föreslås att 4 mom. upphävs som onödigt. Momentet innehåller en informativ hänvisning, enligt vilken personuppgiftslagen gäller i fråga om den tid personuppgifter får lagras och de registrerades rättsskydd. I fortsättningen innehåller dataskyddsförordningen allmänna bestämmelser om behandlingen av personuppgifter. Den är direkt tillämplig och det behövs inte någon särskild hänvisning till den. I fråga om lagringstider bestäms i artikel 5.1 e i dataskyddsförordningen om principen om lagringsminimering. Enligt bestämmelsen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter.

1.14 Lagen om ersättning till lantbruksföretagare för självrisktiden enligt sjukförsäkringslagen

7 §. I paragrafen föreskrivs om meddelande av beslut enligt denna lag. I 1 mom. föreskrivs på det sätt som 31 § i den nuvarande personuppgiftslagen förutsätter om möjlighet för Lantbruksföretagarnas pensionsanstalt att meddela beslut i form av en adbutskrift, och att sådana beslut kan undertecknas maskinellt.. Det föreslås att den nuvarande ordalydelsen ändras så att den börjar motsvarar de bestämmelser som föreslås i denna proposition om försäkringsanstalters rätt att meddela automatiserade beslut. Enligt bestämmelsen har Lantbruksföretagarnas pensionsanstalt vid verkställigheten av denna lag rätt att fatta automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen. Beslut som meddelats av Lantbruksföretagarnas pensionsanstalt kan undertecknas maskinellt.

9 a §. I paragrafen föreskrivs det om tillämpningen av offentlighetslagen på verksamheten vid Lantbruksföretagarnas pensionsanstalt i ärenden som gäller verkställigheten av lagen samt om den rätt hos Lantbruksföretagarnas pensionsanstalt och besvärsinstansen att lämna ut och erhålla uppgifter. I paragrafens 3 mom. 3 punkt hänvisas det i fråga om utlämnande och erhållande av uppgifter till 162 § i lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar, vilken föreslås bli upphävd som onödig. Paragrafens innehåll ändras därmed helt och hållet. På grund av detta upphävs även 9 a § 3 mom. 3 punkten som onödig.

9 b §. Det är fråga om en ny paragraf och där föreskrivs om begränsning av den registrerades rätt på samma sätt som i förslaget till 162 a § i lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar. Förslaget om begränsningen av den registrerades rätt behövs även när Lantbruksföretagarnas pensionsanstalt sköter uppgifter enligt lagen om ersättning till lantbruksföretagare för självrisktiden enligt sjukförsäkringslagen samt på samma grunder som anges i samband med 162 a § i lagen om olycksfall i arbetet och om yrkessjukdomar.

1.15 Lagen om tillämpning av Europeiska unionens lagstiftning om samordning av de sociala trygghetssystemen

20 §. Personers rätt att få information. Det föreslås att paragrafen upphävs som onödig. I fortsättningen bestäms personers rätt till tillgång i enlighet med artikel 15 i dataskyddsförordningen. Den allmänna dataskyddsförordningen tillämpas i enlighet med bestämmelserna om dess tillämpningsområde utan hänvisning.

1.16 Lagen om garantipension

32 §. Bestämmelser om förfarandet i fråga om garantipension. Det föreslås att 1 mom. preciseras så att med stöd av bestämmelsen får utlämnas endast de uppgifter som uppräknas i bestämmelsen och som är nödvändiga för att genomföra en undersökning som görs för utredande eller ny bedömning av arbetsoförmågan. Behandlingen av personuppgifter enligt paragrafen baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I 1 mom. uppräknas datainnehållet i de uppgifter som ska lämnas ut och anges de instanser till vilka uppgifter kan lämnas ut. Dessutom föreskrivs det att de uppgifter som lämnas ut ska vara nödvändiga för att genomföra en undersökning som görs för att utreda eller på nytt bedöma arbetsoförmågan. Sålunda är ändamålet med uppgifterna enligt momentet förenligt med det ändamål för vilket uppgifterna har samlats in. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna bestämmelse gäller också en situation enligt momentet, där läkare, verksamhetsenheter inom hälso- och sjukvården samt undersökningsinrättningar får uppgifter om personer som remitteras för undersökning. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

Det föreslås att till 2 mom. fogas en hänvisning den 63 a § om automatiserade beslut som föreslås i folkpensionslagen, med samma motivering som det förslaget. Dessutom blir den 96 § om begränsning av den registrerades rätt som föreslås i folkpensionslagen tillämplig med samma motivering som det förslaget med stöd av den nuvarande hänvisningen till 13 kap. i folkpensionslagen i 2 mom.

1.17 Lagen om finansiering av arbetslöshetsförmåner

1 a §. Definitioner. Det föreslås att till 1 mom. fogas en ny 3 punkt, som innehåller en definition av dataskyddsförordningen.

26 a §. Arbetslöshetsförsäkringsregister. Det föreslås att paragrafen ändras så att den sista meningen stryks, som innehåller en informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet och personuppgiftslagen. Förslaget motsvarar förslaget om upphävande av 29 § 3 mom. i lagen om vuxenutbildningsstöd. I fortsättningen ska den dataskyddsförordning och dataskyddslag som ersätter personuppgiftslagen tillämpas utan hänvisning i enlighet med dessa lagars bestämmelser om tillämpningsområdet. Även lagen om offentlighet i myndigheternas verksamhet ska i fortsättningen såsom allmän lag tillämpas utan hänvisning i enlighet med bestämmelserna om tillämpningsområdet i den lagen. Arbetslöshetsförsäkringsfonden upprätthåller ett arbetslöshetsregister för skötseln av de ärenden i fråga om arbetslöshetsförsäkringsavgifter som har ålagts fonden i finansieringslagen. I finansieringslagen finns de bestämmelser som är viktiga med tanke på skyddet av personuppgifter i 22 §, 22 a §, 22 b §, 22 c §, 22 e §, 22 g § och 22 d §.

26 f §. Automatiserade beslut. Det är fråga om en ny paragraf. Paragrafen gör det möjligt för Arbetslöshetsförsäkringsfonden att meddela automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen vid verkställigheten av dess uppgifter enligt 10 § i lagen om finansiering av arbetslöshetsförmåner. I artikeln avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.

Det ska vara tillåtet att meddela automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt. Den nationella lagstiftningen innehåller behöriga åtgärder för att trygga de registrerades rättigheter och friheter samt berättigade intressen. Den registrerades rättigheter tryggas med hjälp av bestämmelserna om förfarandet och ändringssökande i lagen om finansiering av arbetslöshetsförmåner. Finansinspektionen övervakar Arbetslöshetsförsäkringsfonden.

Den som är missnöjd med Arbetslöshetsförsäkringsfondens beslut får begära omprövning och söka ändring i enlighet med 8 b kap. i lagen om finansiering av arbetslöshetsförmåner. En part har rätt att få ett automatiserat besluts lagenlighet prövat av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser.

26 g §. Begränsning av den registrerades rätt. Paragrafen är ny och motsvarar till innehållet den nya 96 § som föreslås i folkpensionslagen. I paragrafen föreskrivs ett undantag från den rätt att begränsa behandling som den registrerade har enligt artikel 18 i dataskyddsförordningen. Den registrerade ska inte ha rätt att kräva att Arbetslöshetsförsäkringsfonden ska begränsa behandlingen av personuppgifter, om den registrerades krav är uppenbart ogrundat. Begränsningen av den registrerades rätt ska tillämpas då Arbetslöshetsförsäkringsfonden sköter uppgifter enligt lagen om finansiering av arbetslöshetsförmåner. Begränsningen av den registrerades rätt hänför sig till artikel 18.1 a i dataskyddsförordningen, enligt vilken behandlingen kan begränsas om den registrerade bestrider personuppgifternas korrekthet.

1.18 Lagen om utländska försäkringsbolag

61 §. Automatiserade beslut. Lagen föreslås bli utökad med en ny paragraf om automatiserade beslut med samma motivering som i försäkringsbolagslagen.

Ett utländskt försäkringsbolag som har hemvist inom det Europeiska ekonomiska samarbetsområdet behöver inte tillstånd av en finsk myndighet för att upprätta en filial i Finland eller för att inleda försäkringsverksamhet i filialen. Tillsynen över försäkringsbolaget ska i regel skötas av tillsynsmyndigheten i hemlandet. Finansinspektionen övervakar det utländska EES-försäkringsbolagets verksamhet i Finland enligt vad som föreskrivs i denna lag och i lagen om Finansinspektionen. Ett utländskt EES-försäkringsbolag ska iaktta de villkor som allmänintresset kräver och som ska följas i försäkringsverksamhet som bedrivs i Finland. Med hänvisning till allmänintresset ska det utländska EES-försäkringsbolaget bland annat iaktta försäkringsavtalslagen, den speciallagstiftning som gäller lagstadgade försäkringstyper samt de allmänna lagarna inom förvaltning till den del verksamheten i Finland anknyter till lagstadgade försäkringar.

Ett försäkringsbolag i tredje land får inte bedriva direkt försäkringsverksamhet i Finland utan tillstånd från Finansinspektionen. Tillsynen över och kontrollerna i fråga om de försäkringsbolag i tredje länder som bedriver försäkringsverksamhet i Finland sköts av Finansinspektionen.

I ersättningsärenden är besvärsinstanser de allmänna domstolarna. Utöver detta ger försäkringsnämnden och konsumenttvistenämnden rekommendationer om avgörande i tvister som gäller frivilliga försäkringar.

79 §. Sekretess. I 4—5 och 7 mom. föreslås samma ändringar som i 30 kap. 3 § i försäkringsbolagslagen. Dessutom föreslås att 6 och 8 mom. upphävs som onödiga.

81 §. Försäkringsbolags rätt att behandla uppgifter om brottsmisstankar och brott. Det föreslås att paragrafen utökas med en ny paragraf om utländska försäkringsbolags rätt att behandla uppgifter om brottsmisstankar och brott som gäller det. Paragrafen motsvarar förslaget till 30 kap. 3 a § i försäkringsbolagslagen.

1.19 Lagen om olycksfalls- och pensionsskydd för idrottsutövare

18 §. Olycksfallsförsäkringscentralens och försäkringsanstalternas uppgifter. Det föreslås att 3 mom. ändras. I lagens (lagen om idrottsutövare) 19 § har grenförbunden och övriga organisationer som svarar för tävlingsverksamhet ålagts att se till att idrottsföreningarna och övriga organisationer som bedriver idrottsverksamhet och deltar i tävlingsverksamhet ordnar försäkringsskydd för idrottsutövare i enlighet med lagen om idrottsutövare. För detta ändamål har grenförbunden och övriga organisationer som svarar för tävlingsverksamhet rätt att ur det register som förs av Olycksfallsförsäkringscentralen med stöd av 1 mom. få information om de idrottsutövare som omfattas av deras verksamhet och är försäkrade med en obligatorisk försäkring enligt lagen om idrottsutövare.

För att säkerställa en effektiv tillsyn förskrivs dessutom i 18 § 3 mom. att försäkringsanstalterna ska varje år senast en månad efter att spel- eller tävlingssäsongen för en idrottsgren har börjat, med tanke på de uppgifter som föreskrivs för grenförbunden i 19 §, informera grenförbunden om att idrottsföreningar som hör till grenförbunden och övriga organisationer som bedriver idrottsverksamhet har en gällande försäkring enligt lagen om idrottsutövare. Av informationen ska med samtycke av de idrottsutövare som omfattas av försäkringen framgå deras namn och personbeteckning. Genom bestämmelsen har man velat säkerställa att grenförbunden så snabbt som möjligt får information om försummelser med försäkringsskyddet. För att tillsynen över idrottsutövarnas sociala trygghet inte ska äventyras föreslås att kravet på samtycke för att idrottsutövarens namn och personbeteckning ska framgå av informationen stryks i momentet, eftersom det i praktiken är svårt att genomföra tillsynen utan tillräckliga identifieringsuppgifter (namn och personbeteckning). Behandlingen av personuppgifter enligt paragrafen baserar sig i fortsättningen på artikel 6.1 c i dataskyddsförordningen.

22 §. Lämnande av uppgifter om förvärvsinkomster och behandling av personuppgifter. I 2 mom. föreslås att den onödiga informativa hänvisningen till personuppgiftslagen stryks. Bestämmelser om behandling av personuppgifter finns i fortsättningen i dataskyddsförordningen.

1.20 Lagen om försäkringsförmedling

36 §. Rapportering om överträdelser. Det föreslås att hänvisningen till personuppgiftslagen stryks i 1 mom. Hänvisningen i 3 mom. ändras så att den registrerade inte har rätt enligt dataskyddsförordningen att få tillgång till den information som avses i 1 och 2 mom. Begränsningen baserar sig på artikel 23.1 d och g i den allmänna dataskyddsförordningen och uppfyller förutsättningarna i artikel 23.2 i den allmänna dataskyddsförordningen.

1.21 Lagen om handikappförmåner

45 §. Utlämnande av uppgifter i vissa fall. I 2 punkten bestäms om rätt för Folkpensionsanstalten att till en sådan läkare, verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning som avses i 20 § 2 mom. i lagen om handikappförmåner lämna uppgifter om hälsotillstånd i fråga om en person som remitteras till sådana undersökningar som avses i det momentet. Det föreslås att 2 punkten preciseras i fråga om ändamålet med uppgifterna så att med stöd av bestämmelsen får utlämnas endast sådana uppgifter om en persons hälsotillstånd, sjukdomar och vårdåtgärder som är nödvändiga för undersökningarna.

Behandlingen av personuppgifter enligt paragrafen baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I bestämmelsen uppräknas datainnehållet i de uppgifter som ska lämnas ut och anges de instanser till vilka uppgifter kan lämnas ut. Dessutom föreskrivs det att de uppgifter som lämnas ut ska vara nödvändiga för att genomföra en undersökning som görs för att utreda eller på nytt bedöma arbetsoförmågan. Sålunda är ändamålet med uppgifterna enligt momentet förenligt med det ändamål för vilket uppgifterna har samlats in. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna bestämmelse gäller också en situation enligt momentet, där läkare, verksamhetsenheter inom hälso- och sjukvården samt undersökningsinrättningar får uppgifter om personer som remitteras för undersökning. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

48 §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om informationsskyldighet upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten samt på samma grunder som anges i 96 § i folkpensionslagen.

1.22 Lagen om allmänt bostadsbidrag

42 §. Uppgifter för avgörande av bostadsbidrag. Det föreslås att 2 mom. ändras med samma motivering som 86 § 1 mom. 7 punkten i folkpensionslagen.

49 §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om informationsskyldighet upphävs och i paragrafen intas en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten samt på samma grunder som anges i 96 § i folkpensionslagen.

1.23 Barnbidragslagen

16 b §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsplikt upphävs och i paragrafen tas in en bestämmelse om begränsning av den registrerades rätt. Förslaget om begränsningen av den registrerades rätt behövs i alla de lagstadgade förmåner som verkställs av Folkpensionsanstalten samt på samma grunder som anges i 96 § i folkpensionslagen.

1.24 Trafikförsäkringslagen

2 §. Definitioner. Paragrafen utökas med en ny 20 punkt där dataskyddsförordningen definieras.

4 §. Trafikförsäkringscentralen. Det föreslås att hänvisningen i 2 mom. ändras så att de föreslagna 62 a och 63 a § tillämpas även på Trafikförsäkringscentralen.

32 §. Ersättningsansvar för trafikskada. Det föreslås att hänvisningen i 3 mom. ändras så att de föreslagna 62 a och 63 a § tillämpas även på Statskontoret.

62 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den 250 § som föreslås i lagen om olycksfall i arbetet och om yrkessjukdomar. Den registrerade har inte rätt att kräva att försäkringsbolaget, Trafikförsäkringscentralen eller Statskontoret ska begränsa behandlingen av personuppgifter när de sköter en uppgift enligt denna lag.

63 a §. Automatiserade beslut. I paragrafen föreslås det en bestämmelse om försäkringsbolags rätt att fatta automatiserade beslut som avses i dataskyddsförordningen när de bedriver verksamhet som avses i trafikförsäkringslagen. Det ska vara tillåtet att meddela automatiserade beslut om det är möjligt med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning.

Verkställigheten av trafikförsäkringen betraktas som en offentlig förvaltningsuppgift. På försäkringsbolagens verksamhet tillämpas förvaltningslagen, om inte något annat föreskrivs i lagstiftningen om trafikförsäkring. I ersättningsärenden är de allmänna domstolarna besvärsinstanser. Dessutom ger trafikskadenämnden rekommendationer om hur meningsskiljaktigheter som gäller trafikförsäkringar ska avgöras. Verksamheten vid försäkringsbolag som bedriver trafikförsäkring övervakas av Finansinspektionen och de högsta laglighetsövervakarna.

1.25 Lagen om Trafikförsäkringscentralen

18 §. Tystnadsplikt och rätt att lämna ut uppgifter. Paragrafens hänvisningsbestämmelse ändras så att det hänvisas till den nya 3 a § i 30 kap. i försäkringsbolagslagen. Den paragrafen gäller behandling av uppgifter om brott. Ändringen behövs för att Trafikförsäkringscentralen ska kunna fortsätta att behandla uppgifter om brott på samma sätt som för närvarande.

1.26 Patientskadelagen

10 c §. Automatiserade beslut. I paragrafen föreslås det en bestämmelse om Patientförsäkringscentralens rätt att fatta automatiserade beslut som avses i dataskyddsförordningen när den bedriver verksamhet som avses i patientskadelagen. Det ska vara tillåtet att meddela automatiserade beslut om det är möjligt med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning.

Patientförsäkringscentralen är en privaträttslig försäkringsanstalt som sköter en offentlig förvaltningsuppgift. De ersättningar som den betalar grundar sig på patientskadelagen. I ersättningsärenden är de allmänna domstolarna besvärsinstanser. Dessutom ger Patientförsäkringscentralen rekommendationer om hur meningsskiljaktigheter som gäller patientförsäkringar ska avgöras. Verksamheten vid Patientförsäkringscentralen övervakas av Finansinspektionen och de högsta laglighetsövervakarna.

13 §. Sekretess och rätt att lämna ut uppgifter. På sekretess för den som är anställd hos Patientförsäkringscentralen eller som centralen anlitar som sakkunnig på grundval av ett uppdrag, på utlämnande av uppgifter som omfattas av sekretess och på brott mot sekretessen tillämpas bestämmelserna om försäkringsbolag i 30 kap. 1, 3 och 4 § i försäkringsbolagslagen. Genom bestämmelsen rättas den felaktiga hänvisning som funnits i paragrafen.

14 §. Begränsning av den registrerades rätt. Den föreslagna paragrafen innehåller bestämmelser om begränsning av den registrerades rätt. Bestämmelsen motsvarar den nya 250 § som föreslås i lagen om olycksfall i arbetet och om yrkessjukdomar. En registrerad ska inte ha rätt enligt dataskyddsförordningen att kräva att Patientförsäkringscentralen ska begränsa behandlingen av personuppgifter, om den registrerades krav är uppenbart ogrundat. Begränsningen av den registrerades rätt föreslås bli tillämpad när Patientförsäkringscentralen sköter en uppgift enligt denna lag. Avsikten med begränsningen är att förhindra att en registrerad utan grund försöker avbryta verkställigheten av patientskadelagen genom att åberopa rätten att begränsa behandlingen.

1.27 Lagen om pension för lantbruksföretagare

2 §. Centrala definitioner. Det föreslås att en definition av dataskyddsförordningen tillfogas i 1 mom. 12 punkten. De nuvarande 12—14 punkterna blir 13—15 punkter.

90 b §. Automatiserade beslut. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 105 b § i lagen om pension för arbetstagare som föreslås i propositionen. Rättsmedlen enligt lagen om pension för lantbruksföretagare motsvarar rättsmedlen enligt lagen om pension för arbetstagare.

138 a §. Pensionsanstaltens rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 195 a § i lagen om pension för arbetstagare som föreslås i propositionen.

140 §. Lantbruksföretagarnas och de pensionssökandes rätt att få uppgifter. Det föreslås att paragrafen upphävs som onödig med samma motivering som 193 § i lagen om pension för arbetstagare.

143 §. Pensionsanstaltens och Pensionsskyddscentralens rätt att få uppgifter för verkställigheten av uppgifter enligt denna lag. Det föreslås att 1 mom. 1 punkten ändras så att där hänvisas till lagen om landsbygdsnäringsförvaltningens informationssystem (284/2008), genom vilken har upphävts lagen om landsbygdsnäringsregistret (1515/1994), som nämns i den nuvarande bestämmelsen. Paragrafens 1 mom. 2 punkt föreslås bli ändrad så att där hänvisas till lagen om det nationella genomförandet av Europeiska unionens gemensamma fiskeripolitik (1048/2016), genom vilken har upphävts lagen om verkställighet av Europeiska gemenskapens gemensamma fiskeripolitik (1139/1994), som nämns i den nuvarande bestämmelsen, och till lagen om fiske (379/2015), som trädde i kraft vid ingången av 2016 och innehåller närmare bestämmelser om fiskeriförvaltningens olika informationssystem, som exempelvis registret över kommersiella fiskare. I de ovannämnda lagarna finns bestämmelser om registermyndigheter från vilka Lantbruksföretagarnas pensionsanstalt har rätt att få uppgifter för verkställigheten av lagen om pension för lantbruksföretagare, till exempel för försäkringstillsynen.

Ordalydelsen i 1 och 2 mom. preciseras så att det talas om Skatteförvaltningen i stället för skattemyndigheten.

Det föreslås ett nytt 4 mom. med bestämmelser om rätten för Lantbruksföretagarnas pensionsanstalt att få de uppgifter som är nödvändiga för verkställandet av tillsynsuppdraget samt bestämmelser om samkörning och bevarande av uppgifterna. Den behandling av personuppgifter som avses i momentet grundar sig på artikel 6.1 c i dataskyddsförordningen eftersom behandlingen behövs för att fullgöra en rättslig förpliktelse som Lantbruksföretagarnas pensionsanstalt har. Enligt 12 och 12 a § i lagen om pension för lantbruksföretagare övervakar Lantbruksföretagarnas pensionsanstalt att lantbruksföretagarna och stipendiaterna fullgör sin lagstadgade skyldighet att ordna med försäkring.

Pensionsanstalten ska ha rätt att få uppgifter för tillsynsuppdraget av de aktörer som nämns i 1 och 3 mom. i form av massinformation även om de företag och lantbruksföretagare som blir föremål för tillsynsförfarande inte har preciserats, eftersom avsikten med tillsynen är att hitta de personer som inte har tecknat en lagstadgad arbetspensionsförsäkring. Bestämmelsen ska med stöd av 9 a § 1 mom. i lagen om pension för lantbruksföretagare även tillämpas på stipendiater. Rätten att får uppgifter gäller även om tillsynsförfarandet ännu inte är anhängigt och även om beskattningen ännu inte har fastställts. För verkställandet av ett tillsynsuppdrag får pensionsanstalten enligt förslaget samköra och behandla uppgifterna med uppgifter som finns hos pensionsanstalten. Samkörda uppgifter får bevaras i fem år men dock längst tills tillsynsförfarandet avslutats. Samkörda uppgifter får inte vidareutlämnas. De föreslagna bestämmelserna motsvarar de bestämmelser som finns i 199 § 2 mom. i lagen om pension för arbetstagare och gäller samkörning och bevarande av massinformation som har erhållits för tillsynen.

144 §. Gårdsbesöksregister för företagshälsovården för lantbruksföretagare. Det föreslås att 4 mom. ändras så att i bestämmelsen stryks hänvisningen till personuppgiftslagen, som upphävs, samt stryks den fjärde meningen i 4 mom., som innehåller reglering direkt ur dataskyddsförordningen, som onödig. Det föreslås att 5 mom. upphävs med samma motivering som det föreslås att 195 § 2 mom. i lagen om pension för arbetstagare ändras samt för att regleringen i momentet överlappar bestämmelser i lagen om offentlighet i myndigheternas verksamhet och dataskyddsförordningen.

146 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 210 a § i lagen om pension för arbetstagare som föreslås i propositionen. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla arbetspensionslagar på motsvarande grunder som de som anges i fråga om lagen om pension för arbetstagare.

1.28 Lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar

4 §. Övriga definitioner och hänvisningsbestämmelser. Det föreslås att en definition av dataskyddsförordningen tillfogas i 1 mom. 5 punkten. De nuvarande 5—7 punkterna blir 6—8 punkter.

77 §. Meddelande till den skadade att ett ersättningsärende har väckts. Det föreslås att 2 mom. upphävs som onödigt med samma motivering som 115 § 2 mom. i lagen om olycksfall i arbetet och om yrkessjukdomar.

157 §. Rätten för lantbruksföretagarnas olycksfallsförsäkringsanstalt och en besvärsinstans att få uppgifter. Det föreslås att 2 mom. ändras med samma motivering som 195 § 2 mom. i lagen om pension för arbetstagare.

158 §.Rätten för lantbruksföretagarnas olycksfallsförsäkringsanstalt att lämna ut uppgifter. Det föreslås att den gällande 3 punkten upphävs. Utlämnandet av uppgifter om skador enligt den upphävda punkten ska i fortsättningen basera sig på dataskyddsförordningens artikel 6.1 f, som det inte går att utfärda kompletterande bestämmelser om i den nationella lagstiftningen. När det gäller uppgifter som hänför sig till fällande domar i brottmål samt överträdelser kan behandlingen av personuppgifter inte längre grunda sig på särskilt tillstånd av datasekretessnämnden, utan det krävs bestämmelser i lag om behandlingen av uppgifterna. Lantbruksföretagarnas olycksfallsförsäkringsanstalt har inte ansökt om tillstånd hos datasekretessnämnden att lämna ut uppgifter. Eftersom inget tillstånd har sökts kan behandling av personuppgifter som grundar sig på bestämmelsen i fråga inte ses som behövlig med tanke på allmänintresset, och det föreslås att denna bestämmelse inte ska finnas med i fortsättningen.

I 3 punkten intas en ny bestämmelse som motsvarar den föreslagna ändringen av 252 § 1 mom. 7 punkten i lagen om olycksfall i arbetet och om yrkessjukdomar.

162 §. Den skadades eller förmånstagarens rätt att få uppgifter om sitt ersättningsärende. Den nuvarande paragrafen om den skadades eller förmånstagarens rätt att få uppgifter om sitt ersättningsärende upphävs med samma motivering som 250 § i lagen om olycksfall i arbetet och om yrkessjukdomar och i stället tillfogas en ny bestämmelse om automatiserade beslut. Enligt den har lantbruksföretagarnas olycksfallsförsäkringsanstalt vid verkställigheten av denna lag rätt att fatta automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen. En motsvarande bestämmelse finns i 31 kap. 11 § i försäkringsbolagslagen som gäller verkställigheten av ärenden enligt lagen om olycksfall i arbetet och om yrkessjukdomar. Rättsmedlen enligt lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar motsvarar rättsmedlen enligt lagen om olycksfall i arbetet och om yrkessjukdomar.

162 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 250 § som föreslås i lagen om olycksfall i arbetet och om yrkessjukdomar. Begränsningen av den registrerades rätt på det föreslagna sättet behövs på motsvarande grunder som de som anges i fråga om 162 a § i lagen om olycksfall i arbetet och om yrkessjukdomar också när Lantbruksföretagarnas pensionsanstalt sköter ärenden som avses i lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar.

174 a §. Maskinell underskrift av beslut. Paragrafen är ny och motsvarar till innehållet den nya 275 b § som föreslås i lagen om olycksfall i arbetet och om yrkessjukdomar.

180 §. Övergångsbestämmelser. Till 2 mom. fogas en ny 5 punkt som motsvarar den föreslagna ändringen av 286 § 2 mom. i lagen om olycksfall i arbetet och om yrkessjukdomar.

1.29 Lagen om sjömanspensioner

2 §. Centrala definitioner. I 1 mom. föreslås samma ändringar som i 2 § 1 mom. i lagen om pension för arbetstagare.

107 b §. Automatiserade beslut. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 105 b § som föreslås i lagen om pension för arbetstagare. Rättsmedlen enligt lagen om sjömanspensioner motsvarar rättsmedlen enligt lagen om pension för arbetstagare.

217 §. Arbetstagarnas och de pensionssökandes rätt att få uppgifter. Det föreslås att paragrafen upphävs som onödig med samma motivering som 193 § i lagen om pension för arbetstagare.

219 §. Arbetsgivarnas skyldighet att lämna uppgifter. Det föreslås att 2 mom. ändras med samma motivering som 195 § 2 mom. i lagen om pension för arbetstagare.

219 a §. Pensionskassans rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 195 a § som föreslås i lagen om pension för arbetstagare.

221 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 210 a § i lagen om pension för arbetstagare som föreslås i propositionen. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla arbetspensionslagar på motsvarande grunder som de som anges i fråga om lagen om pension för arbetstagare.

1.30 Lagen om frontmannapension

17 §. I 1 mom. finns en förteckning över de bestämmelser i folkpensionslagen och lagen om folkpensionsindex (456/2001) som iakttas vid verkställigheten av frontmannapensioner. Förteckningen utökas med hänvisningar till den nya 63 a § om automatiserade beslut och 96 § om begränsning av den registrerades rätt i folkpensionslagen.

1.31 Sjukförsäkringslagen

15 kap. Verkställighet

1 §. Sjukförsäkringskort. I 1 mom. föreskrivs om sjukförsäkringskort och om de anteckningar som ska göras på det. Enligt den gällande paragrafen antecknas på sjukförsäkringskortet den försäkrades släktnamn och alla förnamn, personteckning och eventuellt medlemskap i en arbetsplatskassa. På sjukförsäkringskortet får även antecknas om den försäkrade är berättigad till läkemedel som omfattas av specialersättning, läkemedel som omfattas av begränsad grundersättning och kliniska näringspreparat, uppgift om sjukförsäkringens giltighetstid samt uppgift om att den försäkrade inte är berättigad till ersättning enligt direktersättningsförfarandet. Vidare föreskrivs i paragrafen att med den försäkrades samtycke får på sjukförsäkringskortet dessutom antecknas andra uppgifter som Folkpensionsanstalten godkänner samt andra uppgifter som är nödvändiga för att verkställa sjukförsäkringen. Det föreslås en sådan ändring av den sista meningen i momentet att det på sjukförsäkringskortet får antecknas uppgifter som är nödvändiga för att verkställa sjukförsäkringen.

6 a §. Automatiserade beslut. Det är fråga om en ny paragraf. Bestämmelsens innehåll motsvarar den nya 63 a § som föreslås i folkpensionslagen, men bestämmelsen gäller även arbetsplatskassor. Kassan är en sådan arbetsplatskassa som avses i sjukförsäkringslagen. Kassans syfte är att bevilja förmåner enligt sjukförsäkringslagen och tilläggsförmåner enligt stadgarna. Kassan har rätt att ur Folkpensionsanstaltens sjukförsäkringsfond få de medel som behövs för att betala förmåner enligt sjukförsäkringslagen samt ersättning för kassans förvaltningskostnader enligt vad som föreskrivs i sjukförsäkringslagen och statsrådets förordning om verkställighet av sjukförsäkringslagen. På kassans verksamhet tillämpas lagen om försäkringskassor (1164/92) och de stadgar som fastställts för kassan. Den allmänna tillsynen över kassans verksamhet ankommer på Finansinspektionen medan kassans verksamhet enligt sjukförsäkringslagen övervakas av Folkpensionsanstalten. Förmånerna enligt sjukförsäkringslagen, deras storlek och begränsningar av dem, inledande och avslutande av försäkringen, ansökan om och utbetalning av förmåner, sökande av ändring samt uppgifter i anslutning till verksamhet enligt sjukförsäkringslagen bestäms i enlighet med sjukförsäkringslagen samt de bestämmelser och föreskrifter som utfärdats med stöd av den. Den som är missnöjd med kassans tilläggsförmånsbeslut kan begära en rekommendation om hur ärendet ska avgöras av FINE:s försäkrings- och finansrådgivning och den försäkringsnämnd som finns i anslutning till den.

19 kap. Bestämmelser om erhållande och utlämnande av uppgifter

1 §. Rätt att få uppgifter. Det föreslås att 2 mom. ändras med samma motivering som 86 § 2 mom. i folkpensionslagen.

5 §. Utlämnande av uppgifter i vissa fall. I 2 mom. föreskrivs om rätt för Folkpensionsanstalten att till en sådan läkare, verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning som avses i 15 kap. 13 § i sjukförsäkringslagen lämna uppgifter om en sådan persons hälsotillstånd och arbete som sänds till undersökningar enligt den nämnda paragrafen. Det föreslås att 2 mom. preciseras i fråga om ändamålet med uppgifterna så att med stöd av bestämmelsen får lämnas endast sådana uppgifter som behövs för att utreda hälsotillståndet och bedöma arbetsförmågan.

Behandlingen av personuppgifter enligt paragrafen baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I bestämmelsen uppräknas datainnehållet i de uppgifter som ska lämnas ut och anges de instanser till vilka uppgifter kan lämnas ut. Dessutom föreskrivs det att de uppgifter som lämnas ut ska behövas för att utreda hälsotillståndet eller bedöma arbetsförmågan. Sålunda är ändamålet med uppgifterna enligt momentet förenligt med det ändamål för vilket uppgifterna har samlats in. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna bestämmelse gäller också en situation enligt momentet, där läkare, verksamhetsenheter inom hälso- och sjukvården samt undersökningsinrättningar får uppgifter om personer som remitteras för undersökning. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

11 §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållstöd. Paragrafens bestämmelse om anmälningsskyldighet upphävs och i paragrafen tas det in en bestämmelse om begränsning av den registrerades rätt. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla lagstadgade förmåner som Folkpensionsanstalten verkställer, på motsvarande grunder som de som anges i fråga om 96 § i folkpensionslagen.

1.32 Militärunderstödslagen

22 e §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsplikt upphävs och i paragrafen tas det in en bestämmelse om begränsning av den registrerades rätt. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla lagstadgade förmåner som Folkpensionsanstalten verkställer, på motsvarande grunder som de som anges i fråga om 96 § i folkpensionslagen.

1.33 Lagen om skada, ådragen i militärtjänst

44 §. Det föreslås att det till lagen fogas en bestämmelse om begränsning av den registrerades rätt. Paragrafen motsvarar den ändring som föreslås i 250 § i lagen om olycksfall i arbetet och om yrkessjukdomar. Begränsningen av den registrerades rätt på det föreslagna sättet behövs på motsvarande grunder som de som anges i fråga om 250 § i lagen om olycksfall i arbetet och om yrkessjukdomar också när Statskontoret verkställer lagen om skada, ådragen i militärtjänst.

1.34 Lagen om pension för arbetstagare

2 §. Centrala definitioner. Det föreslås att i 1 mom. 9 punkten tillfogas en definition av dataskyddsförordningen. De nuvarande 9—12 punkterna blir 10—13 punkter. Samtidigt rättas hänvisningen till trafikförsäkringslagen i 4 punkten så att den börjar avse den nya trafikförsäkringslagen (460/2016), som trädde i kraft i början av 2017 och genom vilken den gamla trafikförsäkringslagen (279/1959) upphävdes.

105 b §. Automatiserade beslut. Det är fråga om en ny paragraf. Paragrafen gör det möjligt att fatta sådana automatiserade beslut som avses i artikel 22.1 i dataskyddsförordningen vid verkställigheten av det lagstadgade arbetspensionsskyddet. I artikeln avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. Inom arbetspensionssystemet är till exempel vissa beslut om ålderspension automatiserade.

Det ska vara tillåtet att meddela automatiserade beslut om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt lagen om pension för arbetstagare och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. I beslutsverksamheten ska även beaktas 40 § om pensionsanstaltens sakkunnigläkare och 105 a § om motivering av beslut i lagen om pension för arbetstagare. Enligt 40 § i lagen om pension för arbetstagare ska en legitimerad läkare delta i beredningen av ärenden som gäller arbetsoförmåga eller rehabilitering samt av andra ärenden som inbegriper medicinska frågor och anteckna sin motiverade bedömning i handlingarna. I 105 a § i lagen om pension för arbetstagare sägs att om pensionsanstalten avslår förmånsansökan helt eller delvis och beslutet till centrala delar grundar sig på medicinska omständigheter, ska motiveringen till beslutet innehålla de omständigheter som i huvudsak har inverkat på bedömningen och de slutsatser som dragits utifrån dessa omständigheter.

Den nationella lagstiftningen innehåller behöriga åtgärder för att trygga de registrerades rättigheter och friheter samt berättigade intressen. Arbetspensionerna är lagstadgade sociala trygghetsförmåner, och det föreskrivs om grunderna för beviljande av dem i lag. Den registrerades rättigheter tryggas med hjälp av lagens bestämmelser om förfarandet och ändringssökande. Finansinspektionen övervakar att de pensionsanstalter som sköter arbetspensionsförsäkringen har behöriga förfaranden.

Om den som fått ett förmånsbeslut är missnöjd med pensionsanstaltens beslut, får han eller hon söka ändring i beslutet i enlighet med arbetspensionslagarnas bestämmelser om sökande av ändring. En part har rätt att få ett automatiserat besluts lagenlighet prövad av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser. Inom arbetspensionssystemet används ett självrättelsesystem, där besvären först går till den pensionsanstalt som fattat beslutet. Pensionsanstalten prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling.

145 §. Rättelse av uppgifter om när ett anställningsförhållande har börjat eller slutat. Det föreslås att paragrafen upphävs som onödig. I paragrafen åläggs den registeransvarige att rätta felaktiga uppgifter på det sätt som föreskrivs i personuppgiftslagen. Dataskyddsförordningen kräver att personuppgifter är korrekta. Den personuppgiftsansvarige måste vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Eftersom dataskyddsförordningen är direkt tillämplig, behövs det ingen separat bestämmelse om rättelse av felaktiga personuppgifter i arbetspensionslagarna.

193 §. Arbetstagarnas och de pensionssökandes rätt att få uppgifter. Det föreslås att paragrafen upphävs som onödig. Enligt paragrafen ska en arbetstagare på begäran ges uppgifter som sin pensionsrätt. Dessutom ska arbetstagaren informeras om varifrån uppgifter om honom eller henne kommer att inhämtas och vart uppgifterna i regel kan lämnas ut. Enligt dataskyddsförordningen har en registrerad rätt att av den personuppgiftsansvarige få information om huruvida personuppgifter som gäller honom eller henne håller på att behandlas. Om så är fallet, har den registrerade rätt att få tillgång till sina uppgifter och dessutom rätt att få information om ändamålen med behandlingen, de kategorier av personuppgifter som behandlingen gäller, mottagare och annan information som anges i förordningen. En del av informationen är sådan att den ska ges den registrerade utan särskild begäran redan när uppgifter samlas in av den registrerade, till exempel i samband med ansökan om pension. Dataskyddsförordningen är direkt tillämplig, så det behövs ingen särskild bestämmelse om den registrerades rätt att få uppgifter som berör honom eller henne i arbetspensionslagarna.

195 §. Arbetsgivarnas skyldighet att lämna uppgifter. Det föreslås att omnämnandet av sökandens samtycke stryks i 2 mom., eftersom man i fortsättningen inte kan begära att sökanden ska ge samtycke till utlämnande av uppgifter i större utsträckning än vad som är nödvändigt. Behandlingen av personuppgifter enligt paragrafen baserar sig i fortsättningen på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen. Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I 2 mom. anges noggrant de instanser till vilka uppgifter får lämnas ut. Dessutom föreskrivs där att de uppgifter som lämnas ut ska vara nödvändiga för att specificera de uppgifters om begärs. Ändamålet med uppgifterna enligt momentet är förenligt med det ändamål för vilket uppgifterna har samlats in, eftersom uppgifterna får lämnas endast för att specificera de uppgifter som behövs för behandlingen av pensions- och rehabiliteringsärenden. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna bestämmelse gäller också en situation enligt momentet, där arbetsgivaren får uppgifter för att specificera uppgifter som begärts av denne. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

195 a §. Pensionsanstalters rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering. Det är fråga om en ny paragraf där det föreskrivs om rätt för pensionsanstalter att lämna uppgifter som hänför sig till behandlingen av pensions- och rehabiliteringsärenden och skötseln av rehabiliteringsärenden till olika hälso- och sjukvårdsaktörer och instanser som producerar rehabiliteringstjänster. Syftet med paragrafen är att göra det möjligt att lämna uppgifter i samma omfattning som för närvarande, när uppgifter lämnas med stöd av sökandens samtycke. Behandlingen av personuppgifter enligt paragrafen baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen.

Pensionsanstalterna har enligt lagen rätt att skaffa uppgifter från flera instanser för behandlingen av sjukpensions- och arbetslivspensionsärenden samt rehabiliteringsärenden. Uppgifter behöver också lämnas för avgörande av pensions- och rehabiliteringsärenden och för rehabilitering. Rätten att lämna uppgifter är dock snävare än rätten att få uppgifter. Av denna orsak ombeds sökanden i ansökan om sjukpension och arbetslivspension ge sitt samtycke till utlämnande av uppgifterna till bland annat företagshälsovården, den behandlande läkaren samt vård- och undersökningsinrättningar. I ärenden som gäller arbetspensionsrehabilitering begärs dessutom samtycke till utlämnande av uppgifter i anslutning till skötseln av ett rehabiliteringsbeslut till exempelvis en rehabiliteringsanstalt eller tjänsteproducent som deltar i utredande av rehabiliteringsmöjligheterna. Det föreskrivs i lag om Folkpensionsanstaltens rätt att lämna ut ovannämnda uppgifter i samband med rehabiliteringsärenden.

Enligt 1 mom. 1 punkten har pensionsanstalten trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att för utredande av sökandens hälsotillstånd eller bedömning av sökandens arbetsförmåga lämna uppgifter som hänför sig till behandlingen av ett sjukpensions- och arbetslivsärende till sökandens företagshälsovård, behandlande läkare eller någon annan yrkesutbildad person inom hälso- och sjukvården samt till en vård- och undersökningsinrättning, om uppgifterna är nödvändiga för avgörandet av ett anhängigt förmånsärende. Denna punkt motsvarar i praktiken alla situationer där uppgifter lämnas ut och där man för närvarande begär samtycke i ansökningar om sjukpension och arbetslivspension.

Enligt 1 mom. 2 punkten har pensionsanstalten trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att för utredande av sökandens hälsotillstånd eller bedömning av sökandens arbetsförmåga lämna uppgifter som hänför sig till rehabiliteringsbeslut och skötseln av ett rehabiliteringsärende till sökandens företagshälsovård, behandlande läkare eller någon annan yrkesutbildad person inom hälso- och sjukvården samt till en vård- och undersökningsinrättning, om uppgifterna är nödvändiga för avgörandet av ett anhängigt förmånsärende eller för rehabiliteringen. Denna punkt motsvarar situationer där uppgifter lämnas ut när det för närvarande i rehabiliteringsansökan begärs samtycke till att arbetspensionsanstalten får lämna ut rehabiliteringsbeslut som gäller sökanden och andra uppgifter som hänför sig till skötseln av ett rehabiliteringsärende till företagshälsovården, läkare som deltar i hälso- eller sjukvården eller andra yrkesutbildade personer inom hälso- och sjukvården eller sjukhus eller hälsocentraler.

Enligt 1 mom. 3 punkten har pensionsanstalten trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att lämna uppgifter som hänför sig till rehabiliteringsbeslut och skötseln av ett rehabiliteringsärende till aktörer som deltar i utredandet av sökandens rehabiliteringsmöjligheter och genomförandet av rehabiliteringsåtgärder, om uppgifterna är nödvändiga för rehabiliteringen. Denna punkt motsvarar situationer där uppgifter lämnas ut när det för närvarande i rehabiliteringsansökan begärs samtycke till att arbetspensionsanstalten får lämna ut rehabiliteringsbeslut som gäller sökanden och andra uppgifter som hänför sig till skötseln av ett rehabiliteringsärende till en rehabiliteringsanstalt eller tjänsteproducent, om denna deltar i utredande av rehabiliteringsmöjligheterna; till den egna arbetsgivaren eller en arbetsgivare som erbjuder en arbetsprövnings- eller arbetsträningsplats, till vilken ändå inte får lämnas ut uppgifter om sökandens hälsotillstånd eller om ett förhandsbeslut om rehabilitering; till arbets- eller näringsbyrån, om den deltar i utredande av rehabiliteringsmöjligheterna samt till läroanstalten eller läroavtalsbyrån, om den deltar i sökandens rehabilitering. På samma sätt som enligt nuvarande praxis får information om sökandens hälsotillstånd eller om ett förhandsbeslut om rehabilitering således inte heller i fortsättningen lämnas till arbetsgivaren utan arbetstagarens samtycke.

Behandling av personuppgifter som baserar sig på artikel 9.2 b i dataskyddsförordningen förutsätter att det i den nationella lagstiftningen föreskrivs om behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen. I den föreslagna paragrafen anges noggrant de instanser till vilka uppgifter får lämnas ut och de ändamål för vilka uppgifter får lämnas ut. De uppgifter som lämnas ut ska vara nödvändiga för dessa ändamål. Ändamålet med uppgifterna enligt momentet är förenligt med det ändamål för vilket uppgifterna har samlats in, eftersom uppgifter får lämnas endast för avgörandet av pensions- och rehabiliteringsärenden och för rehabilitering. Lagstiftningen innehåller således behöriga skyddsåtgärder för den registrerades grundläggande rättigheter och intressen.

203 §. Utlämnande av uppgifter inom en försäkringsgrupp. I 2 mom. föreskrivs om rätt för ett arbetspensionsförsäkringsbolag att till ett annat företag som hör till samma försäkringsgrupp eller ekonomiska sammanslutning lämna ut de uppgifter som behövs för kundbetjäning, skötseln av kundförhållanden och annan kundhantering. Momentets ordalydelse preciseras så att det framgår att det är fråga om ett undantag från sekretessbestämmelsen. Bestämmelsen gäller också personuppgifter, beträffande vilkas behandling dataskyddsförordningen alltid är primär i förhållande till den nationella lagstiftningen. När personuppgifter behandlas ska arbetspensionsförsäkringsbolag alltid försäkra sig om att behandlingen och utlämnandet av personuppgifter stämmer överens med dataskyddsförordningen.

210 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf. I paragrafen föreskrivs ett undantag från den registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Den registrerade har inte rätt att kräva att den personuppgiftsansvarige ska begränsa behandlingen av personuppgifterna, om den registrerades krav är uppenbart ogrundat. En begränsning av den registrerades rätt ska tillämpas när det är fråga om skötseln av en uppgift enligt lagen om pension för arbetstagare. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Avsikten med begränsningen är att förhindra att en registrerad utan grund försöker avbryta verkställigheten av det lagstadgade arbetspensionsskyddet genom att åberopa rätten att begränsa behandlingen.

Verkställigheten av den lagstadgade arbetspensionsförsäkringen är ett offentligt förvaltningsuppdrag, på vilket förvaltningslagen tillämpas. Med stöd av förvaltningslagen ska pensionsanstalten se till att ett ärende utreds tillräckligt och på behörigt sätt.

I ärenden enligt lagen om pension för arbetstagare har den registrerade tillgång till rättsmedlen enligt 9 kap. i lagen om pension för arbetstagare, som gör det möjligt att ett beslut som eventuellt meddelats utifrån felaktiga uppgifter blir rättat. Bestämmelserna om ändringssökande utgör en garanti för den registrerades rättsskydd när den registrerade med stöd av lag förvägras möjlighet att begränsa behandlingen av uppgifter. Arbetspensionslagarna innehåller också bestämmelser om rättelse av sakfel. Pensionsanstalten kan undanröja sitt felaktiga beslut och avgöra ärendet på nytt, om pensionsanstaltens beslut grundar sig på klart oriktig eller bristfällig utredning eller på uppenbart oriktig tillämpning av lag, eller om det har skett ett fel i förfarandet då beslutet fattades. Ett beslut får rättas till en parts fördel. Rättelse av ett beslut till en parts nackdel förutsätter att parten samtycker till att beslutet rättas. Den föreslagna begränsningen av den registrerades rättigheter kan betraktas som en nödvändig och proportionell åtgärd för att garantera den sociala tryggheten, och begränsningen hotar inte den registrerades grundläggande rättigheter.

1.35 Lagen om olycksfall i arbetet och om yrkessjukdomar

2 §. Definitioner. I 2 § definieras de termer som används i lagen om olycksfall i arbetet och om yrkessjukdomar. Det föreslås att en definition av dataskyddsförordningen tillfogas i 1 mom. 8 punkten. De nuvarande 8—10 punkterna blir 9—11 punkter.

115 §. Meddelande till den skadade att ett ersättningsärende har väckts. I 1 mom. föreskrivs om försäkringsanstaltens skyldighet att underrätta den skadade om att ett ersättningsärende som gäller honom eller henne har väckts och vilken information som ska ingå i anmälan. I 2 mom. anges att det i anmälan enligt vad som föreskrivs i 24 § 1 mom. i personuppgiftslagen ska tas in information om behandling av den skadades personuppgifter i samband med ett ersättningsärende enligt lagen om olycksfall i arbetet och om yrkessjukdomar. Det föreslås att 2 mom. upphävs som onödigt, eftersom det föreskrivs om saken i artiklarna 13 och 14 i dataskyddsförordningen.

250 §. Den skadades eller förmånstagarens rätt att få uppgifter om sitt ersättningsärende. I paragrafen föreskrivs om försäkringsanstaltens skyldighet att på begäran till den skadade eller hans eller hennes förmånstagare lämna ut uppgifter om hans eller hennes ersättningsärende. I paragrafen konstateras att bestämmelser om rätten att i ett personregister kontrollera uppgifter om sig själv finns i personuppgiftslagen. Det föreslås att den nuvarande bestämmelsen upphävs som onödig eftersom det föreskrivs om saken i artikel 15 i dataskyddsförordningen.

I stället för den upphävda bestämmelsen föreslås en ny bestämmelse om begränsning av den registrerades rätt. Bestämmelsen utgör ett undantag från den registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Den registrerade har enligt förslaget inte rätt att kräva att den personuppgiftsansvarige ska begränsa behandlingen av personuppgifterna, om den registrerades krav är uppenbart ogrundat. En begränsning av den registrerades rätt ska tillämpas när det är fråga om skötseln av en uppgift enligt lagen om olycksfall i arbetet och om yrkessjukdomar. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Avsikten med begränsningen är att förhindra att en registrerad utan grund försöker avbryta verkställigheten av en lagstadgad olycksfallsförsäkring genom att åberopa rätten att begränsa behandlingen.

Den registrerade har tillgång till ordinära och extraordinära rättsmedel för att få ett beslut som eventuellt meddelats utifrån felaktiga uppgifter rättat.

252 §. Rätten för en försäkringsanstalt och en besvärsinstans att få uppgifter. Det föreslås att 2 mom. ändras med samma motivering som 195 § 2 mom. i lagen om pension för arbetstagare.

255 §. Försäkringsanstaltens rätt att lämna ut uppgifter. Enligt 1 mom. 3 punkten i den gällande paragrafen har en försäkringsanstalt rätt att, trots sekretessbestämmelserna, lämna ut uppgifter för att förebygga brottslighet endast till en försäkringsanstalt som verkställer försäkring i enlighet med trafikförsäkringslagen eller patientskadelagen och under förutsättning att datasekretessnämnden har beviljat tillstånd enligt 43 § i personuppgiftslagen att behandla uppgifterna. I fråga om frivilliga försäkringar enligt lagen om olycksfall i arbetet och om yrkessjukdomar som företagare tecknat kan man även med frivilliga personförsäkringar ansöka om liknande försäkringsskydd, varför det inte är motiverat att begränsa rätten att lämna ut uppgifter till endast andra lagstadgade skadeförsäkringar. Försäkringsbolags rätt att, för att förebygga brottslighet, behandla och lämna ut uppgifter enligt lagen om olycksfall i arbetet och om yrkessjukdomar till andra försäkringsbolag ska i fortsättningen basera sig på 30 kap. 3 a § i försäkringsbolagslagen. Av denna orsak föreslås att 1 mom. 3 punkten upphävs. Utlämnandet av skadeuppgifter (till skaderegistret) ska i fortsättningen basera sig på artikel 6.1 f i dataskyddsförordningen. De nuvarande 4—7 punkterna blir 3—6 punkter.

Det föreslås att till 1 mom. fogas en ny 7 punkt, som gör det möjligt att till en verksamhetsenhet för hälso- och sjukvården och till en självständig yrkesutövare samt till en producent av rehabiliteringstjänster och någon annan som deltar i genomförandet av en rehabiliteringsåtgärd vilka avses i 252 § 1 mom. 3 punkten lämna ut de uppgifter om den skadade som är nödvändiga för att behandla rehabiliteringsärendet och för rehabiliteringen. Bestämmelsen gör det möjligt att lämna uppgifter till exempelvis företagshälsovården för att genomföra rehabiliteringsåtgärder på arbetsplatsen. Bestämmelsen gör det också möjligt för försäkringsanstalten att lämna nödvändiga uppgifter om den skadade även till en producent av rehabiliteringstjänster som agerar på uppdrag av försäkringsanstalten. Bestämmelsens innehåll motsvarar den nya 195 a § 2 och 3 punkten som föreslås i lagen om pension för arbetstagare. Behandlingen av uppgifter baserar sig på artiklarna 6.1 c och 9.2 b i dataskyddsförordningen.

I 4 mom. föreskrivs om försäkringsbolags rätt att till företag som hör till samma koncern, försäkringsgrupp, ekonomiska sammanslutning eller finans- eller försäkringskonglomerat lämna ut de uppgifter om försäkringstagaren som behövs för kundtjänst, kundrelationer och annan kundhantering. Momentets ordalydelse preciseras så att det framgår att det är fråga om ett undantag från sekretessbestämmelsen. Bestämmelsen gäller också personuppgifter, vid vilkas behandling dataskyddsförordningen alltid är primär i förhållande till den nationella lagstiftningen. Försäkringsbolaget ska alltid försäkra sig om att behandlingen och utlämnandet av personuppgifter stämmer överens med dataskyddsförordningen.

257 §. Försäkringsanstaltens skyldighet att lämna ut uppgifter till Olycksfallsförsäkringscentralen. I 4 mom. stryks den sista meningen som onödig. Det är fråga om en så kallad informativ hänvisning till personuppgiftslagen, dvs. bestämmelsen saknar substansinnehåll. I fortsättningen ersätts personuppgiftslagen av dataskyddsförordningen och dataskyddslagen, som utan hänvisning blir tillämpliga i enlighet med bestämmelserna om deras tillämpningsområde.

275 a §. Automatiserade beslut. Paragrafen är ny och motsvarar till innehållet den nya 105 b § som föreslås i lagen om pension för arbetstagare. Paragrafen gör det möjligt för en försäkringsanstalt att meddela ett automatiserat beslut som avses i dataskyddsförordningen, om det med beaktande av det behandlade försäkrings- eller ersättningsärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt. I princip ska det inte vara möjligt att meddela ett automatiserat beslut i ett ärende som kräver prövning i det enskilda fallet eller exempelvis i ett ärende där den skadade ska höras innan ett ersättningsbeslut fattas. Den utredningsskyldighet som anges i 119 § i denna lag kan också i praktiken utgöra ett hinder för automatiserade beslut. Likaså begränsar kravet enligt 121 § att en medicinskt sakkunnig ska delta i handläggningen av ett ersättningsärende i praktiken användningen av automatiserade beslut. Automatiserade beslut som avses i dataskyddsförordningen ska däremot kunna meddelas exempelvis i ärenden som hänför sig till avslutande av frivilliga försäkringar, när försäkringen avslutas på grund av att försäkringspremien inte har betalats eller på grund av att ingen FöPL-försäkring är i kraft. Automatiserade beslut föreslås också kunna meddelas exempelvis när kostnader enligt denna lag betalas med stöd av en betalningsförbindelse. Då har ärendet närmast karaktären av verkställighet.

Bestämmelser om grunderna för beviljande av ersättningar enligt lagen om olycksfall i arbetet och om yrkessjukdomar finns i lagen. Den registrerades rättigheter tryggas med hjälp av lagens bestämmelser om förfarandet och ändringssökande. Finansinspektionen övervakar att de försäkringsbolag som sköter verkställighetsuppdrag enligt lagen om olycksfall i arbetet och om yrkessjukdomar har behöriga förfaranden. Också riksdagens justitieombudsman och justitiekanslern i statsrådet övervakar att verkställigheten är lagenlig. De sistnämndas tillsyn omfattar också Statskontoret.

Om den som fått ett ersättningsbeslut är missnöjd med beslutet, får han eller hon söka ändring i beslutet i enlighet med de bestämmelser om sökande av ändring som finns i lagen om olycksfall i arbetet och om yrkessjukdomar. En part har rätt att få ett automatiserat besluts lagenlighet prövad av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser. Inom systemet för olycksfall i arbetet och arbetssjukdomar används ett självrättelsesystem, där besvären först går till den försäkringsanstalt som fattat beslutet. Försäkringsanstalten prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling.

275 b §. Maskinell underskrift av beslut. Paragrafen är ny. Enligt den får beslut som en försäkringsanstalt meddelar med stöd av denna lag undertecknas maskinellt. Förvaltningslagen saknar bestämmelser om underskrift av beslut, men det har ansetts höra till god förvaltning att beslut undertecknas. Det har förutsatts särskilda bestämmelser om en eventuell möjlighet att låta bli att underteckna beslut och om maskinell underskrift av beslut. I arbetspensionsärenden kan pensionsanstaltens och Pensionsskyddscentralens beslut undertecknas maskinellt. Bestämmelser om detta finns i förordningarna om verkställighet av arbetspensionslagarna, såsom statsrådets förordning om verkställighet av lagen om pension för arbetstagare (874/2006). Det vore ändamålsenligt att utvidga samma möjlighet till att gälla också ärenden som avses i lagen om olycksfall i arbetet och om yrkessjukdomar, där det också handlar om massproduktion av beslut. En maskinell underskrift betyder i regel att en person i stället för att fysiskt underteckna dokumentet skriver sitt namn med ett ordbehandlingsprogram (FvUB 14/2002 rd).

286 §. Övergångsbestämmelser. Till 2 mom. fogas en ny 5 punkt, genom vilken även bestämmelserna om utlämnande, erhållande och hemlighållande av uppgifter i 35 kap. samt bestämmelsen om skyldigheten att bevara handlingar i 275 § ska tillämpas på olycksfall i arbetet som inträffat och yrkessjukdomar som debuterat före den 1 januari 2016, då den nuvarande lagen om olycksfall i arbetet och om yrkessjukdomar trädde i kraft. De föreslagna bestämmelserna kan i fråga om ikraftträdandet jämställas med procedurbestämmelserna i 3 punkten och det är ändamålsenligt att bestämmelserna även gäller behandlingen av gamla skador.

1.36 Lagen om utkomstskydd för arbetslösa

11 kap. Bestämmelser om verkställighet

3 a §. Automatiserade beslut. Det är fråga om en ny paragraf. Bestämmelsens innehåll motsvarar den nya 63 a § som föreslås i folkpensionslagen, men bestämmelsen gäller också arbetslöshetskassor.

Paragrafen gör det möjligt för Folkpensionsanstalten och arbetslöshetskassorna att meddela automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen vid verkställigheten av det lagstadgade utkomstskyddet för arbetslösa. I artikel 22 i dataskyddsförordningen avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.

Det ska vara tillåtet att meddela automatiserade beslut om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

Den nationella lagstiftningen innehåller behöriga åtgärder för att trygga de registrerades rättigheter och friheter samt berättigade intressen. Verkställigheten av utkomstskyddet för arbetslösa är uppdelat mellan Folkpensionsanstalten och de arbetslöshetskassor som avses i lagen om arbetslöshetskassor. Folkpensionsanstalten sköter verkställighetsuppgifterna enligt lagen om utkomstskydd för arbetslösa i fråga om arbetsmarknadsstödet och grunddagpenningen medan arbetslöshetskassorna sköter den inkomstrelaterade dagpenningen. Folkpensionsanstalten är en självständig offentligrättslig inrättning, vars verksamhet övervakas av fullmäktige som väljs av riksdagen.

Arbetslöshetskassorna är på grundval av ömsesidig ansvarighet verksamma sammanslutningar, som utövar offentlig makt och sköter ett offentligt uppdrag när de sköter sina lagstadgade uppgifter. För arbetslöshetskassornas del baserar sig utövandet av offentlig makt och skötseln av ett offentligt uppdrag på lagen om arbetslöshetskassor. Arbetslöshetskassorna övervakas av Finansinspektionen. De förmåner som Folkpensionsanstalten och arbetslöshetskassorna verkställer är lagstadgade sociala trygghetsförmåner, och det föreskrivs om grunderna för beviljande av dem i lag. På Folkpensionsanstaltens och arbetslöshetskassornas verksamhet tillämpas förvaltningslagen och offentlighetslagen.

Den registrerades rättigheter tryggas med hjälp av lagens bestämmelser om förfarandet och ändringssökande. Om den som fått ett beslut om en arbetslöshetsförmån är missnöjd med Folkpensionsanstaltens eller arbetslöshetskassans beslut, får han eller hon söka ändring i beslutet i enlighet med de bestämmelser om sökande av ändring som finns i lagen om utkomstskydd för arbetslösa. En part har rätt att få ett automatiserat besluts lagenlighet prövad av en besvärsinstans genom att söka ändring i enlighet med dessa bestämmelser. Inom utkomstskyddet för arbetslösa används ett självrättelsesystem, där besvären först går till Folkpensionsanstalten eller arbetslöshetskassan som fattat beslutet. Folkpensionsanstalten eller arbetslöshetskassan prövar sitt beslut och rättar beslutet, om den till alla delar godkänner de yrkanden som framställts i besvären. I andra fall överförs besvären till en besvärsinstans för behandling.

13 kap. Bestämmelser om erhållande och utlämnande av uppgifter

1 §. Rätt att erhålla uppgifter. Det föreslås att det inledande stycket i 2 mom. preciseras i fråga om ändamålet så att det framgår att Folkpensionsanstalten och arbetslöshetskassorna har rätt att få de uppgifter som avses i paragrafen avgiftsfritt för skötseln av sina uppgifter enligt denna lag eller andra lagar.

Det föreslås att 3 mom. preciseras i fråga om ändamålet så att det framgår att Folkpensionsanstalten och arbetslöshetskassan har rätt att få de uppgifter som avses i paragrafen avgiftsfritt för skötseln av sina uppgifter enligt denna lag eller andra lagar.

2 §. Uppgifter av penninginstitut. Det föreslås att paragrafen ändras med samma motivering som 86 § 1 mom. 7 punkten i folkpensionslagen.

7 §. Anmälningsskyldighet. Paragrafens bestämmelse om Folkpensionsanstaltens och arbetslöshetskassornas anmälningsskyldighet är onödig med samma motivering som 38 § i lagen om underhållsstöd, och det föreslås att paragrafen upphävs. Enligt den gällande paragrafen ska Folkpensionsanstalten och arbetslöshetskassorna på förhand på lämpligt sätt informera den som ansöker om en förmån om var uppgifter om honom eller henne kan inhämtas och vart de som regel kan lämnas ut. Dataskyddsförordningen innehåller mer detaljerade bestämmelser om den personuppgiftsansvariges informationsskyldighet, så bestämmelsen bör upphävas som onödig.

Bestämmelser om den personuppgiftsansvariges informationsskyldighet finns i artiklarna 13—15 i dataskyddsförordningen. I artikel 13 föreskrivs om den information som ska lämnas den registrerade när personuppgifter samlas in direkt från den registrerade och i artikel 14 föreskrivs om situationer där personuppgifter samlas in från någon annan än den registrerade. Med stöd av artiklarna ska den personuppgiftsansvarige informera den registrerade om bland annat mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt varifrån personuppgifterna har erhållits. Dessutom har den registrerade med stöd av artikel 15 rätt till tillgång till sina personuppgifter och till bland annat information om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt all tillgänglig information om varifrån dessa uppgifter kommer. Dataskyddsförordningens bestämmelser är direkt tillämpliga, så det behöver inte föreskrivas separat om Folkpensionsanstaltens anmälningsskyldighet i lagen om utkomstskydd för arbetslösa.

9 §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 96 § som föreslås i folkpensionslagen. Där föreskrivs ett undantag från den registrerades rätt enligt artikel 18 i dataskyddsförordningen att begränsa behandlingen av sina personuppgifter. Den registrerade har inte rätt att kräva att Folkpensionsanstalten eller arbetslöshetskassan ska begränsa behandlingen av personuppgifter, om den registrerades krav är uppenbart ogrundat. Begränsningen av den registrerades rätt föreslås bli tillämpad när Folkpensionsanstalten och arbetslöshetskassan sköter en uppgift enligt lagen om utkomstskydd för arbetslösa. Begränsningen av den registrerades rätt berör artikel 18.1 a, enligt vilken behandlingen begränsas, om den registrerade har bestridit personuppgifternas korrekthet. Avsikten med begränsningen är att förhindra att en registrerad utan grund försöker avbryta verkställigheten av utkomstskyddet för arbetslösa genom att åberopa rätten att begränsa behandlingen.

Folkpensionsanstalten och arbetslöshetskassorna ska iaktta förvaltningslagen i sin beslutsverksamhet. Med stöd av förvaltningslagen ska de se till att ett ärende utreds tillräckligt och på behörigt sätt genom att skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. I ärenden enligt lagen om utkomstskydd för arbetslösa har den registrerade tillgång till rättsmedlen enligt 12 kap. i lagen om utkomstskydd för arbetslösa, som gör det möjligt att ett beslut som eventuellt meddelats utifrån felaktiga uppgifter blir rättat. Bestämmelserna om ändringssökande utgör en garanti för den registrerades rättsskydd när den registrerade med stöd av lag förvägras möjlighet att begränsa behandlingen av uppgifter. Lagen om utkomstskydd för arbetslösa innehåller också bestämmelser om rättelse av sakfel. Om Folkpensionsanstaltens eller en arbetslöshetskassas beslut grundar sig på en klart oriktig eller bristfällig utredning eller på uppenbart oriktig tillämpning av lag eller om det har skett ett fel i förfarandet då beslutet fattades, kan Folkpensionsanstalten eller arbetslöshetskassan undanröja sitt felaktiga beslut och avgöra ärendet på nytt. Ett beslut får rättas till en parts fördel. Rättelse av ett beslut till en parts nackdel förutsätter att parten samtycker till att beslutet rättas. Den föreslagna begränsningen av den registrerades rättigheter kan betraktas som en nödvändig och proportionell åtgärd, och begränsningen hotar inte den registrerades grundläggande rättigheter.

10 §. Register över förmånstagare. Det föreslås att 3 mom. upphävs som onödigt. Momentet innehåller för närvarande en så kallad informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet och personuppgiftslagen, dvs. bestämmelsen saknar substansinnehåll. I fortsättningen ersätts personuppgiftslagen av dataskyddsförordningen och dataskyddslagen, som utan hänvisning blir tillämpliga i enlighet med bestämmelserna om deras tillämpningsområde. Även lagen om offentlighet i myndigheternas verksamhet blir i fortsättningen utan hänvisning tillämplig som allmän lag i enlighet med bestämmelser om dess tillämpningsområde.

1.37 Lagen om försäkringskassor

165 c §. Den föreslagna paragrafen innehåller bestämmelser om en försäkringskassas rätt att lämna ut uppgifter trots tystnadsplikten enligt 165 §. I sak motsvarar paragrafen 132 c § i lagen om pensionsstiftelser.

166 §. I paragrafen föreslås det en bestämmelse om rätten för sjukkassor och sådana försäkringskassor som bedriver tilläggspensionsverksamhet att fatta automatiserade beslut enligt dataskyddsförordningen. I sak motsvarar paragrafen 133 § i lagen om pensionsstiftelser. Försäkringskassorna övervakas av Finansinspektionen. Tillsynen omfattar tillsyn över de förfaranden som iakttas i kundrelationer. I ersättningsärenden är de allmänna domstolarna besvärsinstanser. Dessutom ger försäkringsnämnden rekommendationer om hur meningsskiljaktigheter som gäller tilläggspensioner ska avgöras.

1.38 Lagen om försäkringsföreningar

16 kap. Särskilda stadganden

10 §. Det föreslås att 4 mom. 6 punkten upphävs, eftersom försäkringsföreningarna inte har något på datasekretessnämndens tillstånd baserat system för utlämnande av uppgifter om brott som riktats mot försäkringsföreningar. De nuvarande 7—9 punkterna blir 6—8 punkter. I 4 mom. görs i övrigt motsvarande ändringar som i 30 kap. 3 § 1 mom. i försäkringsbolagslagen.

I 5 och 7 mom. görs motsvarande tekniska ändringar som i 30 kap. 3 § 1 och 3 mom. i försäkringsbolagslagen. Det föreslås att 6 mom. upphävs som onödigt.

13 §. Det föreslås att lagen om försäkringsföreningar utökas med en paragraf som tillåter automatiserade beslut med samma motivering som försäkringsbolagslagen. Försäkringsföreningarna ska iaktta lagen om försäkringsavtal och god försäkringssed oberoende av om besluten fattas med hjälp av artificiell intelligens eller om en människa deltar i handläggningen. Försäkringsföreningarna övervakas av Finansinspektionen. Tillsynen omfattar tillsyn över de förfaranden som iakttas i kundrelationer. I ersättningsärenden är de allmänna domstolarna besvärsinstanser. Dessutom ger försäkringsnämnden och konsumenttvistenämnden rekommendationer om hur meningsskiljaktigheter som gäller frivilliga försäkringar ska avgöras.

Alla försäkringsföreningar som för närvarande är verksamma i Finland bedriver fiskeriförsäkring, som dessutom omfattas av lagen om försäkringsstöd för kommersiellt fiske (998/2012). Närings-, trafik- och miljöcentralen styr och utövar tillsyn över fiskeriförsäkringsinrättningarna när dessa sköter uppgifter enligt den nämnda lagen. Omprövning av ett beslut av en fiskeriförsäkringsinrättning får begäras hos Närings-, trafik- och miljöcentralen i Egentliga Finland på det sätt som anges i förvaltningslagen.

1.39 Försäkringsbolagslagen

6 kap. Försäkringsbolagets ledning, företagsstyrningssystem och placering av tillgångar

17 a §. Rapportering av överträdelser. I paragrafen stryks hänvisningarna till personuppgiftslagen som onödiga. Hänvisningen i 3 mom. ändras så att en registrerad inte har rätt enligt dataskyddsförordningen att få tillgång till den information som avses i 1 och 2 mom. Det är behövligt att begränsa den registrerades rätt på grund av ett viktigt allmänt intresse som hänför sig till utredandet av brott.

30 kap. Sekretess och rätt att lämna ut uppgifter

3 §. Undantag från sekretessen. I paragrafen föreskrivs om undantag från sekretessen enligt 1 §, enligt vilken försäkringsbolagets kunds ekonomiska ställning eller hälsotillstånd eller något som berör andra personliga förhållanden eller en affärs- eller yrkeshemlighet är sekretessbelagda uppgifter. När dessa uppgifter gäller en fysisk person är de samtidigt också personuppgifter och berörs av dataskyddsförordningen samt den nationella dataskyddslagen, som kompletterar förordningen. Vid behandling av personuppgifter är dataskyddsförordningen alltid primär i förhållande till den nationella lagstiftningen. I paragrafen föreskrivs endast om undantag från den nationella sekretessbestämmelsen. Försäkringsbolaget ska alltid försäkra sig om att behandlingen och utlämnandet av personuppgifter stämmer överens med dataskyddsförordningen. Genom ändringen av det inledande styckets ordalydelse betonas skyldigheten för den som lämnar ut uppgifter att försäkra sig om att förutsättningarna enligt dataskyddsförordningen finns för utlämnandet av uppgifter innan uppgifter börjar lämnas ut.

Paragrafens 1 mom. motsvarar den gällande lagstiftningen, men det görs vissa tekniska ändringar och preciseringar i det. Momentets 4 punkt preciseras så att uppgifter kan lämnas ut till en nämnd i försäkringsbranschen eller till ett organ som har meddelats Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG. Nämnder i försäkringsbranschen är bl.a. trafikskadenämnden och patientskadenämnden. Finland har meddelat kommissionen att konsumenttvistenämnden samt Försäkringsnämnden, Banknämnden och Värdepappersnämnden är de organ som avgör konsumenttvister. Uppgifter får enligt den föreslagna punkten lämnas för skötsel av ärenden som förelagts nämnden eller organet i fråga. I 6 punkten stryks hänvisningen till personuppgiftslagen och tillfogas en hänvisning till den nya 3 a §, som ersätter datasekretessnämndens tillstånd. I 7 punkten stryks omnämnandet av social- och hälsovårdsministeriets tillstånd. Enligt artikel 5.1 b i dataskyddsförordningen ska utlämnande av uppgifter för vetenskapliga eller historiska forskningsändamål inte anses vara oförenligt med de ursprungliga ändamålen. För att uppgifter ska få lämnas ut måste det säkerställas att mottagaren har en lagstadgad grund för att behandla uppgifterna. Den gällande lagens tillståndsförfarande för utlämnande av personuppgifter kan till dessa delar strida mot dataskyddsförordningen. Ett tillståndsförfarande kan inte heller betraktas som ändamålsenligt när det är fråga om andra sekretessbelagda uppgifter än personuppgifter.

Paragrafens 2 mom. motsvarar den gällande lagen.

Enligt 3 mom. kan ett försäkringsbolag i situationer som avses i 1 mom. endast lämna ut uppgifter som är nödvändiga för skötseln av ärendena i fråga. Ändringen baserar sig på grundlagsutskottets avgörandepraxis. Grundlagsutskottet har ansett att om det datainnehåll som ska lämnas ut inte har uppräknats på ett uttömmande sätt, bör regleringen innehålla ett krav på att uppgifterna ska vara nödvändiga för något ändamål.

3 a §. Försäkringsbolags rätt att behandla uppgifter om brottsmisstankar och brott. Det föreslås att till lagen fogas en ny paragraf om försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar som gäller det. Paragrafen gäller förutom frivillig försäkringsverksamhet även försäkringsverksamhet enligt trafikförsäkringslagen och lagen om olycksfall i arbetet och om yrkessjukdomar. Bestämmelser om försäkringsbolags rätt att behandla uppgifter om brott för att avgöra ersättningsärenden finns i 6 § i dataskyddslagen.

Paragrafen behövs för enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser endast utföras under kontroll av myndighet eller då behandling är tillåten enligt medlemsstaternas nationella rätt. Ett viktigt allmänt intresse förutsätter att sådan behandling av personuppgifter är möjlig för att förebygga och utreda brott som riktas mot försäkringsbolag. Den behandling av uppgifter som paragrafen gäller grundar sig på artikel 6.1 f i dataskyddsförordningen, och behövs således för att utföra en uppgift som gäller ett allmänt intresse.

Paragrafens 1 mom. ger försäkringsbolag rätt att behandla uppgifter om misstänkta eller utförda brott mot dem.

I 2 mom. föreslås det bestämmelser om de uppgifter som får antecknas i registret. Ett försäkringsbolag får i registret anteckna uppgift om skadefallet och om det försäkringsbolag mot vilket brottet eller det misstänkta brottet har riktats. Dessutom får det antecknas en uppgift om tidpunkten för registreringen. Uppgiften behövs eftersom bevaringstiden räknas från tidpunkten för registreringen. Vidare får det i registret antecknas den registrerades namn, personbeteckning, adress och yrke samt uppgift om den domstol som behandlar ärendet. Uppgift om den anställda vid försäkringsbolaget som har anmält de uppgifter som registreras får också antecknas. De uppgifter som får antecknas i registret motsvarar de tillståndsvillkor som datasekretessnämnden har fastställt.

För att garantera den registrerades rättsskydd förutsätts i 3 mom. att ett misstänkt eller utfört brott som ska registreras har överlämnats till behörig myndighet för prövning. Enligt den föreslagna bestämmelsen ska informationen registreras inom ett år från det att straffprocessen har inletts eller försäkringsbolaget har fått information om att den inletts. Tidsfristen behövs för att dröjsmål med registreringen inte ska kunna flytta fram förvaringstiden oskäligt.

Enligt 4 mom. ska uppgifterna avföras ur registret omedelbart efter det att den registrerade har konstateras vara oskyldig eller processen annars har lagts ned. Uppgifterna ska avföras omedelbart, eftersom registeranteckningen kan ha negativa konsekvenser för den registrerade.

Enligt 5 mom. ska uppgifterna avföras inom fem år efter det att registeranteckningen gjordes. Bevaringstiden räknas från den första registeranteckningen om gärningen i fråga. Att uppgifter avförs och registreras på nytt, exempelvis om en dom ändras, påverkar således inte bevaringstiden. Det är inte motiverat att bevara uppgifterna längre än så med tanke på ändamålet med dem.

I 6 mom. föreskrivs om skyldighet för försäkringsbolaget att underrätta den registrerade, om avslag på en ansökan om försäkring eller något annat för den registrerade negativt beslut beror på uppgifter i registret.

31 kap. Övriga bestämmelser om försäkringsbolags verksamhet

11 §. Automatiserade beslut. Till försäkringsbolagslagen fogas en ny paragraf som tillåter automatiserat beslutsfattande enligt artikel 22.1 i dataskyddsförordningen. I artikeln avses med automatiserat beslutsfattande ett beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne. Paragrafen behövs för att försäkringsbolagen ska kunna fortsätta att fatta automatiserade beslut i större utsträckning än vad dataskyddsförordningen tillåter. Med beslut avses i paragrafen allt sådant beslutsfattande i försäkringsbolaget som har betydande rättsverkningar för den registrerade, till exempel ersättningsbeslut, beslut om beviljande av försäkring och prissättning av försäkringen.

Enligt 1 mom. har försäkringsbolaget rätt att fatta automatiserade beslut enligt dataskyddsförordningen. Lagstiftningen om försäkringsbranschen är i princip instrumentneutral. Försäkringsbolagen ska iaktta till exempel lagen om försäkringsavtal och god försäkringssed oberoende av om besluten fattas med hjälp av artificiell intelligens eller om en människa deltar i handläggningen. I fråga om lagstadgade försäkringar ska beslutsverksamheten dessutom uppfylla förvaltningslagens krav.

Enligt 2 mom. har den registrerade rätt att kräva att ett automatiserat beslut behandlas på nytt av en fysisk person. När tekniken utvecklas i framtiden blir det sannolikt möjligt att meddela automatiserade beslut i allt mer komplexa ärenden. Med skyddsåtgärden enligt momentet vill man försäkra sig om att den registrerade får sitt ärende behandlat av en fysisk person också utan något egentligt överklagande till tingsrätten, med den risk för kostnader det innebär. I praktiken behandlar försäkringsbolagen sina beslut på nytt även utan en uttrycklig bestämmelse i lag. De har exempelvis kundombud som behandlar kundernas begäran om omprövning.

1.40 Lagen om alterneringsledighet

21 §. Tillämpning av lagen om utkomstskydd för arbetslösa och lagen om arbetslöshetskassor. I 1 mom. föreslås det ett tillägg enligt vilket lagen om utkomstskydd för arbetslösa ska tillämpas på automatiserade beslut som avses i lagen om alterneringsledighet. Det ska vara möjligt att meddela automatiserade beslut i ärenden som gäller alterneringsersättning på samma sätt som enligt lagen om utkomstskydd för arbetslösa. Dessutom föreslås det att man i momentet stryker hänvisningen till att lagen om utkomstskydd för arbetslösa ska tillämpas i fråga om besvärsnämnden för utkomstskyddsärenden. Hänvisningen är onödig eftersom 12 a kap. i lagen om utkomstskydd för arbetslösa har upphävts genom lagen om upphävande av 12 a kap. i lagen om utkomstskydd för arbetslösa (795/2017), som trädde i kraft vid ingången av 2018, och lagen inte längre innehåller bestämmelser om besvärsnämnden för utkomstskyddsärenden.

1.41 Lagen om pension för företagare

2 §. Centrala definitioner. I 1 mom. föreslås samma ändringar som i 2 § 1 mom. i lagen om pension för arbetstagare.

95 b §. Automatiserade beslut. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 105 b § i lagen om pension för arbetstagare som föreslås i propositionen. Rättsmedlen enligt lagen om pension för företagare motsvarar rättsmedlen enligt lagen om pension för arbetstagare.

146 §. Tillämpliga bestämmelser. I 4 mom. anges de bestämmelser i lagen om pension för arbetstagare som tillämpas vid verkställigheten av lagen om pension för företagare. Till momentet fogas en ny 1 punkt, där det hänvisas till den nya 195 a § som föreslås i lagen om pension för arbetstagare. De nuvarande 1—9 punkterna blir 2—10 punkter.

148 §. Företagarnas och de pensionssökandes rätt att få uppgifter. Det föreslås att paragrafen upphävs med samma motivering som 193 § i lagen om pension för företagare.

152 a §. Begränsning av den registrerades rätt. Det är fråga om en ny paragraf vars innehåll motsvarar den nya 210 a § som föreslås i lagen om pension för arbetstagare. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla arbetspensionslagar på motsvarande grunder som de som anges i fråga om lagen om pension för arbetstagare.

1.42 Lagen om moderskapsunderstöd

14 b §. Begränsning av den registrerades rätt. Det föreslås att paragrafen ändras på samma sätt som 38 § i lagen om underhållsstöd. Paragrafens bestämmelse om anmälningsplikt upphävs och i paragrafen tas det in en bestämmelse om begränsning av den registrerades rätt. Begränsningen av den registrerades rätt på det föreslagna sättet behövs i fråga om alla lagstadgade förmåner som Folkpensionsanstalten verkställer, på motsvarande grunder som de som anges i fråga om 96 § i folkpensionslagen.

1.43 Lagen om studiestöd

8 §. Verkställighet. Paragrafen föreslås bli utökad med rätt för Folkpensionsanstalten att vid verkställigheten av studiestöd enligt denna lag fatta automatiserade beslut enligt artikel 22.1 i dataskyddsförordningen. Bestämmelsen motsvarar den bestämmelse om automatiserade beslut som föreslås i den övriga socialtrygghets- och försäkringslagstiftningen.

I artikel 22 i dataskyddsförordningen avses med automatiserade beslut beslut som enbart grundas på automatiserad behandling, vilket har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar honom eller henne.

Det ska vara tillåtet att meddela automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt lagen om studiestöd och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut. Ändringen behövs för att Folkpensionsanstalten ska kunna fatta automatiserade beslut vid behandlingen av ansökningar om studiestöd. Vid automatiserade beslut använder Folkpensionsanstalten de uppgifter som den har rätt att få med stöd av 41 b § i lagen om studiestöd.

De förmåner som Folkpensionsanstalten verkställer är lagstadgade sociala trygghetsförmåner, och grunderna för beviljandet av dem anges i lag. Den som är missnöjd med Folkpensionsanstaltens beslut om studiestöd kan söka ändring i beslutet enligt de bestämmelser om ändringssökande som finns i lagen om studiestöd.

43 b §. Begränsning av den registrerades rätt. Den gällande bestämmelsen om Folkpensionsanstaltens anmälningsplikt föreslås bli upphävd som onödig. Enligt den ska Folkpensionsanstalten på förhand informera den som ansöker om en förmån om varifrån uppgifter om honom eller henne kan skaffas och till vilka instanser de i regel kan lämnas ut. Dataskyddsförordningen innehåller mer detaljerade bestämmelser än de gällande om den personuppgiftsansvariges informationsskyldighet. Därför föreslås den gällande bestämmelsen bli upphävd som onödig.

Bestämmelser om den personuppgiftsansvariges informationsskyldighet finns i artiklarna 13—15 i dataskyddsförordningen. I artikel 13 föreskrivs det om information som ska tillhandahållas den registrerade om personuppgifterna samlas in direkt från den registrerade och i artikel 14 om de situationer där personuppgifterna samlas in från andra än den registrerade. Med stöd av artiklarna ska den personuppgiftsansvarige förse den registrerade med information om bl.a. mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna samt varifrån personuppgifterna kommer. Enligt artikel 15 har den registrerade dessutom rätt till tillgång till sina personuppgifter och rätt att få information om bl.a. de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut samt all tillgänglig information om varifrån dessa uppgifter kommer. Bestämmelserna i dataskyddsförordningen är direkt tillämpliga, så lagen om studiestöd behöver inga särskilda bestämmelser om Folkpensionsanstaltens anmälningsplikt.

Paragrafen föreslås inte bli helt och hållet upphävd, utan i stället får den nya bestämmelser om begränsning av den registrerades rätt. Därmed föreslås också paragrafens rubrik bli ändrad. I fortsättningen föreslås paragrafen innehålla bestämmelser om begränsning av den registrerades rätt. Den ändrade paragrafen motsvarar till innehållet den nya 96 § som föreslås i folkpensionslagen.

1.44 Lagen om offentlig arbetskrafts- och företagsservice

9 kap. Kostnadsersättning

5 §. Tillämpning av lagen om utkomstskydd för arbetslösa och lagen om arbetslöshetskassor. Enligt förslaget ska bestämmelsen om automatiserade beslut i lagen om utkomstskydd för arbetslösa tillämpas också på kostnadsersättning, och därför föreslås det i 1 mom. 2 punkten ett tillägg som innehåller en hänvisning till 11 kap. 3 § i den lagen (automatiserade beslut).

1.45 Kreditinstitutslagen

15 kap. Förfaranden vid kundtransaktioner

18 a §. Behandling av personuppgifter som hänför sig till missbruk. Det föreslås en ny 18 a §. Bestämmelsen behövs för enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i den förordningen endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

De missbruksregister som kreditinstituten för närvarande för, och som kallas register över betalningsstörningar, grundar sig på datasekretessnämndens beslut (se särskilt datasekretessnämnden 2/4.2.2004 diarienummer 8/932/2003 och Helsingfors förvaltningsdomstol 15.12.2004 04/1066/2, 01641/04/5310). Syftet med registren har varit att förhindra missbruk som riktar sig mot kreditinstituten och att öka risken för att åka fast. För den tekniska förvaltningen av registren svarar en utomstående tjänsteleverantör. I juli 2017 var 474 personer registrerade i registret över betalningsstörningar.

Dataskyddsförordningen börjar tillämpas i maj 2018, och efter det är det inte längre möjligt att behandla personuppgifter med stöd av tillstånd från datasekretessnämnden, utan all behandling av personuppgifter omfattas av dataskyddsförordningen. Det här innebär att det krävs kompletterande nationella bestämmelser i fråga om de särskilda skyddsåtgärder som förordningen fordrar och i fråga om kravet på noggrant avgränsade bestämmelser för att behandlingen av personuppgifter ska kunna fortsätta. I sig finns den rättsliga grunden för behandlingen av personuppgifter i artikel 6.1 d i dataskyddsförordningen, men eftersom man i anslutning till missbruksregistren måste kunna behandla i artikel 10 avsedda personuppgifter som rör fällande domar i brottmål samt överträdelser, behövs det separata nationella bestämmelser om detta. Uppgifterna behöver behandlas för att den personuppgiftsansvariges berättigade intresse ska tillgodoses, dvs. för att missbruk som riktas mot den personuppgiftsansvarige ska kunna förebyggas och utredas. Detta behov av att behandla uppgifterna förändras inte i och med att förordningen träder i kraft. I skälen i ingressen till förordningen sägs det likaså att sådan behandling av personuppgifter som är nödvändig för att förhindra bedrägerier också utgör ett berättigat intresse för den berörde personuppgiftsansvarige. De krav som i paragrafen ställs på missbruksregistren motsvarar i huvudsak de förutsättningar som anges i datasekretessnämndens beslut.

I 1 mom. föreslås det en bestämmelse om registrets ändamålsbegränsning. Enligt momentet får kreditinstitut och finansiella institut behandla personuppgifter som hänför sig till brott, misstänkta brott eller överträdelser som riktas mot dem, och föra in dem i ett missbruksregister. På registret, den personuppgiftsansvarige och den registrerade tillämpas dataskyddsförordningen och nationell lagstiftning som hänför sig till skyddet för personuppgifter, såsom den nya dataskyddslagen som behandlas i riksdagen när denna proposition lämnas.

Det föreslagna 2 mom. innehåller en bestämmelse om de uppgifter som får föras in i missbruksregistret i samband med att uppgifterna behandlas. Uppräkningen av tillåtna uppgifter är avsedd att vara uttömmande.

I 3 mom. anges, i enlighet med artikel 10 i dataskyddsförordningen, de garantier för rättssäkerheten som är en förutsättning för behandlingen av uppgifterna. I 4 mom. anges en särskild tid för när uppgifterna ska avföras, och i 5 mom. anges en absolut bakre gräns för detta.

Enligt 6 mom. har kreditinstitut och finansiella institut en uttrycklig skyldighet att underrätta den registrerade om behandlingen av personuppgifter som gäller den registrerade själv och om användningen av en registeranteckning för ett beslut som är negativt för den registrerade. I momentet nämns avslag på en ansökan om kredit som exempel på ett negativt beslut som kreditinstitutets registrerade kund eller den som har för avsikt att bli kund ska underrättas om. Det är ändå inte någon uttömmande förteckning, utan bestämmelsen kan tillämpas också i andra situationer, exempelvis vid vägran att öppna ett konto. Bestämmelser om kundens rätt till grundläggande banktjänster och om grunderna för kreditinstitutets rätt att vägra tillhandahålla en tjänst finns i 15 kap. 6 § i kreditinstitutslagen.

2 Ikraftträdande

Lagarna föreslås träda i kraft den 25 maj 2018, dvs. den dag då dataskyddsförordningen börjar tillämpas.

3 Förhållande till grundlagen samt lagstiftningsordning

De föreslagna lagarna hänför sig till 10 § i grundlagen, där det i 1 mom. sägs att vars och ens privatliv är tryggat. Enligt momentet utfärdas närmare bestämmelser om skydd för personuppgifter genom lag.

Skydd för personuppgifter är en grundläggande rättighet även enligt Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 8 i stadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikel 52 i stadgan bestäms om förutsättningar för att begränsa de grundläggande rättigheterna. Enligt artikel 52.1 ska varje begränsning i utövandet av de grundläggande rättigheterna vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Skyddet för personuppgifter nämns inte i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, men enligt artikel 8 i konventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakommissionen för de mänskliga rättigheterna har ansett att skyddet för personuppgifter kan behandlas direkt som en del av skyddet för privatlivet.

Dataskyddsförordningen är nationellt direkt tillämplig lagstiftning. Förordningen tillåter dock medlemsstaterna ett direktivliknande nationellt spelrum. På de villkor som anges i förordningen är det möjligt att precisera dess bestämmelser genom nationell lagstiftning. I vissa situationer ger förordningen dessutom möjlighet att genom nationell lagstiftning bestämma om undantag från rättigheterna och skyldigheterna i förordningen. Förordningen innehåller bestämmelser om vilka rättigheter och skyldigheter det är möjligt att avvika från, och om villkoren för undantag. Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 1/2018 rd och GrUU 25/2005 rd).

Syftet med denna regeringsproposition är att få den nationella lagstiftningen om social trygghet och försäkringsverksamhet att stämma överens med dataskyddsförordningen. Bestämmelser som strider mot eller överlappar dataskyddsförordningen föreslås bli upphävda eftersom förordningen är direkt tillämplig rätt. I propositionen föreslås dessutom vissa bestämmelser som preciserar dataskyddsförordningen och nödvändiga undantag från dataskyddsförordningens förpliktelser. På de grunder som anges i den allmänna motiveringen och detaljmotiveringen uppfyller dessa preciseringar och undantag dataskyddsförordningens villkor för undantag från bestämmelserna.

Bestämmelserna om automatiserade beslut är nationella bestämmelser enligt artikel 22.2 b i dataskyddsförordningen, varigenom man avviker från huvudregeln i artikel 22.1. Ett viktigt mål med att tillåta automatiserade beslut är att göra verkställigheten effektivare. När det gäller de lagstadgade förmånerna är rätten att få sin sak behandlad utan ogrundat dröjsmål en del av de garantier för en god förvaltning som är tryggade genom 21 § i grundlagen. Det kan anses att det finns godtagbara och vägande skäl för att tillåta automatiserade beslut. I den nationella lagstiftningen fastställs på det sätt som artikeln förutsätter lämpliga åtgärder till skydd för den registrerades rättigheter och friheter. Inom verkställigheten av den lagstadgade sociala tryggheten tillgodoses den registrerades rättigheter bl.a. genom krav på god förvaltning och rätt att söka ändring. När det gäller frivillig försäkringsverksamhet föreslås det i lagen en bestämmelse om att den registrerade har rätt att kräva att ett automatiserat beslut behandlas på nytt av en fysisk person. Meddelandet av automatiserade beslut är begränsat till verkställigheten av lagstadgad social trygghet och till försäkringsverksamheten. Dessa utgör lagstadgad eller tillståndspliktig verksamhet där tillsynen baserar sig på lag.

Det föreslås att rätten att begränsa behandlingen begränsas med stöd av artikel 23 i dataskyddsförordningen. Avsikten är att rätten att begränsa behandlingen inte ska bli tillämplig genom dataskyddsförordningen i situationer där det är fråga om verkställighet av den lagstadgade sociala tryggheten och den registrerades krav är uppenbart ogrundat. Den föreslagna ändringen begränsar inte den registrerades rättigheter jämfört med nuläget. Begränsningen uppfyller villkoren i artikel 23 i dataskyddsförordningen för att begränsa den registrerades rättigheter. Begränsningen gäller bara lagstadgad social trygghet och enbart situationer där den registrerade framför ett uppenbart ogrundat krav. Begränsningen är nödvändig för att genomföra den sociala tryggheten, och den äventyrar inte de registrerades rättsskydd eller tillgodoseendet av de grundläggande rättigheterna och friheterna. Begränsningen av den registrerades rätt fråntar inte den personuppgiftsansvarige skyldigheten att kontrollera den registrerades påstående om personuppgifternas korrekthet. I den nationella lagstiftningen föreskrivs det bland annat om rätt att söka ändring för att garantera de registrerades rättsskydd. Begränsningen kan också anses vara förenlig med proportionalitetsprincipen, eftersom den är en nödvändig åtgärd för att garantera ett syfte som ligger i allmänt intresse.

Propositionen innehåller också bestämmelser om utlämnande av personuppgifter. Grundlagsutskottet har i sin utlåtandepraxis angett de närmare krav som ska beaktas när det föreskrivs om behandling av personuppgifter genom en speciallag. Exempelvis i utlåtandet som gäller transportbalken (GrUU 46/2016 rd) konstateras att grundlagsutskottet har ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska vara heltäckande och detaljerad.

I sin utlåtandepraxis har grundlagsutskottet också ansett det viktigt att den reglering som gäller skydd av personuppgifter är exakt och noggrant avgränsad. I ovannämnda utlåtande som gäller transportbalken konstateras att myndigheternas rätt att få och möjlighet att lämna ut information enligt utskottet kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte.

Med stöd av de bestämmelser om utlämnande av uppgifter som föreslås i propositionen ska försäkringsanstalter ha rätt att lämna ut uppgifter som hänför sig till behandlingen av pensions- och rehabiliteringsärenden till bl.a. yrkesutbildade personer inom hälso- och sjukvården och till hälso-och sjukvårdsorganisationer. Med stöd av bestämmelserna kan också uppgifter om hälsotillståndet lämnas ut. Sådana uppgifter ska emellertid inte lämnas ut till arbetsgivaren utan arbetstagarens samtycke. Utlämnandet av uppgifter är begränsat enbart till situationer där informationen är nödvändig för att avgöra pensions- och rehabiliteringsärenden och för rehabiliteringen. Avsikten med bestämmelserna är att garantera att rehabiliteringsärenden behandlas korrekt utan ogrundat dröjsmål. Genomförandet av rehabiliteringen förutsätter att flera olika aktörer samarbetar, och med tanke på en smidig rehabiliteringsprocess är det viktigt att dessa aktörer som deltar i processen har tillgång till de uppgifter som behövs för skötseln av rehabiliteringsärendet. Det finns en i dataskyddsförordningen avsedd rättslig grund för behandlingen av personuppgifter, och regleringen är exakt och noggrant avgränsad.

Grundlagsutskottet har ansett att tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, som hör till privatlivet, vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt inskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (GrUU 38/2016 rd).

Grundlagsutskottet har betonat de hot som behandlingen av känsliga uppgifter medför. Enligt utskottet innebär exempelvis registrering av biometriska kännetecken, som räknas som känsliga uppgifter, ett särskilt behov av att se till att de personuppgifter som förs in i systemet skyddas mot missbruk och alla former av illegal åtkomst till och användning av uppgifterna (GrUU 13/2017 rd, GrUU 29/2016 rd). Utskottet har särskilt uppmärksammat att det är skäl att med exakta och klart avgränsade bestämmelser begränsa behandlingen av känsliga uppgifter bara till det nödvändigaste (se t.ex. GrUU 13/2017 rd och GrUU 3/2017 rd).

I propositionen föreslås det att försäkringsbolagen ska kunna föra så kallade missbruksregister. Registren ska innehålla uppgifter om de registrerades misstänkta brott, domar i brottmål och överträdelser. Registren har i praktiken blivit viktiga redskap i arbetet för att förhindra kriminalitet som riktas mot försäkringsverksamheten. I lagen föreslås bestämmelser om syftet med registreringen, de uppgifter som ska antecknas i registret, uppgifternas bevaringstider och när uppgifterna ska avföras ur registret. En förutsättning för anteckning i registret är att den misstänkta gärningen har anmälts till förundersökningsmyndigheterna. Utöver det som anges i dataskyddsförordningen föreslås det i lagen, i syfte att garantera den registrerades rättsskydd, bestämmelser om rapporteringsskyldighet för försäkringsbolag och om den registrerades rätt att be dataombudsmannen kontrollera lagligheten i fråga om de uppgifter som finns införda i ett register. Ett försäkringsbolag ska kunna lämna ut uppgifter till ett annat försäkringsbolag om det är nödvändigt för att förebygga och utreda brott som riktas mot försäkringsverksamheten. De föreslagna bestämmelserna kan anses vara godtagbara och proportionella med tanke på de grundläggande fri- och rättigheterna. De föreslagna bestämmelserna är noggrant avgränsade och exakta, och de följer kraven enligt grundlagsutskottets utlåtandepraxis.

När det gäller behandlingen av personuppgifter som hör till de särskilda personuppgifterna är det meningen att i propositionen hålla fast vid den nuvarande situationen. Propositionen innehåller inga nya eller utvidgade rättigheter att behandla personuppgifter som hör till de särskilda personuppgifterna. Vid beredningen gjordes bedömningen att de bestämmelser som gäller behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter uppfyller förutsättningarna enligt artikel 9.2 i dataskyddsförordningen.

Med stöd av vad som anförts ovan kan lagförslagen behandlas i vanlig lagstiftningsordning.

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag:

Lagförslag

1. Lag om ändring av 38 § i lagen om underhållsstöd

I enlighet med riksdagens beslut

ändras i lagen om underhållsstöd (580/2008) 38 § som följer:

38 § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utgör en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

2. Lag om ändring av lagen om pensionsstiftelser

I enlighet med riksdagens beslut

ändras i lagen om pensionsstiftelser (1774/1995) 71 § 2 mom. och 132 c §, av dem 132 c § sådan den lyder i lag 288/2000, samt

fogas till 70 § ett nytt 4 mom. och till lagen en ny 133 §, i stället för den 133 § som upphävts genom lag 898/2008, som följer:

70 §

Trots 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får uppgifter ur registret lämnas ut i elektronisk form. Uppgift om personbeteckningens slutled och en utomlands bosatt fysisk persons hemadress lämnas dock ut ur registret endast om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. I annat fall ska uppgift om en persons bosättningsland lämnas ut i stället för uppgift om en utomlands bosatt fysisk persons hemadress.

71 §

För fysiska personer som ska antecknas i registret anges som personuppgifter fullständigt namn, personbeteckning, hemkommun och medborgarskap. Om en fysisk person inte har någon finsk personbeteckning, antecknas födelsedatum i registret. För fysiska personer som är bosatta utomlands antecknas i registret hemadress i stället för hemkommun.

132 c §

Trots bestämmelserna i 132 § har en pensionsstiftelse rätt att lämna ut uppgifter som omfattas av tystnadsplikten

1) till ett försäkringsbolag för ordnande av återförsäkring,

2) till pensionsstiftelsens tjänsteföretag eller till den som på grundval av ett uppdrag sköter en uppgift som tilldelats av pensionsstiftelsen,

3) till en sådan nämnd eller ett sådant organ inom försäkringsbranschen som har meddelats till Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG, för behandling av ärenden som förelagts nämnden eller organet i fråga,

4) för historisk eller vetenskaplig forskning eller för statistikföring, om det är uppenbart att utlämnandet av uppgifter inte kränker de intressen för vilkas skydd tystnadsplikt har föreskrivits,

5) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till Finansinspektionen; uppgifter om hälsotillstånd får dock lämnas ut endast till åklagar- och förundersökningsmyndigheter för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt.

En pensionsstiftelse kan i de fall som avses i 1 mom. lämna ut endast sådana uppgifter som är nödvändiga för skötseln av ärenden som avses i nämnda moment.

133 §

En pensionsstiftelse har rätt att fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedda automatiserade beslut.

Den registrerade har rätt att kräva att ett i 1 mom. avsett automatiserat beslut behandlas på nytt av en fysisk person.

Denna lag träder i kraft den 20 .

3. Lag om ändring av 22 § i lagen om pensionsstöd

I enlighet med riksdagens beslut

ändras i lagen om pensionsstöd (1531/2016) 22 § som följer:

22 § Bestämmelser om förfarandet i fråga om pensionsstöd och ändringssökande

På pensionsstöd som verkställs av Folkpensionsanstalten tillämpas det som föreskrivs i lagen om garantipension i fråga om meddelande av beslut, dröjsmålsförhöjning och dröjsmålstid, erhållande, utlämnande och hemlighållande av uppgifter, begränsning av den registrerades rätt, användning av uppgifter och teknisk anslutning, återbetalning av förmåner som betalats efter att en person har avlidit, återkrav och preskription av fordran som återkrävs samt rättelse av beslut, förfarandet vid ändringssökande och undanröjande av ett lagakraftvunnet beslut.

Denna lag träder i kraft den 20 .

4. Lag om ändring av pensionslagen för den offentliga sektorn

I enlighet med riksdagens beslut

upphävs i pensionslagen för den offentliga sektorn (81/2016) 155 §,

ändras 3 § 1 mom. och 153 § 3 mom., av dem 3 § 1 mom. sådant det lyder delvis ändrat i lag 1259/2016, samt

fogas till lagen nya 113 a, 153 a och 165 a § som följer:

3 § Centrala definitioner

I denna lag avses med

1) anställning tjänste- och arbetsavtalsförhållanden som omfattas av denna lag samt familje- och närståendevårdares avtalsförhållanden till Kevas medlemssamfund, förtroendeuppdrag samt uppdrags- eller konsultavtalsförhållanden eller andra motsvarande avtalade arrangemang,

2) arbetstagare alla personer som omfattas av lagen,

3) offentlig arbetsgivare Kevas medlemssamfund, staten, evangelisk-lutherska kyrkans församlingar, kyrkliga samfälligheter, domkapitel och kyrkostyrelsen samt Folkpensionsanstalten,

4) arbetspensionslag lagar och pensionsstadgor som nämns i 3 § i lagen om pension för arbetstagare (395/2006) samt andra med dem jämförbara författningar där pension som baserar sig på arbetsavtals- eller tjänsteförhållande eller företagarverksamhet fastställs,

5) arbetspensionslag för den privata sektorn lagen om pension för arbetstagare och de lagar som nämns i 3 § 1 mom. i den lagen,

6) arbetspension pension enligt en arbetspensionslag,

7) arbetspensionsanstalter inom den privata sektorn pensionsanstalter som sköter pensionsskyddet enligt en arbetspensionslag för den privata sektorn,

8) oavlönad tid den tid under vilken en arbetstagare har fått moderskaps-, särskild moderskaps-, faderskaps- eller föräldrapenning eller sjukdagpenning, partiell sjukdagpenning eller specialvårdspenning enligt sjukförsäkringslagen (1224/2004), dagpenning vid smittsam sjukdom enligt lagen om smittsamma sjukdomar (1227/2016), alterneringsersättning enligt lagen om alterneringsledighet (1305/2002), inkomstrelaterad dagpenning enligt lagen om utkomstskydd för arbetslösa (1290/2002), vuxenutbildningsstöd enligt lagen om vuxenutbildningsstöd (1276/2000), rehabiliteringspenning enligt arbetspensionslagarna eller lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner (566/2005), ersättning för inkomstbortfall enligt lagen om rehabilitering som ersätts enligt trafikförsäkringslagen (626/1991), dagpenning eller rehabiliteringspenning enligt lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015), lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar (873/2015) eller lagen om olycksfall i militärtjänst (1211/1990) eller dagpenning enligt trafikförsäkringslagen (460/2016),

9) intjänad pension pension som tjänats in på basis av arbetsinkomster som avses i denna lag, på basis av tid med pension som upphört och på basis av sådan oavlönad tid som avses i 8 punkten samt förmån som tjänats in på basis av lagen om pensionsersättning som skall betalas av statens medel för tiden för vård av barn under tre år eller för tiden för studier (644/2003),

10) primär förmån en förmån som avses i 96 och 97 § och som oberoende av arbetspensionens belopp betalas till fullt belopp och dras av från en förmån enligt denna lag,

11) återstående tid tiden mellan ingången av det år då arbetsoförmågan börjar och utgången av den kalendermånad då arbetstagaren uppnår sin lägsta ålder för ålderspension; om en arbetstagares lägsta ålder för ålderspension inte är föreskriven vid tidpunkten för pensionsfallet, berättigar till pension tiden från ingången av det kalenderår då arbetstagaren har blivit arbetsoförmögen till utgången av den kalendermånad då arbetstagaren uppnår den lägsta åldern för ålderspension som har föreskrivits för den åldersklass som ligger närmast hans eller hennes egen åldersklass,

12) penningbelopp summor som 2004 motsvarar värdet ett (1,000) för den lönekoefficient som avses i 96, 97 och 100 § i lagen om pension för arbetstagare,

13) förmånslåtare en person efter vilken familjepension enligt denna lag betalas,

14) förmånstagare en person som har rätt till familjepension enligt denna lag,

15) EU:s grundförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen och med EU:s tillämpningsförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

16) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

17) EU- och EES-land ett land som tillämpar EU:s grundförordning om social trygghet eller rådets förordning (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen,

18) överenskommelse om social trygghet en internationell överenskommelse om social trygghet som är förpliktande för Finland,

19) teoretisk pension en kalkylerad pension; när denna pension fastställs betraktas sådan tid i arbete i ett EU- och EES-land som omfattas av arbetspensionslagarna som tid i arbete enligt denna lag,

20) den lägsta åldern för ålderspension den ålder för ålderspension som fastställs utifrån arbetstagarens födelseår och som avses i 10 § 2 och 3 mom.

113 a § Automatiserade beslut

Vid verkställigheten av arbetspensionsskydd enligt denna lag kan Keva fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

153 § En offentlig arbetsgivares skyldighet att lämna uppgifter

När en arbetsgivare ombeds att lämna uppgifter som behövs för behandlingen av arbetstagarens pensions- eller rehabiliteringsärende, får till arbetsgivaren lämnas endast de sekretessbelagda uppgifter om arbetstagaren som är nödvändiga för att specificera vilka uppgifter som behövs vid beslutsfattandet i de nämnda ärendena.

153 a § Kevas rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering

Keva har trots sekretessbestämmelserna och andra begränsningar i rätten att få information rätt att

1) för utredande av sökandens hälsotillstånd eller bedömning av sökandens arbetsförmåga lämna uppgifter som hänför sig till behandlingen av ett invalidpensions- eller arbetslivspensionsärende till sökandens företagshälsovård, läkare eller någon annan yrkesutbildad person enligt lagen om yrkesutbildade personer inom hälso- och sjukvården eller till en verksamhetsenhet för hälso- och sjukvården, om uppgifterna är nödvändiga för avgörandet av ett anhängigt förmånsärende,

2) för utredande av sökandens hälsotillstånd eller bedömning av sökandens arbetsförmåga lämna uppgifter som hänför sig till rehabiliteringsbeslut och skötseln av ett rehabiliteringsärende till sökandens företagshälsovård, behandlande läkare eller någon annan yrkesutbildad person inom hälso- och sjukvården eller till en verksamhetsenhet för hälso- och sjukvården, om uppgifterna är nödvändiga för avgörandet av ett anhängigt förmånsärende eller för rehabiliteringen,

3) lämna uppgifter som hänför sig till rehabiliteringsbeslut och skötseln av ett rehabiliteringsärende till aktörer som deltar i utredandet av sökandens rehabiliteringsmöjligheter eller genomförandet av rehabiliteringsåtgärder, om uppgifterna är nödvändiga för rehabiliteringen; uppgifter om sökandens hälsotillstånd eller om ett förhandsbeslut om rehabilitering får inte lämnas till arbetsgivaren utan sökandens samtycke.

10 kap.
Utlämnande, erhållande och hemlighållande av uppgifter

165 a § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i data-skyddsförordningen att kräva att Keva begränsar behandlingen av personuppgifter när Keva utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

5. Lag om ändring av folkpensionslagen

I enlighet med riksdagens beslut

ändras i folkpensionslagen (568/2007) 86 § 1 mom. 7 punkten och 2 mom. samt 90 och 96 §, av dem 90 § sådan den lyder delvis ändrad i lag 986/2007, samt

fogas till lagen en ny 63 a § som följer:

63 a § Automatiserade beslut

Folkpensionsanstalten kan vid verkställigheten av de förmåner som den verkställer fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

86 § Uppgifter för avgörande av en förmån

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att få de uppgifter som är nödvändiga för avgörande av en pension eller förmån enligt denna lag eller sådana nödvändiga uppgifter som annars ska beaktas vid verkställigheten av uppdrag som föreskrivs i denna lag, i överenskommelser om social trygghet som är bindande för Finland eller i andra internationella författningar om social trygghet

7) av penninginstitut när det gäller uppgifter om den som ansöker om eller får efterlevandepension, om tillräckliga uppgifter och utredningar inte kan fås på något annat sätt och om det finns grundad anledning att misstänka att den som sökt eller fått en förmån har lämnat otillräckliga eller otillförlitliga uppgifter; begäran om att få uppgifterna ska framställas skriftligen, och innan begäran framställs ska sökanden eller mottagaren underrättas om detta.

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har dessutom rätt att på begäran, för avgörande av en sjukpension få utlåtanden och övriga nödvändiga uppgifter ur journalhandlingar för den som ansöker om pension samt uppgifter om hans eller hennes re-habilitering, hälsotillstånd, vård och arbetsförmåga

1) av läkare eller andra yrkesutbildade personer enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994),

2) av verksamhetsenheter för hälso- och sjukvård enligt 2 § 4 punkten i lagen om patientens ställning och rättigheter (785/1992), av dem som verkställer rehabilitering samt av andra verksamhetsenheter inom hälso- och sjukvården, samt

3) av socialserviceproducenter eller vårdinrättningar.

90 § Utlämnande av uppgifter i vissa fall

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Folkpensionsanstalten trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att till

1) Pensionsskyddscentralen, pensions- och försäkringsanstalterna och andra som beviljar eller betalar ut pensioner eller ersättningar lämna sådana uppgifter om pensionsbeslut enligt denna lag som är nödvändiga för bedömningen av det totala pensionsskyddet,

2) Pensionsskyddscentralen och pensionsanstalterna samt till myndigheter och inrättningar i länder som har ingått överenskommelse om social trygghet med Finland och i länder som omfattas av förordningen om social trygghet lämna sådana uppgifter som är nödvändiga för verkställigheten av överenskommelserna och förordningen samt av andra sociala förmåner som de sköter,

3) en i 61 § avsedd läkare eller verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning lämna sådana uppgifter om en person som sänds för att genomgå undersökning vilka gäller personens hälsotillstånd, sjukdom, yrke och arbetsförhållanden samt vårdåtgärder och typen av arbete och vilka är nödvändiga för ett anhängigt förmånsärende för att utföra en undersökning för utredande av arbetsoförmågan,

4) Migrationsverket lämna sådana uppgifter som gäller förmåner vilka Folkpensionsanstalten enligt bestämmelserna ska verkställa och som är nödvändiga för utförandet av de uppgifter som anges i medborgarskapslagen (359/2003) och utlänningslagen (301/2004),

5) företagshälsovården, en läkare eller någon annan yrkesutbildad person inom hälso- och sjukvården eller till en verksamhetsenhet inom hälso- och sjukvården lämna uppgifter i handlingar som hänför sig till behandlingen av ett sjukpensionsärende för utredande av hälsotillståndet eller bedömning av arbetsförmågan, om uppgifterna är nödvändiga för avgörandet av ett anhängigt sjukpensionsärende.

96 § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i data-skyddsförordningen att kräva att Folkpensionsanstalten begränsar behandlingen av person-uppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

6. Lag om ändring av lagen om vuxenutbildningsstöd

I enlighet med riksdagens beslut

upphävs i lagen om vuxenutbildningsstöd (1276/2000) 29 § 3 mom.,

ändras 29 § 1 mom. och

fogas till lagen nya 18 a och 18 b § som följer:

18 a § Automatiserade beslut

Utbildningsfonden kan vid verkställigheten av de förmåner som den verkställer fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut, om det med beaktande av det be-handlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

18 b § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i data-skyddsförordningen att kräva att Utbildningsfonden eller Folkpensionsanstalten begränsar behandlingen av personuppgifter när de utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

29 § Tystnadsplikt

Fonden och besvärsinstanserna har trots bestämmelserna om tystnadsplikt rätt att få och lämna ut de uppgifter som avses i 27 och 28 §.

Denna lag träder i kraft den 20 .

7. Lag om ändring av 15 a § i lagen om tillämpning av lagstiftningen om bosättningsbaserad social trygghet

I enlighet med riksdagens beslut

ändras i lagen om tillämpning av lagstiftningen om bosättningsbaserad social trygghet (1573/1993) 15 a §, sådan den lyder i lag 699/2002, som följer:

15 a § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

8. Lag om ändring av lagen om Pensionsskyddscentralen

I enlighet med riksdagens beslut

fogas till lagen om Pensionsskyddscentralen (397/2006) en ny 2 a § som följer:

2 a § Begränsning av den registrerades rätt samt automatiserade beslut

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personupp-gifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att Pensionsskyddscentralen begränsar behandlingen av personuppgifter när Pensionsskyddscentralen utför en uppgift enligt denna lag eller arbetspensionslagarna, om den registrerades krav på begränsning är uppenbart ogrundat.

Pensionsskyddscentralen kan vid verkställigheten av arbetspensionsskydd enligt denna lag eller arbetspensionslagarna fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

Denna lag träder i kraft den 20 .

9. Lag om ändring av 43 och 50 § i lagen om bostadsbidrag för pensionstagare

I enlighet med riksdagens beslut

ändras i lagen om bostadsbidrag för pensionstagare (571/2007) 43 § 2 mom. och 50 §

som följer:

43 § Uppgifter för avgörande av bostadsbidrag

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter dessutom rätt att på begäran avgiftsfritt av penninginstitut få för avgörande av bostadsbidrag nödvändiga uppgifter om den som söker eller får bostadsbidrag samt om dennes make, maka eller sambo, om tillräckliga uppgifter och utredningar inte kan fås på något annat sätt och om det finns grundad anledning att misstänka att den som sökt eller får bostadsbidrag har lämnat otillräckliga eller otillförlitliga uppgifter. Begäran om erhållande av uppgifter ska framställas skriftligen, och innan begäran framställs ska sökanden eller mottagaren underrättas om detta.

50 § Begränsning av den registrerade rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

10. Lag om ändring av lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner

I enlighet med riksdagens beslut

ändras i lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner (566/2005) 59 § 2 och 5 mom., 63 § 1 mom. och 64 § som följer:

59 § Erhållande av uppgifter på begäran

Utöver vad som föreskrivs i 1 mom. har Folkpensionsanstalten och besvärsinstanserna enligt denna lag rätt att på begäran för avgörandet av rehabiliteringsförmåner och rehabiliteringspenningförmåner av läkare eller andra yrkesutbildade personer enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) samt av verksamhetsenheter för hälso- och sjukvård enligt 2 § 4 punkten i lagen om patientens ställning och rättigheter (785/1992), av socialserviceproducenter, av andra vårdinrättningar samt av andra som tillhandahåller rehabilitering få utlåtanden och nödvändiga uppgifter ur sökandenas patientjournaler och om deras hälsotillstånd, sjukdom, handikapp, arbets- och funktionsförmåga samt vård och rehabilitering samt om därtill anslutna förmåner och ersättningar.

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter också rätt att av penninginstitut få sådana uppgifter om en person som ansöker om eller får rehabiliteringspenning samt om ett dödsbo där denne är delägare som är nödvändiga för fastställande av rehabiliteringspenning som ska samordnas enligt 37 §, om tillräckliga uppgifter och utredningar inte kan fås på annat sätt och om det finns motiverad anledning att misstänka att den som har sökt eller fått en förmån har lämnat otillräckliga eller otillförlitliga uppgifter. Begäran om utlämnande av uppgifter ska framställas skriftligen och sökanden eller mottagaren ska underrättas innan den framställs.

63 § Utlämnande av uppgifter

Folkpensionsanstalten har trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att lämna ut uppgifter som är nödvändiga för verkställigheten av förmåner enligt denna lag

1) till den som tagit initiativ till rehabiliteringen, till den som ansvarar för vården och rehabiliteringen av sökanden samt för upprättandet av rehabiliteringsplanen och till sökandens företagshälsovård, för utredande av sökandens hälsotillstånd, bedömning av funktions- eller arbetsförmågan eller planering av rehabiliteringen, om uppgifterna är nödvändiga för avgörandet av ett anhängigt förmånsärende eller för rehabiliteringen,

2) till aktörer som deltagit i utredandet av sökandens rehabiliteringsmöjligheter eller i genomförandet av rehabiliteringsåtgärderna, om uppgifterna är nödvändiga för rehabiliteringen. Uppgifter om sökandens hälsotillstånd får dock inte lämnas ut till arbetsgivaren utan sökandens samtycke.

64 § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

11. Lag om upphävande av 10 § i lagen om Utbildningsfonden

I enlighet med riksdagens beslut föreskrivs:

1 §

Genom denna lag upphävs 10 § i lagen om Utbildningsfonden (1306/2002).

2 §

Denna lag träder i kraft den 20 .

12. Lag om ändring av lagen om stöd för hemvård och privat vård av barn

I enlighet med riksdagens beslut

ändras i lagen om stöd för hemvård och privat vård av barn (1128/1996) 23 a § 2 mom. samt 24 och 24 c §, sådana de lyder, 23 a § 2 mom. och 24 c § i lag 693/2002 samt 24 § i lagarna 693/2002 och 109/2016, som följer:

23 a § Rätt att få uppgifter

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har på begäran och trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter också rätt att av penninginstitut avgiftsfritt få sådana uppgifter i fråga om personer som ansöker om eller får stöd och familjemedlemmar som bestäms utifrån 6 § 1 mom. samt dödsbon där någon av dem är delägare, om tillräckliga uppgifter och utredningar inte kan fås på annat sätt och om det finns motiverad anledning att misstänka att den som sökt eller fått en förmån har lämnat otillräckliga eller otillförlitliga uppgifter. Begäran om att få uppgifterna ska framföras skriftligen och innan begäran framförs ska sökanden eller mottagaren underrättas om detta.

24 § Utlämnande av uppgifter i vissa fall

I samband med utbetalningen av stödet sänder Folkpensionsanstalten för utredande av skyldigheten att betala stöd för vård av barn, trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter, avgiftsfritt kommunerna uppgifter om de barn som den månaden omfattas av stödet samt om de personer, sammanslutningar eller samfund som den månaden har rätt till och får stöd och om beloppen av de stöd som betalas.

När Folkpensionsanstalten behandlar en förmån enligt denna lag har den i enskilda fall rätt att använda sådana uppgifter som den fått för skötseln av andra uppdrag som ålagts den, om det är uppenbart att de påverkar en förmån enligt denna lag och om uppgifterna enligt lag ska beaktas vid beslutsfattandet och om Folkpensionsanstalten även annars har rätt att få uppgifterna särskilt.

Folkpensionsanstalten har, trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter, rätt att till kommunen lämna ut sådana uppgifter som den fått och som är nödvändiga för att bedöma omfattningen av ett barns rätt till småbarnspedagogik.

24 c § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

13. Lag om ändring av lagen om försök med basinkomst

I enlighet med riksdagens beslut

upphävs i lagen om försök med basinkomst (1528/2016) 18 § 4 mom. och

fogas till lagen en ny 13 a § som följer:

13 a § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför sköter en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

14. Lag om ändring av lagen om ersättning till lantbruksföretagare för självrisktiden enligt sjukförsäkringslagen

I enlighet med riksdagens beslut

upphävs i lagen om ersättning till lantbruksföretagare för självrisktiden enligt sjukförsäkringslagen (118/1991) 9 a § 3 mom. 3 punkten, sådan den lyder i lag 882/2015,

ändras 7 § 1 mom., sådant det lyder i lag 882/2015, samt

fogas till lagen en ny 9 b § som följer:

7 §

Lantbruksföretagarnas pensionsanstalt ska avgöra rätten till ersättning enligt denna lag ge-nom att meddela parten ett skriftligt beslut. Vid verkställigheten av denna lag har Lantbruks-företagarnas pensionsanstalt rätt att fatta i artikel 22.1 i Europaparlamentets och rådets för-ordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av per-sonuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut. Ett beslut som Lantbruksföretagarnas pensionsanstalt meddelar med stöd av denna lag får undertecknas maskinellt. Lantbruksföretagarnas pensionsanstalt ska meddela sitt beslut för kännedom per post genom att skicka ett brev till mottagaren till den adress som mottagaren har uppgett.

9 b §

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i data-skyddsförordningen att kräva att Lantbruksföretagarnas pensionsanstalt begränsar behandlingen av personuppgifter när Lantbruksföretagarnas pensionsanstalt utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

15. Lag om upphävande av 20 § i lagen om tillämpning av Europeiska unionens lagstiftning om samordning av de sociala trygghetssystemen

I enlighet med riksdagens beslut föreskrivs:

1 §

Genom denna lag upphävs 20 § i lagen om tillämpning av Europeiska unionens lagstiftning om samordning av de sociala trygghetssystemen (352/2010).

2 §

Denna lag träder i kraft den 20 .

16. Lag om ändring av 32 § i lagen om garantipension

I enlighet med riksdagens beslut

ändras i lagen om garantipension (703/2010) 32 §,

sådan den lyder delvis ändrad i lag 1267/2016, som följer:

32 § Bestämmelser om förfarandet i fråga om garantipension

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Folkpensionsanstalten oberoende av sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att till en i 14 § 3 mom. avsedd läkare, verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning lämna sådana uppgifter om en person som remitteras för undersökning vilka gäller personens hälsotillstånd, sjukdomar, vårdåtgärder, yrke och arbetsförhållanden samt vilken typ av arbete han eller hon utför, och vilka är nödvändiga för att genomföra en undersökning som görs för utredande eller ny bedömning av arbetsoförmågan.

På garantipension tillämpas folkpensionslagens 63 § om meddelande av beslut, 63 a § om automatiserade beslut, 75 § om återkrav, 75 a § om återbetalning av förmåner som utbetalats utan grund efter ett dödsfall, 76 § om preskription av en fordran som återkrävs, 13 kap. om erhållande, utlämnande och hemlighållande av uppgifter samt begränsning av den registrerades rätt samt 106 och 107 § om dröjsmålsförhöjning och dröjsmålstid, dock så att dröjsmålstiden anses börja först då en kalendermånad har förflutit från utgången av den månad under vilken ett meddelande om pension eller ersättning som avses i 9 § kommit in till Folkpensionsanstalten.

Denna lag träder i kraft den 20 .

17. Lag om ändring av lagen om finansiering av arbetslöshetsförmåner

I enlighet med riksdagens beslut

ändras i lagen om finansiering av arbetslöshetsförmåner (555/1998) 1 a och 26 a §,

sådana de lyder, 1 a § i lag 1653/2015 och 26 a § i lag 542/2012, samt

fogas till lagen nya 26 f § och 26 g § som följer:

1 a § Definitioner

I denna lag avses med

1) EU:s förordningar om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen samt Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

2) tredjestat en stat på vilken EU:s förordningar om social trygghet och sådana för Finland bindande överenskommelser om social trygghet som innehåller bestämmelser om arbetslöshetsförsäkring inte tillämpas,

3) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

26 a § Arbetslöshetsförsäkringsregister

Arbetslöshetsförsäkringsfonden ska föra ett arbetslöshetsförsäkringsregister för skötseln av de ärenden fonden enligt denna lag ska sköta och som gäller arbetslöshetsförsäkringspremier.

26 f § Automatiserade beslut

Vid verkställigheten av denna lag har arbetslöshetsförsäkringsfonden rätt att fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

26 g § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att pensionsanstalten begränsar behandlingen av personuppgifter när pensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

18. Lag om ändring av lagen om utländska försäkringsbolag

I enlighet med riksdagens beslut

upphävs i lagen om utländska försäkringsbolag (398/1995) 79 § 6 och 8 mom., av dem 79 § 6 mom. sådant det lyder i lag 525/2008,

ändras 79 § 4, 5 och 7 mom., sådana de lyder, 79 § 4 mom. delvis ändrat i lagarna 50/2002, 525/2008 och 305/2015, 5 mom. i lag 50/2002 och 7 mom. i lag 525/2008, samt

fogas till lagen en ny 61 §, i stället för den 61 § som upphävts genom lag 525/2008, och en ny 81 §, i stället för den 81 § som upphävts genom lag 75/1998, som följer:

61 § Automatiserade beslut

Ett utländskt försäkringsbolag har rätt att fatta i 22.1 i Europaparlamentets och rådets för-ordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av per-sonuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut.

Den registrerade har rätt att kräva att ett i 1 mom. avsett automatiserat beslut behandlas på nytt av en fysisk person.

79 § Sekretess

Om inte något annat följer av dataskyddsförordningen, får ett utländskt försäkringsbolag trots sekretessen enligt 1 § lämna ut uppgifter

1) till ett annat försäkringsbolag för ordnande av återförsäkring,

2) till försäkringsbolagets tjänsteföretag eller till den som sköter en av försäkringsbolaget given uppgift på grundval av ett uppdrag,

3) till en försäkringsanstalt eller holdingsammanslutning som hör till samma koncern eller samma ekonomiska sammanslutning som försäkringsbolaget för skötsel av ersättningsärenden, ingående av försäkringsavtal och skötsel av andra uppgifter som är nödvändiga vid bedrivande av försäkringsrörelse; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen,

4) till en nämnd eller ett organ inom försäkringsbranschen som har meddelats till Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG, för behandling av ärenden som förelagts nämnden eller organet i fråga,

5) till en annan försäkringsanstalt eller skadevållaren för utövande av försäkringsbolagets regressrätt samt till en annan försäkringsanstalt för utredande av olika försäkringsanstalters ansvar vid ett och samma försäkringsfall,

6) till ett annat försäkringsbolag om brott som riktats mot försäkringsbolaget för något viktigt intresse i anslutning till förebyggande av brott mot försäkringsbolag; uppgifter som avses i 81 §,

7) för historisk eller vetenskaplig forskning eller för statistikföring, om det är uppenbart att utlämnandet av uppgifter inte kränker de intressen för vilkas skydd sekretessen har föreskrivits,

8) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till myndigheter eller organ som avses i 1 mom.; uppgifter som avser hälsotillstånd får dock lämnas ut endast till en åklagar- och förundersökningsmyndighet för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt, samt

9) i fråga om fordringar på försenade försäkringspremier hos andra än konsumenter, till personuppgiftsansvariga som bedriver kreditupplysningsverksamhet,

10) till ett företag som hör till samma koncern som det utländska försäkringsbolaget, samma försäkringsgrupp enligt 26 kap. i försäkringsbolagslagen som det utländska försäkringsbolaget eller till ett företag som hör till samma finans- och försäkringskonglomerat enligt lagen om tillsyn över finans- och försäkringskonglomerat (699/2004) som det utländska försäkringsbolaget, för kundbetjäning och annan skötsel av kundrelationer, marknadsföring, grupptillsyn samt konglomeratets riskhantering; vad som ovan i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

Utöver vad som föreskrivs i 4 mom. kan ett utländskt försäkringsbolag lämna ut sådana uppgifter ur sitt kundregister som är nödvändiga för marknadsföring samt kundbetjäning och annan skötsel av kundförhållanden till ett företag som hör till samma ekonomiska sammanslutning som det utländska försäkringsbolaget. Vad som i detta moment föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

Ett försäkringsbolag kan i situationer som avses i 4 mom. lämna ut endast sådana uppgifter som är nödvändiga för skötseln av ärendena i fråga.

81 § Utländska försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar

Ett utländskt försäkringsbolag får behandla och registrera uppgifter om brott mot dess försäkringsverksamhet samt misstankar om sådana brott i ett register som försäkringsbolaget för. Uppgifterna får behandlas endast i den omfattning som det är nödvändigt för att förebygga och utreda brott som riktas mot försäkringsverksamheten.

Ett utländskt försäkringsbolag får i registret anteckna

1) uppgift om skadefallet,

2) uppgift om det försäkringsbolag mot vilket brottet eller det misstänkta brottet har riktats,

3) uppgift om tidpunkten för registreringen,

4) den registrerades namn, personbeteckning, adress och yrke,

5) uppgift om den domstol som behandlar ärendet,

6) uppgift om vem som har anmält de uppgifter som registreras.

Ett utländskt försäkringsbolag får inte göra en anteckning i registret innan det misstänkta brottet har anmälts till förundersökningsmyndigheten eller åklagaren. Anteckningen i registret ska göras senast inom ett år från det att det utländska försäkringsbolaget har inlett straffprocessen eller när det utländska försäkringsbolaget har fått information om att någon annan inlett straffprocessen eller från det att åklagaren har beslutat att väcka åtal.

Uppgifterna ska avföras ur registret omedelbart efter det att den registrerade genom underrättens dom har konstaterats vara oskyldig till den misstänkta gärningen, straffprocessen har lagts ner eller om en högre rättsinstans har friat den person som dömts av den lägre rättsinstansen. Det utländska försäkringsbolaget kan registrera uppgifterna på nytt, om en högre rättsinstans dömer en person som den lägre instansen har friat.

Uppgifterna ska avföras ur registret senast fem år från det att en uppgift om brottet i fråga registrerades första gången.

Den registrerade ska underrättas om ett avslag på en ansökan om försäkring eller något annat för den registrerade negativt beslut beror på uppgifter i registret.

Denna lag träder i kraft den 20 .

19. Lag om ändring av 18 och 22 § i lagen om olycksfalls- och pensionsskydd för idrottsutövare

I enlighet med riksdagens beslut

ändras i lagen om olycksfalls- och pensionsskydd för idrottsutövare (276/2009) 18 § 3 mom. och 22 § 2 mom. som följer:

18 § Olycksfallsförsäkringscentralens och försäkringsanstalternas uppgifter

Försäkringsanstalterna ska varje år senast en månad efter att spel- eller tävlingssäsongen för en idrottsgren har börjat, med tanke på de uppgifter som föreskrivs för grenförbunden i 19 §, informera grenförbunden om att idrottsföreningar som hör till grenförbunden och övriga organisationer som bedriver idrottsverksamhet har en gällande försäkring enligt denna lag. Av informationen ska framgå idrottsutövarnas namn och personbeteckning. Försäkringsanstalterna ska på motsvarande sätt informera grenförbunden om att en försäkring börjar gälla eller upphör under spelsäsongen. Informationen ska då ges utan dröjsmål och senast en månad efter att försäkringen börjat gälla eller sagts upp eller efter att försäkringen upphört utan uppsägning.

22 § Lämnande av uppgifter om förvärvsinkomster och behandling av personuppgifter

I fråga om hantering av uppgifter som erhållits med stöd av 1 mom. tillämpas lagen om integritetsskydd i arbetslivet (759/2004).

Denna lag träder i kraft den 20 .

20. Lag om ändring av 36 § i lagen om försäkringsförmedling

I enlighet med riksdagens beslut

ändras i lagen om försäkringsförmedling (570/2005) 36 § 1 och 3 mom., sådana de lyder i lag 524/2016, som följer:

36 § Rapportering om överträdelser

En juridisk person som bedriver försäkringsförmedling ska ha rutiner för att dess anställda internt genom en oberoende kanal ska kunna rapportera en misstanke om överträdelser av Europaparlamentets och rådets förordning (EU) nr 596/2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG. I förfarandet ska ingå lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna, skydda rapportören och säkerställa skyddet av personuppgifterna för rapportören och den som är föremål för rapporten. Rapporteringsförfarandet ska dessutom innehålla anvisningar som tryggar skyddet för rapportörens identitet, om det inte för utredande av en överträdelse eller annars till följd av myndigheternas rätt till information föreskrivs något annat i lag.

En i 1 mom. avsedd registrerad som är föremål för en rapport har inte rätt enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) att få tillgång till den information som avses i 1 och 2 mom., om utlämnande av uppgifterna skulle kunna hindra utredningen av misstänkta överträdelser.

Denna lag träder i kraft den 20 .

21. Lag om ändring av 45 och 48 § i lagen om handikappförmåner

I enlighet med riksdagens beslut

ändras i lagen om handikappförmåner (570/2007) 45 § 2 punkten och 48 §, av dem 45 § 2 punkten sådan den lyder i lag 1331/2011, som följer:

45 § Utlämnande av uppgifter i vissa fall

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Folkpensionsanstalten, trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter, rätt att till

2) en sådan läkare, verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning som avses i 20 § 2 mom. lämna uppgifter om hälsotillstånd, sjukdomar och vårdåtgärder i fråga om en person som remitteras till sådana undersökningar som avses i det momentet, om uppgifterna är nödvändiga för undersökningarna.

48 § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

22. Lag om ändring av 42 och 49 § i lagen om allmänt bostadsbidrag

I enlighet med riksdagens beslut

ändras i lagen om allmänt bostadsbidrag (938/2014) 42 § 2 mom. och 49 § som följer:

42 § Uppgifter för avgörande av bostadsbidrag

Folkpensionsanstalten och besvärsinstanserna enligt denna lag har trots sekretess-bestämmelserna och andra begränsningar i fråga om erhållande av uppgifter dessutom rätt att på begäran avgiftsfritt av penninginstitut få för avgörande av bostadsbidrag nödvändiga uppgifter om den som söker eller får bostadsbidrag eller andra till hushållet hörande personer, om tillräckliga uppgifter och utredningar inte kan fås på något annat sätt och om det finns grundad anledning att misstänka att den som sökt eller får bostadsbidrag har lämnat otillräckliga eller otillförlitliga uppgifter. Begäran om att få uppgifterna ska framställas skriftligen. Innan begäran framställs ska sökanden eller mottagaren underrättas om detta.

49 § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

23. Lag om ändring av 16 b § i barnbidragslagen

I enlighet med riksdagens beslut

ändras i barnbidragslagen (796/1992) 16 b §, sådan den lyder i lag 694/2002, som följer:

16 b § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

24. Lag om ändring av trafikförsäkringslagen

I enlighet med riksdagens beslut

ändras i trafikförsäkringslagen (460/2016) 2 §, 4 § 2 mom. och 32 § 3 mom. samt

fogas till lagen nya 62 a och 63 a § som följer:

2 § Definitioner

I denna lag avses med

1) fordon ett motorfordon som är avsett att framdrivas med mekanisk kraft längs marken men inte på spår, samt en kopplad eller fristående släpvagn,

2) direktivet Europaparlamentets och rådets direktiv 2009/103/EG om ansvarsförsäkring för motorfordon och kontroll av att försäkringsplikten fullgörs beträffande sådan ansvarighet,

3) försäkringsbolag ett försäkringsbolag eller annat försäkringsföretag som har fått koncession att bedriva sådan försäkringsverksamhet som avses i direktivet,

4) försäkringstagare den som ingått ett försäkringsavtal med ett försäkringsbolag,

5) den försäkrade den till vars förmån försäkringen gäller,

6) trafikskada person- eller sakskada som orsakats av användning av ett fordon i trafik,

7) register det fordonstrafikregister som avses i lagen om fordonstrafikregistret (541/2003),

8) fordonets innehavare den innehavare av ett fordon som antecknats i registret eller, om fordonet inte behöver antecknas i registret, den i vars besittning fordonet har överlåtits permanent,

9) fordonets stadigvarande hemort den stat i vilken registreringsskylten, försäkringsskylten eller identifieringsmärket på ett fordon har utfärdats, eller om sådana inte krävs, den stat där fordonets innehavare har stadigvarande bostadsort, eller om ingen registreringsskylt finns eller den är falsk eller olaglig, den stat där trafikskadan har inträffat,

10) avställning att ett fordon som registrerats första gången tillfälligt tas ur trafik och att uppgift om detta införs i registret,

11) slutlig avregistrering att ett fordon som registrerats första gången slutligt tas ur trafik i Finland och att uppgift om detta införs i registret,

12) EES-stat en stat som hör till Europeiska ekonomiska området,

13) tredjeland en annan stat än en EES-stat,

14) nationellbyrå en specialorganisation som har inrättats i enlighet med rekommendation nr 5 antagen den 25 januari 1949 av kommittén för vägtransporter under landtransportkommittén inom Förenta nationernas Ekonomiska kommission för Europa och som är ett gemensamt organ för de försäkringsföretag som i respektive stat har koncession för bedrivande av försäkringsrörelse som innefattar trafikförsäkring,

15) gröna kortsystemet det internationella försäkringssystem som förvaltas av försäkringsgivarnas nationella byråer,

16) grönt kort ett internationellt försäkringsbevis som ett försäkringsbolag utfärdar i enlighet med den rekommendation som avses i punkt 14,

17) ersättningsorgan det i artikel 10 i direktivet avsedda organ som ansvarar för betalning av ersättning,

18) förflyttningsförsäkring en tidsbunden trafikförsäkring som beviljas för förflyttningstillstånd som avses i 66 f § i fordonslagen (1090/2002),

19) trafikled allmän eller enskild väg, gata, byggnadsplaneväg, snöskoterled och torg samt annat område som är avsett för allmän trafik eller allmänt används för trafik,

20) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

4 § Trafikförsäkringscentralen

Vad som i 9, 11, 12, 14, 15, 20, 24, 25, 33—39, 49—52, 55—62, 62 a, 63, 63 a, 64—68, 73, 79—85 och 95 § föreskrivs om försäkringsbolag tillämpas också på Trafikförsäkringscentralen.

32 § Ersättningsansvar för trafikskada

Vad som i 33—39, 49—62, 62 a, 63, 63 a, 64—68, 73 och 79—83 §, 84 § 1 mom. och 85 § föreskrivs om försäkringsbolag tillämpas också på Statskontoret.

62 a § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att försäkringsbolaget begränsar behandlingen av personuppgifter när försäkringsbolaget utför en uppgift enligt denna lag, om den registrerades krav på be-gränsning är uppenbart ogrundat.

63 a § Automatiserade beslut

Ett försäkringsbolag har, när det bedriver verksamhet som avses i denna lag, rätt att fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

Denna lag träder i kraft den 20 .

25. Lag om ändring av 18 § i lagen om Trafikförsäkringscentralen

I enlighet med riksdagens beslut

ändras i lagen om Trafikförsäkringscentralen (461/2016) 18 § som följer:

18 § Tystnadsplikt och rätt att lämna ut uppgifter

I fråga om tystnadsplikt för anställda vid Trafikförsäkringscentralen eller personer som centralen anlitar som sakkunniga på grundval av ett uppdrag, i fråga om utlämnande av uppgifter som omfattas av tystnadsplikten och i fråga om brott mot tystnadsplikten tillämpas vad som i 30 kap. 1, 3, 3 a och 4 § i försäkringsbolagslagen föreskrivs om försäkringsbolag.

Denna lag träder i kraft den 20 .

26. Lag om ändring av patientskadelagen

I enlighet med riksdagens beslut

ändras i patientskadelagen (585/1986) 13 §, sådan sen lyder i lag 991/1999, och

fogas till lagen en ny 10 c § och en ny 14 §, i stället för den 14 § som upphävts genom lag 147/2009, som följer:

10 c § Automatiserade beslut

Vid verkställigheten av denna lag har Patientförsäkringscentralen rätt att fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

13 § Sekretess och rätt att lämna ut uppgifter

På sekretess för den som är anställd hos Patientförsäkringscentralen eller som centralen anlitar som sakkunnig på grundval av ett uppdrag, samt på utlämnande av uppgifter som omfattas av sekretess och på brott mot sekretessen tillämpas bestämmelserna om försäkringsbolag i 30 kap. 1, 3 och 4 § i försäkringsbolagslagen.

14 § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att Patientförsäkringscentralen begränsar behandlingen av personuppgifter när Patientförsäkringscentralen utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

27. Lag om ändring av lagen om pension för lantbruksföretagare

I enlighet med riksdagens beslut

upphävs i lagen om pension för lantbruksföretagare (1280/2006) 140 § och 144 § 5 mom.,

ändras 2 § 1 mom., 143 § och 144 § 4 mom., av dem 2 § 1 mom. sådant det lyder delvis ändrat i lagarna 990/2008, 632/2009, 357/2010 och 75/2016, samt

fogas till lagen nya 90 b, 138 a och 146 a § som följer:

2 § Centrala definitioner

I denna lag avses med

1) pensionsanstalt Lantbruksföretagarnas pensionsanstalt samt pensionsanstalter som avses i 2 § 1 mom. 1 punkten i lagen om pension för arbetstagare (395/2006) då de behandlar ett pensionsärende enligt denna lag,

2) den lägsta åldernför ålderspension den ålder för ålderspension som fastställs utifrån lantbruksföretagarens födelseår och som avses i 31 § 2 och 3 mom.,

3) arbetspensionslag de lagar som avses i 3 § i lagen om pension för arbetstagare,

4) arbetspension pension enligt arbetspensionslagarna,

5) arbetsinkomst den årliga arbetsinkomst som fastställts för en lantbruksföretagare i enlighet med 14 § och för en stipendiat i enlighet med 21 a §,

6) total arbetsinkomst den pensionsgrundande arbetsinkomst som avses i 73 §, i vilken beaktats obetald arbetspensionsförsäkringsavgift,

7) arbetsförtjänst de totala arbetsinkomster som avses i denna lag och i lagen om pension för företagare (1272/2006) samt arbetsinkomster enligt andra arbetspensionslagar,

8) oavlönad tid den tid som avses i 2 § 1 mom. 4 punkten i lagen om pension för arbetstagare,

9) intjänad pension pension som har intjänats på basis av den totala arbetsinkomsten enligt denna lag, på basis av tid med pension som upphört och på basis av sådan oavlönad tid som avses i 8 punkten samt förmån som har intjänats på basis av lagen om pensionsersättning som skall betalas av statens medel för tiden för vård av barn under tre år eller för tiden för studier (644/2003),

10) primär förmån en förmån som avses i 92 och 93 § i lagen om pension för arbetstagare och som oberoende av arbetspensionens belopp betalas till fullt belopp och dras av från en förmån enligt denna lag,

11) EU:s grundförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

12) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

13) EU- och EES-land ett land som tillämpar EU:s grundförordning om social trygghet eller rådets förordning (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen,

14) överenskommelse om social trygghet en internationell överenskommelse om social trygghet som är förpliktande för Finland, och

15) teoretisk pension en kalkylerad pension; när denna pension fastställs betraktas den tid i arbete i ett EU- och EES-land som omfattas av arbetspensionslagarna som tid i arbete enligt denna lag.

90 b § Automatiserade beslut

Vid verkställigheten av arbetspensionsskydd enligt denna lag kan pensionsanstalten fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

13 kap.
Utlämnande, erhållande och hemlighållande av uppgifter

138 a § Pensionsanstaltens rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering

Pensionsanstalten har trots sekretessbestämmelserna och andra begränsningar av rätten till information rätt att

143 § Pensionsanstaltens och Pensionsskyddscentralens rätt att få uppgifter för verkställigheten av uppgifter enligt denna lag

Trots sekretessbestämmelserna och andra begränsningar som gäller rätten att få uppgifter har Lantbruksföretagarnas pensionsanstalt och Pensionsskyddscentralen rätt att av

1) Skatteförvaltningen och den registermyndighet som avses i lagen om landsbygdsnäringsförvaltningen informationssystem (284/2008) få de uppgifter som är nödvändiga för verkställandet av uppdrag enligt denna lag, och

2) den myndighet som avses i lagen om det nationella genomförandet av Europeiska unionens gemensamma fiskeripolitik (1048/2016) och i lagen om fiske (379/2015) få de uppgifter som är nödvändiga för verkställandet av uppdrag enligt denna lag.

Pensionsskyddscentralen och pensionsanstalten har rätt att få de uppgifter som avses i 1 mom. avgiftsfritt, om de är avsedda för avgörandet av ett anhängigt ärende. I annat fall ska den som begärt uppgifterna på yrkande av Skatteförvaltningen betala skäliga kostnader för utlämnandet av uppgifterna.

Trots sekretessbestämmelserna och andra begränsningar som gäller rätten att få uppgifter har Lantbruksföretagarnas pensionsanstalt rätt att av renbeteslagen och renbeteslagsföreningen få de uppgifter som är nödvändiga för verkställandet av uppdrag enligt denna lag. Dessa uppgifter ska varje år efter renskötselårets utgång lämnas pensionsanstalten på det sätt som pensionsanstalten närmare bestämmer. Pensionsskyddscentralen och pensionsanstalten har rätt att vid behov även vid andra tidpunkter få dessa uppgifter av renbeteslagen och renbeteslagsföreningen.

Trots sekretessbestämmelserna och andra begränsningar som gäller rätten att få uppgifter har Lantbruksföretagarnas pensionsanstalt rätt att av de aktörer som avses i 1 och 3 mom. få de uppgifter som är nödvändiga för verkställandet av tillsynsuppdraget i form av massinformation, även om pensionsanstalten inte i sin begäran om uppgifter har preciserat de företag och lantbruksföretagare som blir föremål för tillsynsförfarande, även om tillsynsförfarandet ännu inte är anhängigt och även om beskattningen ännu inte har fastställts. För verkställandet av ett tillsynsuppdrag har pensionsanstalten rätt att samköra och behandla i 1 och 3 mom. avsedda uppgifter. Samkörda uppgifter får bevaras i fem år men längst tills tillsynsförfarandet avslutats. Samkörda uppgifter får inte vidareutlämnas.

144 § Gårdsbesöksregister för företagshälsovården för lantbruksföretagare

Pensionsanstalten har rätt att samla in och i gårdsbesöksregistret registrera i 1 och 2 mom. avsedda uppgifter för skötseln av uppgifterna enligt 115 §. Pensionsanstalten är personuppgiftsansvarig i fråga om gårdsbesöksregistret. För utlämnande av uppgifter kan en teknisk anslutning till pensionsanstaltens gårdsbesöksregister öppnas för producenter av företagshälsovårdstjänster. De uppgifter som registrerats i gårdsbesöksregistret ska utplånas inom tio år efter det att gårdsbesöket gjordes.

146 a § Begränsning av den registrerades rätt

Denna lag träder i kraft den 20 .

28. Lag om ändring av lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar

I enlighet med riksdagens beslut

upphävs i lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar (873/2015) 77 § 2 mom.,

ändras 4 § 1 mom., 157 § 2 mom., 158 § 3 punkten, 162 § och 180 § 2 mom., av dem 4 § 1 mom. sådant det lyder delvis ändrat i lag 94/2016 och 180 § 2 mom. sådant det lyder delvis ändrat i lag 1651/2015, samt

fogas till lagen nya 162 a och 174 a § som följer:

4 § Övriga definitioner och hänvisningsbestämmelser

I denna lag avses med

1) skada påföljden av ett skadefall enligt 11 §,

2) obligatorisk försäkring försäkring enligt denna lag som fastställts eller förlängts enligt 5 § 1 och 2 mom.,

3) skadad den som har råkat ut för ett skadefall enligt 11 §,

4) EU:s förordningar om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen och Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

5) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

6) tredjestat en stat på vilken EU:s förordningar om social trygghet och sådana överenskommelser om social trygghet som innehåller bestämmelser om olycksfall i arbetet och om yrkessjukdomar och som är bindande för Finland inte tillämpas,

7) ålderspension ålderspension enligt de lagar som nämns i 3 § i lagen om pension för arbetstagare (395/2006), ålderspension enligt den tidigare lagstiftning som avses i 1 § 2 mom. i lagen om införande av lagen om pension för arbetstagare (396/2006), ålderspension enligt folkpensionslagen (568/2007) och motsvarande pensioner som betalas från utlandet,

8) sjukpension full invalidpension och arbetslivspension som beviljats tills vidare enligt de lagar som nämns i 3 § i lagen om pension för arbetstagare, sjukpension som beviljats tills vidare enligt folkpensionslagen, full invalidpension enligt den tidigare lagstiftning som avses i 1 § 2 mom. i lagen om införande av lagen om pension för arbetstagare, invaliditetspension enligt den tidigare lagstiftning som avses i 1 § 3 mom. i lagen om införande av folkpensionslagen (569/2007) och motsvarande pensioner som betalas från utlandet samt sådant avträdelsestöd enligt 24 § 2 mom. i lagen om införande av lagen om pension för arbetstagare som ska beaktas som pension enligt 92 § 2 mom. i lagen om pension för arbetstagare.

157 § Rätten för lantbruksföretagarnas olycksfallsförsäkringsanstalt och en besvärsinstans att få uppgifter

När uppgifter som behövs för handläggningen av den skadades ersättningsärende begärs av arbetsgivaren får det till arbetsgivaren endast lämnas ut de sekretessbelagda uppgifter om den skadade som är nödvändiga för att specificera de begärda uppgifterna.

158 § Rätten för lantbruksföretagarnas olycksfallsförsäkringsanstalt att lämna ut uppgifter

Utöver vad som föreskrivs i offentlighetslagen har lantbruksföretagarnas olycksfallsförsäkringsanstalt rätt att, trots sekretessbestämmelserna och andra begränsningar i rätten att få information, lämna ut uppgifter som grundar sig på verkställigheten av denna lag enligt följande:

3) till en verksamhetsenhet för hälso- och sjukvården och till en självständig yrkesutövare samt till en producent av rehabiliteringstjänster och någon annan som deltar i genomförandet av en rehabiliteringsåtgärd vilka avses i 157 § 1 mom. 3 punkten får de uppgifter om den skadade lämnas ut som är nödvändiga för behandlingen av rehabiliteringsärendet och för rehabiliteringen; uppgifter om den skadades hälsotillstånd får inte lämnas till arbetsgivaren utan den skadades samtycke,

162 § Automatiserade beslut

Vid verkställigheten av denna lag kan lantbruksföretagarnas olycksfallsförsäkringsanstalt fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

162 a § Begränsning av den registrerades rätt

174 a § Maskinell underskrift av beslut

Beslut som lantbruksföretagarnas olycksfallsförsäkringsanstalt meddelar med stöd av denna lag får undertecknas maskinellt.

180 § Övergångsbestämmelser

Med avvikelse från 1 mom.

1) kan olycksfallspensionen och menersättningen enligt lagen om olycksfallsförsäkring för lantbruksföretagare inte efter att denna lag trädde i kraft bytas ut mot ett kapital som motsvarar deras kapitalvärde,

2) ska 29 § 3 mom. 3 punkten tillämpas på yrkessjukdomar som har debuterat före denna lags ikraftträdande när det ersättningsärende som gäller dem har inletts först efter lagens ikraftträdande,

3) tillämpas bestämmelserna i avdelning IV och VII samt 112 och 113 § också på skadefall som inträffat före denna lags ikraftträdande; med stöd av 112 § kan även obligatoriska försäkringspremier inklusive förhöjningar och dröjsmålsräntor enligt lagen om olycksfallsförsäkring för lantbruksföretagare dras av från ersättningen; den paragrafens 4 mom. tillämpas också på ersättningar som betalas med stöd av frivilliga försäkringar som avses i 21 § i lagen om olycksfallsförsäkring för lantbruksföretagare samt på försäkringspremier inklusive dröjsmålsräntor för sådana försäkringar,

4) tillämpas bestämmelserna i 38 § också på skadefall som inträffat från och med den 1 januari 2005,

5) tillämpas bestämmelserna i 26 kap. samt 174 § också på olycksfall i arbetet som inträffat och yrkessjukdomar som debuterat före den 1 januari 2016.

Denna lag träder i kraft den 20 .

29. Lag om ändring av lagen om sjömanspensioner

I enlighet med riksdagens beslut

upphävs i lagen om sjömanspensioner (1290/2006) 217 §,

ändras 2 § 1 mom. och 219 § 2 mom., av dem 2 § 1 mom. sådant det lyder i lagarna 78/2016 och 1256/2016, samt

fogas till lagen nya 107 b, 219 a och 221 a § som följer:

2 § Centrala definitioner

I denna lag avses med

1) arbetstagare sjömän i ett anställningsförhållande enligt lagen om sjöarbetsavtal (756/2011),

2) anställningsförhållande ett anställningsförhållande som grundar sig på ett arbetsavtal enligt 1 kap. 1 § i lagen om sjöarbetsavtal eller motsvarande anställningsförhållande på ett utländskt fartyg,

3) befäl däcksbefäl och maskinbefäl samt med manskap däcksmanskap och maskinmanskap, ekonomipersonal och annan fartygspersonal,

4) pensionskassa den i 1 § 3 mom. nämnda Sjömanspensionskassan,

5) arbetspension pension enligt de lagar som avses i 3 §,

6) oavlönad tid den tid under vilken en arbetstagare har fått moderskaps-, särskild moderskaps-, faderskaps- eller föräldrapenning eller sjukdagpenning, partiell sjukdagpenning eller specialvårdspenning enligt sjukförsäkringslagen (1224/2004), dagpenning vid smittsam sjukdom enligt lagen om smittsamma sjukdomar (1227/2016), alterneringsersättning enligt lagen om alterneringsledighet (1305/2002), inkomstrelaterad dagpenning eller utbildningsdagpenning enligt lagen om utkomstskydd för arbetslösa (1290/2002), vuxenutbildningsstöd enligt lagen om vuxenutbildningsstöd (1276/2000), rehabiliteringspenning enligt arbetspensionslagarna eller lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner (566/2005), ersättning för inkomstbortfall enligt lagen om rehabilitering som ersätts enligt trafikförsäkringslagen (626/1991), dagpenning eller rehabiliteringspenning enligt lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015), lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar (873/2015) eller lagen om olycksfall i militärtjänst (1211/1990) eller dagpenning enligt trafikförsäkringslagen (640/2016),

7) intjänad pension pension som har tjänats in på basis av arbetsinkomster som avses i denna lag, på basis av tid med pension som upphört och på basis av sådan oavlönad tid som avses i 6 punkten samt förmån som har tjänats in på basis av lagen om pensionsersättning som skall betalas av statens medel för tiden för vård av barn under tre år eller för tiden för studier (644/2003),

8) primär förmån en förmån som avses i 97 och 98 § och som oberoende av arbetspensionens belopp betalas till fullt belopp och dras av från en förmån enligt denna lag,

9) EU:s grundförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen och med EU:s tillämpningsförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

10) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

11) EU- och EES-land ett land som tillämpar EU:s grundförordning om social trygghet eller rådets förordning (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen,

12) överenskommelse om social trygghet en internationell överenskommelse om social trygghet som är förpliktande för Finland,

13) teoretisk pension en kalkylerad pension; när denna pension fastställs betraktas sådan tid i arbete i ett EU- och EES-land som omfattas av arbetspensionslagarna som tid i arbete enligt denna lag,

14) den lägsta åldern för ålderspension den ålder för ålderspension som fastställs utifrån arbetstagarens födelseår och som avses i 8 § 2 och 3 mom.

107 b § Automatiserade beslut

Vid verkställigheten av arbetspensionsskydd enligt denna lag kan pensionskassan och andra behöriga pensionsanstalter fatta i 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

20 kap.
Utlämnande, erhållande och hemlighållande av uppgifter

219 § Arbetsgivarnas skyldighet att lämna uppgifter

När arbetsgivaren ombeds att lämna uppgifter som behövs för behandlingen av arbetstagarens pensions- eller rehabiliteringsärende, får till arbetsgivaren lämnas endast de sekretessbelagda uppgifter om arbetstagaren som är nödvändiga för att specificera de uppgifter som arbetsgivaren ombeds lämna.

219 a § Pensionskassans rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering

Pensionskassan har trots sekretessbestämmelserna och andra begränsningar i rätten att få information rätt att

221 a § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att pensionskassan eller någon annan behörig pensionsanstalt begränsar behandlingen av personuppgifter när de utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

30. Lag om ändring av 17 § i lagen om frontmannapension

I enlighet med riksdagens beslut

ändras i lagen om frontmannapension (119/1977) 17 §, sådan den lyder i lag 1268/2016, som följer:

17 §

Om inte något annat föreskrivs i denna lag, iakttas dessutom 54 § 1 och 2 mom., 55 §, 56 § 2 och 4 mom., 62, 63, 63 a, 64, 65, 67, 71—74, 75 a, 76—84, 86, 88, 91, 96, 106, 107, 110 och 111 § i folkpensionslagen samt lagen om folkpensionsindex (456/2001).

Bestämmelser om tidpunkten för betalning av fronttillägg och extra fronttillägg utfärdas ge-nom förordning av statsrådet.

Denna lag träder i kraft den 20 .

31. Lag om ändring av sjukförsäkringslagen

I enlighet med riksdagens beslut

ändras i sjukförsäkringslagen (1224/2004) 15 kap. 1 § 1 mom. och 19 kap. 1 § 2 mom., 5 § 2 mom. och 11 §, av dem 15 kap. 1 § 1 mom. sådant det lyder i lag 885/2005 och 19 kap. 1 § 2 mom. sådan det lyder i lag 890/2006, samt

fogas till 15 kap. en ny 6 a § som följer:

15 kap.
Verkställighet

1 § Sjukförsäkringskort

Folkpensionsanstalten utfärdar ett sjukförsäkringskort till den som är försäkrad enligt denna lag. På kortet antecknas den försäkrades släktnamn och alla förnamn samt personbeteckning. Om den försäkrade är medlem av en arbetsplatskassa enligt 16 kap. ska detta antecknas på sjukförsäkringskortet. På sjukförsäkringskortet får även antecknas om den försäkrade är berättigad till sådana i 5 kap. avsedda läkemedel som omfattas av specialersättning, läkemedel som omfattas av begränsad grundersättning och kliniska näringspreparat, uppgift om sjukförsäkringens giltighetstid samt uppgift om att den försäkrade inte är berättigad till ersättning enligt det förfarande som avses i 19 kap. 5 § 1 mom. 2 punkten. På sjukförsäkringskortet får det dessutom antecknas uppgifter som är nödvändiga för att verkställa sjukförsäkringen.

6 a § Automatiserade beslut

Vid verkställigheten av de förmåner som avses i denna lag kan Folkpensionsanstalten och arbetsplatskassan fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

19 kap.
Bestämmelser om erhållande och utlämnande av uppgifter

1 § Rätt att få uppgifter

Utöver vad som föreskrivs i 1 mom. har Folkpensionsanstalten och besvärsinstanserna enligt denna lag trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter på begäran rätt att för avgörandet av en förmån av läkare eller andra yrkesutbildade personer enligt lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994) samt av verksamhetsenheter för hälso- och sjukvården enligt 2 § 4 punkten i lagen om patientens ställning och rättigheter (785/1992) eller av färdtjänstproducenter, socialserviceproducenter eller andra vårdinrättningar få ett utlåtande och nödvändiga uppgifter ur journalhandlingarna för den som söker en förmån samt uppgifter om hans eller hennes rehabilitering, hälsotillstånd, vård och arbetsförmåga.

5 § Utlämnande av uppgifter i vissa fall

Folkpensionsanstalten har trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att till en sådan läkare, verksamhetsenhet inom hälso- och sjukvården eller undersökningsinrättning som avses i 15 kap. 13 § lämna uppgifter om en sådan försäkrads hälsotillstånd, sjukdom, vårdåtgärder, yrke, arbetsförhållanden och art av arbete som sänds till en undersökning enligt 15 kap. 13 §, om uppgifterna behövs i ett anhängigt förmånsärende för utredande av hälsotillstånd och bedömning av arbetsförmågan.

11 § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att Folkpensionsanstalten begränsar behandlingen av person-uppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

32. Lag om ändring av 22 e § i militärunderstödslagen

I enlighet med riksdagens beslut

ändras i militärunderstödslagen (781/1993) 22 e §, sådan den lyder i lag 690/2002, som följer:

22 e § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

33. Lag om ändring av lagen om skada, ådragen i militärtjänst

I enlighet med riksdagens beslut

fogas till lagen om skada, ådragen i militärtjänst (404/1948) en ny 44 §, i stället för den 44 § som upphävts genom lag 536/2001, som följer:

44 §

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Statskontoret begränsar behandlingen av personuppgifter när Statskontoret utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

34. Lag om ändring av lagen om pension för arbetstagare

I enlighet med riksdagens beslut

upphävs i lagen om pension för arbetstagare (395/2006) 145 och 193 §,

ändras 2 § 1 mom., 195 § och 203 § 2 mom., av dem 2 § 1 mom. sådant det lyder i lagarna 69/2016 och 1247/2016, samt

fogas till lagen nya 105 b, 195 a och 210 a § som följer:

2 § Centrala definitioner

I denna lag avses med

1) pensionsanstalt ett arbetspensionsförsäkringsbolag, en försäkringskassa eller en pensionsstiftelse enligt 1 § 3 mom.,

2) anställningsförhållande ett anställningsförhållande som grundar sig på ett arbetsavtal enligt 1 kap. 1 § i arbetsavtalslagen (55/2001),

3) arbetspension pension enligt de lagar som avses i 3 §,

4) oavlönad tid den tid under vilken en arbetstagare har erhållit moderskaps-, särskild moderskaps-, faderskaps- eller föräldrapenning eller sjukdagpenning, partiell sjukdagpenning eller specialvårdspenning enligt sjukförsäkringslagen (1224/2004), dagpenning vid smittsam sjukdom enligt lagen om smittsamma sjukdomar (1227/2016), alterneringsersättning enligt lagen om alterneringsledighet (1305/2002), inkomstrelaterad dagpenning enligt lagen om utkomstskydd för arbetslösa (1290/2002), vuxenutbildningsstöd enligt lagen om vuxenutbildningsstöd (1276/2000), rehabiliteringspenning enligt arbetspensionslagarna eller lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner (566/2005), ersättning för inkomstbortfall enligt lagen om rehabilitering som ersätts enligt trafikförsäkringslagen (626/1991), dagpenning eller rehabiliteringspenning enligt lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015), lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar (873/2015) eller lagen om olycksfall i militärtjänst (1211/1990) eller dagpenning enligt trafikförsäkringslagen (460/2016),

5) intjänadpension pension som tjänats in på basis av arbetsinkomster som avses i denna lag, på basis av tid med pension som upphört och på basis av sådan oavlönad tid som avses i 4 punkten samt förmån som tjänats in på basis av lagen om pensionsersättning som skall betalas av statens medel för tiden för vård av barn under tre år eller för tiden för studier (644/2003),

6) primär förmån en förmån som avses i 92 och 93 § och som oberoende av arbetspensionens belopp betalas till fullt belopp och dras av från en förmån enligt denna lag,

7) EU:s grundförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen och med EU:s tillämpningsförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

8) EU- och EES-land ett land som tillämpar EU:s grundförordning om social trygghet eller rådets förordning (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen,

9) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

10) tredjestat något annat land än ett EU- eller EES-land eller Schweiz eller en stat som Finland ingått en bilateral överenskommelse om social trygghet med,

11) överenskommelse om social trygghet en internationell överenskommelse om social trygghet som är förpliktande för Finland,

12) teoretisk pension en kalkylerad pension; när denna pension fastställs betraktas sådan tid i arbete i ett EU- och EES-land som omfattas av arbetspensionslagarna som tid i arbete enligt denna lag,

13) den lägsta åldern för ålderspension den ålder för ålderspension som fastställs utifrån arbetstagarens födelseår och som avses i 11 § 2 och 3 mom.

105 b § Automatiserade beslut

14 kap.
Utlämnande, erhållande och hemlighållande av uppgifter

195 § Arbetsgivarnas skyldighet att lämna uppgifter

Om det för avgörandet av ett anhängigt försäkrings-, pensions- eller rehabiliteringsärende eller av annan orsak vid verkställigheten av uppgifter enligt denna lag eller lagen om Pensionsskyddscentralen behövs uppgifter om arbetstagarens arbete och arbetsförhållanden eller om andra motsvarande omständigheter, är arbetsgivaren skyldig att lämna dessa uppgifter till pensionsanstalterna, Pensionsskyddscentralen och en besvärsinstans som avses i denna lag.

195 a § Pensionsanstaltens rätt att lämna uppgifter för avgörande av pensions- och rehabiliteringsärenden samt för rehabilitering

Pensionsanstalten har trots sekretessbestämmelserna och andra begränsningar i rätten att få information rätt att

203 § Utlämnande av uppgifter inom en försäkringsgrupp

Om inte något annat följer av dataskyddsförordningen, kan trots sekretessbestämmelserna ett arbetspensionsförsäkringsbolag till ett annat företag som avses i 1 mom. lämna ut de uppgifter som behövs för kundbetjäning, skötseln av kundförhållanden och annan kundhantering. Sådana uppgifter är arbetsgivarens eller företagarens namn, personbeteckning, företags- och organisationsnummer eller kundbeteckning, uppgifter som behövs för kontakter, uppgifter om företagets ägandeförhållanden och försäkringsarrangemang och lönesumma samt sådana uppgifter i anslutning till kundhanteringen som jämställs med dessa uppgifter.

210 a § Begränsning av den registrerades rätt

Denna lag träder i kraft den 20 .

35. Lag om ändring av lagen om olycksfall i arbetet och om yrkessjukdomar

I enlighet med riksdagens beslut

upphävs i lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015) 115 § 2 mom.,

ändras 2 § 1 mom., 250 §, 252 § 2 mom., 255 § 1 och 4 mom., 257 § 4 mom. och 286 § 2 mom., av dem 2 § 1 mom. sådant det lyder delvis ändrat i lag 93/2016, samt

fogas till lagen nya 275 a och 275 b § som följer:

2 § Definitioner

I denna lag avses med

1) arbetstagare den som denna lag tillämpas på enligt 8 och 9 §,

2) företagare den som denna lag tillämpas på enligt 188—190 §,

3) skada påföljden av ett skadefall enligt 15 §,

4) oförsäkrat arbete arbete som utförs av en arbetstagare som arbetsgivaren i strid med 3 § 1 mom. inte har försäkrat och arbete som utförs av en arbetstagare som arbetsgivaren med stöd av 3 § 2 mom. inte är skyldig att försäkra,

5) obligatorisk försäkring en försäkring som avses i 3 §,

6) skadad den som har råkat ut för ett skadefall enligt 15 §,

7) EU:s förordningar om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen och Europaparlamentets och rådets förordning (EG) nr 987/2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

8) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

9) tredjestat en stat på vilken EU:s förordningar om social trygghet och sådana överenskommelser om social trygghet som innehåller bestämmelser om olycksfall i arbetet och om yrkessjukdomar och som är bindande för Finland inte tillämpas,

10) ålderspension ålderspension enligt de lagar som nämns i 3 § i lagen om pension för arbetstagare (395/2006), ålderspension enligt den tidigare lagstiftning som avses i 1 § 2 mom. i lagen om införande av lagen om pension för arbetstagare (396/2006), ålderspension enligt folkpensionslagen (568/2007) och motsvarande pensioner som betalas från utlandet,

11) sjukpension full invalidpension och arbetslivspension som beviljats tills vidare enligt de lagar som nämns i 3 § i lagen om pension för arbetstagare, sjukpension som beviljats tills vidare enligt folkpensionslagen, full invalidpension enligt den tidigare lagstiftning som avses i 1 § 2 mom. i lagen om införande av lagen om pension för arbetstagare, invaliditetspension enligt den tidigare lagstiftning som avses i 1 § 3 mom. i lagen om införande av folkpensionslagen (569/2007) och motsvarande pensioner som betalas från utlandet samt sådant avträdelsestöd enligt 24 § 2 mom. i lagen om införande av lagen om pension för arbetstagare som ska beaktas som pension enligt 92 § 2 mom. i lagen om pension för arbetstagare.

250 § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att försäkringsanstalten begränsar behandlingen av personuppgifter när försäkringsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

252 § Rätten för en försäkringsanstalt och en besvärsinstans att få uppgifter

255 § Försäkringsanstaltens rätt att lämna ut uppgifter

Utöver vad som förskrivs i offentlighetslagen har en försäkringsanstalt rätt att, trots sekretessbestämmelserna och andra begränsningar i rätten att få information, lämna ut uppgifter som grundar sig på verkställigheten av denna lag enligt följande:

1) till behöriga myndigheter och organ får uppgifter som är nödvändiga för att verkställa uppgifter enligt EU:s förordningar om social trygghet och en överenskommelse om social trygghet som är bindande för Finland lämnas ut,

2) till ett ministerium, Skatteförvaltningen och inrättningar eller sammanslutningar som sköter det lagstadgade socialförsäkringssystemet och som administrerar sådana sociala förmåner som påverkas av en ersättning enligt denna lag, får i fråga om en person som fått ersättning enligt denna lag lämnas ut personbeteckning och övriga identifieringsuppgifter, uppgifter om utbetalda ersättningar, uppgifter om arbetsgivaren och andra härmed jämställbara uppgifter som är nödvändiga för samkörning av personuppgifter och annan övervakning av engångskaraktär för att utreda brott och missbruk som riktar sig mot socialskyddet, samt till polis- och åklagarmyndigheten de ovannämnda uppgifterna, om de är nödvändiga för att utreda brott och väcka åtal,

3) till en annan försäkringsanstalt som bedriver lagstadgad försäkringsverksamhet och till Trafikförsäkringscentralen och Patientförsäkringscentralen får uppgifter som är nödvändiga för att utreda deras ansvar för samma skada lämnas ut,

4) till en annan försäkringsanstalt och den som orsakat skadan får sådana uppgifter lämnas ut som är nödvändiga för att utöva den regressrätt som en försäkringsanstalt som bedriver försäkringsverksamhet enligt denna lag har,

5) till en personuppgiftsansvarig som bedriver kreditupplysningsverksamhet får uppgifter lämnas ut om utsökningsbara fordringar som försäkringsanstalten med stöd av denna lag har på försäkringstagaren och den försäkringsskyldige,

6) till en verksamhetsenhet för hälso- och sjukvården och till en självständig yrkesutövare vilka avses i 252 § 1 mom. 3 punkten får de uppgifter om den skadade lämnas ut som är nödvändiga för att ge en betalningsförbindelse eller när en försäkringsanstalt begär ett sakkunnigyttrande för avgörande av ett ersättningsärende,

7) till en verksamhetsenhet för hälso- och sjukvården och till en självständig yrkesutövare vilka avses i 252 § 1 mom. 3 punkten, samt till en producent av rehabiliteringstjänster och någon annan som deltar i genomförandet av en rehabiliteringsåtgärd får de uppgifter om den skadade lämnas ut som är nödvändiga för behandlingen av rehabiliteringsärendet och för rehabiliteringen; uppgifter om den skadades hälsotillstånd får inte lämnas till arbetsgivaren utan den skadades samtycke.

Trots bestämmelserna i 2 och 3 mom. får ett försäkringsbolag till ett företag som avses i 2 mom. lämna ut och i sin övriga försäkringsverksamhet använda de uppgifter om försäkringstagaren som behövs för kundtjänst, kundrelationer och annan kundhantering, om inte något annat följer av dataskyddsförordningen. Sådana uppgifter är den försäkringstagande arbetsgivarens eller företagarens namn, personbeteckning, företags- och organisationsnummer och kundnummer, kontaktinformation, ägarförhållandena i företaget och företagets försäkringsarrangemang enligt denna lag och den lönesumma som ligger till grund för dem samt uppgifter med anknytning till kundhanteringen som kan jämställas med dessa uppgifter.

257 § Försäkringsanstaltens skyldighet att lämna ut uppgifter till Olycksfallsförsäkringscentralen

Utöver det som i offentlighetslagen och i denna lag föreskrivs om hemlighållande av uppgifter ska de personuppgifter som lämnats ut för Olycksfallsförsäkringscentralens uppdrag enligt 235 och 236 § hållas hemliga och de får inte användas eller lämnas ut för att användas när beslut som gäller den försäkrade fattas, med undantag för fall enligt 262 § 3 punkten.

275 a § Automatiserade beslut

Vid verkställigheten av denna lag kan försäkringsanstalten fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut, om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

275 b § Maskinell underskrift av beslut

Beslut som en försäkringsanstalt meddelar med stöd av denna lag får undertecknas maskinellt.

286 § Övergångsbestämmelser

Med avvikelse från 1 mom.

1) kan olycksfallspension och menersättning enligt lagen om olycksfallsförsäkring inte efter att denna lag trädde i kraft bytas ut mot ett kapital som motsvarar deras kapitalvärde,

2) ska 32 § tillämpas på yrkessjukdomar som har debuterat före denna lags ikraftträdande när det ersättningsärende som gäller dem har inletts först efter lagens ikraftträdande,

3) tillämpas bestämmelserna i avdelning IV och VIII också på skadefall som inträffat före denna lags ikraftträdande,

4) tillämpas bestämmelserna i 39—42 § också på skadefall som inträffat från och med den 1 januari 2005,

5) tillämpas bestämmelserna i 35 kap. samt 275 § också på olycksfall i arbetet som inträffat och yrkessjukdomar som debuterat före den 1 januari 2016.

Denna lag träder i kraft den 20 .

36. Lag om ändring av lagen om utkomstskydd för arbetslösa

I enlighet med riksdagens beslut

upphävs i lagen om utkomstskydd för arbetslösa (1290/2002) 13 kap. 7 § och 10 § 3 mom.,

ändras 13 kap. 1 § 2 och 3 mom. och 2 §, av dem 13 kap. 1 § 2 mom. sådant det lyder i lag 288/2012 och 2 § sådan den lyder i lag 1049/2013, samt

fogas till 11 kap. en ny 3 a § och till 13 kap. en ny 9 §, i stället för den 9 § som upphävts genom lag 1554/2015, som följer:

11 kap.
Bestämmelser om verkställighet

3 a § Automatiserade beslut

Vid verkställigheten av utkomstskydd för arbetslösa enligt denna lag kan Folkpensionsanstalten och arbetslöshetskassan fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

13 kap.
Bestämmelser om erhållande och utlämnande av uppgifter

1 § Rätt att erhålla uppgifter

Folkpensionsanstalten och arbetslöshetskassorna har rätt att avgiftsfritt för skötseln av sina uppgifter enligt denna lag eller andra lagar få

1) arbetskraftspolitiska utlåtanden enligt 1 kap. 4 § 3 mom. av arbetskraftsmyndigheten,

2) uppgifter om när straff börjar och slutar av straffanstalter; straffanstalten ska lämna uppgifterna omedelbart när en person tas in till anstalten.

Folkpensionsanstalten ska underrätta arbetslöshetskassan i fråga för avgörandet av en förmån enligt denna lag eller någon annan lag, om en mottagare av inkomstrelaterad dagpenning eller dennes make beviljas stöd för hemvård enligt lagen om stöd för hemvård och privat vård av barn.

2 § Uppgifter av penninginstitut

Folkpensionsanstalten och besvärsinstanser enligt denna lag har trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att av penninginstitut på begäran avgiftsfritt få de uppgifter om den som ansöker om eller får arbetsmarknadsstöd som är nödvändiga för att avgöra ett ärende som gäller arbetsmarknadsstöd som behandlas, om tillräckliga uppgifter och utredningar inte fås på något annat sätt och det finns grundad anledning att misstänka att de uppgifter som den som ansöker om eller får förmånen har lämnat inte är tillräckliga eller tillförlitliga. Begäran om erhållande av uppgifter ska framställas skriftligen och innan begäran framställs ska sökanden eller mottagaren underrättas om den.

9 § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i dataskyddsförordningen att kräva att Folkpensionsanstalten eller arbetslöshetskassan begränsar behandlingen av personuppgifter när Folkpensionsanstalten eller arbetslöshetskassan utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

37. Lag om ändring av lagen om försäkringskassor

I enlighet med riksdagens beslut

ändras i lagen om försäkringskassor (1164/1992) 165 c §, sådan den lyder i lagarna 287/2000, och 1016/2005, samt

fogas till lagen en ny 166 §, i stället för den 166 § som upphävts genom lag 899/2008, som följer:

165 c §

Trots bestämmelserna i 165 § har en försäkringskassa rätt att lämna ut uppgifter som omfattas av tystnadsplikten

1) till ett försäkringsbolag för ordnande av återförsäkring,

2) till försäkringskassans tjänsteföretag eller till den som på grundval av ett uppdrag sköter en uppgift som tilldelats av försäkringskassan,

3) till en nämnd eller ett organ i försäkringsbranschen som har meddelats Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG, för skötsel av ärenden som förelagts nämnden eller organet i fråga,

5) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till myndigheter som avses i 165 b § 1 mom.; uppgifter som berör hälsotillstånd får dock lämnas ut endast till åklagar- och förundersökningsmyndigheter för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt.

En försäkringskassa kan i fall som avses i 1 mom. lämna ut endast sådana uppgifter som är nödvändiga för skötseln av ärenden som avses i nämnda moment.

166 §

Sjukkassor och sådana försäkringskassor som bedriver tilläggspensionsverksamhet har rätt att fatta i artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedda automatiserade beslut.

Den registrerade har rätt att kräva att ett i 1 mom. avsett automatiserat beslut behandlas på nytt av en fysisk person.

Denna lag träder i kraft den 20 .

38. Lag om ändring av lagen om försäkringsföreningar

I enlighet med riksdagens beslut

upphävs i lagen om försäkringsföreningar (1250/1987) 16 kap. 10 § 6 mom., sådant det lyder i lag 1231/2009,

ändras 16 kap. 10 § 4, 5 och 7 mom., sådana de lyder i lag 1231/2009, och

fogas till 16 kap. en ny 13 §, i stället för den 16 kap. 13 § som upphävts genom lag 1231/2009, som följer:

16 kap.
Särskilda stadganden

10 §

Om inte något annat följer av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, har en försäkringsförening rätt att trots sekretessen enligt 1 mom. lämna ut uppgifter

1) till en annan försäkringsanstalt för ordnande av återförsäkring,

2) till försäkringsföreningens tjänsteföretag eller till den som sköter en av försäkringsföreningen given uppgift på grundval av ett uppdrag,

3) till en försäkringsanstalt som hör till samma koncern eller samma ekonomiska sammanslutning som försäkringsföreningen för skötsel av ersättningsärenden, ingående av försäkringsavtal och skötsel av andra uppgifter som behövs vid bedrivande av försäkringsrörelse; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen,

4) till en nämnd eller ett organ i försäkringsbranschen som har meddelats Europeiska kommissionen i enlighet med artikel 20.2 i Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG, för skötsel av ärenden som förelagts nämnden eller organet i fråga,

5) till en annan försäkringsanstalt eller skadevållaren för utövande av försäkringsföreningens regressrätt samt till en annan försäkringsanstalt för utredande av olika försäkringsanstalters ansvar vid ett och samma försäkringsfall,

6) för historisk eller vetenskaplig forskning eller för statistikföring, om det är uppenbart att utlämnandet av uppgifter inte kränker de intressen för vilkas skydd sekretess har föreskrivits,

7) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till myndigheter eller organ som avses i 1 mom.; uppgifter som avser hälsotillstånd får dock lämnas ut endast till en åklagar- och förundersökningsmyndighet för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt, samt

8) till personuppgiftsansvariga som bedriver kreditupplysningsverksamhet, dock så att bara sådana uppgifter kan lämnas ut som den som bedriver kreditupplysningsverksamhet får registrera i kreditupplysningsregistret eller i övrigt behandla i kreditupplysningssyfte.

Utöver vad som föreskrivs i 4 mom. får en försäkringsförening lämna ut sådana uppgifter ur sitt kundregister som behövs för marknadsföring samt kundbetjäning och annan skötsel av kundförhållanden till ett sådant företag som hör till samma ekonomiska sammanslutning som försäkringsföreningen. Vad som i detta moment föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

En försäkringsförening kan i situationer som avses i 4 och 5 mom. lämna ut endast sådana uppgifter som är nödvändiga för skötseln av ärendena i fråga.

13 §

Försäkringsföreningen har rätt att fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut.

Den registrerade har rätt att kräva att ett i 1 mom. avsett automatiserat beslut behandlas på nytt av en fysisk person.

Denna lag träder i kraft den 20 .

39. Lag om ändring av försäkringsbolagslagen

I enlighet med riksdagens beslut

ändras i försäkringsbolagslagen (521/2008) 6 kap. 17 a § 1 och 3 mom. och 30 kap. 3 §, sådana de lyder, 6 kap. 17 a § 1 och 3 mom. i lag 523/2016 och 30 kap. 3 § delvis ändrad i lagarna 303/2015 och 1514/2015, samt

fogas till 30 kap. en ny 3 a § och till 31 kap. en ny 11 §, i stället för den 11 § som upphävts genom lag 701/2012, som följer:

6 kap.
Försäkringsbolagets ledning, företagsstyrningssystem och placering av tillgångar

17 a § Rapportering om överträdelser

Ett försäkringsbolag ska ha rutiner för att dess anställda internt genom en oberoende kanal ska kunna rapportera en misstanke om överträdelser av Europaparlamentets och rådets förordning (EU) nr 596/2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG. I förfarandet ska ingå lämpliga och tillräckliga åtgärder för att ordna en korrekt behandling av rapporterna, skydda rapportören och säkerställa skyddet av personuppgifterna för rapportören och den som är föremål för rapporten. Rapporteringsförfarandet ska dessutom innehålla anvisningar som tryggar skyddet för rapportörens identitet, om det inte för utredande av en överträdelse eller annars till följd av myndigheternas rätt till information föreskrivs något annat i lag.

En i 1 mom. avsedd registrerad som är föremål för en rapport har inte rätt enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförord-ningen, att få tillgång till den information som avses i 1 och 2 mom., om utlämnande av uppgifterna skulle kunna hindra utredningen av misstänkta överträdelser.

30 kap.
Sekretess och rätt att lämna ut uppgifter

3 § Undantag från sekretessen

Om inte något annat följer av dataskyddsförordningen, får ett försäkringsbolag trots sekretessen enligt 1 § lämna ut uppgifter

1) till ett annat försäkringsbolag för ordnande av återförsäkring,

2) till försäkringsbolagets tjänsteföretag eller till den som sköter en av försäkringsbolaget given uppgift på grundval av ett uppdrag,

3) till en försäkrings- eller pensionsanstalt eller en försäkringsholdingsammanslutning som hör till samma koncern eller samma ekonomiska sammanslutning som försäkringsbolaget för skötsel av ersättningsärenden, ingående av försäkringsavtal och skötsel av andra uppgifter som behövs vid bedrivande av försäkringsverksamhet; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen,

6) som avses i 3 a § till ett annat försäkringsbolag om brott som riktats mot försäkringsbolaget för något viktigt intresse i anslutning till förebyggande av brott mot försäkringsbolag,

8) till åklagar- och förundersökningsmyndigheter för förhindrande och utredning av brott samt till myndigheter eller organ som avses i 2 § 1 mom. 2—6 punkten; uppgifter om hälsotillstånd får dock lämnas ut endast till åklagar- och förundersökningsmyndigheter för förhindrande och utredning samt ställande under åtal av bedrägeribrott som riktas mot en försäkrings- eller pensionsanstalt,

9) till personuppgiftsansvariga som bedriver kreditupplysningsverksamhet, dock så att bara sådana uppgifter kan lämnas ut som den som bedriver kreditupplysningsverksamhet får registrera i kreditupplysningsregistret eller i övrigt behandla i kreditupplysningssyfte, och

10) till ett företag som hör till samma koncern som försäkringsbolaget, till ett företag som hör till samma grupp enligt 26 kap. som försäkringsbolaget eller till ett företag som hör till samma i lagen om tillsyn över finans- och försäkringskonglomerat avsedda finans- och försäkringskonglomerat som försäkringsbolaget, för kundbetjäning och annan skötsel av kundrelationer, marknadsföring, grupptillsyn samt riskhantering; vad som i denna punkt föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen,

Utöver vad som föreskrivs i 1 mom. kan ett försäkringsbolag lämna ut sådana uppgifter ur sitt kundregister som är nödvändiga för marknadsföring samt kundbetjäning och annan skötsel av kundrelationer till ett företag som hör till samma ekonomiska sammanslutning som försäkringsbolaget. Vad som i detta moment föreskrivs om utlämnande av uppgifter gäller inte utlämnande av uppgifter enligt artiklarna 9.1 och 10 i dataskyddsförordningen.

Ett försäkringsbolag kan i situationer som avses i 1 och 2 mom. endast lämna ut uppgifter som är nödvändiga för skötseln av ärendena i fråga.

3 a § Försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar

Ett försäkringsbolag får behandla och registrera uppgifter om brott mot dess försäkringsverksamhet samt misstankar om sådana brott i ett register som försäkringsbolaget för. Uppgifterna får behandlas endast i den utsträckning som är nödvändig för förhindrande och utredande av brott mot försäkringsverksamheten.

Ett försäkringsbolag får i registret anteckna

1) uppgift om skadefallet,

2) uppgift om det försäkringsbolag mot vilket brottet eller det misstänkta brottet har riktats,

3) uppgift om tidpunkten för registreringen,

4) den registrerades namn, personbeteckning, adress och yrke,

5) uppgift om den domstol som behandlar ärendet,

6) uppgift om vem som har anmält den uppgift som registreras.

Ett försäkringsbolag får inte göra en anteckning i registret innan det misstänkta brottet har anmälts till förundersökningsmyndigheten eller åklagaren. Anteckning i registret ska göras senast inom ett år från det att försäkringsbolaget har inlett straffprocessen eller försäkringsbolaget har fått information om att någon annan har inlett en straffprocess eller från det att åklagaren har beslutat att väcka åtal.

Uppgifterna ska avföras ur registret omedelbart efter det att den registrerade genom underrättens dom har konstaterats vara oskyldig till den misstänkta gärningen, straffprocessen har lagts ner eller en högre rättsinstans har friat den person som dömts av den lägre rättsinstansen. Försäkringsbolaget kan registrera uppgifterna på nytt, om en högre rättsinstans dömer en person som den lägre instansen har friat.

Uppgifterna ska avföras ur registret senast fem år från det att en uppgift om brottet i fråga registrerades första gången.

Den registrerade ska underrättas, om avslag på en ansökan om försäkring eller något annat för den registrerade negativt beslut beror på uppgifter i registret.

31 kap.
Övriga bestämmelser om försäkringsbolags verksamhet

11 § Automatiserade beslut

Försäkringsbolaget har rätt att fatta i artikel 22.1 i dataskyddsförordningen avsedda automatiserade beslut.

Den registrerade har rätt att kräva att ett automatiserat beslut som avses i 1 mom. behandlas på nytt av en fysisk person.

Denna lag träder i kraft den 20 .

40. Lag om ändring av 21 § i lagen om alterneringsledighet

I enlighet med riksdagens beslut

ändras i lagen om alterneringsledighet (1305/2002) 21 § 1 mom., sådant det lyder i lag 1092/2006, som följer:

21 § Tillämpning av lagen om utkomstskydd för arbetslösa och lagen om arbetslöshetskassor

Om inte något annat föreskrivs i denna lag ska lagen om utkomstskydd för arbetslösa och lagen om arbetslöshetskassor (603/1984) tillämpas i fråga om ansökan om alterneringsersättning, avslag på grund av för sent inlämnad ansökan, betalningssätt, tillfälligt avbrott i betalningen eller betalning till lägre belopp, antalet förmånsdagar per vecka, beslut om alterneringsersättning, automatiserade beslut, undanröjande av beslut och självrättelse, preskription av återkravsfordringar, skyldighet att lämna uppgifter, rätt att få uppgifter och utmätningsmans rätt till information, erhållande och utlämnande av uppgifter samt fördelning av rättegångskostnader.

Denna lag träder i kraft den 20 .

41. Lag om ändring av lagen om pension för företagare

I enlighet med riksdagens beslut

upphävs i lagen om pension för företagare (1272/2006) 148 §,

ändras 2 § 1 mom. och 146 § 4 mom., av dem 2 § 1 mom. sådant det lyder delvis ändrat i lagarna 630/2009, 355/2010, 72/2016 och 1250/2016, samt

fogas till lagen nya 95 b och 152 a § som följer:

2 § Centrala definitioner

I denna lag avses med

1) pensionsanstalt arbetspensionsförsäkringsbolag eller pensionskassa som avses i 1 § 3 mom. samt annan pensionsanstalt som avses i 2 § 1 mom. 1 punkten i lagen om pension för arbetstagare (395/2006) då den behandlar ett pensionsärende enligt denna lag,

2) den lägsta åldern för ålderspension den ålder för ålderspension som fastställs utifrån företagarens födelseår och som avses i 8 § 2 och 3 mom.,

3) arbetspensionslag de lagar som avses i 3 § i lagen om pension för arbetstagare,

4) arbetspension pension enligt arbetspensionslagarna,

5) företagare person som avses i 3 §,

6) arbetsinkomst den årliga arbetsinkomst som fastställts för en företagare i enlighet med 112 §,

7) total arbetsinkomst den pensionsgrundande arbetsinkomst som avses i 67 § och i vilken beaktats tillskottsarbetspensionsförsäkringsavgift och nedsatt arbetspensionsförsäkringsavgift samt obetald arbetspensionsförsäkringsavgift,

8) arbetsförtjänst de totala arbetsinkomster som avses i denna lag och i lagen om pension för lantbruksföretagare (1280/2006) samt arbetsinkomster enligt andra arbetspensionslagar,

9) oavlönad tid den tid under vilken en företagare har erhållit moderskaps-, särskild moderskaps-, faderskaps- eller föräldrapenning eller sjukdagpenning, partiell sjukdagpenning eller specialvårdspenning enligt sjukförsäkringslagen (1224/2004), dagpenning vid smittsam sjukdom enligt lagen om smittsamma sjukdomar (1227/2016), alterneringsersättning enligt lagen om alterneringsledighet (1305/2002), inkomstrelaterad dagpenning eller utbildningsdagpenning enligt lagen om utkomstskydd för arbetslösa (1290/2002), vuxenutbildningsstöd enligt lagen om vuxenutbildningsstöd (1276/2000), rehabiliteringspenning enligt arbetspensionslagarna eller lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner (566/2005), ersättning för inkomstbortfall enligt lagen om rehabilitering som ersätts enligt trafikförsäkringslagen (626/1991), dagpenning enligt trafikförsäkringslagen (460/2016), dagpenning eller rehabiliteringspenning enligt lagen om olycksfall i militärtjänst (1211/1990) eller dagpenning eller rehabiliteringspenning enligt lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015) eller lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar (873/2015),

10) intjänad pension pension som har intjänats på basis av den totala arbetsinkomsten enligt denna lag, på basis av tid med pension som upphört och på basis av sådan oavlönad tid som avses i 9 punkten samt förmån som har intjänats på basis av lagen om pensionsersättning som skall betalas av statens medel för tiden för vård av barn under tre år eller för tiden för studier (644/2003),

11) primär förmån en förmån som avses i 85 och 86 § och som oberoende av arbetspensionens belopp betalas till fullt belopp och dras av från en förmån enligt denna lag,

12) EU:s grundförordning om social trygghet Europaparlamentets och rådets förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen,

13) dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

14) EU- och EES-land ett land som tillämpar EU:s grundförordning om social trygghet eller rådets förordning (EEG) nr 1408/71 om tillämpningen av systemen för social trygghet när anställda, egenföretagare eller deras familjemedlemmar flyttar inom gemenskapen,

15) överenskommelse om social trygghet en internationell överenskommelse om social trygghet som är förpliktande för Finland, och

16) teoretisk pension en kalkylerad pension; när denna pension fastställs betraktas den tid i arbete i ett EU- och EES-land som omfattas av arbetspensionslagarna som tid i arbete enligt denna lag.

95 b § Automatiserade beslut

13 kap.
Utlämnande, erhållande och hemlighållande av uppgifter

146 § Tillämpliga bestämmelser

Vid verkställigheten av denna lag tillämpas utöver det som föreskrivs i detta kapitel vad lagen om pension för arbetstagare föreskriver i

1) 195 a § om pensionsanstalternas rätt att lämna uppgifter för avgörandet av pensions- och rehabiliteringsärenden samt för rehabilitering,

2) 197 § om uppgifter om inkomster som ligger till grund för sådana till pension berättigande förmåner som utbetalas för oavlönad tid,

3) 198 § om rätt att få uppgifter för avgörande av ärenden och för verkställighet av lagstadgade uppgifter,

4) 200 § om pensionsanstalternas rätt att få uppgifter för utövande av tillsyn,

5) 202 § om avgiftsfrihet,

6) 203 § om utlämnande av uppgifter inom en försäkringsgrupp,

7) 205 § om utlämnande av uppgifter för utredning av brott och missbruk,

8) 208 § om vidareutlämnande av uppgifter,

9) 209 § om ansvaret för den som vidareutlämnar uppgifter, och

10) 210 § om utlämnande av uppgifter med hjälp av teknisk anslutning.

152 a § Begränsning av den registrerades rätt

Denna lag träder i kraft den 20 .

42. Lag om ändring av 14 b § i lagen om moderskapsunderstöd

I enlighet med riksdagens beslut

ändras i lagen om moderskapsunderstöd (477/1993) 14 b §,

sådan den lyder i lag 695/2002, som följer:

14 b § Begränsning av den registrerades rätt

En i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd registrerad har inte rätt enligt artikel 18.1 a i den förordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

43. Lag om ändring av 8 och 43 b § i lagen om studiestöd

I enlighet med riksdagens beslut

ändras i lagen om studiestöd (65/1994) 8 § 2 mom. och 43 b §,

sådana de lyder, 8 § 2 mom. i lag 559/2017 och 43 b § i lag 691/2002, som följer:

8 § Verkställighet

Verkställighetsuppgifterna enligt denna lag sköts av Folkpensionsanstalten i samarbete med läroanstalterna. Folkpensionsanstalten avgör ärenden som gäller studiestöd och meddelar beslut om studiestöd. Vid verkställigheten av studiestöd enligt denna lag kan Folkpensionsanstalten fatta artikel 22.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, avsedda automatiserade beslut om det med beaktande av det behandlade ärendets art och omfattning samt kraven enligt denna lag och kraven på god förvaltning är möjligt att meddela ett automatiserat beslut.

43 b § Begränsning av den registrerades rätt

En i dataskyddsförordningen avsedd registrerad har inte rätt enligt artikel 18.1 a i data-skyddsförordningen att kräva att Folkpensionsanstalten begränsar behandlingen av personuppgifter när Folkpensionsanstalten utför en uppgift enligt denna lag, om den registrerades krav på begränsning är uppenbart ogrundat.

Denna lag träder i kraft den 20 .

44. Lag om ändring av 9 kap. 5 § i lagen om offentlig arbetskrafts- och företagsservice

I enlighet med riksdagens beslut

ändras i lagen om offentlig arbetskrafts- och företagsservice (916/2012) 9 kap. 5 § 1 mom. 2 punkten, sådan den lyder i lag 1555/2015, som följer:

9 kap.
Kostnadsersättning

5 § Tillämpning av lagen om utkomstskydd för arbetslösa och lagen om arbetslöshetskassor

Om inte något annat föreskrivs i denna lag tillämpas på kostnadsersättning lagen om arbetslöshetskassor (603/1984) och följande bestämmelser i lagen om utkomstskydd för arbetslösa:

2) 11 kap. 3 § (beslut om förmåner) och 3 a § (automatiserade beslut),

Denna lag träder i kraft den 20 .

45. Lag om ändring av 15 kap. i kreditinstitutslagen

I enlighet med riksdagens beslut

fogas till 15 kap. i kreditinstitutslagen (610/2014) en ny 18 a § som följer:

15 kap.
Förfaranden vid kundtransaktioner

18 a § Behandling av personuppgifter som hänför sig till missbruk

Kreditinstitut och finansiella institut får behandla uppgifter om personuppgifter som hänför sig till missbruk och föra register över dem (missbruksregister) i den utsträckning som är nödvändig för att förhindra och utreda brott eller överträdelser som riktas direkt mot deras verksamhet.

I missbruksregistret får följande uppgifter antecknas:

1) den registrerades nuvarande eller tidigare kundrelation,

2) dröjsmål eller försummelser i fråga om betalningar,

3) brottet, det misstänkta brottet eller överträdelsen,

4) det kreditinstitut eller finansiella institut mot vilket brottet, det misstänkta brottet eller överträdelsen har riktats,

5) tidpunkten för gärningen eller den misstänkta gärningen och för anteckningen i registret,

6) den registrerades namn, personbeteckning, adress och yrke,

7) den domstol eller förundersökningsmyndighet där ärendet är anhängigt,

8) vem som har anmält och registrerat uppgiften.

Ett kreditinstitut eller finansiellt institut får inte göra en anteckning i missbruksregistret innan det misstänkta brottet eller överträdelsen har anmälts till förundersökningsmyndigheten eller åklagaren eller en fordran som har förfallit till betalning har varit obetald i mer än 60 dagar från förfallodagen. Anteckning i registret ska göras inom ett år från det att

1) kreditinstitutet eller det finansiella institutet har inlett straffprocessen,

2) kreditinstitutet eller det finansiella institutet har fått information om att någon annan har inlett en straffprocess, eller

3) åklagaren har beslutat att väcka åtal, eller

4) betalningen har förfallit.

Uppgifterna om ett brott ska avföras ur missbruksregistret omedelbart efter det att den registrerade genom underrättens dom har konstaterats vara oskyldig, straffprocessen har lagts ner eller en högre rättsinstans har friat den person som dömts av den lägre rättsinstansen. Kreditinstitutet eller det finansiella institutet kan registrera uppgifterna på nytt, om en högre rättsinstans dömer en person som den lägre instansen har friat.

Uppgifterna ska avföras ur registret senast fem år från det att en uppgift om brottet i fråga registrerades första gången. En uppgift om en betalningsstörning ska avföras senast när det har gått två år sedan betalningen gjordes.

Den registrerade ska underrättas om användningen av uppgifterna för beslutsfattande, om avslag på en ansökan om kredit eller något annat för den registrerade negativt beslut beror på uppgifter i missbruksregistret.

Denna lag träder i kraft den 20 .

Helsingfors den 12 april 2018

Statsminister Juha Sipilä

Social- och hälsovårdsminister Pirkko Mattila

Kakinställningar

RP 52/2018 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Regeringens proposition RP 52/2018 rd Regeringens proposition till riksdagen med förslag till ändring av socialtrygghets- och försäkringslagstiftningen med anledning av EU:s allmänna dataskyddsförordning

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

ALLMÄN MOTIVERING

1 Inledning

2 Nuläge och bedömning av nuläget

2.1 Behandling av personuppgifter vid verkställigheten av social trygghet och inom försäkringsverksamheten

2.2 Utlämnande av personuppgifter och sekretessbestämmelser

2.3 Utlämnande av personuppgifter på grund av samtycke

2.4 Behandling av personuppgifter i anslutning till domar i brottmål samt överträdelser

2.5 Den registrerades rätt att begränsa behandlingen

2.6 Automatiserade beslut

3 Målsättning och de viktigaste förslagen

3.1 Utlämnande av personuppgifter och sekretessbestämmelser

3.2 Utlämnande av personuppgifter på grund av samtycke

3.3 Behandling av personuppgifter i anslutning till domar i brottmål samt till överträdelser

3.4 Den registrerades rätt att begränsa behandlingen

3.5 Automatiserade beslut

4 Propositionens konsekvenser

4.1 Konsekvenser för myndigheterna

4.2 Konsekvenser för företagen

4.3 Konsekvenser för medborgarna

5 Beredningen av propositionen

6 Samband med andra propositioner

DETALJMOTIVERING

1 Lagförslag

1.1 Lagen om underhållsstöd

1.2 Lagen om pensionsstiftelser

1.3 Lagen om pensionsstöd

1.4 Pensionslagen för den offentliga sektorn

1.5 Folkpensionslagen

1.6 Lagen om vuxenutbildningsstöd

1.7 Lagen om tillämpning av lagstiftningen om bosättningsbaserad social trygghet

1.8 Lagen om Pensionsskyddscentralen

1.9 Lagen om bostadsbidrag för pensionstagare

1.10 Lagen om Folkpensionsanstaltens rehabiliteringsförmåner och rehabiliteringspenningförmåner

1.11 Lagen om Utbildningsfonden

1.12 Lagen om stöd för hemvård och privat vård av barn

1.13 Lagen om försök med basinkomst

1.14 Lagen om ersättning till lantbruksföretagare för självrisktiden enligt sjukförsäkringslagen

1.15 Lagen om tillämpning av Europeiska unionens lagstiftning om samordning av de sociala trygghetssystemen

1.16 Lagen om garantipension

1.17 Lagen om finansiering av arbetslöshetsförmåner

1.18 Lagen om utländska försäkringsbolag

1.19 Lagen om olycksfalls- och pensionsskydd för idrottsutövare

1.20 Lagen om försäkringsförmedling

1.21 Lagen om handikappförmåner

1.22 Lagen om allmänt bostadsbidrag

1.23 Barnbidragslagen

1.24 Trafikförsäkringslagen

1.25 Lagen om Trafikförsäkringscentralen

1.26 Patientskadelagen

1.27 Lagen om pension för lantbruksföretagare

1.28 Lagen om lantbruksföretagares olycksfall i arbetet och yrkessjukdomar

1.29 Lagen om sjömanspensioner

1.30 Lagen om frontmannapension

1.31 Sjukförsäkringslagen

15 kap. Verkställighet

19 kap. Bestämmelser om erhållande och utlämnande av uppgifter

1.32 Militärunderstödslagen

1.33 Lagen om skada, ådragen i militärtjänst

1.34 Lagen om pension för arbetstagare

1.35 Lagen om olycksfall i arbetet och om yrkessjukdomar

1.36 Lagen om utkomstskydd för arbetslösa

11 kap. Bestämmelser om verkställighet

13 kap. Bestämmelser om erhållande och utlämnande av uppgifter

1.37 Lagen om försäkringskassor

1.38 Lagen om försäkringsföreningar

16 kap. Särskilda stadganden

1.39 Försäkringsbolagslagen

6 kap. Försäkringsbolagets ledning, företagsstyrningssystem och placering av tillgångar

30 kap. Sekretess och rätt att lämna ut uppgifter

31 kap. Övriga bestämmelser om försäkringsbolags verksamhet

1.40 Lagen om alterneringsledighet

1.41 Lagen om pension för företagare

1.42 Lagen om moderskapsunderstöd

1.43 Lagen om studiestöd

1.44 Lagen om offentlig arbetskrafts- och företagsservice

9 kap. Kostnadsersättning

RP 52/2018 rd

10 kap.
Utlämnande, erhållande och hemlighållande av uppgifter