|
|
|||
|
Ålands landskapsstyrelse |
FRAMSTÄLLNING nr 8/2003-2004 |
||
|
|
Datum |
|
|
|
|
2004-02-26 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Till Ålands lagting |
|
|
|
|
|||
|
|
|||
|
|
|||
|
|
|||
Ny landskapslagstiftning om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
Landskapsstyrelsen föreslår att lagtinget antar en landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Syftet med den föreslagna lagen är att säkerställa att enskilda människor skyddas mot att deras personuppgifter används på ett kränkande sätt samt att främja utvecklandet och iakttagandet av god informationshantering inom myndigheten. Genom förslaget blir Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter slutligt genomfört inom samtliga rättsområden landskapet har lagstiftningsbehörighet över. Den föreslagna lagen föreslås till stor del följa EG-direktivets text och struktur.
Lagen omfattar endast landskapsmyndigheter och kommunala myndigheter samt andra till den del de handhar uppgifter inom landskapsförvaltningen eller den kommunala självstyrelseförvaltningen. För Ålands polismyndighet finns särskilda bestämmelser.
Ett centralt begrepp i lagen är begreppet personuppgifter. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Avsikten är att den nya lagen skall vara teknikoberoende. Lagen omfattar således behandling av personuppgifter som helt eller delvis görs med hjälp av dator. Lagen föreslås även gälla för annan behandling av personuppgifter, om dessa ingår i eller är avsedda att ingå i ett register av personuppgifter eller en del av ett sådant (manuellt register). Lagen föreslås dessutom innehålla de generella regler som följer av EG-direktivet i fråga om vilka krav som skall ställas vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerhet och sekretess vid behandling samt överföring av personuppgifter till stater utanför den Europeiska unionen eller det Europeiska ekonomiska samarbetsområdet.
Enligt framställningen skall tillsynen över behandlingen av personuppgifter utövas av en ny myndighet kallad Datainspektionen. Genom inrättandet av denna tillsynsmyndighet uppfylls EG-direktivets krav på en fullständigt oberoende tillsynsmyndighet. Närmare bestämmelser om myndigheten föreslås intagna i en landskapslag om Datainspektionen.
Avsikten är att de i framställningen föreslagna lagarna skall träda ikraft så snart som möjligt. Därefter kan EG-direktivet slutnotifieras till EG-kommissionen.
Lagförslaget överensstämmer i huvudsak med den framställning med förslag till ny lagstiftning om behandling av personuppgifter inom landskaps- och kommunalförvaltningen som överlämnades till lagtinget den 10 april 2003, men som på grund av nyval till Åland lagting förföll.
INNEHÅLL
1.2 Den privata sektorn och polismyndigheten
1.3 Landskapsmyndigheter och kommunala myndigheter
1.4 Framställning som förföll på grund av nyval
2. Landskapslagen om allmänna handlingars offentlighet
3.2 Huvuddragen i EG-direktivet
4. Förhållandena i vår närmaste omgivning.
5. Landskapsstyrelsens förslag
5.2 Behovet av en ny reglering
6.1 Landskapslagstiftning om behandling av personuppgifter
6.2 Fri- och rättighetsreformen år 1995
6.3 Den finländska personuppgiftslagen stiftad i vanlig lagstiftningsordning
6.4 Landskapslagstiftning om polisens personregister
6.5 Landskapslagstiftning om arbetsmarknadspolitisk verksamhet
6.6 Landskapslagstiftning om handel med utsäde
1. Landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
2 kap. Allmänna bestämmelser för behandlingen av personuppgifter
3 kap. Känsliga personuppgifter
4 kap. Information till den registrerade
6 kap. Anmälan till tillsynsmyndigheten
10 kap. Särskilda bestämmelser
2. Landskaplag om Datainspektionen
3. Landskapslag om ändring av landskapslagen om allmänna handlingars offentlighet
5. Landskapslag om ändring av 3 och 19 §§ statistiklagen för landskapet Åland
L A N D S K A P S L A G om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
L A N D S K A P S L A G om Datainspektionen
L A N D S K A P S L A G om ändring av landskapslagen om allmänna handlingars offentlighet
L A N D S K A P S L A G om ändring av statistiklagen för landskapet Åland
Inom landskapslagstiftningen finns ett flertal lagar om personregister. Den första enhetliga reglering av rättsområdet tillkom så sent som år 1992, då det till landskapslagen om allmänna handlingars offentlighet (72/1977) fogades ett nytt 3a kapitel om allmänna handlingar som utgör personregister samtidigt som landskapslagen om tillämpning i landskapet Åland av vissa riksfattningar rörande personregister (57/1991) trädde i kraft i landskapet. Syftet med lagstiftningen var att åstadkomma en ändamålsenlig reglering av hanteringen av personregister såväl för den offentliga som för den privata sektorn. Bakgrunden till behovet av en ny lagstiftning var dels den datatekniska utvecklingens ökade möjligheter att snabbt och billigt hantera stora mängder information och dels det hot mot den personliga integriteten och mot det personliga rättsskyddet som informationsanvändningen kunde medföra.
1.2 Den privata sektorn och polismyndigheten
Landskapslagen om tillämpning i landskapet Åland av vissa riksfattningar rörande personregister har från och med den 1 september 1999 ersatts med en ny blankettlag om personregister (50/1999). Med stöd av den nya blankettlagen är rikets personuppgiftslag (FFS 523/1999) gällande i landskapet även för personregister som förs inom rättsområden inom den privata sektorn där landskapet har lagstiftningsbehörighet. Genom den nya blankettlagen utökades lagens tillämpningsområde så att rikslagen om polisens personregister (FFS 509/1995) blev tillämplig i landskapet på den åländska polismyndighetens personregister. Blankettlagen tillämpas däremot inte på personregister som förs av övriga landskapsmyndigheter eller kommunala myndigheter på Åland. Att ett blankettlagssystem valdes för den privata sektorn respektive polismyndigheten motiverades bland annat med att lagstiftningsbehörigheten inom dessa områden är delad mellan landskapet och riket och att en blankettlag därmed ansågs mer ändamålsenlig ur ett praktiskt perspektiv.
Värt att notera är även att enligt den gamla 1991 års blankettlag utövade riksmyndigheterna dataombudsmannen och datasekretessnämnden med stöd av en i blankettlagen angiven bestämmelse tillsyn över personregisterlagens (FFS 471/1987) tillämplighet i landskapet. Tillsynsbestämmelsen kunde intas i blankettlagen med stöd av 14 § 4 mom. 1951 års självstyrelselag. Vid lagtingsbehandlingen av den nya 1999 års blankettlag ansågs det däremot inte stå i överensstämmelse med självstyrelselagen att i första hand åberopa 19 § 3 mom. självstyrelselagen när man ville överföra förvaltningsuppgifter på en riksmyndighet. I 1999 års blankettlag om personregister handhas därför tillsynsuppgiften av landskapsstyrelsen. Om förvaltningsuppgifter, till exempel tillsynsuppgifter skall överföras, ansåg lagtinget att det skall göras med stöd av en överenskommelseförordning enligt 32 § självstyrelselagen.
1.3 Landskapsmyndigheter och kommunala myndigheter
I fråga om de personregister som förs av landskapsmyndigheter, med undantag av polismyndigheten, och kommunala myndigheter samt andra till den del de handhar uppgifter inom landskapsförvaltningen eller den kommunala självstyrelseförvaltningen gäller de bestämmelser som finns i kapitel 3a i landskapslagen om allmänna handlingars offentlighet. Orsaken till att regleringen av personregister inom den offentliga sektorn inte har ordnats på samma sätt som för den privata sektorn har dels att göra med den betydelse som principen om allmänna handlingars offentlighet (offentlighetsprincipen) har och dels av att enskilda individer redan har ett visst skydd genom bestämmelserna om allmänna handlingars hemlighållande och att det uppställts vissa krav på upprätthållande av och insyn i register. Samtidigt har det inte ansetts på principiella och självstyrelsepolitiska grunder motiverat att befogenheterna för riksmyndigheter skulle utsträckas till självstyrelsens och kommunernas förvaltningsorgan.
1.4 Framställning som förföll på grund av nyval
Den 10 april 2003 överlämnade landskapsstyrelsen en framställning med förslag till ny lagstiftning om behandling av personuppgifter inom landskaps- och kommunalförvaltningen (framst. nr 18/2002-2003) till Ålands lagting. Lagtingsbehandlingen av ärendet avbröts med stöd av 28 § lagtingsordningen (11/1977) på grund av nyval till lagtinget. Genom en skrivelse daterad den 31 oktober 2003 meddelade lagtinget landskapsstyrelsen om att landskapsstyrelsens framställning nr 18/2002-2003 hade förfallit.
Den av landskapsstyrelsen nu föreslagna framställningen överensstämmer i huvudsak såväl till syfte som till innehåll med den framställning som i april 2003 överlämnades till lagtinget.
2. Landskapslagen om allmänna handlingars offentlighet
Enligt 15a § landskapslagen om allmänna handlingars offentlighet, nedan kallad offentlighetslagen, skall myndigheten vid inhämtande, registrering, användning och utlämnande av personuppgifter som ingår i personregister eller i andra allmänna handlingar iaktta en god registersed så att de registrerades personliga integritet, intressen och rättigheter inte kränks.
Med myndighet avses enligt offentlighetslagen landskapets myndigheter samt kommunala och övriga myndigheter till den del de handhar uppgifter inom landskapsförvaltningen och den kommunala självstyrelseförvaltningen jämte till sådan myndighet hörande person som handlar under tjänstemannaansvar. Myndighetsbegreppet omfattar även offentligträttsliga sammanträden, representantskap, utskott, kommittéer, kommissioner, delegationer och nämnder. Enligt 15d § undantas Ålands polismyndighet från kapitlets tillämpning.
Enligt offentlighetslagen skall det alltid finnas en saklig grund för upprättandet av personregister, antingen genom bestämmelser i lagstiftning eller genom att de uppgifter myndigheten fullgör förutsätter att ett register upprätthålls. Personuppgifterna i registret skall även vara relevanta med hänsyn till registrets ändamål. I landskapslagen definieras personuppgifter som en sådan beskrivning av en individ eller individuella egenskaper eller levnadsförhållanden som kan hänföras till en bestämd fysisk person eller dennes anhöriga.
I offentlighetslagens 15a § ingår även en bestämmelse om de förutsättningar som måste vara uppfyllda för att personuppgifter som ingår i allmänna handlingar skall få lämnas ut i större mängder. Förutsättningarna för dessa så kallade massutlämnanden av personuppgifter är för det första att den registrerade har samtyckt till utlämnandet eller att myndigheten i fråga på särskilda skäl gett sitt tillstånd till utlämnandet eller för det andra om utlämnandet sker för vetenskaplig forskning eller för statistiskt ändamål och det är uppenbart att mottagarens användning av uppgifterna inte är ägnad att äventyra de registrerades personliga integritet. Ett massutlämnande får slutligen göras om utlämnandet är tillåtet enligt landskapslag. Genom offentlighetslagen har den enskilde rätt att förbjuda att personuppgifter för direkt marknadsföring och för andra jämförbara ändamål som gäller honom eller henne lämnas ut.
Offentlighetsprincipen såsom den kommer till uttryck i 1-3 kapitlet offentlighetslagen tryggar inte till alla delar insynen i personregistren. I 15 b § finns därför en bestämmelse som ger var och en rätt till insyn i personregister för den som finns införd där oavsett om registret av någon anledning har förklarats hemligt eller sekretessbelagt. Denna insyn är dock inte helt obegränsad, utan här hänvisas till rikslagstiftningen i fråga om de begränsningar som trots allt kan bli aktuella. Med rikslagstiftning avses enligt motiven till landskapslagen bland annat 12 § personregisterlagen (FFS 471/1987) och dess begränsning av uppgifter då det gäller uppgifter som kan medföra fara för den registrerades hälsa eller vård om de lämnas ut. En blankettbestämmelse ansågs här såväl ändamålsenlig som praktiskt betingad.
I 15c § kommer en annan viktig princip till uttryck och det är möjligheten att få en oriktig, onödig, bristfällig eller föråldrad uppgift rättad utan dröjsmål. På begäran av den registrerade skall fel alltid rättas.
I övrigt var avsikten att begreppet Agod registersed@ i lagens 15a § skulle ange riktlinjerna för hur hanteringen av personuppgifter skulle ske, exempelvis hur registerbeskrivningarna skulle se ut och hur hanteringen av känsliga uppgifter skulle göras. Landskapsstyrelsen har utgående från lagen utfärdat allmänna direktiv om hur personregister bör hanteras.
Syftet med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat EG-direktivet, är att skapa ett skydd för enskilda personers grundläggande rättigheter i samband med behandling av personuppgifter. Medlemsstaterna får varken begränsa eller inskränka det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med behandling av personuppgifter. Medlemsstaterna får inom den ram som ges i EG-direktivet närmare precisera villkoren för när behandling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom Europeiska unionen (EU).
3.2 Huvuddragen i EG-direktivet
3.2.1 Tillämpningsområde
EG-direktivet är tillämpligt på all behandling av personuppgifter och således också på manuella register, dock endast på sådana manuella register som är sökbara utifrån särskilda kriterier. EG-direktivet är inte tillämpligt på sådan behandling av personuppgifter som inte omfattas av gemenskapsrätten. Här nämner EG-direktivet speciellt behandlingar som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straffrättens område. Men EG-direktivet är inte heller tillämpligt på register för personligt bruk. Behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål bör så långt som det är möjligt undantas från direktivets materiella bestämmelser.
3.2.2 Behandling
Personuppgifter skall behandlas på ett korrekt och lagligt sätt. Uppgifterna får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare användas på ett sätt som är oförenligt med ursprungsändamålet. Personuppgifter får behandlas endast när den registrerade otvetydigt lämnat sitt samtycke, när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, när det är nödvändigt för att skydda den enskildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller slutligen när det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter skall få ske.
Känsliga uppgifter såsom ras, religion, politisk åsikt, medlemskap i fackförening och hälsotillstånd får inte behandlas. Direktivet medger dock vissa undantag, bland annat om den registrerade lämnat sitt uttryckliga samtycke, för hälso‑ och sjukvårdens administration och vid författningsreglerade skyldigheter.
3.2.3 Information och anmälan
Direktivet innehåller även bestämmelser om informations- och anmälningsplikt. Om personuppgifter samlas in skall de registrerade informeras bland annat om vem som är registeransvarig och om vad uppgifterna skall användas till.
All behandling av personuppgifter skall enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock, för att undvika olämpliga administrativa formaliteter, besluta om undantag från och förenklingar av anmälningsplikten såvitt avser sådana fall då behandlingen sannolikt inte kommer att kränka de berörda personernas fri‑ och rättigheter. För att undantaget skall kunna utnyttjas krävs att medlemsstaterna för dessa typer av behandling anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur längre uppgifterna skall bevaras. Medlemsstaterna kan även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrat sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri‑ och rättigheter. Denna person som i EG-direktivet kallas uppgiftsskyddsombud måste, vare sig han eller hon är anställd av den registeransvarige eller inte, ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.
Behandling av personuppgifter som innebär särskilda risker för den registrerades fri- och rättigheter får inte förekomma utan att tillsynsmyndigheten först gett tillstånd till detta. Medlemsstaterna skall dessutom se till att den registrerade har rätt att föra sin talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på behandlingen.
3.2.4 Överföring till tredje land
Överföring av personuppgifter till ett tredje land får i princip ske endast om det mottagande landet har en adekvat skyddsnivå. Vid bedömningen om skyddsnivån är adekvat skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3.2.5 Tillsynsmyndighet
Övervakningen av EG-direktivets tillämpning i medlemsstaterna kan skötas av en eller flera myndigheter. Tillsynsmyndigheten skall vara ett fullständigt oberoende organ. Den skall ha undersökningsbefogenheter, befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter och befogenheter att inleda rättsliga förfaranden när lagstiftningen överträds. Tillsynsmyndighetens beslut skall kunna överklagas till domstol.
3.2.6 Tid för genomförande
Enligt slutbestämmelserna i EG-direktivet skulle direktivet ha varit genomfört i nationell rätt inom tre år efter antagandet, det vill säga den 24 oktober 1995, vilket medför att tiden för genomförande av EG-direktivet i nationell rätt gick ut den 24 oktober 1998. För de automatiserade behandlingar som då redan påbörjats fanns även en övergångsperiod på ytterligare tre år (24 oktober 2001). För redan existerande manuella register är övergångsperioden utsträckt till, som längst, tolv år.
I samband med EG-kommissionens officiella anmärkning av Finlands genomförande av EG-direktivet anmälde landskapet dels den 16 januari 1999 och dels den 7 oktober 1999 via utrikesministeriet EG-direktivet till EG-kommissionen som delvis genomfört i landskapet med stöd av landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister. I anmälan uppgavs att en slutlig notifiering av EG-direktivet skulle göras tidigast i januari år 2000 då landskapslagen om allmänna handlingars offentlighet hade reviderats.
4. Förhållandena i vår närmaste omgivning
Den 1 juli 2000 trädde en ny lov om behandling af personoplysninger (31.05.2000/429) i kraft i Danmark. Genom den nya lagen, som är en generell lag om personuppgifter, upphävdes lov om private registre och lov om offentlige myndigheders registre. Den nya lagen tillkom främst för att genomföra EG-direktivet i dansk rättsordning.
Den danske lov om behandling af personoplysninger skall tillämpas på behandling av personuppgifter som helt eller delvis utförs med elektronisk databehandling och för icke-elektronisk behandling av personuppgifter som är eller kommer att bli inarbetat i ett register. Lagen gäller i första hand för fysiska personer, men omfattar också behandling av uppgifter om juridiska personer som utförs för kreditupplysningsbyråer.
Lagen gäller inte för rent privat behandling av personuppgifter. Lagens tillämpningsområde har begränsats i fråga om domstolars registerföring av brottmål samt behandlingen av uppgifter för journalistiska ändamål. Även behandling av personuppgifter vid Folketinget med tillhörande inrättningar ställs utanför lagens tillämpningsområde. På behandling av personuppgifter för konstnärliga och litterära ändamål tillämpas lagen i begränsad utsträckning.
Lagen innehåller generella krav på behandlingen av personuppgifter, krav på säkerhet vid behandlingen och regler om överföringen av personuppgifter till tredje land. Det uppställs grundläggande villkor för behandling av personuppgifter, till exempel att insamlingen av personuppgifter skall ske för uttryckligen angivna och sakliga ändamål, och att senare behandling av personuppgifter inte får vara oförenlig med de ursprungliga ändamålen.
Utgångspunkten enligt lagen är att behandlingen av känsliga uppgifter inte är tillåten, men att undantag kan göras till exempel när samtycke har givits av den registrerade, när upplysningarna redan är offentliggjorda av den registrerade eller när upplysningarna skall användas till statistiska eller vetenskapliga undersökningar av väsentligt samhälleligt intresse.
Den registrerades har rätt till information från den dataansvarige om behandlingen av personuppgifter, både när sådana uppgifter insamlas av den dataansvarige och när den registrerade själv begär insyn. Danmark har utnyttjat EG-direktivets möjligheter till undantag enligt artikel 13, bland annat genom att någon informationsskyldighet inte föreligger i fråga om vissa uppgifter som behandlas i domstol och inte i fråga om uppgifter som behandlas för vetenskapliga och statistiska ändamål.
Den registrerade kan kräva att en uppgift som är oriktig eller vilseledande skall rättas, strykas eller blockeras. Den registrerade kan motsätta sig en fullständigt automatiserad behandling av personuppgifter som kan få rättsverkningar eller i övrigt beröra den registrerade i väsentlig grad. Den registrerade har även rätt att få reda på vad som ligger till grund för ett sådant helautomatiskt beslut.
I lagen finns särskilda bestämmelser om enskildas och myndigheters skyldighet att göra en anmälan till tillsynsmyndigheten Datatilsynet innan man påbörjar en behandling av personuppgifter. Undantag från anmälningsskyldigheten förekommer dock.
Datatilsynet består av ett sekretariat och ett råd. Sekretariatet skall sköta myndighetens dagliga verksamhet. Sekretariatet leds av en direktör. Rådet, som utnämns av justitieministeriet, består av en ordförande som skall vara domare och av sex andra medlemmar.
År 2000 fick Norge en ny lov om behandling av personopplysninger (31/2000). Genom lagen upphävdes loven om personregister (48/1978). Loven om behandling av personopplysninger baseras till stor del på personregisterlagen, men innehåller främst på grund av EG-direktivet en hel del nya bestämmelser.
Lagen utgör en allmän lagstiftning och tar utgångspunkt från all behandling av personuppgifter. På samma sätt som i den övriga nordiska lagstiftningen finns även i Norge speciallagstiftning om personuppgifter för särskilda fackområden. Med hänsyn till yttrandefriheten gäller endast en begränsad del av lagens bestämmelser behandling av personuppgifter för journalistiska, konstnärliga och litterära ändamål.
Genom den nya norska lagen frångick man den förhandskontroll för upprättande av personregister som varit rådande tidigare. Den nya lagen lägger mer vikt vid en efterföljande kontroll av tillsynsmyndigheten Datatilsynet grundat på en bred anmälningsplikt för dem som behandlar personuppgifter. Genom den nya norska lagen har Datatilsynet tillförts nya sanktionsmöjligheter. Tillsynsmyndigheten får även tillgripa olika tvångsmedel för att hindra fortsatt hantering av personuppgifter i strid mot lagen.
I lagen finns fler och mer utförliga bestämmelser om behandling av personuppgifter än tidigare. Bland bestämmelserna finns både sådana som uppställer villkor för att kunna behandla personuppgifter och sådana som uppställer grundläggande krav för att en behandling skall kunna göras. Bland annat begränsas behandlingen av personuppgifter för andra ändamål än vad det ursprungligen var avsett för.
Lagen har även givit den registrerade bättre rättigheter, bland annat i form av utvidgat krav på insyn i den behandling som pågår. Den registrerade har även rätt till manuell behandling av ett fullständigt automatiserat beslut, samtidigt som han eller hon har rätt att få reda på de grunder som ett sådant beslut baserar sig på. Var och en har även rätt att be om information om den behandling som den behandlingsansvarige företar. Den som behandlar personuppgifter åläggs enligt lagen en skyldighet att informera den registrerade när upplysningar om henne eller honom samlas in.
I den norska lagen finns även utförliga regler om när personuppgifter kan föras över till tredje land. Bestämmelser om kameraövervakning ingår även i lagen.
Tillsynsmyndigheten Datatilsynet leds av en direktör som utses av Konungen. Förutom övervakningen av att lagen följs skall datatillsynet även ge råd och vägledning i frågor som gäller behandling av personuppgifter, föra en offentlig förteckning över alla behandlingar som är anmälda, behandla koncessioner samt hålla sig informerad om den nationella och internationella utvecklingen på området. I den nya norska lagen har Datatilsynets oavhängighet stärkts genom att överklagande av Datatilsynets beslut inte längre avgörs av justitiedepartementet utan av en egen klagonämnd kallad Personvernnemnda. Personvernnemnda består av sju personer, av vilka ordföranden och viceordföranden väljs av Stortinget, medan resterande medlemmar utses av Konungen.
Finland fick en ny personuppgiftslag (FFS 523/1999) från och med den 1 juni 1999. Genom personuppgiftslagen upphävdes personregisterlagen från år 1987. Anledningen till att det vidtogs åtgärder för att ändra personregisterlagstiftningen hade dels att göra med EG‑direktivet och dels med grundrättighetsreformen. Dessutom fanns det behov att ändra vissa detaljer i den gällande personregisterlagstiftningen. Vid beredningen av förslaget hade man enligt motiven som mål att EG-direktivet skulle kunna genomföras så entydigt som möjligt och på ett sätt som kunde anpassas till den nationella lagstiftningen. Därför föreslogs den gällande personregisterlagen ersatt med en ny personuppgiftslag. Personuppgiftslagen bygger dock i många avseenden på den gamla personregisterlagen.
Den nya lagen gäller för all automatisk behandling av personuppgifter och manuell behandling i den grad personuppgifter utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Tillämpningsområdet för personuppgiftslagen har dock begränsats på en rad punkter, bland annat är lagen inte tillämplig på behandling av personuppgifter som uteslutande sker för privat bruk och personregister som bara innehåller material som är publicerat i massmedia. För personuppgifter som behandlas för redaktionella samt konstnärliga eller litterära syften är det i huvudsak bara reglerna om skydd av uppgifterna med tillhörande sanktioner som är gällande.
Enligt den finländska personuppgiftslagen skall behandlingen av personuppgifter vara sakligt motiverad med hänsyn till den registeransvariges verksamhet. Ändamålet för behandlingen skall fastställas innan behandlingen kan påbörjas och senare behandling får inte strida mot det ursprungliga ändamålet. Lagen innehåller också bestämmelser om när det är tillåtet att behandla personuppgifter.
Enligt huvudregeln får inte känsliga personuppgifter behandlas. Liksom i övrig nordisk lagstiftning finns en rad undantag, bland annat för sådan behandling av uppgifter som den registrerade givit sitt uttryckliga samtycke till och där uppgifterna behandlas för historisk eller vetenskaplig forskning eller för statistikföring.
I den finländska personuppgiftslagen finns även specifika bestämmelser om behandling av personuppgifter för särskilda ändamål såsom forskning, marknadsföring, adresseringsverksamhet och kreditupplysningsverksamhet.
Den registrerade skall informeras på olika sätt vid behandlingen av personuppgifter, både när uppgifter samlas in från den registrerade och när uppgifterna hämtas från någon annan. Den registrerade har också rätt att få veta vilka uppgifter som har registrerats om honom eller henne. Den registeransvarige är skyldig att rätta, utplåna eller komplettera bland annat felaktiga och föråldrade uppgifter och skall även förhindra att sådana uppgifter sprids. Den registrerade kan motsätta sig att uppgifter om honom eller henne behandlas då det gäller direktreklam och annan direkt marknadsföring.
I personuppgiftslagen finns också bestämmelser om skydd för uppgifter och om arkivering av uppgifter. På motsvarande sätt som i annan nordisk personuppgiftslagstiftning finns en bestämmelse om anmälningsplikt för behandling av personuppgifter. Men även den finländska lagen är förenad med en rad undantag från anmälningsplikten.
Tillsynen över personuppgiftslagen är delad mellan Dataombudsmannen och Datasekretessnämnden. Dataombudsmannen styr, vägleder och övervakar behandlingen av personuppgifter. Till dataombudsmannens uppgifter hör även att följa den allmänna utvecklingen i fråga om personuppgifter och att ta initiativ när detta påkallas. Dessutom sköter ombudsmannen den informationsverksamhet som hör till ombudsmannens verksamhetsområde och det internationella samarbete som ansluter till behandlingen av personuppgifter. Datasekretessnämnden handlägger och avgör ärenden som enligt personuppgiftslagen tillkommer den. Bland annat kan nämnden på ansökan av dataombudsmannen utfärda föreskrifter som är bindande för den registeransvarige. Datasekretessnämnden kan även bevilja registeransvariga tillstånd att behandla personuppgifter under vissa förutsättningar. Datasekretessnämnden behandlar frågor som är principiellt viktiga med tanke på lagens tillämpningsområde, följer behovet av att utveckla lagstiftningen om behandlingen av personuppgifter samt tar behövliga initiativ.
Dataombudsmannens byrå är en självständig myndighet. Byrån leds av dataombudsmannen som väljs av statsrådet för fem år åt gången. Personalen vid dataombudsmannens byrå uppgår till sammanlagt tjugo personer. Datasekretessnämnden består av ordförande, vice ordförande och fem medlemmar som bör vara insatta i registerverksamhet. Nämndens utnämns av statsrådet för tre år i sänder.
I Sverige trädde en ny personuppgiftslag (1998:204) i kraft den 24 oktober 1998. Genom lagen upphävdes Datalagen (1973:289). Personuppgiftslagen följer EG-direktivets text och uppbyggnad och omfattar all automatisk behandling av personuppgifter samt annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den svenska lagen gäller inte för ren privat behandling av personuppgifter. Lagen skall inte tillämpas till den del den står i strid med bestämmelserna om tryck- och yttrandefriheten i tryckfrihetsförordningen (1949:105) och yttrandefrihetsgrundlagen (1991:1469). För behandling av personuppgifter som uteslutande sker för journalistiska ändamål eller som led i ett konstnärligt eller litterärt skapande, är det bara lagens regler om behandlingssäkerhet (30-31 §§) som får användas. Den svenska personuppgiftslagen skall inte tillämpas i sådana fall var tillämpningen skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kapitlet tryckfrihetsförordningen, som reglerar allmänna handlingars offentlighet.
Den svenska personuppgiftslagen gäller generellt för alla typer av behandling av personuppgifter, men avvikelser kan finnas i speciallagstiftning. Lagen innehåller bestämmelser om grundläggande krav på behandling av personuppgifter, när behandling av personuppgifter är tillåten och när det är förbjudet att överföra uppgifter till en annan stat.
Huvudregeln enligt lagen är att behandlingen av känsliga personuppgifter är förbjuden. Undantag från huvudregeln kan bland annat göras om den registrerade ger sitt samtycke till behandlingen, behandlingen är nödvändig för hälso- och sjukvårdsändamål och för forskning och statistik. Uppgifter om personnummer får behandlas utan samtycke endast enligt särskilda villkor.
Enligt personuppgiftslagen har den personuppgiftsansvarige en skyldighet att ge den registrerade information om behandlingen av personuppgifter, både när personuppgifterna samlas in och när den registrerade själv anhåller om insyn. Informations- och insynsbestämmelserna är bland annat inte tillämplig på de uppgifter som enligt lag är sekretessbelagda.
I lagen finns också bestämmelser om korrigering av felaktiga personuppgifter. Om ett beslut har rättsliga följder för en fysisk person eller annars har märkbara verkningar och beslutet grundas enbart på automatiserad behandling av personuppgifter, har den registrerade med vissa undantag rätt att få beslutet omprövat på manuellt sätt. Den registrerade kan också kräva information om vad som styrt den automatiska behandlingen.
Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Enligt personuppgiftslagen finns en anmälningsskyldighet för behandling av personuppgifter som är helt eller delvis automatiserad. Om den personuppgiftsansvarige har utsett ett personregisterombud, som har till uppgift att göra självständiga kontroller av den behandlingsansvariges behandling av personuppgifter, behöver däremot ingen anmälan göras. I personuppgiftsombudets uppgifter ingår att kontrollera att behandlingen går till på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister hos behandlingsansvarige.
Efterföljer den personuppgiftsansvarige inte lagens bestämmelser kan tillsynsmyndigheten förelägga vite. Tillsynsmyndigheten har även rätt att få tillgång till uppgifter som behandlas och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Tillsynsmyndighet är Datainspektionen, som leds av en generaldirektör som tillsätts av regeringen. Datainspektionen har en administration och en styrelse med tio medlemmar. Administrationen leds av generaldirektören, som också är styrelsemedlem. I styrelsen finns kunskap från datateknik, informationsbehandling, offentlig förvaltning och enskild näringsverksamhet företrädd. Datainspektionen utfärdar föreskrifter och allmänna råd och ger synpunkter på utredningar och lagförslag. Stor vikt läggs vid förebyggande arbete som sker främst genom information och regelgivning. Datainspektionens beslut kan överklagas till allmän förvaltningsdomstol.
5. Landskapsstyrelsens förslag
Landskapsstyrelsen föreslår att en ny landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen antas att gälla i landskapet. Den nya lagen ersätter bestämmelserna om allmänna handlingar som utgör personregister enligt 3a kap. landskapslagen om allmänna handlingars offentlighet och genomför samtidigt EG-direktivet om skydd för enskilda personer med avseende på behandlingen av personuppgifter och det fria flödet av sådana uppgifter. Landskapslagen omfattar enbart landskaps- och kommunalförvaltningen.
5.2 Behovet av en ny reglering
De gällande bestämmelserna om personregister i landskapslagen om allmänna handlingars offentlighet är drygt tio år gamla. Trots att bestämmelserna då de utformades i början av 1990-talet anpassades till den rådande tekniken har mycket förändrats. Utvecklingen inom data- och informationstekniken har gått med rasande fart. Tekniken har blivit kraftfullare, enklare att hantera och billigare. Detta har i sin tur medfört att allt fler kunnat använda tekniken samtidigt som tekniken medfört att det blivit enklare att ta del av, bearbeta och använda samt sprida information oavsett var informationen finns. I dag är elektronisk post och Internet väl kända begrepp och arbetsverktyg inom såväl den privata som den offentliga sektorn runt om på Åland.
Den tekniska utvecklingen har även medfört att hanteringen av personuppgifter ökat kraftigt samtidigt som medvetenheten om att uppgifter finns tillgängliga på allt fler platser ökat. De nya tekniska möjligheterna medför även risker för att tekniken inte används på rätt sätt, bland annat på ett sätt som kan vara kränkande för den enskilde. Skyddet för den enskilde måste dock alltid vägas mot bland annat offentlighetsprincipen samt yttrandefriheten. Det är således svåra avvägningar som måste göras vid utformningen av en ny landskapslagstiftning om personuppgifter. Här är det också viktigt att se till de olika fördelar (friheten, flexibilitet, regionalpolitiska aspekter etc.) som den nya tekniken fört med sig i det informationssamhälle vi lever i, så att lagstiftningen inte i onödan hindrar en effektiv och förnuftig användning av ny teknik.
I samband med den grundläggande fri- och rättighetsreformen år 1995 ändrades regeringsformen på ett flertal ställen. Genom revideringen moderniserades och preciserades det finländska systemet för grundläggande fri- och rättigheter. Samtidigt grundlagsskyddades flera nya grundläggande fri- och rättigheter. Bland de bestämmelser som ändrades var skyddet för privatlivet i 8 § regeringsformen. En motsvarande bestämmelse finns numera i 10 § 1 mom. grundlagen, enligt vilken vars och ens privatliv, heder och hemfrid är tryggade. Momentet innefattar även en bestämmelse om datasekretess, enligt vilket skyddet för personuppgifter regleras närmare i lag. Enligt motiven till grundrättighetsreformen hänvisar sistnämnda bestämmelse till behovet att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet i behandlingen, registreringen och användningen av personuppgifter. Avsikten vid tillkomsten av 3a kapitlet i landskapslagen om allmänna handlingars offentlighet var att landskapsstyrelsen skulle anta direktiv om hur personregister borde hanteras. Sådana mer detaljerade bestämmelser som tidigare kunde utfärdas såsom direktiv förutsätter den nya grundlagen att numera skall finnas på lagnivå. I sammanhanget kan dock nämnas att redan lagutskottet vid behandlingen av ändringen av landskapslagen om allmänna handlingars offentlighet uppmanade landskapsstyrelsen att följa utvecklingen inom rättsområdet och att vid behov föreslå kompletteringar av lagstiftningen.
En central bestämmelse inom rättsområdet är också bestämmelsen i 12 § 2 mom. grundlagen som reglerar offentlighetsprincipen. Enligt denna bestämmelse är handlingar och upptagningar som innehas av en myndighet offentliga, om inte deras offentlighet av tvingande skäl särskilt har begränsats genom lag. I exempelvis landskapslagens 2 kapitel finns bestämmelser om allmänna handlingar som skall hemligstämplas. Slutligen förskrivs i 12 § 2 mom. grundlagen att var och en har rätt att ta del av offentliga handlingar och upptagningar. Integritetsskyddet i 10 § grundlagen och offentlighetsprincipen i 12 § grundlagen skall således även på lagnivå anpassas till varandra.
Av största betydelse för att en förändring av landskapslagstiftningen om personuppgifter måste göras är såsom nämnts tidigare våra skyldigheter gentemot Europeiska unionen, det vill säga Europaparlamentet och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandlingen av personuppgifter och det fria flödet av sådana uppgifter, nedan kallat EG-direktivet.
Genom förslaget uppfylls den uppmaning lagutskottet riktade till landskapsstyrelsen i sitt betänkande nr 8/1998-99 om ändrad personregisterlagstiftning. Utskottet utgick ifrån att landskapsstyrelsen på basis av den arbetsgrupp landskapsstyrelsen tillsatt för genomförandet av EG-direktivet inom landskaps- och kommunalförvaltningen skulle återkomma till lagtinget med förslag som framför allt syftar till att reglera personregisterhanteringen inom landskaps- och kommunsektorn utgående från EG-direktivets krav.
Syftet med den föreslagna landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen är att säkerställa att enskilda människor skyddas mot att deras personuppgifter används på ett kränkande sätt genom behandling hos en myndighet samt att främja utvecklandet och iakttagandet av god informationshantering inom myndigheten.
Lagens bestämmelser berör, såsom redan framkommer av lagrubriken, endast landskapsmyndigheter och kommunala myndigheter samt andra till den del de handhar uppgifter inom landskapsförvaltningen och den kommunala självstyrelseförvaltningen jämte till sådan myndighet hörande person som handlar under tjänstemannaansvar. För Ålands polismyndighet finns särskilda bestämmelser, vilka det inte funnits orsak att ändra i detta sammanhang.
Med avvikelse från vad som var gällande vid beredningen av den finländska personuppgiftslagen, där den nya personuppgiftslagen i många avseenden baserade sig på den gamla personregisterlagen, förslås landskapslagen i huvudsak följa EG-direktivets text och struktur. Vid beredningen har också de fåtal bestämmelser som finns i 3a kap. landskapslagen om allmänna handlingars offentlighet beaktats. Eftersom den föreslagna lagen till stor del kommer att följa EG-direktivets text och struktur får behovet av undantag och särregler för mer speciella områden tillgodoses genom andra författningar, som exempelvis redan är fallet i 10 kapitlet körtkortslagen för landskapet Åland (79/1991).
De definitioner som finns i början av lagen grundar sig på motsvarande definitioner som i EG-direktivet. Ett centralt begrepp är personuppgifter, som har definierats som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Avsikten är att den nya lagen skall vara teknikoberoende. Lagen omfattar således behandling av personuppgifter som helt eller delvis görs med hjälp av dator. Lagen föreslås även gälla för annan behandling av personuppgifter, om dessa ingår i eller är avsedda att ingå i ett register av personuppgifter eller en del av ett sådant (manuellt register).
Enligt förslaget avses med behandling av personuppgifter allt man gör med personuppgifter, vare sig det sker genom databehandling eller inte. Som exempel på behandling av personuppgifter kan nämnas insamling, registrering, lagring, bearbetning och utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter samt sammanställning och samkörning.
Den nya landskapslagen föreslås innehålla de generella regler som följer av EG-direktivet i fråga om vilka krav som skall ställas vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, korrigering av personuppgifter, säkerhet och sekretess vid behandling samt överföring av personuppgifter till stater utanför den Europeiska unionen (EU) eller det Europeiska ekonomiska samarbetsområdet (EES). Enligt framställningen skall tillsynen över behandlingen av personuppgifter utövas av en ny myndighet kallad Datainspektionen. Genom inrättandet av denna tillsynsmyndighet uppfylls EG-direktivets krav på en fullständigt oberoende tillsynsmyndighet. Enligt artikel 28.1 i EG-direktivet skall varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem. Närmare bestämmelser om myndigheten föreslås intagna i en landskapslag om Datainspektionen.
I och med den senaste ändringen av självstyrelselagen, som träder i kraft den 1 juni 2004, har begreppet landskapsstyrelse ersatts med begreppet landskapsregering. Eftersom de lagar som ingår i framställningen förväntas träda i kraft först efter den 1 juni 2004, används den nya benämningen landskapsregering i den föreslagna lagtexten. I framställningens motiveringar används dock begreppet landskapsstyrelse.
I ingressen till tredje, fjärde och femte lagförslaget anges att ordet "landskapsstyrelsen" ersätts med ordet "landskapsregeringen". Lagstiftningstekniken användes första gången i samband med att vallagstiftningen ändrades år 1994 (se ÅFS 63/1994) och landstinget bytte namn till lagtinget.
6.1 Landskapslagstiftning om behandling av personuppgifter
Lagstiftningsbehörigheten i fråga om behandling av personuppgifter som ingår i personregister eller i andra allmänna handlingar prövades första gången konkret i samband med att landskapet fick sin första lagstiftning om personregister för landskaps- och kommunalförvaltningen. De nya bestämmelserna infördes i ett nytt 3a kapitel i landskapslagen om allmänna handlingars offentlighet (se ÅFS 58/1991). Samtidigt fick landskapet en blankettlagstiftning (1991-års blankettlag) om personregister som förs inom rättsområden inom den privata sektorn där landskapet har lagstiftningsbehörighet. De nya bestämmelserna trädde i kraft den 1 januari 1992.
I det nya 3a kap. landskapslagen om allmänna handlingars offentlighet infördes bestämmelser om inhämtande, registrering, användning och utlämnande av personuppgifter som ingår i personregister eller andra allmänna handlingar, under vilka förutsättningar personregister får upprättas, vad som får föras in i registren, när massutlämnande av personuppgifter som ingår i allmänna handlingar får ske, rätten att förbjuda att personuppgifter lämnas ut för att användas i direktreklam, telefonförsäljning och annan direkt marknadsföring, adresstjänst samt marknads- och opinionsundersökningar, var och ens rätt att trots sekretess få reda på vad som finns registrerat om sökanden samt avlägsnade eller kompletterande av uppgifter som är oriktiga, onödiga, bristfälliga eller föråldrade.
Vid lagstiftningskontrollen av 1991-års blankettlag konstaterar Högsta domstolen i sitt utlåtande 27.6.1991 att det rättsområde som beslutet avser inte finns angivet som ett särskilt lagstiftningsområde vid uppdelningen av lagstiftningsbehörigheten mellan landskapet och riket. Domstolen fann att bestämmelserna om personregister ingick i ett flertal lagar och lagstiftningsområden och var därför inte ett i dåvarande 11 § 2 mom. 20 punkten självstyrelselagen avsett område, som vid självstyrelselagens tillkomst inte förutsatts av lagstiftningen. Högsta domstolen konstaterar att lagstiftningsbehörigheten därför skall bedömas utgående från vilka rättsområden landstingsbeslutet kan beröra. I utlåtandet ansåg man att landstingsbeslutet gällde både lagstiftningsområden som hänförs till rikets behörighet och områden som hänförts till landskapets behörighet. Med hänvisning till dåvarande 14 § 4 mom. självstyrelselag (motsvarar 19 § 3 mom. gällande självstyrelselag) kunde i landskapslag för vinnande av enhetlighet och överskådlighet intas bestämmelser av rikslagstiftningsnatur förutsatt att de är i sak överensstämmande med motsvarande bestämmelser i rikets lag. Högsta domstolen konstaterar slutligen att de bestämmelser som ingår i de genom landstingsbeslutet antagna riksförfattningarna utgör en helhet, från vilket det inte är ändamålsenligt att särskilja områden, som hör till rikets lagstiftningsbehörighet, och att det därför inte förelåg hinder för landstingsbeslutets ikraftträdande.
I fråga de bestämmelser om personregister som förs av landskapsmyndigheterna eller av de kommunala myndigheterna på Åland och som fogades till landskapslagen om allmänna handlingars offentlighet genom ett nytt 3a kapitel, fann högsta domstolen i sitt utlåtande 27.6.1991 att landstingsbeslutet gällde landstingets och landskapsstyrelsens åligganden samt kommunalförvaltning, på vilka områden landstinget enligt 10 och 18 §§ samt 13 § 1 mom. 3 punkten 1951-års självstyrelselag hade lagstiftningsbehörighet. Något hinder för landstingsbeslutets ikraftträdande ansågs inte föreligga.
6.2 Fri- och rättighetsreformen år 1995
År 1995 genomfördes en totalrevidering av regeringsformens bestämmelser om de grundläggande fri- och rättigheterna. Genom revideringen moderniserades och preciserades det finländska systemet för grundläggande fri- och rättigheter. Samtidigt grundlagsskyddades flera nya grundläggande fri- och rättigheter.
Efter revisionen fick 8 § 1 mom. regeringsformen följande lydelse: AEnvars privatliv, heder och hemfrid är tryggad. Om skydd för personuppgifter stadgas närmare genom lag@[1]. Paragrafen ersatte regeringsformens äldre bestämmelser om ära i 6 § 1 mom., hemfrid i 11 § samt brev-, telegraf- och telefonhemlighet i 12 §.
Enligt propositionen med förslag till ändring av regeringsformens bestämmelser om de grundläggande fri- och rättigheterna (RP 309/1993) hänvisar bestämmelsen i 8 § 1 mom. om att skyddet för personuppgifter stadgas närmare genom lag till Abehovet att genom lagstiftning trygga individens rättsskydd och skydd för privatlivet i behandlingen, registreringen och användningen av personuppgifter@. I propositionen sägs vidare att det är svårt att klart definiera gränserna för privatlivet, men att utgångspunkten är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående. Till privatlivet hör bland annat individens rätt att fritt knyta och upprätthålla kontakter till andra människor och miljön samt att själv bestämma om sig själv och sin kropp.
Enligt grundlagsutskottet (GrUB 25/1994, sid. 6) förutsätter hänvisningen i 8 § 1 mom. till att skyddet för personuppgifter skall regleras genom lag i enlighet med syftet med revideringen av de grundläggande fri- och rättigheterna att lagstiftaren bestämmer om den berörda rättigheten men att detaljerna i regleringen är beroende av dennes prövning. Klausuler av detta slag kan enligt utskottet kallas för regleringsförbehåll. De visar att det exakta innehållet i en grundläggande fri- och rättighet kan bestämmas först utifrån hela komplexet av bestämmelser om grundläggande fri- och rättigheter och vanlig lagstiftning. Regleringsförbehållen medger enligt grundlagsutskottet lagstiftaren större frihet att reglera rättigheter än om bestämmelsen om den grundläggande fri- och rättigheten formulerades utan ett regleringsförbehåll. Men även med ett regleringsförbehåll kommer huvudregeln till uttryck i grundlagen, en huvudregel som inte kan urholkas genom lag.
Grundlagsutskottet har vid ett flertal tillfällen efter det att reformen av de grundläggande fri- och rättigheterna trätt i kraft tagit ställning till bestämmelsen i 8 § 1 mom. regeringsformen om skyddet för personuppgifter, en bestämmelse som idag har sin motsvarighet i 10 § 1 mom. grundlagen. Så är fallet i bland annat grundlagsutskottets utlåtande över förslaget till ändring av lagstiftningen om polisens personregister (GrUU 14/1998 rd). Här fann grundlagsutskottet det viktigt att utifrån bestämmelsen i 8 § 1 mom. regeringsformen om skyddet för personuppgifter att i lag reglera åtminstone syftet med registreringen, de registrerade uppgifternas innehåll, ändamålen för vilka uppgifterna får användas inbegripet uppgifternas tillförlitlighet och deras förvaringstider samt den registrerades rättsskydd. Av grundlagsutskottets fasta praxis kan även utläsas vikten av att detaljbestämmelserna om personuppgifter i lagstiftningen är exakta (GrUU 26/1996 rd, GrUU 7/1997 rd, GrUU 28/1997 rd och GrUU 29/1997 rd).
6.3 Den finländska personuppgiftslagen stiftad i vanlig lagstiftningsordning
Den 1 juni 1999 fick Finland en ny personuppgiftslag som ersatte personregisterlagen från år 1987. Den nya personuppgiftslagen innehåller allmänna bestämmelser om skyddet för den personliga integriteten vid inhämtande, registrering, användning, överföring och utlämnande av personuppgifter samt när personuppgifter annars behandlas. Genom den nya lagstiftningen ändrades bestämmelserna så att de motsvarar EG-direktivet om skydd för enskilda personer med avseende på behandling av personuppgifter och fria flödet av sådana uppgifter samtidigt som lagstiftningen anpassades till de grundläggande fri- och rättigheterna i regeringsformen, enligt vilken skyddet för att personuppgifter skall regleras närmare i lag.
Enligt propositionen med förslag till ny personuppgiftslag var avsikten att genom den nya personuppgiftslagen garantera att inskränkningar i rätten till privatliv eller i de övriga grundläggande fri- och rättigheterna som tryggar skydd för personlig integritet inte görs utan en i lag angiven grund när personuppgifter inhämtas, registreras, används, överförs, utlämnas eller när personuppgifter annars behandlas (RP 96/1998 rd, sid 82). I förvaltningsutskottets betänkande (FvUB 26/1998 rd) över lagförslaget anförs att lagen åtminstone måste innehålla de saker som grundlagsutskottet nämner i sitt utlåtande GrUU 14/1998 rd, det vill säga bestämmelser om syftet med registreringen, de registrerade personuppgifternas innehåll, ändamålet med registreringen samt bestämmelser om uppgifternas tillförlitlighet och förvaringstider samt den registrerades rättssäkerhet. Förvaltningsutskottet fann det dessutom lämpligast att skriva in så exakta bestämmelser som möjligt i lag om skyddet för personuppgifter.
I fråga om lagstiftningsordningen hänvisar förvaltningsutskottet till grundlagsutskottets utlåtande GrUU 25/1998 rd och de konstitutionella anmärkningar grundlagsutskottet här hade i fråga om de förslagna 12 § och 39 § 2 mom. i personuppgiftslagen. Med hänvisning till sin praxis inkluderande det ovan nämnda utlåtandet om lagstiftningen om polisens personregister (GrUU 14/1998 rd) och dess förhållande till 8 § 1 mom. regeringsformen fann grundlagsutskottet att förslagets 12 § måste kompletteras med uttryckliga bestämmelser om förvaringstider för känsliga personuppgifter. Lagförslagets 39 § 2 mom. med en rätt för dataombudsmannen att utföra inspektioner i lokaler som även kunde omfattas av hemfriden ansågs enligt grundlagsutskottet strida mot 8 § 3 mom. regeringsformen, varför paragrafen enligt utskottet borde göras beroende av att det finns en konkret och specificerad anledning att misstänka ett brott mot lagen har begåtts eller kommer att begås. Trots vissa i andra avseenden kritiska uttalanden om förslaget till personuppgiftslag fann grundlagsutskottet inte lagen i övrigt avvika från regeringsformen varför lagen, under förutsättning att ovannämnda författningsrättsliga anmärkningar beaktades, kunde stiftas i vanlig lagstiftningsordning. Under riksdagsbehandlingen justerades sedermera på förslag av förvaltningsutskottet de angivna bestämmelserna så att grundlagsutskottets anmärkningar beaktades. Den finländska personuppgiftslagen konstaterades sålunda enligt riksdagen vara förenlig med grundlagen och kunde slutligen antas i vanlig lagstiftningsordning.
6.4 Landskapslagstiftning om polisens personregister
Den 22 mars 1999 antog lagtinget en landskapslag om polisens grundregister. Högsta domstolen konstaterar i sitt utlåtande 22.6.1999 över landskapslagen att det rättsområde som lagstiftningen om personuppgifter kan hänföras till inte finns angivet såsom ett särskilt lagstiftningsområde vid uppdelningen av lagstiftningsbehörigheten mellan landskapet och riket, varken i den nya eller i den gamla självstyrelselagen. Domstolen hänvisar sedan till sitt tidigare utlåtande av 27.6.1991 (se ovan) enligt vilket lagstiftningsbehörigheten i fråga om personuppgifter bör bedömas utgående från vilka rättsområden lagtingsbeslutet kan beröra. Samma bedömning bör enligt högsta domstolen göras för den för utlåtandet aktuella personregisterlagstiftningen.
I fråga om landskapslagen om polisens grundregister konstaterar högsta domstolen att lagen innehåller rättsområden som hör dels till landskapets lagstiftningsbehörighet (landskapsstyrelsen och myndigheter och inrättningar som lyder under den samt allmän ordning och säkerhet med vissa undantag) dels till rikets lagstiftningsbehörighet (förundersökning). I utlåtandet, som gäller kommentarer över en speciallagstiftning om personregister där lagstiftningsbehörigheten således konstaterats delad, sägs vidare att i den mån det är fråga om det skydd för personuppgifter som avses i 8 § 1 mom. regeringsformen hör lagstiftningsbehörigheten till riket. Enligt högsta domstolen gäller detta avgränsningen av de uppgifter som skall tas in i polisens grundregister och rätten att erhålla uppgifter ur grundregistret.
Samma dag (22.6.1999) gav högsta domstolen även ett utlåtande över en ändring av landskapslagen om allmänna handlingars offentlighet genom vilken landskapslagen uteslöt polisens personregister från tillämpningsområdet för kapitlet om allmänna handlingar som utgör personregister. Lagtingsbeslutet konstaterades gälla lagtingets och landskapsstyrelsens uppgifter, kommunernas förvaltning samt allmän ordning och säkerhet, rättsområden som enligt 18 § 1, 4 och 6 punkterna självstyrelselagen tillkommer landskapets lagstiftningsbehörighet.
6.5 Landskapslagstiftning om arbetsmarknadspolitisk verksamhet
Den 12.1.2001 uttalade sig Högsta domstolen på nytt om lagstiftningsbehörigheten angående personuppgifter. Utlåtandet gällde ett lagtingsbeslut om antagande av en landskapslag om arbetsmarknadspolitisk verksamhet. Enligt lagtingsbeslutets 30 § skulle 19 och 20 §§ lagen om arbetskraftsservice (FFS 1005/1993) tillämpas på de personregister som Ålands arbetsmarknadsbyrå för med hjälp av automatiserad databehandling. I fråga om lagstiftningsbehörigheten angående personuppgifter hänvisar högsta domstolen i sitt utlåtande till de tidigare utlåtandena av 27.6.1991, 22.6.1999 och 22.6.2000.
Samtidigt konstaterar högsta domstolen att bestämmelsen i 30 § lagtingsbeslutet om sådana personregister som Ålands arbetsmarknadsbyrå upprätthåller gäller rättigheter till skydd för privatlivet. I utlåtandet sägs vidare att enligt 10 § grundlagen skall närmare bestämmelser om skydd för personuppgifter utfärdas genom lag och enligt 27 § 1 punkten självstyrelselagen hör lagstiftningsbehörigheten till riket. Eftersom bestämmelsen i 30 § lagtingsbeslutet är ett blankettstadgande uppstår ingen avvikelse mellan reglerna i landskapet och i riket. Enligt domstolen utgör bestämmelsen ingen behörighetsöverskridning.
6.6 Landskapslagstiftning om handel med utsäde
Den 1 juni 2001 trädde en ny landskapslag om tillämpning i landskapet Åland av lagen om handel med utsäde i kraft. Genom denna blankettlag blev rikslagen om handel med utsäde (FFS 728/2000) med vissa undantag gällande i landskapet. Enligt blankettlagen är rikslagens 24 § om tillsynsregister endast delvis gällande i landskapet. På inhämtande av de personuppgifter och införande av dem i sådana register som avses i rikslagens 24 § samt på användande och utlämnande av uppgifterna tillämpas i landskapet enligt blankettlagens 2 § 2 punkt istället landskapslagen om allmänna handlingars offentlighet. Rikets personuppgiftslag och lagen om offentlighet i myndigheternas verksamhet skall således inte tillämpas på de tillsynsregister landskapsstyrelsen med stöd av blankettlagen upprätthåller för sin tillsyn. Vid lagstiftningskontrollen konstaterades att denna avvikelse föll inom ramen för landskapets lagstiftningsbehörighet.
Högsta domstolens utlåtande i fråga om personregistren vid arbetsmarknadsbyrån är intressant inte minst i jämförelse med det utlåtande högsta domstolen gav 27.6.1991 i fråga om en ändring av landskapslagen om allmänna handlingars offentlighet när ett nytt kapitel om allmänna handlingar som utgör personregister fogades till lagen. Utlåtandet är även intressant i jämförelse med den praxis grundlagsutskottet utvecklat sedan den grundläggande fri- och rättighetsreformen år 1995. Enligt motiven till grundlagen (RP 1/1998 rd, s. 80) motsvarar 10 § grundlagen 8 § i regeringsformen i den lydelse den fick genom den grundläggande fri- och rättighetsreformen (RP 309/1993 rd, s. 56‑59, GrUB 25/1994 rd, s 9).
Enligt 27 § 1 punkten självstyrelselagen har riket lagstiftningsbehörighet i fråga om stiftande, ändring och upphävande av grundlag samt avvikelse från grundlag. Bestämmelsen har ansetts innebära att rikets grundlagsstiftare, utan medverkan av lagtinget, kan begränsa den rättsordning som gäller och tillämpas i landskapet. En av riksdagen ensidig beslutad grundlagsbestämmelse som kan begränsa lagtingets behörighet kan exempelvis vara en grundlagsbestämmelse som generellt begränsar behörigheten för organ inom den offentliga makten. Hit hör regleringen av de grundläggande fri- och rättigheterna som utgår från att individens frihet måste skyddas från ingrepp från statsmakternas sida. Även landskapet Åland är verksamt inom områden där garantierna för de grundläggande fri- och rättigheterna kan vara lika viktiga som i de statliga myndigheterna verksamhet (GrUB 15/1990 sid 4 och GrUB 25/1994 sid 3). De i grundlagen intagna grundläggande fri- och rättigheterna begränsar även lagtingets lagstiftningsbehörighet. Lagtinget måste således hålla sig inom gränserna för grundrättigheterna i grundlagen. Överskrids gränsen medför det en avvikelse från grundlagen.
Högsta domstolen har vid några tillfällen fällt bestämmelser i landskapslagar där gränserna för skyddet av de grundläggande fri- och rättigheterna överskridits. Så var fallet med lagtingsbeslutet 21.4.1993 om antagande av landskapslagen om rundradioverksamhet. Enligt lagtingsbeslutets 7 § 2 mom. gavs landskapsstyrelsen rätt att vid vite tvinga den som inte betalat televisionsavgift att underkasta sig husundersökning för att utreda huruvida betalningsskyldigheten åsidosatts. Högsta domstolen konstaterade i sitt utlåtande 17.7.1993 att finsk medborgares hemfrid enligt 11 § regeringsformen (10 § grundlagen) är okränkbar samt att om förutsättningarna för och verkställigheten av husrannsakan skall stadgas genom lag. Högsta domstolen hänvisade även till riksdagens grundlagsutskotts fasta praxis enligt vilken undantag från skyddet för hemfriden även i andra fall kan regleras i vanlig lagstiftningsordning, förutsatt att husrannsakan påkallas av ett väsentligt allmänt intresse och att intrånget i hemfriden utförs under tjänsteansvar[2]. Eftersom lagtingsbeslutet inte uppfyllde dessa villkor innebar det enligt högsta domstolen en avvikelse från grundlag[3].
Det nu aktuella lagförslaget om behandling av personuppgifter inom landskaps- och kommunalförvaltningen berör ett rättsområde som inte särskilt omnämns i självstyrelselagens uppdelning av lagstiftningsbehörigheten mellan landskapet och riket. Lagstiftningsbehörigheten bör därför bedömas utgående från de rättsområden landskapslagen kan beröra. Följaktligen har lagtinget rätt att allmänt lagstifta om behandling av personuppgifter av landskapet och kommunerna samt om behandling av personuppgifter inom den verksamhet som lagtinget i övrigt har rätt att lagstifta om. Bestämmelserna om behandling av personuppgifter i den föreslagna landskapslagen gäller personuppgifter som det ankommer på landskapets och kommunala myndigheter att behandla. Till den del lagförslaget gäller lagtingets och landskapsstyrelsens uppgifter samt kommunernas förvaltning hör lagstiftningsbehörigheten till landskapet enligt 18 § 1 och 4 punkterna självstyrelselagen. Skyddet av personuppgifter regleras även av landskapslagen om allmänna handlingars offentlighet och bland annat dess sekretessbestämmelser. Rättsområdet har till denna del vid lagstiftningskontroller som berörts ovan och innan den nya grundlagens tillkomst ansetts tillhöra landskapets lagstiftningsbehörighet. I förslaget ingående bestämmelser om utsättande och utdömande av vite samt användningen av andra tvångsmedel inom rättsområden som hör till landskapets behörighet samt bestämmelser som avser straff hör enligt 18 § 25 och 26 punkterna självstyrelselagen till landskapets lagstiftningsbehörighet.
Till rikets lagstiftningsbehörighet hör enligt 27 § 1 punkten självstyrelselagen stiftande av grundlag och avvikelse från grundlag. Bestämmelserna i landskapslagen berör de i 2 kap. grundlagen angivna grundläggande fri- och rättigheterna. Enligt grundlagens 10 § 1 mom. skall skyddet för personuppgifter regleras i lag. Den föreslagna landskapslagen om personregister inom landskaps- och kommunalförvaltningen är utformad på ett sådant sätt att den tillgodoser de krav som 10 § grundlagen och grundlagsutskottets fasta praxis uppställer på lagstiftningen. Lagförslaget har med utgångspunkt från EG-direktivet utformats så att lagen på motsvarande sätt som den finländska personuppgiftslagen håller sig inom gränserna för grundrättigheterna enligt grundlagen, så att inga avvikelser från grundlagen förekommer.
Till den del lagförslaget innehåller bestämmelser som i övrigt är att hänför till rikets lagstiftningsbehörighet har de med stöd av 19 § 3 mom. självstyrelselagen kunnat intas i lagen, eftersom den aktuella lagstiftningen berör rättsområden som till väsentliga delar hör till landskapets lagstiftningsbehörighet.
Genom framställningen genomförs EG-direktivet samtidigt som bestämmelserna om personuppgifter lyfts upp på lagnivå i enlighet med 10 § grundlagen. Förslaget medför att större krav ställs på såväl tillsynsmyndigheten som på de myndigheter som skall följa bestämmelserna i sin dagliga hantering av personuppgifter. Förslaget medför även behov av ökade utbildnings- och informationsinsatser.
Enligt förslaget skall en ny tillsynsmyndighet Datainspektionen inrättas. Inrättandet av den nya oberoende tillsynsmyndigheten är nödvändig för att uppfylla EG-direktivet, men även utan EG-direktivets krav skulle det inte vara lämpligt att landskapsstyrelsen själv handhar tillsynsfunktionen till den del fråga är om landskapstyrelsens egen hantering av personuppgifter.
Vid Datainspektionen föreslås att en tjänst som chef inrättas. Behovet för en heltidstjänst anses nödvändig för att kunna handha tillsynen och skötseln av de uppgifter tillsynsmyndigheten har enligt den föreslagna framställningen. Under en övergångsperiod kommer de huvudsakliga resurserna i första hand att användas för rådgivning och styrning, vartefter mer och mer av resurserna kan flyttas över till inspektionsverksamheten. Datainspektionens ytterligare behov av tjänster för kanslifunktioner får övervägas i samband med den budgetberedning som ansluter sig till den föreslagna lagstiftningens ikraftträdelsetidpunkt.
Landskapsstyrelsen tillsatte den 9 februari 1999 en arbetsgrupp med uppdrag att i åländsk lagstiftning implementera EG-direktivet om skydd för enskilda personer med avseende på behandlingen av personuppgifter och om det fria flödet av sådana uppgifter. Arbetsgruppen överlämnade sitt betänkande till landskapsstyrelsen den 23 augusti 2002.
Betänkande har varit remiss till de landskapsmyndigheter och kommunala myndigheter som berörs av förslaget.
1. Landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
1 § Lagens tillämpningsområde I paragrafens 1 mom. innehåller en upplysning om lagens syfte. Genom lagen är avsikten att säkerställa att människor skyddas mot att deras personuppgifter används på ett kränkande sätt genom myndighets behandling av personuppgifter. Inga inskränkningar i den personliga integriteten får göras utan en i lag angiven grund. Enligt EG-direktivets 1 artikel skall medlemsstaterna skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
Syftet med EG-direktivet är även att åstadkomma ett fritt flöde av personuppgifter mellan medlemsstaterna i Europeiska unionen. Någon uttrycklig bestämmelse om det sistnämnda syftet föreslås inte intagen i paragrafen eftersom syftet uppfylls genom att medlemsstaterna genomför en åtminstone delvis harmoniserad lagstiftning till skydd mot kränkning av den personliga integriteten vid behandling av personuppgifter.
Enligt 10 § 1 mom. grundlagen är var och ens privatliv, heder och hemfrid tryggande. Enligt motiven till bestämmelsen är utgångspunkten för skyddet av privatlivet att individen har rätt att leva sitt eget liv utan godtycklig och ogrundad inblandning av myndigheter och andra utomstående (jfr RP 309/1993, RP 1/1998).
Ett syfte med den gällande regleringen av allmänna handlingar som utgör personregister i 3a kap. landskapslagen om allmänna handlingars offentlighet är att bland annat god registersed skall iakttas. Genom den föreslagna paragrafen justeras denna skyldighet så att den bättre tillgodoser EG-direktivets krav på det skydd som måste iakttas vid all behandling av personuppgifter det vill säga en god informationshantering. Främjandet av en god informationshantering innebär bland annat att man i samband med behandlingen av personuppgifter ser till att behandlingens tekniska genomförande är sakligt och att de som behandlar personuppgifter görs välbekant förtrogna med behandlingen av personuppgifter samt med de bestämmelser och skyldigheter som skall beaktas när personuppgifter behandlas.
Av paragrafens 1 mom. framgår även att lagen endast skall tillämpas på en myndighets behandling av personuppgifter. Definitionen av myndighet motsvarar i huvudsak den gällande definitionen i landskapslagen om allmänna handlingars offentlighet. Vad som avses med termen myndighet i den nu föreslagna lagen framgår av lagens 2 § punkt 10.
Som framgår av paragrafens 2 mom. skall den föreslagna lagen vara teknikoberoende i fråga om behandlingen av personuppgifter. Detta följer av de förpliktelser landskapet påtagit sig genom EU-medlemskapet och det faktum att lagen måste ha minst samma tillämpningsområde som EG-direktivet. Lagen omfattar således all hel eller delvis automatiserad behandling av personuppgifter vid myndighet oavsett om uppgifterna finns i ett register och dessutom manuell behandling av personuppgifter i register. Paragrafens 2 mom. är avsedd att ha samma innebörd som artikel 3.1 i EG-direktivet.
I EG-direktivet finns inte någon definition av vad som är automatisk respektive icke automatisk behandling av personuppgifter. Behandling i datorer av personuppgifter som finns i datorformat eller med andra ord i binär form, för att använda ett matematiskt begrepp, bör anses som automatiserad behandling. Av artikel 33.2 i EG-direktivet samt punkt 14 och 15 i ingressen till EG-direktivet följer dessutom att ljud- och bilduppgifter om fysiska personer omfattas av direktivet och lagen bara om behandlingen sker med hjälp av automatisk databehandling eller om de uppgifter som behandlas ingår i eller avses ingå i ett register som är uppbyggt efter vissa med utgångspunkt i för enskilda personer utformade kriterier för att underlätta tillgång till de berörda uppgifterna. Såväl i det norska som svenska utredningsmaterialet till respektive länders lagar om personuppgifter har anförts att man för att vara på den säkra sidan bör tillämpa bestämmelserna om automatiserad behandling på all behandling av personuppgifter i datorformat och på sådana personuppgifter som registrerats i annan form utan någon direkt mänsklig inblandning.
Ordalydelsen i paragrafens 2 mom., det vill säga att behandlingen av personuppgifter är automatiserad, förutsätter inte att personuppgifter som behandlas med automatisk databehandling skall utgöra ett personregister för att uppgifterna skall omfattas av lagen. Men eftersom ett personregister enligt 2 § 3 punkten utgörs av varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, uppstår i allmänhet redan vid automatisk databehandling av personuppgifter ett personregister.
Även delvis automatiserad behandling av personuppgifter omfattas av lagen. Syftet med att även delvis automatiserad behandling omfattas av lagen torde vara att förhindra kringgående och att undvika gränsdragningsproblem.
Lagen omfattar även enligt paragrafens 2 mom. annan behandling av personuppgifter som inte är automatisk. När det gäller denna, så kallade manuella behandling av personuppgifter, förutsätts dessutom att personuppgifterna ingår i eller kommer att ingå i ett register. Med register avses enligt definitionen i lagens 2 § punkt 3; varje strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Till lagens tillämpningsområde kan således även manuella personregister hänföras. Den manuella behandlingen av personuppgifter inkluderar även andra sådana metoder som inte är att betrakta som automatiserad databehandling, exempelvis mikrofilmning, ifall personuppgifterna som skall behandlas bildar eller kommer att bilda ett personregister eller en del av ett sådant.
Till den del en myndighet hanterar sådan behandling av personuppgifter som enligt 27 § självstyrelselagen för Åland (71/1991) hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen. Så är fallet exempelvis i fråga om det rättsområde som faller under begreppet "priset på lantbruks- och fiskeriprodukter samt främjande av export av lantbruksprodukter" och som regleras av bland annat lagen om förfarandet vid skötseln av stöduppgifter i fråga landsbygdsnäringar (FFS 1336/1992) samt av lagen om landsbygdsnäringsregister (FFS 1515/1994).
Enligt paragrafens 3 mom. är lagen subsidiär i förhållande till andra lagar. Med andra lagar avses här främst speciallagar inom olika rättsområden. I speciallagstiftning kan finnas specialbestämmelser som ger uttryck för andra eller mer preciserade lösningar än den föreslagna lagen. I dessa fall får enskilda bestämmelser i den föreslagna lagen användas i den utsträckning inte annat följer av de specialbestämmelser som reglerar behandlingen av personregister. Den föreslagna lagen är således av generell karaktär och är avsedd att användas i kompletterande syfte även när speciallagstiftningen reglerar personregister. Frågan om en viss bestämmelse innefattar en avvikelse från vad som skall gälla enligt den föreslagna lagen får avgöras med tillämpning av sedvanliga metoder för tolkning av författningar.
Avvikande bestämmelser måste enligt förslaget finnas på lagnivå. Beslut som landskapsstyrelsen fattat på förordningsnivå eller andra föreskrifter som myndigheter utfärdat tar således inte över bestämmelserna i den föreslagna lagen.
Mer detaljerade bestämmelser om personregister finns exempelvis i körkortslagen för landskapet Åland (79/1991).
Avsikten är att den föreslagna landskapslagen skall tillämpas på samtliga landskapsmyndigheter med undantag av Ålands polismyndighet. För polismyndigheten finns särskilda bestämmelser i såväl landskapslagen om polisens grundregister (49/1999) som landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister. Enligt sistnämnda blankettlag skall lagen om polisens personregister (FFS 509/1995) äga tillämpning i landskapet.
2 § Definitioner Paragrafen innehåller definitioner av viktiga uttryck och begrepp som används i lagen.
Med personuppgift enligt punkt 1 avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Bestämmelsen avviker från gällande definition av personuppgifter på det sättet att med det föreslagna begreppet personuppgift avses alla slags uppgifter om en fysisk person. Enligt gällande bestämmelse i 15a § 2 mom. landskapslagen om allmänna handlingars offentlighet förstås med personuppgift en beskrivning som kan hänföras till en bestämd fysisk person, vilket lämnat uppgifter om en fysisk person i annan egenskap än enskild person utanför lagens tillämpningsområde. Utanför gällande lags tillämpningsområde har således enskild person som verkat som yrkesutövare, näringsidkare eller handhaft offentliga uppdrag hamnat. I förslaget har definitionen anpassats till EG-direktivets artikel 2 a. Utanför lagens tillämpningsområde faller dock även fortsättningsvis uppgifter om juridiska personer (jfr punkt 24 i ingressen till EG-direktivet).
Enligt förslaget är all information som kan hänföras till en individ personuppgifter. Det räcker med att en fysisk person kan identifieras med hjälp av informationen, inte att den som är ansvarig för personuppgifterna själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig. Enligt punkt 26 i ingressen till EG-direktivet skall man för att avgöra om en person är identifierbar beakta alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person. Krypterade uppgifter omfattas således av lagen så länge någon kan göra uppgifterna läsbara och därmed identifiera personen som informationen berör.
Bland de vanligaste exemplen på personuppgifter som kan nämnas är namn på personer, personbeteckning och kundnummer. Men även bild- och ljuduppgifter om fysiska personer skall enligt punkt 14 i ingressen till EG-direktivet omfattas av begreppet personuppgifter.
Den förslagna definitionen av personuppgifter inkluderar inte uppgifter om avlidna eller ett ofött barn. Det ofödda barnets integritetsskydd kan anses omfattas av moderns skydd. Uppgifter om en avliden person är endast personuppgift i lagens mening om uppgiften kan knytas till en levande person. Direktivtexten anger inte huruvida uppgifter om personer som ännu inte är födda eller betraktas som döda omfattas. I mötesprotokollet till det möte då rådet antog den gemensamma ståndpunkten om direktivet (4730/95 ECO 20) har emellertid rådet och kommissionen bekräftat att medlemsstaterna får bestämma om och i vilken utsträckning direktivet kan tillämpas på avlidna personer. Eftersom den föreslagna lagen rent generellt kommer att ge ett mer utökat och långtgående skydd än dagens bestämmelser bör reglerna reserveras för behandling av de uppgifter om den registrerade som är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig integritet i detta hänseende.
Definitionen av behandling av personuppgifter i punkt 2 är avsedd att ha samma innebörd som motsvarande uttryck i artikel 2 b i EG-direktivet. Alla åtgärder där personuppgifter på något sätt hanteras omfattas av det föreslagna begreppet. Behandlingen kan vara helt eller delvis automatiserad. Även manuella register omfattas (jfr 1 §). Enligt punkt 27 i ingressen till EG-direktivet får den teknik som används vid behandlingen inte påverka bedömningen av om bestämmelserna skall omfatta hanteringen, eftersom detta kan skapa en allvarlig risk för kringgående.
I punkt 2 nämns begreppet blockering. I EG-direktivet finns ingen definition av begreppet, utan här få viss ledning sökas i vad kommissionen anfört i sina förklaringar till direktivförslaget (COM (92) 422 final - SYN 287 och EGT nr C, 27.11.1992, s 30). Blockering av personuppgifter kommer till användning i situationer då uppgifter har samlats in, lagrats, behandlats eller använts i strid mot bestämmelserna i direktivet. Den registeransvarige kan i dessa fall spara uppgiften men måste blockera den. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man. Blockering kan användas till exempel när det är naturligt att rätta felaktiga uppgifter, exempelvis när de rätta förhållandena inte kan utredas. I motiven till motsvarande bestämmelse i den svenska personuppgiftslagen nämns som exempel på när blockering kan användas, då det står klart att en uppgift om en viss person som har fått sjukhusvård är felaktig, men det kan inte utredas vem som i stället fått vård.
Avsikten är att punkt 3 skall ha samma innehåll som definitionen av register i artikel 2 c i EG-direktivet. Definitionen av register inkluderar såväl automatiserad databehandling som icke automatiserad behandling av personuppgifter, det senare benämnt manuell behandling (jfr punkt 27 i ingressen till EG-direktivet). De manuellt behandlade personuppgifterna anses omfattas av den föreslagna definitionen om de ingår i eller är avsedda att ingå i ett regelrätt register (jfr 1 §).
Registret skall utgöra en samling av personuppgifter. Definitionen anger att uppgifter måste finnas samlade om fler än en person för att det skall kunna vara fråga om ett register. Samtidigt måste samlingen ha en viss beständighet. De uppgifter som finns i register behöver dock inte finnas på samma ställe. Uppgifter kan således finnas utspridda på ett flertal håll i landskapet men vara tillgängliga exempelvis via ett centralt index. Innehållet i registret måste däremot vara strukturerat efter bestämda kriterier som avser enskilda personer för att lätt ge tillgång till personuppgifter (jfr punkt 15 och 27 i ingressen till EG-direktivet). För exempelvis ett manuellt register som innehåller personuppgifter, men där det inte går att söka med hjälp av någon personuppgift, såsom ett namn eller en personbeteckning, omfattas inte av lagen. Det kan exempelvis vara fråga om brev som ordnats i löpnummer utan möjlighet att söka fram uppgifter om enskilda personer.
Den föreslagna punkt 4 har sin motsvarighet i artikel 2 d i EG-direktivet. Den förslagna definitionen begränsas i enlighet med lagens räckvidd till att omfatta endast myndigheter (se närmare definition av myndighetsbegreppet i punkt 10) I fråga om myndigheter bestäms oftast registeransvarigheten genom lag eller förordning.
Med myndighet avses här de institutioner som innehar rättskapacitet och således har skadeståndssanktionerat ansvar för att hanteringen av registren sker i enlighet med bestämmelserna i lagen. Det avgörande vid bestämmande av registeransvarig är således myndigheten som sådan oberoende av om den är uppdelad i avdelningar, enheter eller byråer. Detta torde medföra att personuppgifter skall kunna föras inom myndigheten exempelvis mellan olika kommunala nämnder utan att det skall bli fråga om utlämnande till tredje man. Huvudregeln är att myndigheten anses registeransvarig för de behandlingar den beordrar. Undantag kan möjliggöras genom att en annan ordning skapas i en särskild lagstiftning.
Om myndigheten erbjuder registeruppgifter exempelvis via en databas med personuppgifter med hjälp av en teknisk förbindelse är det myndigheten som är ansvarig för utomståendes bearbetning och sökning i systemen. Om däremot den utomstående vidtar vidare bearbetning i insamlade materialet glider ansvaret över på den som bearbetat materialet.
Registeransvarigheten i fråga om meddelanden som innehåller personuppgifter och som sänds med elektronisk post tas upp i punkt 47 i ingressen till EG-direktivet. Ansvarig för dessa meddelanden som översänds genom förmedling av en organisation som sysslar med telekommunikation eller e-post anses enligt direktivet normalt bli den från vilken meddelandet härrör och inte den person som erbjuder nämnda tjänst.
Om en myndighet tillsammans med andra behandlar personuppgifter blir alla ansvariga för att uppgifterna behandlas lagligt. Man bör emellertid sträva efter att placera ansvaret hos ett och samma organ, exempelvis genom en specialreglering. I detta sammanhang förefaller det naturligt att placera behandlingsansvaret där man har det dagliga och mest omfattande hanteringen med personuppgifter.
I punkt 5 definieras registerbiträde som den som behandlar personuppgifter för den registeransvariges räkning. I den officiella svenska översättningen av direktivet används beteckningen registerförare för den som för den registeransvariges räkning behandlar personuppgifter. I förslaget används i stället beteckningen registerbiträde, eftersom biträdet (föraren) kan hjälpa till att behandla även personuppgifter som inte ingår i ett register.
Definitionen registerbiträde omfattar inte de personer som kan kallas medhjälpare, det vill säga personer som under den registeransvariges eller registerbiträdets direkta ansvar kan utföra behandling av personuppgifter (jämför artikel 2 f samt artikel 16 i EG-direktivet). Registerbiträden och medhjälpare kan endast genom avtal (jfr artikel 16 i EG direktivet) eller allmänna bestämmelser bli skadeståndsansvariga gentemot den registeransvarige för sitt handlande. Den registeransvarige ansvarar dock alltid gentemot den registrerade (jfr 19 §).
Den som är anställd och inom ramen för arbetsgivarens verksamhet behandlar personuppgifter bör inte kunna anses som registeransvarig. Den anställde är här att betrakta som en medhjälpare (dvs den person som står under en registeransvariges direkta ansvar) medan arbetsgivaren är den registeransvarige. Det är den registeransvarige respektive registerbiträdet som bestämmer vilka som har befogenhet att behandla personuppgifter.
Med den registrerade avses enligt punkt 6 den som en personuppgift avser (jfr artikel 2 a i EG-direktivet samt motiven till paragrafens punkt 1). Definitionen motsvarar vad som ansetts omfattas av begreppet registrerad i gällande lagstiftning.
I punkt 7 definieras tredje man. Begreppet tredje man används i artikel 2 f i EG-direktivet och får anses vedertaget inom juridiken. Landskapsstyrelsen har därför valt att använda begreppet tredje man trots att det inte är så könsneutralt som man kunde önska.
En fysisk eller juridisk person kan vara tredje man. Vem som är tredje man bestäms indirekt via lagens definition av den registrerade, registersansvarige, registerbiträde och sådana personer som under den registeransvariges eller registerbiträdets direkta ansvar har befogenhet att behandla personuppgifter (medhjälpare). Detta medför att den som inte har befogenhet att för den registeransvarige eller registerbiträdet behandla personuppgifter betraktas som tredje man, vilket i sin tur innebär att till exempel anställda som har andra sysslor än en medhjälpare anses som tredje man.
Begreppet mottagare i punkt 8 omfattar liksom artikel 2 g i EG-direktivet i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara tredje man.
En myndighet som får motta personuppgifter inom ramen för ett särskilt uppdrag, exempelvis vid tillsyn, kontroll eller revision, som myndigheten är skyldig att sköta anses inte som mottagare. Detta innebär att den registeransvarige inte behöver lämna de registrerade information om att personuppgifter har lämnats ut eller kan komma att lämnas ut till myndigheter för sådana uppdrag (jfr artikel 10-12). Däremot är ifrågavarande myndighet att betrakta som tredje man. Den registeransvarige måste därför underrätta myndigheten om att utlämnade uppgifter rättas, utplånas eller blockeras till följd av att det visar sig att uppgifterna är felaktiga, missvisande eller ofullständiga eller på annat sätt inte har behandlats enligt lagen och direktivet (art 12 c).
Definitionen av samtycke i paragrafens punkt 9 har samma innebörd som motsvarande grundläggande definition av samtycke i EG-direktivets artikel 2 h.
Begreppet samtycke förekommer på ett flertal platser i direktivet. I artikel 7 a och 26.1 a talas om att den registrerade otvetydigt har lämnat sitt samtycke och artikel 8.2 a talas det om att den registrerade lämnat sitt uttryckliga samtycke. Av direktivet framkommer inte vad förstärkningsorden otvetydigt och uttryckligt skall ha för materiell betydelse vid sidan av den grundläggande definitionen i artikel 2 h. I förslaget har landskapsstyrelsen dock valt att ha en motsvarande grundläggande definition som den i EG-direktivets artikel 2 h. Kravet på att en viljeyttring skall vara otvetydig kan tolkas så att otvetydigheten understryker att det inte bör finnas något tvivel om att den registrerade avsett att frivilligt samtycka till en viss behandling av personuppgifter. Att samtycket från den registrerade skall vara uttryckligt torde avse att samtycket skall komma till uttryck på ett sådant sätt att en utomstående kan iaktta det. Detta torde inte utesluta att ett samtycke även kan ges genom konkludent handlande, exempelvis om den registrerade på frivillig basis och med vetskap om vad uppgifterna skall användas till (dvs informerad) lämnar efterfrågade uppgifter till den som begärt uppgifterna.
Enligt definitionen skall samtycket av den registrerade vara en viljeyttring som är frivillig, särskild och informerad. Inget formkrav gäller för samtycket. Ett samtycke behöver således inte vara skriftligt, men det torde underlätta om samtycket görs skriftligt vid en eventuell tvist. Det är dock den registeransvarige som har bevisbördan för att ett samtycke verkligen lämnats.
Uppgifterna skall enligt förslaget lämnas av den registrerade. Med den registrerade avses i detta sammanhang såväl en person om vilken en uppgift registrerats som den person om vilken uppgifter avses bli registrerade. Den registrerade skall bli informerad och genom en viljeyttring godta behandlingen av sina personuppgifter. Samtycket måste således vara individuellt. Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge en frivillig viljeyttring som innebär att han eller hon godtar behandlingen bör kunna lämna ett rättsligt giltigt samtycke. Förälder till ett barn eller andra ställföreträdare borde dock kunna lämna ett samtycke då den registrerade själv inte kan bli informerad eller kan avge en egen viljeyttring i saken.
Samtycket måste dessutom vara frivilligt. Detta är speciellt viktigt i sådana fall där den registrerade har en underordnad eller beroende ställning och påtryckningar kan påverka den registrerade, exempelvis i en arbetsgivar-arbetstagarrelation. Samtycket måste också vara särskilt, vilket innebär att det måste avse en viss behandling som rör den registrerade och som utförs av en viss registeransvarig för vissa ändamål. Ett generellt samtycke till uppgiftsbehandling kan således inte godtas.
Samtycket gäller tills vidare, om inget annat framgår av samtycket. Den registrerade har rätt att när som helst återta sitt samtycke (jfr artikel 14 i EG-direktivet).
Definitionen av termen myndighet i paragrafens punkt 10 motsvarar den definition som finns av motsvarande uttryck i landskapslagen om allmänna handlingars offentlighet. Termen myndighet är här närmast att hänföra till fasta, kontinuerligt och självständigt arbetande organ. De myndigheter som räknas upp i punkten definieras på organisatoriska grunder.
Med myndighet avses enligt punkten landskapets myndigheter det vill säga landskapsstyrelsen och under denna lydande myndigheter och inrättningar. Förutom den allmänna förvaltningen omfattas exempelvis även Ålands hälso- och sjukvård, landskapets skolor, Ålands statistik- och utredningsbyrå och Motorfordonsbyrån av bestämmelsen.
Även landskapets affärsverk omfattas av definitionen. Posten på Åland är ett affärsverk underställt landskapsstyrelsen. Postens uppgift är att bedriva postverksamhet och tillhandahålla annan service i samband med detta. Enligt 3 § landskapslagen om Posten på Åland (39/1992) är målet för postverksamheten att posten skall se till att verksamheten utvecklas ändamålsenligt och att utbudet av tjänster motsvarar kundernas och hela samhällets behov. Den grundläggande postservice som lagtinget fastställt skall finnas tillgänglig i hela landskapet. Affärsverket skall finansiera sina utgifter dels med inkomster av verksamheten dels med lån Posten kan uppta enligt särskilda i landskapslagen angivna gränser och villkor. Därutöver kan finansieringen bygga på anslag som tas upp i landskapsbudgeten för givande av lån till Posten samt anslag som tas upp i landskapsbudgeten för ökning av grundkapitalet. Myndighetsbegreppet och därmed lagens bestämmelser föreslås även omfatta landskapets affärsverk eftersom det då underlättar den offentliga kontrollverksamheten samtidigt som landskapets affärsverk i detta avseende likställs med kommunernas affärsverk.
Ett kommunalt affärsverk anses enligt kommunallagen för landskapet Åland (73/1993) vara ett kommunalt organ och bestämmelserna om kommunala myndigheter tillämpas även på dem. Lagens bestämmelser är således tillämplig även på kommunala affärsverk. De kommunala affärsverken är inte självständiga juridiska personer, men har större frihet i ekonomiska frågor än andra kommunala organ (jfr detaljmotiveringen till 53 § kommunallagen).
Under definitionen myndighet faller även den förvaltning som är ansluten till lagtinget. Här avses lagtingets kansli (inkl. lagtingsbiblioteket) samt den till Ålands delegation i Nordiska rådet knutna delegationssekretariatet.
I förslaget nämns de organ som på samma sätt som i gällande definition i landskapslagen om allmänna handlingars offentlighet har självständig prövningsrätt men som saknar formell myndighetsställning. Avgörande vid bedömningen är huruvida organet tilldelats beslutanderätt eller inte.
Enligt förslaget skall juridiska och fysiska personer som inte hör till den egentliga offentliga förvaltningen men som med stöd av lag fått ett offentligt uppdrag omfattas av det som i lagen föreskrivs om myndigheter. Den medelbara förvaltning som här avses förutsätter dessutom att offentlig makt utövas. Lagen tillämpas dock enbart på den verksamhet som har formen av myndighetsutövning.
Någon allmän definition av vad som avses med offentlig makt kan inte göras. Normalt utövas offentlig makt inom ramen för myndighetsutövningen, vilket inbegriper beredning och verkställighet av beslut, eller att uppgifter handhas vilka är förenade med ett särskilt ekonomiskt ansvar. Med utövning av offentlig makt i inskränkt bemärkelse avses en myndighets på lag grundade befogenheter att fatta beslut som binder eller förpliktar medborgarna. I vidare bemärkelse omfattar utövningen av offentlig makt även andra myndighetsåtgärder, särskilt åtgärder som innebär administrativ reglering av olika förhållanden (beviljande av tillstånd eller andra förmåner eller tillsyn över denna verksamhet).
Enligt 2 § 3 mom. andra meningen grundlagen, som i sakligt hänseende motsvarar 92 § 1 mom. regeringsformen, skall i all offentlig verksamhet lag noggrant iakttas. Utgångspunkten är att endast tjänstemän kan utöva offentlig makt. Anledningen till detta följer av de allmänna grunderna för tjänstemannanasvar i 2 § 3 mom. och 118 § grundlagen. Grundlagens 118 § överensstämmer i sak med 93 §§ regeringsformen. I 2 § 3 mom. grundlagen samt i 60 § 1 mom. självstyrelselagen fastställs den så kallade principen om förvaltningens lagbundenhet. Enligt 2 § 3 mom. grundlagen skall i all offentlig verksamhet lag noggrant iakttas. Vid myndighetsutövning handlar tjänstemännen således under tjänsteansvar. Syftet med detta är att trygga att förvaltningens laglighet, medborgarnas rättsskydd och en ostörd skötsel av myndighetens uppgifter. Grundlagens 2 § 3 mom. uttrycker en allmän princip om förvaltningens lagbundenhet, vilken även bör iakttas vid utövandet av medelbar offentlig förvaltning (jfr högsta domstolens utlåtande diarenr HD 96/176). Enligt 118 § 3 mom. grundlagen har var och en som har lidit en rättskränkning eller skada till följd av en lagstridig åtgärd eller försummelse av en tjänsteman eller någon som sköter ett offentligt uppdrag, enligt vad som närmare bestäms i lag rätt att yrka att denne döms till straff. Lagrummet har i förhållande regeringsformens 93 § 2 mom. och 3 mom. utsträckts till att utöver tjänstemän gälla också andra som sköter offentliga uppdrag.
Genom ändringar av såväl idrottslagen för landskapet Åland (42/198, änd. 100/1998) som jaktlagen för landskapet Åland (31/1985, änd. 41/1997) har offentligrättsliga föreningar anförtrotts uppgifter som avser offentlig maktutövning. Även enskilda personer kan sköta offentliga uppgifter. Exempelvis kan en edsvuren jaktövervakare enligt 57 § 2 mom. jaktlagen för landskapet Åland handha tillsynen över jakten inom jaktvårdsföreningens verksamhetsområde.
2 kap. Allmänna bestämmelser för behandlingen av personuppgifter
3 § Grundläggande krav på behandlingen av personuppgifter I paragrafen anges de grundläggande krav som den registeransvarige alltid måste uppfylla. Utöver dessa grundläggande krav finns även vissa speciella kriterier i lagens andra paragrafer som måste vara uppfyllda vid behandlingen av personuppgifter. För att en personuppgiftsbehandling överhuvudtaget skall vara tillåten måste något av kriterierna i 4 § vara uppfyllda. Dessutom gäller speciella bestämmelser i fråga om behandlingen av känsliga uppgifter (5 §).
Den föreslagna paragrafen avses ha samma innebörd som EG-direktivets artikel 6. I artikel 6.1 finns vissa grundläggande krav som måste vara uppfyllda för att behandling av personuppgifter skall kunna tillåtas. Enligt artikel 6.2 åligger det den registeransvarige att säkerställa att kraven efterlevs. Uppfylls inte kraven är behandlingen olaglig. Medlemsstaterna skall enligt EG-direktivets artikel 5 inom de begränsningar som bl.a. bestämmelserna i artikel 6 innebär närmare precisera på vilka villkor behandlingen av personuppgifter är tillåten.
Enligt paragrafens punkt 1 skall personuppgifter behandlas på ett korrekt sätt och bara om det är lagligt. När det är lagligt att behandla personuppgifter framgår av den föreslagna landskapslagen eller annan speciallagstiftning. I dessa lagar framgår även vad som är ett korrekt sätt att behandla personuppgifter. Bestämmelsen ger även uttryck för den aktsamhet och saklighet man skall iaktta vid behandlingen av personuppgifter samt den planmässighet den registeransvarige skall iaktta i sin verksamhet. Kravet på laglighet tillgodoser även 10 § grundlagens krav på att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.
I kommissionens förklarande anmärkningar (com (92) 422 final - syn 287) till det reviderade förslaget till datadirektiv som lades fram i oktober 1992 (det reviderade direktivförslagets art. 6.1. överensstämmer med gällande lydelse av artikel 6.1.) anför kommissionen att kravet på korrekt och laglig behandling innebär att man inte får använda dolda anordningar för att i hemlighet samla in uppgifter utan att den registrerade känner till det, till exempel telefonavlyssning eller liknande. Enligt kommissionens förklarande anmärkning förhindrar kravet på korrekt och laglig behandling också att de registeransvariga utvecklar och använder hemliga eller ljusskygga behandlingsmetoder för personuppgifter.
Enligt punkt 38 i ingressen till EG-direktivet anges att en korrekt behandling av uppgifter förutsätter att de registrerade kan få kännedom om behandlingen och att de ‑ när uppgifter samlas in hos dem ‑ kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen (jfr art. 10 och 13 §).
Enligt paragrafens punkt 2 skall den registeransvarige se till att personuppgifter alltid behandlas i enlighet med god informationshantering, så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar den personliga integriteten inte begränsas utan en i lag angiven grund. Någon motsvarande bestämmelse finns inte i EG-direktivet. Avsikten med skrivningen är att betona integritetsskyddet vid all hantering av personuppgifter. En motsvarande bestämmelse finns i gällande 15a § landskapslagen om allmänna handlingars offentlighet, enligt vilken en myndighet vid hanteringen av personuppgifter som ingår i personregister och i andra allmänna handlingar skall iaktta en god registersed så att de registrerades personliga integritet, intressen och rättigheter inte kränks. Såsom påtalades i motiven till 1 § har dessa skyldigheter något justerats i denna lag, så att de bättre tillgodoser EG-direktivets krav på det skydd som måste iakttas vid all behandling av personuppgifter det vill säga en god informationshantering. Utvecklandet och iakttagandet av en god informationshantering innebär bland annat att man i samband med behandlingen av personuppgifter ser till att behandlingens tekniska genomförande är saklig och att de som behandlar personuppgifter görs välbekant förtrogna med behandlingen av personuppgifter samt med de bestämmelser och skyldigheter som skall beaktas när personuppgifter behandlas. Genom förslaget anpassas bestämmelsen dessutom till den grundläggande fri- och rättighetsreform som har genomförts i Finland.
Under punkter 3 och 4 kommer ändamålsbundenheten till uttryck. Bestämmelserna avses motsvara artikel 6.1b i EG-direktivet, enligt vilken den registeransvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får behandling av uppgifterna inte ske på ett sätt som är oförenligt med de ursprungliga ändamålen. Bestämmelserna innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in (jfr punkt 28 i ingressen till EG-direktivet). Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs. Sistnämnda bestämmelse i som återfinns i paragrafens punkt 4 innebär i praktiken att den registeransvarige är tvungen att på något sätt under hela behandlingstiden hålla reda på för vilka ändamål varje personuppgift har samlats in. Detta medför att den registeransvarige måste vara mycket noggrann och tänka igenom för vilka ändamål man uppger vid insamlingen av personuppgifterna. Samkörning av personregister för sedvanlig uppdatering av adressuppgifter eller för att undvika mångfaldig postning kan anses utgöra ett sådant ändamål med behandlingen som inte är oförenligt med behandlingens ursprungliga ändamål. Även utlämnande av personuppgifter till annan måste vara förenliga med de ursprungliga ändamålen. I fråga om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller särskilda regler (jfr 2 mom.).
Enligt förslagets punkt 3 skall ändamålen vara särskilda. Någon allmän hållen ändamålsangivelse kan därmed inte godtas. Kravet på att insamlingen skall ske för ett särskilt ändamål innebär att avsikten med insamlandet och användningen av personuppgifter skall definieras på ett så exakt sätt som möjligt. Bestämmelsen hindrar inte att flera ändamål anges då personuppgifterna samlas in.
Ändamålen skall även vara uttryckligt angivna. I EG-direktivet framställs inget krav på att ändamålen skall anges skriftligt.
Bestämmelsen anger även att ändamålet för vilka personuppgifterna samlas in skall vara berättigade. För avgörande för om personuppgifter samlas in för ett berättigat ändamål för ledning sökas i den föreslagna lagen eller annan speciallagstiftning.
Enligt punkt 5 skall de behandlade personuppgifterna vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Enligt kommissionens förklaring innebär denna bestämmelse att uppgifternas beskaffenhet måste överensstämma med det ändamål den registeransvarige vill uppnå med behandlingen. Ovidkommande uppgifter får således inte förekomma vid behandlingen. Enligt punkt 6 får inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Punkterna 5 och 6 överensstämmer med artikel 6.1c.
De behandlade personuppgifterna skall enligt paragrafens punkt 7 och 8 vara riktiga och, om det är nödvändigt, aktuella (jfr artikel 6 d). Den registeransvarige måste självmant vidta alla rimliga åtgärder för att rätta, utplåna, blockera eller komplettera sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Genom sistnämnda åliggande har den registeransvarige pålagts ett aktivitetskrav. Möjligheten för den registrerade att i enlighet med EG-direktivets artikel 12 b få felaktigheter rättade framgår av 16 §. Motsvarande bestämmelser ingår i 15c § landskapslagen om allmänna handlingars offentlighet. Ordalydelsen har justerats i överensstämmelse med EG-direktivet.
De behandlade personuppgifterna behöver enligt punkt 7 vara aktuella bara om det är nödvändigt. Vid bedömningen av den skyldighet som åligger den registeransvarige skall hänsyn tas till ändamålen med behandlingen.
Uppgifterna skall även vara riktiga. En uppgift kan anses riktig om den överensstämmer med de verkliga förhållandena. Att bestämma de verkliga förhållandena torde dock möta på svårigheter. Även här får ledning sökas i ändamålen med behandlingen. Vid en registrering där avsikten är att registrera enbart inkomna ärenden torde en uppgift som överensstämmer med de inkomna uppgifterna anses som riktiga, oavsett om hur de lämnade uppgifterna förhåller sig till de verkliga förhållandena.
Enligt punkt 9 får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (jfr artikel 6 e). Det centrala är således ändamålet med behandlingen. Personuppgifter som insamlats för exempelvis bokföringsändamål eller pensionshanteringsändamål är det bevarande av uppgifterna som måste ske under viss tid på grund av bokförings- och pensionslagstiftning nödvändigt med hänsyn till ändamålen med behandlingen. Då det inte längre är nödvändigt med hänsyn till ändamålen med behandlingen att bevara personuppgifter skall personuppgifterna avidentifieras på ett sådant sätt att upplysningar som kan identifiera en viss person tas bort eller så skall uppgifterna helt utplånas. I fråga om bevarande av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller särskilda regler (jfr 2 mom.)
EG-direktivet (art. 6.1b och 6.1e) medger en särskild reglering av den behandling av personuppgifter som sker för historiska, statistiska eller vetenskapliga ändamål. Senare behandling för sådana ändamål skall inte anses oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in, och det är också tillåtet att för sådana ändamål spara personuppgifter under längre tid. För att medge en sådan särskild reglering förutsätter EG-direktivet att medlemsstaten beslutar om eller vidtar lämpliga skyddsåtgärder. Den särskilda reglering som direktivet medger kommer till uttryck i paragrafens 2 mom.
Det nuvarande arkivsystemet för att bevara allmänna handlingar innebär att varje myndighet tar hand om sina handlingar även efter att det ärende till vilken handlingen hänför sig har avslutats. Enligt arkivstadgans basdel[4] skall minst 15 år gamla handlingar från landskapsstyrelsen och dess inrättningar överföras till landskapsarkivet för långtidsförvaring. I fråga om organiseringen av arkivfunktionen för kommunala handlingar gäller vad som föreskrivs med stöd av 4 kap. arkivlagen (FFS 184/1981).[5] Att myndigheterna bevarar sina handlingar har betydelse för den offentlighetsprincip som kommer till uttryck i landskapslagen om allmänna handlingars offentlighet. Enligt särskilda bestämmelser är myndigheterna även skyldig att gallra uppgifter ur handlingar med hänsyn till den personliga integriteten. Handlingar får inte utgallras utan tillstånd (jfr 5 kap. arkivlagen). Bestämmelser om i vad mån personuppgifter skall gallras efter viss tid framgår förutom av 15c § landskapslagen om allmänna handlingars offentlighet och arkivlagen även av viss speciallagstiftning. Enligt 23 § 4 punkten självstyrelselagen krävs dessutom att landskapsstyrelsen begär utlåtande av riksarkivet innan beslut fattas om utgallring av handlingar ur landskapsmyndigheternas eller de kommunala och kyrkliga myndigheternas arkiv.
Som påtalades ovan medger direktivet en särskild reglering av den senare behandling av personuppgifter som sker för historiska, statistiska eller vetenskapliga ändamål och för personuppgifter som lagras under längre tider för samma ändamål, såvida medlemsstaterna vidtar lämpliga skyddsåtgärder. Behandlingen måste även vara tillåten enligt artikel 7 samt i fråga om känsliga uppgifter uppfylla kriterierna i artikel 8 i EG-direktivet. Myndigheternas arkiv är en del av vårt kulturarv. Till arkivfunktionen hör att förvara handlingar och att hålla dem tillgängliga för sådana som önskar använda dem. Arkivfunktionen skall skötas på ett sådant sätt att arkiven kan tjäna arkivbildaren, andra myndigheter och enskilda på ett effektivt sätt. Arkiven skall även tillgodose forskningens behov (jfr 5 och 6 §§ arkivlagen). De ändamål som bevarandet av myndighetsarkiven skall tillgodose torde kunna hänföras under vad som i EG-direktivet kallas för historiska, statistiska eller vetenskapliga ändamål. Något uttryckligt angivande av arkivering och bevarande av allmänna handlingar torde inte behövas, såvida myndighetens första behandling av uppgiften är tillåten. Myndigheterna är även enligt landskapslagen om allmänna handlingars offentlighet (20 §) och arkivlagen förpliktande att bevara allmänna handlingar. De skydd i form av sekretess- och arkivbestämmelser som finns i landskapslagstiftningen får anses uppfylla de krav på lämpliga skyddsåtgärder som EG-direktivet uppställer.
4 § Villkor för behandling av personuppgifter I lagförslaget framgår förutsättningarna när behandling av personuppgifter över huvud taget är tillåten. Om den tilltänkta behandlingen inte finns med under något av de fall som uppräknas i paragrafen, är behandlingen otillåten och får inte genomföras. I fråga om känsliga uppgifter finns dessutom bestämmelser i 3 kap.
Den föreslagna paragrafen är avsedd att ha samma innebörd som artikel 7 i EG-direktivet. Artikeln anger på ett för medlemsstaterna bindande sätt principerna för laglig behandling av personuppgifter. I fråga om vad som avses med behandling av personuppgifter får ledning sökas i lagens 2 §. Genom EG-direktivet har den registeransvarige fått en EG-rättslig baserad rätt att behandla personuppgifter i de fall som anges i den föreslagna paragrafen. Landskapet kan inte upphäva denna rätt genom att föreskriva att till exempel vissa typer av uppgifter inte alls få behandlas.
Huvudregeln enligt förslaget är att den registrerades otvetydiga samtycke skall inhämtas innan personuppgifter om ifrågavarande person behandlas. Personuppgifter kan dock behandlas även utan samtycke enligt de i paragrafens 1 mom. punkterna 1-4 och 2 mom. punkterna 1-3 angivna fallen. Behandling av personuppgifter kan i dessa fall vidtas även om den person som personuppgifterna berör motsätter sig en behandling.
Det först angivna villkoret i för att få behandla personuppgifter är att den registrerade har lämnat sitt otvetydiga samtycke till behandlingen. Genom den registrerades samtycke förverkligas personens självbestämmanderätt i fråga om information som berör honom eller henne själv och öppenhet i fråga om registerföringen allra bäst. Med samtycke avses enligt lagens 2 § punkt 9 varje slag av frivillig, särskild och på information baserad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Enligt den föreslagna paragrafen skall samtycke även vara otvetydigt. Som påtalades i motiven till 2 § punkt 9 framkommer inte av EG-direktivet vad förstärkningsordet otvetydigt skall ha för materiell betydelse vid sidan av den grundläggande definitionen. Landskapsstyrelsen har dock i lagens 2 § valt att ha en motsvarande grundläggande definition som den i EG-direktivets artikel 2 h. Kravet på att en viljeyttring skall vara otvetydig kan tolkas så att otvetydigheten understryker att det inte bör finnas något tvivel om att den registrerade avsett att frivilligt samtycka till en viss behandling av personuppgifter. Som exempel på den registrerades otvetydiga samtycke anges i motiven till motsvarande finländska implementering av EG-direktivet att kravet inte uppfylls när den registrerade vid sin ankomst till ett sjukhus ombedes ge ett allmänt samtycke till att uppgifter om hans eller hennes hälsa eller vård får utlämnas. I ett sådant fall kan den registrerade inte på förhand veta vilka uppgifter samtycket kommer att gälla.
Bland de övriga alternativen (1 mom. punkt 1-4, 2 mom. 1-3) där det är tillåtet att behandla personuppgifter förutsätts att behandlingen är nödvändig. Någon klar ledning för hur nödvändighetskravet skall tolkas finns inte EG-direktivet. Enligt den svenska datalagskommittèn (SOU 1997:39) , som har gjort en analys om hur EG-direktivet skall införlivas i svensk rätt, kan inte nödvändighetskravet innebära att det skall vara omöjligt att utföra en arbetsuppgift utan sådan behandling av personuppgifter som omfattas av direktivet. Kan en arbetsuppgift utföras nästan lika enkelt och billigt utan att personuppgift behandlas, kan det inte anses nödvändigt att behandla personuppgifterna.
Enligt 1 mom. punkt 1 är behandling av personuppgifter tillåten när det är nödvändigt för att fullgöra ett sådant avtal i vilket den registrerade är part eller för att vidta åtgärder på den registrerades begäran innan ett sådant avtal ingås. Bestämmelsen överensstämmer med EG-direktivets artikel 7 b. När det gäller fullgörelse av avtal krävs det sålunda att den registrerade själv är avtalspart. För fullgörandet av avtal kan behandling av personuppgifter vara nödvändig exempelvis vid fakturering och kundregister.
Enligt 1 mom. punkt 2 kan behandling av personuppgifter vara nödvändig för att fullgöra en rättslig skyldighet. Med rättslig skyldighet avses här sådana skyldigheter som åvilar enskilda genom offentligrättsliga författningsbestämmelser. Numera kan behandlingen inte basera sig på annat än lag. Enligt 10 § 1 mom. grundlagen bestäms skyddet av personuppgifter närmare genom lag. En rättslig skyldighet det här kan röra sig om är exempelvis skyldigheten att redovisa pensionsavgifter för anställda. Behandlingen av personuppgifter kan sålunda inte basera sig på exempelvis en förordning eller landskapsstyrelsebeslut. Den föreslagna punkten motsvarar EG-direktivets artikel 7 c.
Enligt EG-direktivets artikel 7 d får personuppgifter behandlas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade. Landskapsstyrelsen har i 1 mom. punkt 3, i likhet med den svenska, finländska, norska och danska lagstiftningen, valt att använda uttrycket vitala intressen för att täcka in de intressen EG-direktivet avser att skydda. Av uttrycket vitala intressen följer att behandlingen skall knytas till intressen som är av fundamental betydelse för den registrerade. I punkt 31 i ingressen till EG-direktivet talas det om att behandling av personuppgifter måste anses tillåten när den utförs för att skydda ett intresse som är av avgörande betydelse för den registrerades liv. Som ett exempel på att villkoret är uppfyllt kan nämnas en situation där personuppgifter om en person som plötsligt har blivit sjuk och förlorat medvetandet, får behandlas för att kontrollera blodgrupp och sjukdomshistoria samt underrätta de anhöriga.
Enligt paragrafens 1 mom. punkt 4 tillåts behandling av personuppgifter även då den registrerade har en saklig anknytning till den registeransvariges verksamhet. Bland behandlingar som kan tillåtas enligt denna punkt kan nämnas behandling av personuppgifter om den registrerade på grund av ett kund- eller tjänstgöringsförhållande eller medlemskap har en saklig anknytning till den registeransvariges verksamhet. Ett motsvarande så kallat anknytningskrav ingår i 15a § landskapslagen om allmänna handlingars offentlighet i fråga om upprättande av personregister. Artikel 7 f bör anses tillåta en behandling enligt den föreslagna bestämmelsen.
I samband med reformen av de grundläggande fri- och rättigheterna togs en bestämmelse in i regeringsformens 8 § 1 mom. som föreskrev att AEnvars privatliv, heder och hemfrid är tryggade. Motsvarande bestämmelse ingår i 10 § 1 mom. grundlagen. Om skydd för personuppgifter stadgas närmare i lag.@ Den finländska riksdagens grundlagsutskott har vid ett flertal tillfällen (bl.a. GrUU 8/1995 rd) poängterat vikten av att de bestämmelser om personuppgifter som intas i lag skall vara exakta. Det föreslagna tillståndsförfarandet i paragrafens 2 mom. har ansetts vara behövligt för att frågan om huruvida förutsättningarna uppfylls, inte skall vara beroende av den registeransvariges ensidiga bedömning i fall där det inte finns några särskilda bestämmelser om behandling av uppgifter i enlighet med artikel 7 d-f. Eftersom tillstånd kan beviljas endast under de förutsättningar som anges i 2 mom., bör tillståndsförfarandet anses uppfylla det exakthetskrav som grundlagen ställer på undantag från de grundläggande fri- och rättigheterna samt kravet att om skydd för personuppgifter skall föreskrivas i lag. Tillstånd kan beviljas för viss tid eller tills vidare och kombineras med föreskrifter eller anvisningar om hur den personliga integriteten skall skyddas. Förslagets 2 och 3 mom. överensstämmer i sak med 43 § 1 och 2 mom. i den finländska personuppgiftslagen.
Personuppgifter kan enligt 2 mom. punkt 1 behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras. Förslaget motsvarar artikel 7 e första ledet i EG-direktivet. Som exempel på arbetsuppgifter av allmänt intresse kan nämnas arkivering, forskning, framställning av statistik och undersökningar avseende aktuella samhällsfrågor. Enligt såväl de svenska som norska motiven till motsvarande bestämmelse utesluter förhållandet att någon kan tjäna pengar på att utföra arbetsuppgiften inte att uppgiften kan vara av allmänt intresse. Enligt punkt 32 i ingressen till EG-direktivet kan arbetsuppgiften utföras av en myndighet eller något enskilt subjekt.
Enligt 2 mom. punkt 2 får en personuppgift behandlas om det är nödvändigt för att kunna utföra en arbetsuppgift i samband med utövandet av offentlig makt. Det offentliga maktutövandet skall dessutom utföras av den registeransvarige eller av en tredje man till vilken uppgifterna har lämnats ut. Förslaget motsvarar artikel 7 e andra ledet i EG-direktivet. Genom denna bestämmelse torde en stor del av den behandling av personuppgifter som utförs inom den offentliga sektorn vara tillåten. I fråga om vad som avses med begreppet utövande av offentlig makt hänvisas till redogörelsen i motiven till 2 § punkt 10. Det offentliga maktutövandet kan på motsvarande sätt som kan vara fallet enligt 2 mom. punkt 1 utövas av en myndighet eller vara anförtrodd något enskilt subjekt.
Förslagets 2 mom. punkt 3 motsvarar EG-direktivets artikel 7 f. Bestämmelsen möjliggör en behandling av personuppgifter om detta är nödvändigt för att den registeransvarige skall kunna tillvarata ett berättigat intresse under förutsättning att en sådan behandling av uppgifter inte äventyrar någons integritetsskydd eller rättigheter. Tredje man till vilken personuppgifter lämnas ut likställs här med den registeransvarige. Angående definitionen av tredje man hänvisas till 2 § punkt 7. Bestämmelsen kommer genom sin generella karaktär delvis att överlappa en del av de övriga villkoren i 1 mom. punkterna 1-4 samt 2 mom. punkterna 1 och 2 och kommer därför att fungera som en så kallad säkerhetsventil. Om behandlingen är tillåten eller inte beror på en avvägning av den behandlingsansvariges intressen i en behandling mot den registrerades personliga integritet i att behandlingen inte genomförs. Fördelar och nackdelar på båda sidor skall tas i beaktande. Om däremot den registrerade meddelar den registeransvarige att han eller hon inte önskar att behandlingen skall fortsätta måste det som regel väga över den registeransvariges intresse av fortsatt behandling. Motsvarande tolkning görs i såväl den svenska som norska motiven till motsvarande bestämmelse. Enligt dessa motiv bör det enbart i synnerliga undantagsfall medges fortsatt behandling. Bestämmelsen överensstämmer med 43 § 1 mom. i den finländska personuppgiftslagen. Finns det inte längre förutsättningar att behandla personuppgifterna enligt denna punkt eller enligt någon annan punkt i paragrafen skall de behandlade uppgifterna utplånas.
Enligt 3 mom. skall till tillståndet fogas föreskrifter som behövs för att skydda den registrerades personliga integritet.
Paragrafens 4 mom. berör den föreslagna lagens förhållande till offentlighetsprincipen. I EG-direktivet berörs offentlighetsprincipen i punkt 72 i ingressen till EG-direktivet. Enligt ingresspunkt 72 gör EG-direktivet det möjligt att vid genomförandet av direktivet ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar. I landskapslagstiftningen kommer offentlighetsprincipen närmast till uttryck i landskapslagen om allmänna handlingars offentlighet (72/1977). Landskapslagen om allmänna handlingars offentlighet utgår till sin uppbyggnad från offentligheten som princip, till vilken fogats särskilt specificerade sekretessfall. Myndigheters personregister utgör allmänna handlingar. Av ändamålsenliga skäl föreslås att en hänvisning till landskapslagen om allmänna handlingars offentlighet i fråga om utlämnande av personuppgifter ur myndigheters personregister intas i momentet.
Bestämmelser om utlämnande av personuppgifter ur myndighets personregister finns i 3a kap. landskapslagen om allmänna handlingars offentlighet. I landskapslagens 15a § har dock massutlämnande av personuppgifter som ingår i personregister begränsats. Med massutlämnande avses att ett helt personregister eller en större del av personuppgifterna om de registrerade lämnas ut eller att personuppgifter lämnas ut i en form som lämpar sig för automatisk databehandling eller så att mottagaren genom teknisk anslutning får tillgång till uppgifterna. Massutlämnande får enligt bestämmelsen ske endast om den registrerade har samtyckt därtill eller om myndigheten i fråga på särskilda skäl gett sitt tillstånd till utlämnandet eller om utlämnandet sker för vetenskaplig forskning eller för statistiskt ändamål och det är uppenbart att mottagarens användning av uppgifterna inte är ägnad att äventyra de registrerades personliga integritet eller om utlämnandet är tillåtet enligt landskapslag.
I anknytning till denna lag föreslås även en ändring av 3a kap. landskapslagen om allmänna handlingars offentlighet. I den föreslagna personregisterlagstiftningen försvinner begreppet massutlämnande av personuppgifter. Däremot kommer vissa begränsningar i fråga om omfattande utlämning av uppgifter ur myndigheters personregister att kvarstå, främst med tanke på integritetsskyddet. I övrigt hänvisas till denna framställnings detaljmotivering till ändringen av 15a § landskapslagen om allmänna handlingars offentlighet.
5 § Registerbeskrivning Enligt paragrafen införs en skyldighet att upprätta en beskrivning över register med personuppgifter. Genom förslaget betonas den öppenhet och allmänna serviceskyldighet som skall prägla den offentliga förvaltningen. Samtidigt stärks den enskildes rättssäkerhet eftersom en registerbeskrivning måste finnas över varje register som upprättas. Registerbeskrivningen skall uppgöras för såväl automatiserad databehandling som manuella behandling (jfr definitionen i 2 §).
I artikel 21 i EG-direktivet finns det bestämmelser som gäller offentliggörande av behandlingar, både sådana som skall anmälas och sådana som inte skall det. För sådan behandling som inte omfattas av anmälningsplikt är medlemsstaterna enligt artikel 21.3 i EG-direktivet skyldiga att föreskriva att de registeransvariga, eller något annat organ som medlemsstaten utser, på lämpligt sätt skall tillhandahålla den som begär det åtminstone de obligatoriska uppgifter som en anmälan enligt artikel 19.1 a)-e) i EG-direktivet skall innehålla. Den information som skall framgå av den föreslagna registerbeskrivningen överensstämmer huvudsakligen med den information som anges i artikel 19.1. Den förslagna skyldigheten att föra registerbeskrivning iakttas redan delvis inom förvaltningen med stöd av speciallagstiftning, bland annat av Ålands motorfordonsbyrå.
Enligt paragrafens 3 mom. skall den registeransvarige hålla registerbeskrivningen allmänt tillgänglig. Undantag är möjliga om det är nödvändigt för den allmänna ordningen och säkerheten, för tillsynsuppgifter som hänför sig till beskattningen och den offentliga ekonomin samt för förebyggande och utredande av brott. De föreslagna undantagen från informationsskyldigheten är förenliga med EG-direktivet enligt dess artikel 13.
6 § Den registrerades rätt att motsätta sig behandling av personuppgifter i vissa situationer Paragrafen genomför artikel 14 första stycket b i EG-direktivet. Bestämmelsen omfattar behandling för ändamål som rör direkt marknadsföring. Artikel 14 första stycket b medger två alternativ för att genomföra rätten att motsätta sig behandling. Den registrerade skall ha rätt a) att efter anmodan och utan kostnader motsätta sig behandling av personuppgifter som rör honom eller henne och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller b) att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning.
Landskapsstyrelsen har med utgångspunkt från gällande bestämmelse i 15a § 4 mom. landskapslagen om allmänna handlingars offentlighet valt det första alternativet. Alternativet är det minst komplicerade samtidigt som ger den registrerade fullgoda möjligheter att förhindra oönskad behandling för direkt marknadsföring.
Den direkta marknadsföringen kan ske exempelvis via vanlig postförmedling, elektronisk post, telefon eller telefax. Enligt punkt 30 i ingressen till EG-direktivet spelar det ingen roll om marknadsföringen har ett kommersiellt eller ideellt syfte. Enligt förslaget skall anmälan vara skriftlig. Genom skriftlighetskravet klargörs den registrerades viljeyttring på bästa sätt samtidigt som hanteringen underlättas för den registeransvarige.
Bestämmelsen medger inte att någon avgift eller liknande uppbärs av den registrerade då han eller hon utövar sin rätt att motsätta sig att hans eller hennes personuppgifter behandlas för ändamål som rör direkt marknadsföring. Den registrerade behöver inte heller anföra någon grund när han eller hon utnyttjar sin rätt enligt bestämmelsen.
I likhet med gällande bestämmelser i 15a § 4 mom. landskapslagen om allmänna handlingars offentlighet föreslås att den registrerade även skall kunna förbjuda användningen av personuppgifter för marknads- och opinionsundersökningar.
Enligt artikel 14 första stycket a i EG-direktivet har den registrerade rätt att göra invändningar i vissa fall när den registrerade har avgörande och berättigade skäl. Den registrerade skall enligt artikeln ha rätt att motsätta sig behandling av uppgifter som rör honom eller henne, om han eller hon har avgörande och berättigade skäl som rör hans eller hennes personliga situation. Detta skall gälla åtminstone i de fall som avses i artikel 7 e och f., dvs vid uppgiftsbehandling i allmänt intresse eller i samband med myndighetsutövning och vid sådan uppgiftsbehandling som är tillåten efter en intresseavvägning. Men det är tillåten att i den nationella lagstiftningen föreskriva något annat, dvs att den registrerade inte har sådan rätt att motsätta sig uppgiftsbehandlingen. Någon allmän bestämmelse om den registrerades rätt att motsätta sig sådan behandling av uppgifter som berör honom eller henne som avses i artikel 7 e och f har inte tagits in i den förslagna lagen, eftersom behandlingen av personuppgifter med stöd av nämnda punkter och den registrerades rättigheter i anslutning därtill redan bedömts på grundval av bestämmelserna i 4 §.
3 kap. Känsliga personuppgifter
7 § Förbud mot behandling av känsliga uppgifter Paragrafen innehåller ett förbud mot att behandla personuppgifter som enligt bestämmelsen är att anse som känsliga personuppgifter. Bestämmelsen följer i huvudsak artikel 8.1 i EG-direktivet.
Landskapslagen allmänna handlingars offentlighet innehåller inga uttryckliga bestämmelser om känsliga uppgifter. I landskapslagen anges dock att god registersed skall iakttas så att de registrerades personliga integritet, intressen och rättigheter inte kränks.
Huvudregeln skall vara att känsliga personuppgifter inte får behandlas eller inhämtas för att införas i personregister. Förbudet mot behandling av känsliga uppgifter har ansetts nödvändigt på grund av att sådan behandling innebär en större risk än vanligt för att den personliga integriteten och rättssäkerheten kränks. I 8 § anges de situationer då sådana personuppgifter ändå får behandlas.
Enligt 3 § punkt 1 skall behandlingen av personuppgifter ske på ett korrekt sätt. Bestämmelsen ger även uttryck för den aktsamhet och saklighet man skall iaktta vid behandlingen av personuppgifter samt den planmässighet den registeransvarige skall iaktta i sin verksamhet. Uppgifter om någons ras eller etniskt ursprung kan endast i ytterst få fall behövas för en saklig personuppgiftsbehandling. Syftet med förbudet i paragrafens punkt 1 är att framför allt förhindra diskriminering av personer som hör till en bestämd ras eller har ett bestämt etniskt ursprung och ofta hör till en minoritet.
Enligt paragrafens punkt 2 så är det förbjudet att behandla personuppgifter som avslöjar politiska åsikter. EG-direktivet ger föga ledning vad som avses inrymmas under begreppet. Enligt kommentarer till den svenska personuppgiftslagen bör begreppet politiska åsikter tolkas restriktivt så att det inte omfattar åsikter om snart sagt alla samhälleliga eller mänskliga förhållanden. I den finländska personuppgiftslagen har man valt att även ta med en uttrycklig bestämmelse om samhällelig uppfattning. Landskapsstyrelsen anser det vara tillräckligt att så som i EG-direktivet uttryckligen enbart nämna begreppet politiska åsikter, då begreppet även måste anses inrymma samhälleliga åsikter. En uppgift om medlemskap i en partipolitisk obunden intresseorganisation torde som regel inte avslöja politiska åsikter (jämför NOU 1997:19), vilket däremot ett medlemskap i ett politiskt parti gör.
Punkt 3 i paragrafen inbegriper inte bara uppgifter som avslöjar religiös övertygelse utan även en uppgift om att personen i fråga understöder en viss filosofisk lära eller ateism.
Enligt paragrafens punkt 4 är en personuppgift som avslöjar en brottslig gärning eller ett straff eller någon annan påföljd för ett brott en känslig uppgift. Med brottslig gärning avses ett sådant lagstridigt förfarande som är straffbart. Med straff avses av domstol förordnat straff som gäller den brottsliga gärningen. Uppgifter om disciplinära åtgärder som vidtagits i ett administrativt förfarande liksom uppgifter om varningar som givits i arbetsförhållanden skall således inte höra till de personuppgifter som i lagrummet.
Det kan synas oklart om personuppgifter om straffbara förhållanden är att anse som känsliga personuppgifter enligt EG-direktivet. Denna typ av uppgifter är inte uppräknade i EG-direktivets artikel 8.1, som har som utgångspunkt att uppställa ett förbud mot att behandla känsliga personuppgifter. Det följer emellertid av artikel 8.5 att uppgifter om straffbara förhållanden är av en särskild karaktär, på så sätt att behandlingen av dem skall undergå en speciell betryggande behandling. När man också beaktar att Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (artikel 6) anser att personuppgifter som hänför sig till att någon dömts för brott som känslig, finner landskapsstyrelsen, i likhet med vad som föreskrivs i den finländska och norska lagstiftningen, det naturlig att behandla uppgifter om straffbara förhållanden som känsliga också i den föreslagna lagstiftningen. Landskapsstyrelsen finner också stöd för en dylik lösning i punkt 11 till EG-direktivets ingress där det framgår att de principer om skydd för enskilda personers fri- och rättigheter, som EG-direktivet innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
Medlemskap i en fackförening har sett från ett nordiskt perspektiv inte ansetts utgör någon känslig uppgift mot bakgrund av den höga organisationsnivå som funnits bland de anställda. Eftersom en behandling av personuppgift som avslöjar medlemskap i fackförening är förbjuden enligt EG-direktivets artikel 8.1 intas en motsvarande bestämmelse i paragrafens punkt 5. I förslagets 8 § punkt 1 och 3 finns undantag från denna bestämmelse som bland annat möjliggör för arbetsgivarna att uppbära fackföreningarnas medlemsavgift.
Uppgifter som rör hälsa i punkt 6 omfattar uppgifter om exempelvis någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder. Under begreppet hälsa faller även uppgifter om mental hälsa. Uppgifter om någons sjukdom består av uppgifter om sjukdomens art och därmed sammanhängande omständigheter, varför till exempel en anteckning i ett löneregister om sjukdomsfrånvaro inte som sådan är en sådan känslig uppgift som avses i bestämmelsen. Däremot skall det inte vara tillåtet att i löneregister införa uppgifter om sjukdomens art. Även uppgifter om olika former av sjukligt missbruk av till exempel droger torde som regel anses röra hälsa.
I paragrafens punkt 6 omnämns även att personuppgifter som rör sexualliv är känsliga uppgifter. Under begreppet sexualliv faller både någons sexuella inriktning eller beteende. Däremot torde inte en isolerad uppgift om vilket kön en person har eller uppgifter om någon har eller inte har biologiska barn vara en uppgift som rör dennes sexualliv på avsett sätt.
Enligt paragrafens punkt 7 omfattar förbudet även uppgifter som rör någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon beviljats. Avsikten är att den i punkten använda terminologin skall ha motsvarande betydelse som den har i socialvårdslagen (FFS 710/1982) med stöd av landskapslagen om tillämpning i landskapet Åland av riksförfattningar om socialvård (101/1995).
Personuppgifter som gäller socialvård räknas inte upp bland de uppgifter som nämns i artikel 8.1 i EG-direktivet. Enligt motiven till den svenska personuppgiftslagen (prop. 1997/98:44) skulle det vara oförenligt med EG-direktivet att utvidga tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som innan EG-anslutningen reglerats av särskilda regler. Den svenska lagstiftaren anser det inte tillåtet enligt EG-direktivet att i nationell lagstiftning ha en annan definition, som till exempel omfattar uppgifter som är helt artskilda i förhållande till de som i direktivet definieras som känsliga. Att göra så skulle hindra de fria flödet av sådana uppgifter inom den Europeiska unionen och därmed strida mot direktivet. I rikslagstiftningen har man gjort en annan bedömning. Eftersom registreringen av uppgifter om socialvård i Finland traditionellt ansetts innebära en större risk för medborgarnas personliga integritet och rättsskydd, är dessa uppgifter i rikslagstiftningen att betrakta som känsliga uppgifter. Stöd för att uppgifter som berör socialvårdstjänster alltjämt skall betraktas som känsliga uppgifter talar enligt motiven till den finländska personuppgiftslagen (RP 96/1998) även den princip som framgår av punkt 10 till EG-direktivets ingress, enligt vilken tillnärmningen av medlemsstaternas lagstiftning inte får medföra någon inskränkning av det skydd som garanteras av lagstiftningen. Landskapsstyrelsen delar den finländska tolkningen av EG-direktivet och föreslår att en bestämmelse om socialvård i enlighet med det ovannämnda intas i paragrafens punkt 7.
8 § Undantag från förbudet att behandla känsliga personuppgifter Huvudregeln är att känsliga personuppgifter inte får behandlas eller inhämtas för att införas i personregister. Genom EG-direktivet har den registeransvarige fått rätt att behandla känsliga personuppgifter i de fall som avses i artikel 8.2 och 8.3 i EG-direktivet. Enligt paragrafen kan behandling av känsliga personuppgifter tillåtas bara om ett av villkoren i 4 § uppfylls och behandlingen dessutom uppfyller ett av villkoren i 1 mom. punkterna 1 - 8.
Vid utlämnandet av uppgifter ur register skall även iakttas vad som föreskrivs om tystnadsplikten.
Enligt punkt 1 kan känsliga personuppgifter behandlas vid samtycke och vid tydligt offentliggörande. Av 2 § punkt 9 och dess motiv framgår vad som avses med samtycke. Förslaget motsvarar till den del det gäller det uttryckliga samtycket artikel 8.2 a i EG-direktivet.
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen gäller uppgifter som den registrerade på ett tydligt sätt offentliggjort. Det förslagna undantaget från förbudet mot behandling är till sistnämnda del möjligt enligt 8.2 e första ledet i EG-direktivet. Något särskilt krav på syftet med behandlingen har inte uppställts. Behandlingen kräver dessutom att den registrerade själv offentliggjort uppgifterna. Ställföreträdare torde dock kunna offentliggöra uppgifter för den registrerades räkning. Offentliggörandet skall även ske på ett tydligt sätt. Det räcker således inte med att man visar något offentligt, utan det krävs en avsikt att just offentliggöra.
Enligt punkt 2 kan känsliga personuppgifter behandlas om behandlingen är reglerad i lag. Den föreslagna regleringen baserar sig på artikel 8.4 i EG-direktivet enligt vilken medlemsstaterna under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2 i artikeln. Ett exempel på behandling av känsliga personuppgifter som omfattas av punkt 2 kan nämnas arkivering enligt arkivlagen.
Kravet i paragrafen på att behandlingen skall vara reglerad i lag tillgodoser även 10 § 1 mom. grundlagen. Med stöd av det föreslagna lagrummet kan i landskapslagstiftningen införas även andra undantag från förbudet mot behandling av känsliga uppgifter än de som ingår i den föreslagna 8 §. Regleringen skall dock uppfylla de krav som artikel 8.4 uppställer. Undantagen skall således betingas av ett viktigt allmänt intresse och i regleringen skall beaktas det krav på behövliga skyddsåtgärder som ingår i direktivet. Om undantag enligt artikel 8.4 i direktivet skall enligt artikel 8.6 dessutom göras en anmälan till kommissionen.
Enligt punkt 3 är det tillåtet att behandla sådana uppgifter som gäller medlemskap i fackförbund som behövs för att den registeransvarige skall kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område. Bestämmelsen är avsett att ha samma innebörd som EG-direktivets artikel 8.2 b. Bestämmelsen gör det exempelvis möjligt för arbetsgivaren att under angivna förutsättningar behandla fackförbunds medlemsuppgifter. En sådan situation kan vara för handen t.ex. när fackförbundets medlemsuppgifter behövs för att utreda tjänstekollektivavtalets bundenhet eller för att i samband med en arbetskonflikt utreda, vilka som omfattas av arbetskonflikten. Bestämmelsen gör det även möjligt för arbetsgivaren att uppbära fackföreningarnas medlemsavgift.
Bestämmelsen ställer även ett krav på att behandlingen av känsliga personuppgifter som gäller medlemskap i fackförbund är nödvändig för vissa uppräknade syften. Nödvändighetskravet ingår även i paragrafens punkt 4 - 8. Innebörden av ett sådant krav har berörts ovan i motiven till 4 §.
Paragrafens punkt 4 baseras på EG-direktivets artikel 8.2 c, som gör det möjligt att behandla känsliga personuppgifter när det är nödvändigt för att skydda den registrerades eller någon annan persons vitala intressen. Behandlingen förutsätter dessutom att den registrerade inte kan lämna sitt samtycke.
Det är således bara personuppgifter om den som inte kan lämna sitt samtycke som får behandlas enligt denna punkt. Tidsaspekten torde behöva beaktas vid bedömningen av om den registrerade kan eller inte kan lämna sitt samtycke. Om inte den registrerade kan tillfrågas om sitt samtycke i sådan tid som krävs för att de vitala intressena skall kunna skyddas, torde det vara fråga om ett fall när de registrerade inte kan lämna sitt samtycke i den mening som avses i denna punkt. Innebörden av begreppet vitala intressen ha berörts i motiven till 4 §.
Punkt 4 skyddar även vitala intressen hos någon annan än den registrerade. Den svenska datalagskommittén lyfter här fram ett exempel som kan vara när hälsouppgifter om en medvetslös och svårt skadad potentiell organdonator behandlas för att hitta en lämplig mottagare för organet.
Enligt punkt 5 får känsliga personuppgifter behandlas om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Förslaget baserar sig på artikel 8.2 e andra ledet i EG-direktivet. Att en person har en sådan egenskap som avses med definitionen av känsliga personuppgifter kan vara en förutsättning för att denne skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot en annan. Att någon är sjuk (hälsa) kan till exempel ha betydelse för rätten att få en ersättning.
Paragrafens punkt 6 vänder sig speciellt till behandling av känsliga personuppgifter inom hälso- och sjukvårdssektorn. Förslaget motsvarar artikel 8.3 i EG-direktivet. Paragrafen möjliggör behandling av känsliga personuppgifter när det är nödvändigt med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling, eller administration av hälso- och sjukvård eller uppgifterna behandlas av en person som är yrkesmässigt verksam inom hälso- och sjukvården och som har tystnadsplikt.
Behandlingen skall således vara nödvändig för någon eller några av de angivna syftena. Innebörden av nödvändighetskravet har berörts ovan i motiven till 4 §.
Den som har tystnadsplikt och är yrkesmässigt verksam inom hälso- och sjukvården får enligt bestämmelsen alltid behandla känsliga personuppgifter. För denna personal krävs inte att behandlingen skall vara nödvändig eller att behandlingen sker för de syften som anges i paragrafen, dock måste den behandling som sker utan samtycke alltid uppfylla de villkor som anges i 4 §. Bestämmelser om tystnadsplikt inom landskapsförvaltningen finns bland annat i 17 § tjänstemannalagen för landskapet Åland.
Enligt 7 § punkt 7 är behandling av personuppgifter som gäller någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon beviljats att betrakta som känsliga personuppgifter. Genom den föreslagna paragrafens punkt 7 tillåts behandling av känsliga personuppgifter om behandlingen gäller den registrerades behov av socialvård eller socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändig för den registrerades omvårdnad. Uppgifter som är nödvändiga för den registrerades omvårdnad kan till exempel avse uppgifter som gäller funktionshinder eller motsvarande uppgifter som vårdbehovet och vårdinnehållet bygger på.
Punkt 8 ger möjlighet att behandla känsliga personuppgifter när det är nödvändigt för forsknings- och statistikändamål och samhällsintresset av behandlingen klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Den föreslagna bestämmelsen utgör ett sådant tillåtet undantag från det principiella förbudet mot behandling av känsliga personuppgifter för ett viktigt allmänt intresse som anges i artikel 8.4 i EG-direktivet. Undantag får göras bara under förutsättning av lämpliga skyddsåtgärder. De stränga sekretessregler som kan tillämpas på forskning och statistik får anses utgöra sådana lämpliga skyddsåtgärder som avses (jfr t.ex. arkivlagen/arkivstadga, landskapslagen om allmänna handlingars offentlighet, statistiklag för landskapet Åland).
Huvudprincipen enligt paragrafen är att behandling av känsliga uppgifter skall kräva den registrerades samtycke. Bestämmelsen i punkt 8 blir således aktuell först då den registrerade inte lämnat sitt samtycke. Vid viss forskning och statistik kan det var viktigt att inte vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke.
I den förslagna punkt h ingår en allmän avvägningsnorm. För det första krävs att behandlingen av känsliga personuppgifter för det aktuella forsknings- och statistikändamålet är nödvändig. Vid bedömningen av nödvändighetskravet kan ledning tas i motiven till 4 §. Bedöms behandlingen nödvändig krävs dessutom att samhällsintresset av en behandling klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Vid avvägningen måste en helhetsbedömning av situationen vidtas. Här kan exempelvis vikten av att en forskning eller statistikföring sker beaktas, huruvida projektet kan utföras utan tillgång till personuppgifter, vilken säkerheten är vid behandlingen samt hur projektet påverkas både tids- och kostnadsmässigt om samtycke inbegärs.
Av det allmänna felfrihetskravet i 3 § punkt 7 följer att den registeransvarige se till att de personuppgifter som behandlas är aktuella, dvs att föråldrade personuppgifter inte får behandlas. Enligt grundlagsutskottet (jfr bl.a. GrUU 14/1998 rd) krävs det att bestämmelser om förvaringstider för personuppgifter ingår i lag om lagen skall kunna stiftas i vanlig lagstiftningsordning. I paragrafens 2 mom. föreslås således att en bestämmelse om en exakt tidsgräns för när känsliga uppgifter senast måste utplånas intas. Grundlagsutskottet har i fråga om en motsvarande bestämmelse som den i 8 § ansett att en komplettering måste göras med en bestämmelse om en exakt tidsgräns för när känsliga uppgifter senast måste utplånas. I grundlagsutskottets utlåtande (GrUU 25/1998 rd) till förvaltningsutskottet över den finländska personuppgiftslagen påpekar grundlagsutskottet dessutom att den finländska personuppgiftslagen är en allmän lag och att möjligheten att i speciallagstiftning avvika från huvudregeln därför är förenlig med den. I förvaltningsutskottets betänkande (FvUB 26/1998 rd) påtalar däremot förvaltningsutskottet att det är omöjligt att ta in exakta regler om förvaring av olika slag av känsliga uppgifter. Enligt förvaltningsskottet kunde en sådan reglering i en allmän lag ge upphov till ett stort antal regler i speciallagstiftningen, då det skulle bli nödvändigt att avvika från reglerna i den allmänna lagen. Landskapsstyrelsen föreslår därför, liksom förvaltningsutskottet gjorde i fråga om de finländska personuppgiftslagen, med hänsyn till grundlagsutskottets utlåtande att det redan i landskapslagen i paragrafens 2 mom. anges en exakt tidsgräns för när en känslig uppgift skall utplånas ur registret. Utplåningen skall ske när det inte längre anses motiverat enligt 1 mom. att fortsätta behandlingen. Grunden och behandlingsbehovet skall ses över minst vart femte år, om inte annat följer av lag eller tillsynsmyndighetens tillstånd enligt 9 § föranleder något annat.
9 § Viktig allmänt intresse Enligt paragrafen bemyndigas tillsynsmyndigheten kunna bevilja tillstånd för ytterligare undantag från förbudet i 7 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Tillstånd kan beviljas för viss tid eller tills vidare och bör kombineras med föreskrifter eller anvisningar om hur den personliga integriteten skall skyddas.
Enligt artikel 8.4 i EG-direktivet får medlemsstaterna av hänsyn till ett viktigt allmänt intresse göra ytterligare undantag från förbudet mot att behandla känsliga personuppgifter. Detta kan enligt direktivet ske antingen i nationell lagstiftning eller genom ett beslut av tillsynsmyndigheten. Ett förutsättning för att ytterligare undantag skall få göras är att det finns lämpliga skyddsåtgärder.
Genom kravet på att ett viktigt allmänt intresse skall beaktas är bestämmelsen avsedd att få ett begränsat tillämpningsområde. Utan den föreslagna tillståndsmöjligheten finns en risk för att vissa för samhället viktiga funktioner hindras. Motsvarande bestämmelse finns i den norska, danska, svenska och finländska lagstiftningen.
10 § Behandling av personbeteckning Paragrafen innehåller en bestämmelse om behandling av personbeteckning. Paragrafen har införts mot bakgrund av artikel 8.7 i EG-direktivet. Enligt artikeln skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
EG-bestämmelsen torde för landskapets del beröra bara personbeteckning (jfr befolkningsdataförordningen FFS 886/1993), då något annat vedertaget sätt för identifiering inte finns i landskapet eller landet i övrigt. Bestämmelsen innebär således att regler måste intas i lagen om när personbeteckning får behandlas. Hur det materiella innehållet i de nationella regler som genomför EG-bestämmelsen skall utformas har överlämnats åt medlemsstaterna att bestämma. Landskapsstyrelsens förslag följer i huvudsak den finländska implementeringen av artikeln.
Enligt paragrafens 1 mom. får en personbeteckning behandlas om den registrerade lämnat sitt samtycke. Behandling av personbeteckning är också tillåten, ifall behandlingen regleras i lag. Bestämmelser om behandling av personbeteckning ingår bl.a. i landskapslagen om lagtingsval och kommunalval (39/1970), körkortslagen för landskapet Åland (79/1991), landskapslagen om besiktning och registrering av fordon (19/1993) och jaktlagen för landskapet Åland (31/1985). samt i landskapsförordningen om register för fiskerinäringen (51/1995) och landskapsförordningen om läroavtalsutbildningen (61/1998). Begränsningen av att behandlingen skall vara tillåten endast med stöd av lag följer av 10 § 1 mom. grundlagen, enligt vilken om behandling av personuppgifter skall regleras på lagnivå.
Enligt 2 mom. får en personbeteckning behandlas också när det är nödvändigt för att göra en säker identifiering av den registrerade för att utföra en i lag angiven uppgift, för att uppfylla den registrerades eller den registeransvariges rättigheter och skyldigheter, eller för historisk eller vetenskaplig forskning eller statistikföring. I samtliga fall är grundförutsättningen för behandling av personbeteckning att en säker identifiering och individualisering av den registrerade är nödvändig för att utföra en uppgift som omnämns i bestämmelsen. Tyngden av de skäl som gör att behandlingen av personbeteckning är påkallad måste således vägas mot behovet av personliga integriteten. Användning av personbeteckning enbart för att enklare och snabbare utföra en i lag angiven uppgift berättigar därför inte att behandla en personbeteckning, utan behandlingen är tillåten endast då en identifiering genom personbeteckning av den registrerade är viktig för att kunna sköta uppgiften. Den registeransvarige torde ha bevisbördan för att det finns sådana omständigheter som gör att uppgifter om personbeteckning får behandlas. När det gäller historisk eller vetenskaplig forskning skall man i princip försöka få den registrerades samtycke till behandlingen. Av denna orsak och även på grund av att man i historisk och vetenskaplig forskning samt statistikföring skall eftersträva att behandla uppgifterna så att de registrerade inte kan identifieras på grundval av uppgifterna, föreslås att det för behandling av personuppgifter också i fråga om historisk och vetenskaplig forskning samt statistikföring skall ställas krav på att en behandling överhuvudtaget skall få genomföras. För att behandling av uppgifter om personbeteckning skall kunna vidtas krävs att behandlingen är viktigt för att göra en säker identifiering av den registrerade. Vid historisk och vetenskaplig forskning samt statistikföring är en säker identifiering i allmänhet nödvändig när personregister samkörs.
Enligt paragrafens 3 mom. får en personbeteckning behandlas vid kreditgivning, uthyrnings-, och utlåningsverksamhet, inom hälso- och sjukvården, vid genomförandet av socialvården och socialskyddet i övrigt eller vid ärenden som gäller anställningsförhållanden och förmåner som är förknippade med dessa. Enligt praxis har behandling av personbeteckning i allmänhet ansetts vara relevant för att garantera en säker identifiering av personer i samband med nämnda funktioner. I dessa fall är det oftast redan med tanke på den registrerades rättsskydd nödvändigt att identifieringen är säker. Den föreslagna regleringen ger bland annat bibliotek rätt att inhämta och registrera sina kunders personbeteckningar.
Enligt 4 mom. får utöver vad som regleras i paragrafens 1-3 mom. en personbeteckning lämnas ut för sådan databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.
Den registeransvarige skall en paragrafens 5 mom. se till att personbeteckningar inte onödigt antecknas i handlingar som skrivs ut på basis av personregistret. Den registeransvarige skall därför till exempel se till att personbeteckningar inte skrivs ovanpå postförsändelser. Personbeteckningar får inte heller antecknas på arbetsskifts- och semesterlistor som är avsedda att cirkulera eller på resultatlistor som hålls allmänt framlagda på läroinrättningarnas anslagstavlor. Den föreslagna regleringen har för tydlighetens skull ansetts vara behövlig, även om redan den aktsamhet och saklighet som skall iakttas enligt lagens 3 § punkt 1 förutsätter att den registeransvarige alltid skall behandla personbeteckningar så att de inte röjs för utomstående. Enbart födelsedatumet tillsammans med namnet på personen torde oftast vara tilltäckligt för att identifiera personen.
4 kap. Information till den registrerade
11 § Informationsplikt när uppgifter samlas in från den registrerade Redan kravet på god registersed i 15a § landskapslagen om allmänna handlingars offentlighet får anses innehålla en informationsplikt, så att den registrerade informeras om den behandling av hans eller hennes personuppgifter som vidtas. Den förslagna paragrafen innehåller däremot mer detaljerade bestämmelser om den registeransvariges skyldighet att lämna information till den registrerade om behandling av personuppgifter, om personuppgifterna samlas in från den registrerade själv.
Förslaget baserar sig på artikel 10 i EG-direktivet som berör den situation att uppgifterna samlas in av den registrerade själv, medan artikel 11, som genomförs i lagens 12 §, gäller när uppgifterna hämtas in från något annat håll.
Den föreslagna paragrafen förutsätter att den registeransvarige alltid självmant lämnar den information som anges i bestämmelsen. Det krävs således inte att den registrerade begär att få information. Syftet med den registeransvariges informationsskyldighet är att garantera att den registrerade skall känna till sådan behandling av personuppgifter som gäller den registrerade själv. Samtidigt förbättras den registrerades möjligheter att göra sina rättigheter gällande. Den registerbeskrivning den registeransvarige skall föra enligt 5 § innehåller uppgifter som utgör ett bra underlag för den informationsskyldighet den registeransvarige åläggs enligt såväl denna paragraf som 12 §.
Informationen skall ges vid insamlingen av personuppgifterna det vill säga när uppgifterna inhämtas och registreras. Innebörden av bestämmelsen, såsom landskapsstyrelsen även uppfattat artikel 10, är att informationen skall lämnas i direkt anslutning till att den registeransvarige får tag i uppgifterna för att behandla dem på ett sätt som omfattas av lagen. Samlar den registeransvarige in uppgifter från den registrerade utan att vid detta tillfälle berätta vad uppgifterna skall användas till, kan behandlingen av personuppgifterna inte anses ha gått korrekt till. Huvudregeln bör således vara att den registrerade får information innan han eller hon lämnar uppgifter eller uppgifterna annars samlas in från honom eller henne.
Enligt förslaget skall uppgifterna om en person samlas in från personen själv. Förälder till ett barn eller andra ställföreträdare som lämnar uppgifter för den registrerades räkning torde inom ramen för bestämmelsen kunna lämna uppgifterna då den registrerade själv inte kan detta.
Den information som lämnas till den registrerade skall omfatta den registeransvariges och vid behov dennes ställföreträdares identitet, ändamålet med behandlingen av personuppgifterna, vart uppgifter i regel lämnas ut och de uppgifter som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen. Exempel på sistnämnda information kan vara skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Tillsynsmyndigheten kan vid behov utfärda närmare anvisningar om vilken information som skall lämnas och hur den skall lämnas (jämför 1 § 2 mom. landskapslagen om Datainspektionen). I exemplifieringen anges bland annat de kategorier som mottar uppgifterna. Eftersom den offentlighetsprincip, som bland annat kommer till uttryck i landskapslagen om allmänna handlingars offentlighet (jämför 6 §), innebär att var och en har rätt att få ut personuppgifter och att den som får uppgifterna i princip har rätt att vara anonym, kan den myndighet som samlar in personuppgifter inte lämna information om vilka personer uppgifterna kan komma att lämnas ut till. Däremot kan information ges om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det. Härigenom får de registrerade information om till vilka mottagare som uppgifterna i regel kan komma att lämnas ut till (jämför artikel 10 och 11).
Bestämmelsen får anses medge att de insamlade uppgifterna under den tid det är nödvändigt används för de ändamål som angetts vid insamlingen och för alla andra ändamål som är förenliga med det ursprungliga ändamålet. Någon ny information behöver inte lämnas i dessa fall. Om däremot avsikten är att den registeransvarige fortlöpande skall samla in material om en och samma person torde det i princip krävas att en ny information ges vid varje nytt tillfälle såvida inte den registeransvarige i samband med första insamlingen lämnat all nödvändig information för efterföljande behandlingar, så att den registrerade kan anses känna till behandlingen i enlighet med paragrafens 2 mom.
Enligt förslaget skall informationen lämnas till den registrerade. Detta hindrar dock inte att den registeransvarige lämnar uppgiften åt någon som förmedlar uppgifterna till den som registreras, vilket följer av paragrafens 2 mom. Enligt 2 mom. behöver information inte lämnas om sådant som den registrerade redan känner till, oavsett hur han eller hon fått vetskap om den. Ansvaret för att den registrerade får information ligger dock alltid på den registeransvarige. Något formkrav på hur informationen lämnas finns inte, utan det är beroende på situationen om informationen lämnas muntligen, skriftligen, elektronisk etc.
Av paragrafens 2 mom. följer att någon informationsskyldighet inte föreligger, om den registrerade redan känner till uppgiften eller om det inte är nödvändigt med tanke på den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda av brott. Av EG-direktivets artikel 10 följer att informationsskyldigheten kan begränsas ifall han eller hon redan känner till informationen. Den registrerades rätt att få information kan även begränsas med stöd av artikel 13.1 i EG-direktivet. Enligt artikeln kan medlemsstaterna genom lagstiftningsåtgärder begränsa bland annat den registrerades rätt att få information enligt artiklarna 10 och 11.1, om det är nödvändigt för att säkerställa de syften som anges i artikeln. Sådana syften är bland annat den allmänna ordningen och säkerheten samt förebyggande och utredning av brott och tillsynsuppgifter som ansluter sig till beskattningen eller övrig offentlig ekonomi.
12 § Informationsplikt när det samlas in uppgifter från någon annan än den registrerade Bestämmelsen genomför artikel 11 i EG-direktivet och ålägger den registeransvarige en informationsplikt när det samlas in personuppgifter från någon annan källa än den registrerade själv. Uppgifterna kan till exempel samlas in från en annan registeransvarig genom samkörning eller överföring av olika register eller så kan uppgifterna fås från annat håll exempelvis genom att fråga grannar eller medarbetare eller via tidningsuppgifter.
Bestämmelsen förutsätter, på samma sätt som när personuppgifter samlas in från den registrerade själv, att den registeransvarige alltid självmant lämnar den information som anges i bestämmelsen. Enligt huvudregeln skall den registeransvarige ge den registrerade den information som anges i bestämmelsen när uppgifterna registreras, det vill säga vid den tidpunkt då uppgifterna förs in i datorn eller i ett manuellt register som omfattas av lagen. Om uppgifterna är avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången.
I paragrafens 2 och 3 mom. anges de situationer då någon information inte behöver lämnas. Utöver de undantag från informationsskyldigheten som även återfinns i 11 § 2 mom. innehåller denna paragrafs 2 mom. en kompletterande bestämmelse om att information inte behöver lämnas om det finns bestämmelser om registrerande eller utlämnande av personuppgifterna i en lag. Undantaget i sistnämnda fall baserar sig på artikel 11.2 i EG-direktivet. Bakgrunden till denna bestämmelse har ansetts vara den att den registrerade kan söka upp den aktuella författningen och se vad som kan komma att hända med personuppgifterna (jfr arkivlagstiftningen och pensionslagstiftningen).
Enligt 3 mom. behöver information inte heller lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats för registeransvarige. De undantag från anmälningsskyldigheten som nämns i 3 mom. möjliggörs av artikel 11.2 i EG-direktivet. Enligt artikeln får man göra undantag från informationsskyldigheten, om det särskilt i samband med behandling av personuppgifter för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål, visar sig omöjligt eller innebär en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. Trots att det inte uttryckligen omnämns historisk eller vetenskaplig forskning eller statistikföring i lagtexten, torde den situation som avses i bestämmelsen oftast bli aktuell när personuppgifter behandlas för dessa syften.
Kravet på det måste visa sig vara omöjligt att lämna information innebär att det måste göras ett aktiv försök att lämna informationen, exempelvis för att nå personer som bor i utlandet. Kriterier för att avgöra om informationsskyldigheten kan innebära en oproportionerligt stor arbetsinsats kan enligt punkt 40 i ingressen till EG-direktivet bland annat vara antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas.
För det fall att information inte lämnas enligt 2 och 3 mom. på grund av att det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats skall medlemsstaterna enligt artikel 11.2 i EG-direktivet föreskriva lämpliga skyddsåtgärder. När det finns bestämmelser om registrerandet eller utlämnandet av personuppgifter i en lag torde det finnas mekanismer eller regler i den aktuella lagstiftningen som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Att ytterligare ta in bestämmelser i en generell lag som den föreslagna förefaller inte ändamålsenlig. Om information inte lämnas på grund av att skulle vara omöjligt eller innebära en oproportionerligt stor arbetsinsats bör däremot en särskild reglering tas in i lagförslaget. I dessa situationer får det anses tillräckligt att i lagens 3 mom. inta en bestämmelse om att information alltid skall lämnas senast i samband med att de aktuella uppgifterna används för att vidta åtgärder som rör den registrerade. Bestämmelsen gäller enbart om information har underlåtits med stöd av den första meningen i 3 mom. Genom förslaget ges en garanti för att den registrerade inte utsetts för en åtgärd utan att få reda på vilken behandling av personuppgifter som ligger bakom den. Som exempel i de norska och svenska motiven till en motsvarande bestämmelse nämns direkt marknadsföring. Direkt marknadsföring torde sällan bli aktuell inom ramen för den föreslagna lagstiftningen, som endast vänder sig till myndigheter, men exemplet är ändå värt att omnämna sett ur ett rent principiellt perspektiv. Enligt exemplet skulle marknadsföraren samla in uppgifter om ett flertal personer för att välja ut dem som ett utskick bäst kan riktas mot. Med tanke på omständigheterna kan antalet personer som det samlas in uppgifter ifrån, bli så många att det skulle medföra en oproportionell stor arbetsinsats att informera dem alla när uppgifterna registreras. Men 3 mom. andra meningen skulle i det aktuella fallet kräva att information trots detta lämnas till dem som marknadsföringen faktiskt riktats mot. Informationen måste i det aktuella fallet lämnas senast i de handlingar som sänds ut.
13 § Rätt till information Paragrafen, som har sin motsvarighet i 15b § landskapslagen om allmänna handlingars offentlighet, ger den registrerade rätt att på ansökan få information om de personuppgifter som behandlas. Genom rätten till registerinsyn får den enskilde möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade personuppgifterna är riktiga. Rätten till registerinsyn är vidare en förutsättning för att den enskilde i praktiken skall kunna få en felaktig personuppgift rättat. Rätten till information är för sin del också ett uttryck för den princip om öppenhet som hör till registerverksamhet, vilket är ägnat att undanröja misstankar och misstroende gentemot verksamheten och därigenom att skapa förutsättningar för en registerpraxis som är ändamålsenlig. Medborgarna skall ha rätt att känna till de register i vilka personuppgifter förs in och den registrerade ha rätt till insyn i personregister även om registret av någon anledning förklarats hemligt eller om det genom särskilda bestämmelser i lag belagts med sekretess. Trots detta finns det i vissa undantagsfall skäl till att göra inskränkningar i rätten till information (se 15 §).
Paragrafen, som är avsedd att ha samma innebörd som artikel 12 a i EG-direktivet, säkerställer att varje registrerad har rätt att från den registeransvarige utan hinder och med rimliga intervall samt utan större tidsåtgång eller kostnader få viss information. Den registrerade har för det första rätt att få bekräftelse på om uppgifter som rör honom eller henne behandlas eller inte. Om uppgifter registrerats skall information lämnas om också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och mottagarkategorierna till vilka uppgifterna utlämnas.
Informationen skall vara begriplig för den registrerade. Detta innebär bland annat att förkortningar, koder och liknande bör förklaras eller skrivas ut i klartext. Något krav på att översätta de behandlade uppgifterna från svenska till något annat språk torde inte finnas. När det gäller information om varifrån uppgifterna kommer, behöver den registeransvarige bara lämna all den information som finns tillgänglig för honom eller henne. Den registeransvarige behöver således inte hålla reda på varifrån uppgifterna har hämtats, men vet han eller hon fortfarande när den registrerade begär informationen skall det uppges.
Kravet på att lämna information endast om de mottagarkategorier till vilka uppgifter lämnas ut till torde innebära att förhållandevis allmän information kan godtas. I informationen skall åtminstone de kategorier av mottagare till vilka personuppgifter redan lämnats ut ingå, under förutsättning att den registeransvarige har informationen i behåll. Därutöver behöver den registeransvarige enbart ange de mottagarkategorier som den registeransvarige vid tidpunkten för lämnandet av informationen bedömer sannolik att kan bli aktuella.
Den registrerade har även enligt paragrafens punkt 5 rätt att få kännedom om den logik som används när uppgifter som rör honom eller henne behandlas på automatisk väg åtminstone sådana automatiska beslut som avses i artikel 15.1. (jämför 17 §). Sistnämnda bestämmelse baserar sig på artikel 12 a tredje strecksatsen i EG-direktivet. Det är bara den som själv varit föremål för ett automatiserat beslut som efter ansökan har rätt att få information från den registeransvarige om vad som styrt den automatiserade behandling som lett fram till beslutet. Informationsskyldigheten gäller endast vad som styrt behandlingen rent tekniskt. Enligt punkt 41 i ingressen till EG-direktivet får den aktuella rätten inte kränka affärshemligheter eller upphovsrätten, till exempel programvaran, dock bör den sökande inte nekas all information.
Information om huruvida personuppgifter som berör sökanden behandlas i ett register skall enligt 2 mom. vara gratis, om informationen endast lämnas en gång per kalenderår. Rätten att uppbära avgift för lämnande av information får dock utnyttjas om den registrerade kontrollerar uppgifterna i registret mer än en gång per kalenderår. Enligt artikel 12 a i EG-direktivet skall informationen lämnas Autan större kostnader@. Om ersättning uppbärs enligt paragrafen skall den vara skälig och den får inte överstiga de faktiska kostnaderna för åtgärden. I fråga om landskapsförvaltningens prestationer skall även beaktas vad som föreskrivs i landskapslagen om grunderna för avgifter till landskapet (27/1993).
14 § Ansökan om information Paragrafen innehåller bestämmelser om förfarandet vid den registrerades ansökan om information. Enligt paragrafens 1 mom. kan den som önskar kontrollera uppgifter om sig själv ansöka om att få göra det genom en egenhändig undertecknat handling eller genom ett personligt besök hos den registeransvarige.
Den registeransvarige skall enligt 2 mom. utan onödigt dröjsmål ge den registrerade tillfälle att ta del av den information som gäller honom eller henne själv eller på begäran lämna informationen skriftligen. Insynen kan ske exempelvis så att handlingarna uppvisas eller visas på en dataskärm. Informationen skall lämnas i sådan form att den registrerade kan förstå dem (jämför 13 § 1 mom.). Med onödigt dröjsmål avses att informationen skall lämnas genast när det med hänsyn till den tekniska behandlingen av registret är möjligt.
Om det finns särskilda skäl kan informationen dock lämnas senast tre månader efter det att ansökan gjordes. Sådana särskilda skäl kan vara att personuppgifter är krypterade, att sökmöjligheterna annars är begränsade eller att den registeransvarige har många personuppgifter uppdelade på många register (jämför tidsbegränsning 19a § landskapslagen om ärendens handläggning i landskapsstyrelsen).
För att underlätta förfarandet föreslås i paragrafens 3 mom. att den registeransvarige alltid skall ge den registrerade ett skriftligt intyg om den registeransvarige vägrar lämna information. Genom det föreslagna systemet torde det vara lättare för den som begär att få ta del av information, men förvägrats rätt till denna, att få sin sak prövad av tillsynsmyndigheten. Jämställbart med att insynen förvägrats är enligt 3 mom. att den registeransvarige inte inom tre månader efter det att begäran gjordes har gett den registrerade ett skriftligt besked. Möjligen att få tvister med den registeransvarige avgjorda av någon tillsynsmyndighet följer av allmänna datasekretessprinciper. Den registrerades föreslås således enligt 3 mom. få en möjlighet att föra ärendet till tillsynsmyndigheten för avgörande om den registeransvarige vägrat rätt till insyn. Tillsynsmyndigheten har härigenom en möjlighet att föreskriva att rätten till information skall tillgodoses. Begränsningar i fråga om rätten till insyn finns reglerad i 15 §. Om tillsynsmyndigheten vid sin prövning av ärendet kommer fram till att den registrerades rätt till insyn skall tillgodoses kan myndigheten förstärka skyldigheten med ett vitesföreläggande. Det är tillsynsmyndigheten som utdömer vitet. Allmänna bestämmelser om vite finns i viteslagen (FFS 1113/1990). Bestämmelser om besvär över tillsynsmyndighetens beslut finns särskilt reglerat i 9 kapitlet.
Enligt punkt 42 i ingressen till EG-direktivet kan medlemsstaterna med hänsyn till intresset hos den registrerade eller till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. Som exempel nämns i direktivet beslut om att tillgång till uppgifter av medicinsk art endast fås genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården. I enlighet med direktivet intas en bestämmelse i 4 mom. om på vilket sätt den registrerade kan utöva sin rätt till information i fråga om register inom hälso- och sjukvården. Uppgifter angående hälsotillstånd och sjukdom som antecknats om den registrerade i ett register som innehåller personuppgifter och som förs av en hälso- och sjukvårdsmyndighet skall på den registrerades begäran ges av en läkare eller annan hälso- och sjukvårdsutbildad person vid myndigheten. Med en hälso- och sjukvårdsutbildad person avses i förslaget en sådan yrkesutbildad person inom hälso- och sjukvården som motsvarar definitionen i rikslagen om yrkesutbildade personer inom hälso- och sjukvården (FFS 559/1994).
15 § Begränsningar i fråga om rätten till insyn Paragrafen berör de situationer då individens rätt till information måste vika för viktigare skäl. De undantag som finns i denna paragraf baserar sig på artikel 13 i EG-direktivet.
I artikel 13 finns det bestämmelser om att medlemsstaterna får genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Bland annat gäller det de skyldigheter och rättigheter som anges i artikel 12 det vill säga den registrerades rätt till insyn. En sådan begränsning måste enligt punkt 1 i artikel 13 dessutom vara en nödvändig åtgärd med hänsyn till exempelvis allmän säkerhet, förebyggande och undersökning av brott, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen (inkl. monetära frågor, budgetfrågor och skattefrågor) och tillsyns- och inspektionsuppgifter som ansluter sig till dessa samt skydd av den registrerades eller andras fri- och rättigheter. Enligt artikel 13.2 kan rätten till information dessutom begränsas när personuppgifterna endast behandlas för vetenskapliga ändamål eller för statistikföring.
Enligt 15b § landskapslagen om allmänna handlingars offentlighet skall de begränsningar som föreskrivs i rikslagstiftningen i fråga om rätten till insyn i personregister tillämpas även på de register som omfattas av landskapslagen. Vid landstingsbehandlingen av landskapslagen ansåg man att en enhetlig reglering i detta avseende var såväl ändamålsenlig som praktiskt betingad (Lu bet. nr 23/1990-91). Landskapsstyrelsens förevarande förslag har uppgjorts med utgångspunkt från EG-direktivet och följer till denna del i huvudsak motsvarande bestämmelse i rikets personuppgiftslag. Även i Danmark, Norge och Sverige har den bedömningen gjorts att vissa undantag från informationsskyldigheten är nödvändiga på grund av sekretesskäl eller liknande.
Enligt 1 mom. 1 punkten får den information som avses i 13 § inte lämnas ut till den registrerade om informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott. Den föreslagna begränsningen i informationsskyldigheten möjliggörs med stöd av artikel 13.1 c och d i EG-direktivet.
Enligt 1 mom. 2 punkten är den registeransvarige inte informationsskyldig, om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för någon annans rättigheter. Med stöd av denna bestämmelse skall det undantagsfall vara möjligt att vägra lämna information om register som innehåller uppgifter om den registrerades hälsotillstånd, sjukdom eller vård som han eller hon fått. En begränsning enligt bestämmelsen kan komma i fråga exempelvis när det kan antas att uppgifterna om hälsotillståndet kan vara ägande att skada den registrerades mentala hälsa. Som framgår av förslagets 14 § 4 mom. skall denna prövning göras av en läkare eller annan hälso- och sjukvårdsutbildad person vid hälso- och sjukvårdmyndigheten. Förslaget är förenlig med artikel 13.1 g i EG-direktivet, som tillåter medlemsstaterna att föreskriva om inskränkt informationsskyldighet i syfte att garantera skydd av den registrerades eller andras fri- och rättigheter.
Enligt 1 mom. 3 punkten omfattar informationsskyldigheten enligt 13 § inte sådana register, som innehåller uppgifter som uteslutande används för historisk eller vetenskaplig forskning eller för statistikföring. Undantaget från informationsskyldigheten i fråga om dessa register har medtagits för att användningen av sådana register inte direkt gäller beslutsfattande i fråga om den registrerade och därför inte äventyrar hans eller hennes rättsskydd. Begränsningen möjliggörs av artikel 13.2 i EG-direktivet.
Enligt paragrafens 1 mom. 4 punkt är den registeransvarige inte informationsskyldig, om de personuppgifter som ingår i registret används vid tillsyns- och kontrolluppgifter och underlåtelsen att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen. Bestämmelsen baserar sig på artikel 13.1 e och f i EG-direktivet.
I paragrafens 2 mom. finns en bestämmelse om den registrerades rätt att få information när endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten till information enligt paragrafens 1 mom. Den registrerade har i dessa fall rätt att få information om övriga uppgifter som registrerats om honom eller henne.
Genom speciallagstiftning kan ytterligare inskränkningar, utöver de som redan anges i 1 mom., göras i den registrerades rätt till information om vad som behandlas om honom eller henne i ett register. Inskränkningarna måste dock överensstämma med de grunder som anges i artikel 13 i EG-direktivet, såvida den aktuella regleringen hör till direktivets tillämpningsområde.
16 § Rättelse I paragrafen finns bestämmelser dels om den registrerades rätt att på begäran få personuppgifter korrigerade genom rättelse, utplåning, blockering och komplettering dels om den registeransvariges skyldighet att underrätta tredje man till vilken uppgifterna lämnats ut om korrigeringsåtgärden.
Enligt 3 § 1 mom. punkt 8 åvilar det ett grundläggande krav på den registeransvarige att vid behandling av personuppgifter självmant vidta alla rimliga åtgärder för att rätta, utplåna, blockera eller komplettera sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 3 § 1 mom. punkt 5 och 7 finns det dessutom bestämmelser som lägger ett krav på den registeransvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Redan genom de grundläggande kraven i 3 § har den registeransvarige pålagts ett aktivitetskrav att på egen hand se till att de behandlade uppgifterna är korrekta. Den föreslagna paragrafen kan således sägas innehålla bestämmelser om en rätt för den registrerade att påkalla den registeransvariges uppmärksamhet att korrigera uppgifter, som gäller utöver de grundläggande kraven på den registeransvarige enligt lagens 3 §.
Paragrafen är avsedd att ha samma innehåll som artikel 12 b och c i EG-direktivet samt i huvuddrag även 15c § landskapslagen om allmänna handlingars offentlighet.
Enligt paragrafens 1 mom. är den registeransvarige skyldig att på begäran av den registrerade utan onödigt dröjsmål rätta, utplåna, blockera eller komplettera sådana personuppgifter som ingår i ett personregister och som med hänsyn till ändamålen med behandlingen är oriktiga, onödiga, bristfälliga eller föråldrade. En begäran om en korrigering kan exempelvis vara resultatet av en granskning av den information den registrerade fått med stöd av 13 §. Den registrerades begäran om korrigering kan ske såväl muntligt som skriftligt. Vid tolkningstvister huruvida en begäran om korrigering framställts torde det vara den registrerade som har bevisbördan för att en framställning har gjorts.
En korrigering skall göras utan onödigt dröjsmål det vill säga genast när det med hänsyn till den tekniska behandlingen av registret är möjligt.
Om det inte av framställningen om begäran om korrigering kan utläsas vilken av de alternativa metoderna rättelse, utplåning, blockering eller komplettering som skall väljas i olika situationer är det den registeransvarige som har att bedöma vilken åtgärd som är den mest ändamålsenliga.
På motsvarande sätt som ifråga om den registeransvariges skyldighet att lämna ett skriftligt intyg över vägrad rätt till information enligt 13 § föreslås i paragrafens 2 mom. att den registeransvarige skall lämna ett skriftligt intyg om den registeransvarige inte godkänner den registrerades begäran om korrigering. I intyget skall också orsaken till att begäran enligt 1 mom. inte godkänts nämnas. Någon motsvarighet till bestämmelsen i EG-direktivet finns inte. Avsikten är att genom förslaget underlätta förfarandet för den registrerandes del vid tillsynsmyndighetens eventuella prövning av ärendets handläggning. Om tillsynsmyndigheten vid sistnämnda prövning finner att en uppgift skall rättas kan myndigheten förstärka skyldigheten i sitt beslut med ett vitesföreläggande. Det är tillsynsmyndigheten som utdömer vitet. Allmänna bestämmelser om vite finns i viteslagen. Bestämmelser om besvär över tillsynsmyndighetens beslut finns särskilt reglerat i lagens 9 kapitel.
I enlighet med artikel 12 c i EG-direktivet föreslås paragrafens 3 mom. innehålla en bestämmelse om att den registeransvarige på begäran skall underrätta tredje man till vilken uppgifterna har lämnats ut om korrigeringsåtgärden. Någon underrättelse behöver inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionellt stor arbetsinsats.
Av såväl det föreslagna 3 mom. som artikel 12 c i EG-direktivet följer att underrättelseskyldigheten endast skall gälla i fråga om de korrigeringar som gjorts på begäran av den registrerade enligt paragrafens 1 mom. I fråga om de korrigeringar som vidtagits av den registeransvarige på eget initiativ med stöd av bland annat 3 § punkt 8 föreligger inte någon underrättelseskyldighet.
En underrättelse enligt 3 mom. kan ske såväl muntligt som skriftligt och bör genomföras så snart som möjligt efter att en begäran framförts. Något formellt krav på att den som lämnat informationen skall underrättas om den vidtagna korrigeringsåtgärden finns inte enligt EG-direktivet och föreslås inte heller ingå i paragrafen.
17 § Automatiserade beslut I paragrafen ingår bestämmelser om automatiserade beslut. Bestämmelserna anger dels den registrerades rätt att få beslutet omprövat manuellt dels när det är tillåtet att fatta automatiserade beslut.
Bestämmelserna om automatiserade beslut har införts i lagen på grund av regleringen i artikel 15 och till viss del artikel 12 a tredje strecksatsen (jfr 15 § 1 mom. punkt e) i EG-direktivet. Bestämmelserna i artikel 15 i EG-direktivet innebär att medlemsstaterna i princip skall ge var och en rätt att slippa bli föremål för vissa automatiserade beslut. Medlemsstaterna är dock förpliktade att föreskriva att en person faktiskt får bli föremål för automatiserade beslut i två fall. Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut som fattas som led i ingåendet eller fullgörandet av ett avtal. Sådana beslut skall tillåtas om de är positiva för den registrerade, såsom när den registrerades begäran om ingående eller fullgörande av ett avtal har bifallits eller om det vidtagits lämpliga åtgärder för att skydda registrerades berättigade intressen, exempelvis genom att erbjuda honom eller henne möjligheten att göra sin uppfattning gällande. Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas är när sådana beslut tillåts i nationell lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
Paragrafens 1 mom. definierar vad som avses med ett automatiserat beslut, samtidigt som bestämmelsen ger den enskilde rätt att på begäran få ett sådant beslut omprövat. Ett automatiserat beslut är ett beslut som antingen har rättsliga följder för den registrerade eller annars har märkbara verkningar för den registrerade. Beslutet skall vidare enbart grundas på automatiserad behandling. Dessutom krävs det att de uppgifter på vilka de automatiserade behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet. Uppgifter som nämns i EG-direktivet är den registrerades arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. För att ett beslut skall omfattas av paragrafen måste samtliga rekvisit vara uppfyllda. Definitionen skall ha samma innebörd som enligt artikel 15.1 i EG-direktivet.
Den i momentet givna möjligheten att få ett automatiserat beslut omprövat baseras på den filosofin att användningen av ny teknik inte skall hämmas i onödan, men att ett minimiskydd måste skapas för den som blir utsatt för en datateknisk behandling. Genom kravet på en omprövning skapas ett enkelt instrument som torde vara lätt att tillämpa i praktiken. Detta krav i kombinationen med rätten för den registrerade att få reda på de bestämmelser som styrt den automatiska behandlingen som har lett fram till beslutet (jfr 15 § 1 mom. punkt e) torde kunna ses som sådana bestämmelser som, dels tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd för den registrerades berättigade intressen.
Rätten att få ett automatiserat beslut prövat av en människa innebär inte att beslutet måste ersättas med ett nytt, såvida inte den manuella granskningen visar att det är befogat.
Under den inledande remissrundan av lagförslaget har inte det kommit fram att några automatiserade beslut skulle fattas inom varken landskaps- eller kommunalförvaltningen.
Enligt 2 mom. kan automatiserade beslut endast fattas under vissa givna förutsättningar. Enligt bestämmelsen skall det vara tillåtet att fatta ett automatiserat beslut endast om detta reglerats i lag eller om beslutet fattas i samband med att ett avtal ingås eller fullgörs, under förutsättning att skyddet för den registrerades rättigheter säkerställs eller den registrerades begäran om ingående eller fullgörande av ett avtal uppfylls genom beslutet. Förslaget överensstämmer till denna del med det lagstiftningsmandat som ingår i EG-direktivet.
I 3 mom. ingår en hänvisning till procedurreglerna i 13 och 14 §§ i fråga om den enskildes rätt att efter ansökan få information om det som har styrt den behandling som lett fram till det automatiserade beslutet. Det innebär bland annat att ansökan skall göras skriftligt och vara egenhändigt undertecknad och att information skall lämnas utan onödigt dröjsmål efter att ansökan gjordes i sådan form att den registrerade kan förstå den.
Innan en den registeransvarige tar i bruk ett system för automatiserade beslut skall detta enligt förslagets 22 § anmälas till tillsynsmyndigheten.
18 § Säkerhet vid behandling I paragrafen finns bestämmelser om säkerheten vid behandling av personuppgifter med förpliktelser dels för den registeransvarige dels för det registerbiträde den registeransvarige anlitar.
Paragrafen är avsedd att ha samma innebörd som artikel 17.1 och 17.2 i EG-direktivet. Enligt artikel 17.1 skall medlemsstaterna föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och arten av de uppgifter som skall skyddas. I artikel 17.2 finns bestämmelser i fråga om säkerhet ifall den registeransvarige anlitar ett registerbiträde. Enligt artikeln skall den registeransvarige förvissa sig om att registerbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att registerbiträdet verkligen vidtar åtgärderna.
Enligt 1 mom. skall den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas från varje form av otillåten behandling.
De säkerhetsåtgärder som den registeransvarige måste vidta för att skydda de personuppgifter som behandlas skall enligt 2 mom. åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheterna som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, arten av de uppgifter som skall skyddas samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet.
Inom det tekniska området finns omfattande möjligheter till olika säkerhetsfunktioner (punkt 1). Den tekniska utrustningen utvecklas ständigt. Många system innehåller funktioner för behörighetskontroll, loggning och kryptering utifrån vilka den registeransvarige kan utforma lämpliga instruktioner och rutiner. Genom ett system med lösenord eller motsvarande skyddsarrangemang kan man exempelvis försäkra sig om att uppgifterna behandlas endast av sådana personer som har rätt att behandla uppgifter. Via olika systemen kan man även följa upp vem som behandlat olika personuppgifter och vad som gjorts.
Enligt 2 mom. punkt 2 skall även kostnaderna för att genomföra säkerhetsåtgärderna tas med i beaktande vid den samlade bedömning av omständigheterna som det måste bli fråga om när man skall avgöra vilka säkerhetsåtgärder som skall vidtas. Nämnda faktor kan innebära att man måste avstå från den allra bästa tekniken för att den är för dyr.
Bland de faktorer som skall beaktas nämns i 2 mom. punkt 3 de särskilda risker som finns med behandlingen. En risk kan exempelvis vara det antal människor som de behandlade uppgifterna avser. Skadorna av ett angrepp torde bli mer omfattande när det gäller uppgifter om många personer som behandlas på en gång. Här utgör således uppgifternas mängd en betydelsefull faktor. Även åldern på de uppgifter som behandlas kan beroende på personuppgiftens innehåll vara av betydelse för att åstadkomma en lämplig säkerhetsnivå.
Även uppgifternas art inverkar enligt 2 mom. punkt 4 på bedömningen av vilken skyddsnivå som är att betrakta som tillräcklig. Här inkluderas bland annat känsligheten i de behandlade uppgifterna, vilket förutsätter att man fäster särskild uppmärksamhet vid skyddet av registret. Regler om känsliga uppgifter finns i lagens 3 kapitel.
I punkt 46 i ingressen till EG-direktivet framhålls skyddet för de registrerades fri- och rättigheter, såvitt avser behandling av personuppgifter, förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva behandlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. I 2 mom. punkt 5 intas en bestämmelse om att även den betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet skall tas i beaktande vid bedömningen av skyddsnivå.
Även olika bestämmelser om tystnadsplikt och sekretess (tjänstemannalagen för landskapet Åland, grundskole- och socialvårdslagstiftning etc.) utgör en viktig del i det regelverk som reglerar säkerheten vid behandlingen av personuppgifter.
I 3 mom. finns bestämmelser om de säkerhetsåtgärder som skall vidtas om dem registeransvarige anlitar ett registerbiträde. Med registerbiträde avses enligt lagens 2 § punkt 5, den som behandlar personuppgifter för den registeransvariges räkning. Den föreslagna bestämmelsen är avsedd att ha samma innebörd som artikel 17.2 i EG-direktivet.
19 § Personer som behandlar personuppgifter Paragrafen innehåller bestämmelser om sekretess och säkerhet vid behandling av personuppgifter.
Paragrafens 1 mom. innehåller en grundläggande regel om att den som arbetar med personuppgifter bara får behandla uppgifterna i enlighet med instruktioner från den registeransvarige. Bestämmelsen är avsedd att ha samma innebörd som artikel 16 i EG-direktivet. Förslaget omfattar såväl registerbiträdet som medhjälpare. Med registerbiträde avses enligt 2 § punkt 5 den som behandlar personuppgifter för den registeransvariges räkning. Som anförts i motiven till lagens 2 § utgör en medhjälpare en person som under den registeransvariges eller registerbiträdets direkta ansvar kan utföra behandling av personuppgifter.
Redan av lagens 3 § följer att den registeransvarige skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt samt i enlighet med god informationshantering. Inom ramen för nämnda förpliktelse får även anses ligga ett ansvar för att ha så tydliga instruktioner som möjligt, så att var och en som arbetar med personuppgifterna känner till ändamålet med behandlingen och villkoren för behandlingen. Artikel 16 i EG-direktivet medger dock ett undantag från instruktionsförfarandet om någon enligt lag är skyldig att behandla personuppgifter. I sådana fall får registerbiträdet och den eller de personer som arbetar under biträdets eller den registeransvariges ledning göra det även utan instruktioner från den registeransvarige. Det sistnämnda får anses följa av lagens 1 § 3 mom., enligt vilken avvikande bestämmelser i annan lag generellt sett tar över bestämmelser i den förslagna lagen.
Ansvaret för att uppgifter behandlas i enlighet med lagen åvilar i första hand den registeransvarige. Om den som arbetar åt den registeransvarige lämnar ut uppgifter i strid vad som gäller, är det den registeransvarige som bär det rättsliga ansvaret gentemot den registrerade. Huruvida den registeransvarige i sin tur kan vidta åtgärder mot den som exempelvis lämnat ut uppgifter i strid mot givna instruktioner, följer av de avtal eller allmänna bestämmelser (till exempel arbetsrättsliga) som reglerar förhållandet mellan den registeransvarige/registerbiträdet och medhjälparen.
När den registeransvarige anlitar ett registerbiträde skall det enligt paragrafens 2 mom. finnas ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den registeransvariges räkning. Bestämmelsen är avsedd att ha samma innebörd som artikel 17.3 och 17.4 i EG-direktivet. I avtalet skall det således särskilt regleras dels att registerbiträdet endast får handla på instruktioner från den registeransvarige, dels att registerbiträdet är skyldigt att vidta de säkerhetsåtgärder som avses i 18 § 1 och 2 mom. Kravet på skriftlighet följer av artikel 17.4 i EG-direktivet och får anses ge uttryck för en bevissäkring.
20 § Tystnadsplikt I paragrafen föreskrivs om tystnadsplikt för den som vid behandling av personuppgifter har fått kännedom om något som gäller en enskild persons egenskaper, personliga förhållanden eller ekonomiska ställning. Med behandling av personuppgifter avses enligt 2 § punkt 2 varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte.
Tystnadsplikten innebär ett förbud att utan samtycke av den uppgiften gäller röja sådana uppgifter om en enskild persons egenskaper, personliga förhållanden eller ekonomiska ställning. Med personliga förhållanden avses bland annat någons hälsotillstånd. Av lagens 2 § punkt 9 och dess motiv framgår vad som avses med samtycke. Syftet med bestämmelsen är att ordna ett skydd för personregistren, samtidigt som bestämmelsen är ett försök att förhindra att uppgifter om personers privatliv obehörigen sprids.
Den föreslagna tystnadsplikten skall emellertid inte förhindra att uppgifter utlämnas till tillsynsmyndigheterna eller till åklagare eller polis för utredande av brott. Inte heller finns det hinder för att lämna sådana upplysningar till den myndighet som behandlar ett ärende om ändringssökande enligt den föreslagna lagen.
21 § Säkerheten vid arkivering Om personuppgifter som överförs och förvaras i ett offentligt arkiv gäller vad som föreskrivs i arkivlagstiftningen. I paragrafen ingår en hänvisning till arkivlagstiftningen i fråga om säkerheten vid behandling av personuppgifter i register som överförs och förvaras i ett offentligt arkiv. En motsvarande bestämmelse finns i 20 § landskapslagen om allmänna handlingars offentlighet.
Den finländska arkivlagen (FFS184/1981) är med stöd av 71 § självstyrelselagen gällande i landskapet i den lydelse den hade vid 1991-års självstyrelselags ikraftträdelse. För landskapsmyndigheterna finns även en arkivstadga. Enligt arkivstadgans basdel skall minst 15 år gamla handlingar från landskapsstyrelsen och dess inrättningar överföras till landskapsarkivet för långtidsförvaring. I fråga om organiseringen av arkivfunktionen för kommunala handlingar gäller vad som föreskrivs med stöd av 4 kap. arkivlagen. Att myndigheterna bevarar sina handlingar har betydelse för den offentlighetsprincip som kommer till uttryck i landskapslagen om allmänna handlingars offentlighet. Enligt särskilda bestämmelser är myndigheterna även skyldig att gallra uppgifter ur handlingar med hänsyn till den personliga integriteten. Handlingar får inte utgallras utan tillstånd. Bestämmelser om i vad mån personuppgifter får gallras efter viss tid framgår förutom av arkivlagen även av viss speciallagstiftning. Enligt 23 § 4 punkten självstyrelselagen krävs dessutom att landskapsstyrelsen begär utlåtande av riksarkivet innan beslut fattas om utgallring av handlingar ur landskapsmyndigheternas eller de kommunala och kyrkliga myndigheternas arkiv.
6 kap. Anmälan till tillsynsmyndigheten
22 § Anmälningsskyldighet Paragrafen innehåller en bestämmelse om den registeransvariges anmälningsskyldighet gentemot tillsynsmyndigheten i fråga om behandling av personuppgifter i de register som omfattas av lagen. Anmälningsskyldigheten omfattar helt eller delvis automatiserad behandling av personuppgifter. Anmälan skall göras innan en sådan behandling eller serie av behandlingar med samma eller liknande ändamål genomförs. Manuella behandlingar omfattas inte av anmälningsskyldigheten.
Paragrafens 1 mom. är avsedd att ha samma innebörd som artikel 18.1 i EG-direktivet. Motivet för anmälningsskyldigheten är enligt punkt 48 i ingressen till EG-direktivet att göra en behandlings syfte och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra detta EG-direktivet.
Landskapslagen om allmänna handlingars offentlighet bygger i fråga om allmänna handlingar som utgör personregister på principen om en självstyrande registerföring. Den registeransvarige skall självmant beakta de skyldigheter och rättigheter som framgår direkt av lagstiftningen och som är till för att skydda medborgarnas integritetsskydd och rättsskydd i samband med förandet av personregister. Syftet med gällande lagstiftning har varit att administrativa anmälningsförfaranden endast skall tillämpas i undantagsfall, vilket även är avsikten med den i framställningen föreslagna landskapslagstiftningen. På grund av EG-direktivet måste det dock införas en principiell skyldighet att anmäla alla automatiska behandlingar till tillsynsmyndigheten. De undantag från den skyldigheten som EG-direktivet medger bör emellertid utnyttjas så långt det är möjligt, genom att det införs generella undantag från vissa sektorer (se 23 §).
Enligt artikel 20.1 i EG-direktivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och skall säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Det är tillsynsmyndigheten som skall utföra förhandskontrollen sedan en anmälan kommit in den registeransvarige. Enligt EG-direktivets artikel 20.3 är det dock tillåtet för medlemsstaterna att i stället utföra förhandskontrollen som ett led i lagstiftningsprocessen. I landskapet kan en sådan förhandskontroll som avses i EG-direktivet, till den del rättsområdet är att hänföra till landskapets behörighet, sägas ske i samband med att lagting och landskapsstyrelsen beslutar att anta särskilda registerförfattningar. Någon särskild författningsreglering behövs inte i fråga om den förhandskontroll som sker i samband med att särskilda registerförfattningar fattas. Förhandskontrollen som ett led i lagstiftningsprocessen samt tillsynsmyndighetens möjlighet enligt lagförslaget till insyn och inspektionsrätt torde mycket väl tillgodose de krav EG-direktivet uppställer enligt artikel 20. I vissa situationer krävs dessutom tillstånd av tillsynsmyndigheten innan en behandling av personuppgifter får vidtas (jämför 4 §). Enligt den förslagna paragrafens 1 mom. krävs även att en anmälan görs innan behandling genomförs.
Om en registeransvarig tar i bruk ett system för automatiserade beslut som avses i 17 § skall en anmälan enligt paragrafens 2 mom. göras till tillsynsmyndigheten. Med ett automatiserat beslut avses enligt 17 § ett beslut som antingen har rättsliga följder för den registrerade eller annars har märkbara verkningar för den registrerade. Beslutet skall vidare enbart grundas på automatiserad behandling. Dessutom krävs det att de uppgifter på vilka de automatiserade behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet.
För närvarande är erfarenheterna ytterst begränsade om av vad ett sådant system kan medföra. Genom kravet på en anmälan förväntas tillsynen av dessa beslut underlättas.
I paragrafens 2 mom. finns även en bestämmelse om anmälan i fråga om personuppgifter som överförs till stater som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. En anmälan behöver endast göras i fråga om de uppgifter som överförs på de grunder som anges i 24 § 1 och 2 mom. eller 25 § punkterna 6 och 7 och om överföringen inte är reglerad i lag. En anmälan måste således för det första göras när personuppgifter överförs till en sådan stat utanför EU eller EES som kan säkerställa en tillräcklig skyddsnivå. Tillsynsmyndigheten skall också underrättas när överföringen grundar sig på garantier som den registeransvarige gett till exempel genom avtal som ger tillräckliga garantier till skydd för de enskildas integritet och rättigheter. Någon anmälningsplikt finns inte, ifall om överföringen föreskrivs i lag. Efter att ha fått en anmälan skall tillsynsmyndigheten bedöma om integritetsskyddet tillgodoses i tillräcklig mån vid överföringen av personuppgifter. Om tillsynsmyndigheten efter att ha mottagit en anmälan om en överföring enligt 25 § punkt 7 anser att personuppgifterna kan översändas till stater som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet skall tillsynsmyndigheten informera kommissionen och medlemsstaterna om detta. Sistnämnda bestämmelse föreslås intagen i paragrafens 2 mom. och föranleds av EG-direktivets artikel 26.3.
Anmälan skall göras till tillsynsmyndigheten och skall enligt paragrafens 3 mom. vara skriftlig. Enligt artikel 19 i EG-direktivet skall medlemsstaterna precisera vilka uppgifter som anmälan skall innehålla. I artikel 19.1. anges de uppgifter en anmälan åtminstone skall innehålla. De uppgifter som enligt EG-direktivet erfordras i en anmälan finns med bland de uppgifter som skall ingå i den registerförteckning som enligt förslagets 5 § skall föras av den registeransvarige. Anmälan skall således innehålla information den registeransvariges namn, adress, telefonnummer och kontaktperson, en uppgift om registerbiträde om sådan finns, ändamålet eller ändamålen med behandlingen av personuppgifter, en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen, en beskrivning av de uppgifter eller kategorier av uppgifter som skall behandlas om de registrerade, en beskrivning om varifrån uppgifterna hämtas, en upplysning om vart uppgifterna i regel lämnas ut och huruvida uppgifter lämnas till en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet samt en allmän beskrivning av de åtgärder som har vidtagits för att trygga säkerheten i behandlingen.
I fråga om personuppgifter som överförs till en stat utanför EU eller EES skall anmälan, utöver de uppgifter som ingår i registerbeskrivningen, innehålla fakta om vilka uppgifter som överförs och hur överföringen sker.
Enligt 3 mom. skall förändringar i de angivna uppgifterna anmälas till tillsynsmyndigheten. Förslaget överensstämmer till denna del med vad som föreskrivs i artikel 19.2 i EG-direktivet.
Anmälan föreslås enligt 4 mom. göras senast 30 dagar innan en behandling av personuppgifter i ett register påbörjas. Syftet med reglerna om tidsfrist är att ge tillsynsmyndigheten tillräckligt god tid på sig för behandling av ärendet samt för att ge eventuella förhandsdirektiv. Den registeransvarige föreslås även få en kvittering på att anmälningsskyldigheten är uppfylld. Kvitteringen utgör inte något ställningstagande från tillsynsmyndigheten om att behandlingen som anmälan omfattar uppfyller lagens krav.
Enligt paragrafens 5 mom., som motsvarar artikel 21.2 i EG-direktivet, skall tillsynsmyndigheten föra ett register över sådana behandlingar som har anmälts till myndigheten i enlighet med artikel 18. Registren skall vara allmänt tillgängligt. Registren skall åtminstone innehålla den information som ingår i en registerbeskrivning enligt 5 §.
23 § Undantag från anmälningsskyldigheten Enligt huvudregeln i artikel 18 i EG-direktivet finns en anmälningsskyldighet vid behandling av personuppgifter. Anmälningsskyldigheten är dock inte undantagslös.
I artikel 18.2 räknas det upp i vilka två fall och på vilka villkor medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande. Andra undantag är inte tillåtna. Dock finns det i artikel 18.3 och 4 bestämmelser om möjlighet till särskilda undantag för vissa typer av behandlingar, nämligen förandet av ett författningsreglerat register för allmänheten och icke vinstdrivande organs behandling av känsliga uppgifter.
Enligt artikel 18.2 första strecksatsen kan medlemsstaterna sålunda för att undvika olämpliga administrativa formaliteter besluta om undantag från och förenklingar av anmälningsplikten såvitt avser sådana fall då behandlingen sannolikt inte kommer att kränka de berörda personernas fri- och rättigheter. För att undantaget skall kunna utnyttjas krävs att medlemsstaterna för dessa typer av behandling anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur längre uppgifterna skall bevaras. Enligt propositionen till rikets personuppgiftslag anses denna grund medge undantag från anmälningsskyldigheten då en registerföring baserar sig på speciallagstiftning (jämför 4 § 1 mom. 2 punkten).
Enligt artikel 18.2 andra strecksatsen kan medlemsstaterna även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrar sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri- och rättigheter. Den person (EG-direktivets terminologi Auppgiftsskyddsombud@) som sålunda utsetts att skydda uppgifterna måste, vare sig han eller hon är anställd av den registeransvarige eller inte, ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt. Möjligheten att använda uppgiftsskyddsombud har bland annat utnyttjats i Sverige och Tyskland.
I punkt 51 i ingressen till EG-direktivet betonas att det förhållandet att en registeransvarige omfattas av förenklat anmälningsförfarande eller är undantagen från anmälningsplikt inte befriar den registeransvarige från de övriga förpliktelser som följer av direktivet.
I paragrafens 1 mom. anges när anmälningsskyldigheten enligt 22 § inte behöver iakttas. De föreslagna undantagen har ansetts vara möjliga på basis av artikel 18.2. En anmälan enligt 22 § behöver inte göras om den registrerade lämnat sitt otvetydiga samtycke eller om behandlingen är nödvändig för att ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt att skall kunna vidtas innan avtal träffas (4 § 1 mom. 1 punkten). Någon anmälningsskyldighet föreligger inte heller, om behandlingen i ett enskilt fall är nödvändigt för att skydda vitala intressen för den registrerade (4 § 1 mom. 3 punkten). I sistnämnda fall är det omöjligt att på förhand göra en anmälan senast 30 dagar innan behandlingen. En sådan situation kan uppkomma exempelvis när personuppgifter behöver behandlas i brådskande ordning för att rädda den registrerades liv eller hälsa. Någon anmälningsskyldighet finns inte heller när behandlingen regleras i lag (4 § 1 mom. 2 punkten).
Någon anmälningsskyldighet finns inte heller, när behandlingen av personuppgifter grundar sig på ett kund- eller tjänstgöringsförhållande eller medlemskap som avses i 4 § 1 mom. 4 punkten. Om det med stöd av 4 § 1 mom. 4 punkten behandlas sådana uppgifter om en registrerad som till den registeransvariges verksamhet har något annat förhållande jämförbart med ett kund- eller tjänstgöringsförhållande eller medlemskap, skall anmälan göras till tillsynsmyndigheten.
Även i fråga om sådan behandling av personuppgifter som tillsynsmyndigheten gett tillstånd till med stöd av 4 § 2 mom., är inte anmälningspliktig. Garantierna för att den registrerades fri- och rättigheter inte kränks bedöms i dessa fall när tillsynsmyndigheten beviljar tillstånd för behandlingen av personuppgifter.
Anmälningsplikten omfattar inte heller behandling av känsliga uppgifter när uppgifterna behandlas med stöd av 8 § 1-7 punkten eller behandling av personbeteckning enligt 10 §.
Enligt paragrafens 2 mom. kan undantag från anmälningsskyldigheten också göras genom förordning, om det är uppenbart att behandlingen av personuppgifter inte kränker den registrerades integritetsskydd eller hans eller hennes fri- och rättigheter. Ett sådant förfarande är möjligt såväl enligt grundlagen som enligt EG-direktivet.
24 § Villkor I paragrafen ingår bestämmelser om överföring av personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Paragrafen grundas på bestämmelserna i artikel 25 i EG-direktivet. Enligt huvudregeln i EG-direktivet är överföring av personuppgifter bara tillåten till stater utanför EU eller EES som har en adekvat skyddsnivå. En bestämmelse om detta intas i paragrafens 1 mom. I bestämmelsen nämns förutom stater utanför EU även EES-stater, eftersom Island, Norge och Liechtenstein, vilka hör till EES, har förbundit sig att genomföra direktivet i deras nationella lagstiftning.
Några särskilda bestämmelser om överföring av personuppgifter till stater utanför EU eller EES finns inte i gällande landskapslag om allmänna handlingars offentlighet. Personuppgifter får enligt landskapslagens 15a § 3 mom. lämnas ut som massutlämnande endast med samtycke av den registrerade eller på basis av myndighetens tillstånd eller om utlämnandet sker för vetenskaplig forskning eller för statistiskt ändamål och det är uppenbart att mottagarens användning av uppgifterna inte är ägnad att äventyra de registrerades personliga integritet eller om utlämnandet är tillåtet enligt landskapslag.
Enligt den föreslagna paragrafen skulle överföringen av personuppgifter gälla såväl uppgifter som är under behandling som uppgifter som är avsedda att behandlas. En överföring av personuppgifter för behandling i stater utanför EU eller EES kan till exempel gälla överföring av ifyllda formulär med personuppgifter, som inte behandlas här men som är avsedda att behandlas i stater utanför EU eller EES. Personuppgifterna måste dock dessförinnan ha undergått automatiserad behandling eller ingått i ett manuellt register. Bestämmelsen tillämpas på såväl överföring av enstaka uppgifter som överföring av större datamängder samtidigt.
Överföring av personuppgifter till stater utanför EU eller EES torde inte innebära att det krävs att personuppgifterna lämnas ut till tredje man. Även om personuppgifterna hela tiden är under den registeransvariges kontroll, torde det vara fråga om en överföring när de förs över till stater utanför EU eller EES. Med begreppet överföring avses här att en faktisk överföring måste komma till stånd. Enligt motiven till motsvarande bestämmelse i den finländska personuppgiftslagen torde direktivet lämna utrymme för att begreppet överföring förutom utlämnande kan inkludera även annan fysisk överföring. Ett exempel på en sådan överföring nämner de finländska motiven en överföring av personuppgifter till ett register som är gemensamt för en koncern eller annan ekonomisk sammanslutning och som förs utanför EU eller EES. I motsats till vad som gäller för utlämnande av personuppgifter, kan således den registeransvarige vara densamma också efter en överföring.
Frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar. Uppräkningen i 2 mom. av de faktorer som skall vägas in i bedömningen av om skyddsnivån är tillräcklig skall på inget sätt uppfattas som uttömmande.
Av betydelse är dessutom om den aktuella staten har genomfört Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 36/1992) i sin lagstiftning och uppgifterna skall användas enbart i sådana stater. Anledningen till att konventionen omnämns i paragrafen är att det av artikel 12 i konventionen följer att Finland/Åland inte av integritetsskäl få hindra att personuppgifter förs över till en annan konventionsstat för att användas där. Det har ansetts oförenligt med konventionen att införa en ordning som innebär att överföringen till en konventionsstat kan hindras av det skälet att staten i någon mening inte skulle anses ha en adekvat skyddsnivå för personuppgifter.
Medlemsstaterna och kommissionen skall enligt artikel 25.3 i EG-direktivet informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå. Om kommissionen i enlighet med ett särskilt procedurförfarande kommer fram till att ett tredje land inte erbjuder en sådan skyddsnivå, är medlemsstaterna skyldiga att vidta åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande land (artikel 25.4). Av kommissionens beslut om att staten i fråga inte tryggar en tillräcklig skyddsnivå framgår även i vilken omfattning det är förbjudet att överföra uppgifter till staten i fråga. Om kommissionen konstaterat att en stat inte uppfyller en tillräcklig skyddsnivå skall förhandlingar för att avhjälpa den situation som uppkommit inledas. Kommissionen kan vidare (artikel 25.6) konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en sådan tillräcklig skyddsnivå. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Kommissionens beslut enligt såväl artikel 25.4. som 25.6. publiceras i Europeiska gemenskapernas officiella tidning. Bland exempel där kommissionen fattat beslut om huruvida skyddsnivån var tillräcklig kan nämnas kommissionens beslut nr 2000/519/EG och 2000/518/EG i fråga om Ungern och Schweiz (se http://europa.eu.int). För att uppmärksamma och tydliggöra kommissionens beslutanderätt i nämnda frågeställningar föreslås att en hänvisning till kommissionens beslut enligt EG-direktivets artikel 25.4 och 25.6 intas i paragrafens 3 mom.
Utgående från den praxis som kommissionen och den kommitté som biträder kommissionen i enlighet med artikel 31 i EG-direktivet utformar, kommer en bild efterhand att kunna fastställas över de länder som kan säkerställa en tillräcklig skyddsnivå.
Enligt punkt 57 i ingressen till EG-direktivet skall överföring av personuppgifter till ett tredje land förbjudas om landet inte garanterar en adekvat skyddsnivå. Undantag från detta förbud kan under vissa omständigheter medges enligt vad som närmare beskrivs i 25 §.
För att underlätta övervakningen av vilka uppgifter som överförs till stater utanför EU eller EES föreslås enligt lagens 22 § att en anmälan skall göras till tillsynsmyndigheten.
25 § Undantag I paragrafen intas en uppräkning av i vilka fall det är tillåtet att överföra personuppgifter till stater utanför EU eller EES trots att staten inte kan säkerställa en tillräcklig skyddsnivå. Såsom påpekas i punkt 60 i ingressen till EG-direktivet skall förutom någon av de paragrafen uppräknade fallen även övriga bestämmelser i lagen vara uppfyllda. I ingressen omnämns särskilt artikel 8 det vill säga bestämmelserna om förbud mot behandling av känsliga personuppgifter (7 §). Den förslagna paragrafen är avsedd att ha samma innebörd som artikel 26.1. i EG-direktivet.
Enligt punkt 1 får personuppgifter föras över till stater utanför EU eller EES, om den registrerade lämnat sitt otvetydiga samtycke till överföringen. Vad som avses med ett samtycke framgår av definitionen i 2 § punkt 9 och dess motiv. Förslaget motsvarar till denna del artikel 26.1 a i EG-direktivet. I de övriga fall som räknas upp i paragrafen får överföringen ske oberoende av om den registrerade har lämnat sitt samtycke. Däremot krävs det att behandlingen är nödvändig för just något av de syften som anges i punkterna. Innebörden av nödvändighetskravet har berörts i motiven till 4 §.
Paragrafens punkt 2 överensstämmer med artikel 26.1 b i EG-direktivet. Enligt paragrafen är överföring av personuppgifter tillåten om det är ett nödvändigt för att ett avtal mellan den registrerade och den registeransvarige skall kunna fullgöras. Överföring av uppgifter är också tillåten när det är nödvändigt för att åtgärder som den registrerade har begärt skall kunna vidtas innan ett avtal träffas. Bestämmelsen motsvarar 4 § 1 mom. punkt 1 och förutsätter att den registrerade själv är avtalspart.
Enligt punkt 3 paragrafen är överföring av personuppgifter till stater utanför EU eller EES som inte kan säkerställa en tillräcklig skyddsnivå enligt 26 § även tillåten, om överföringen är nödvändig för att ingå eller fullgöra ett sådant avtal mellan den registeransvarige och tredje man som är i den registrerades intresse. Ingåendet eller fullgörandet av avtalet skall sålunda överensstämma med den registrerades intresse. Det kan således inte vara fråga om enbart ett reklambudskap eller annat som denne kan antas inte vilja veta av. Enligt motiven till motsvarande bestämmelse i den finländska personuppgiftslagen kan denna punkt bland annat vara aktuell i fråga om avtal som skall ingås om hälsovårdstjänster som gäller en person som arbetar utomlands. Med tredje man avses enligt definitionen 2 § punkt 7 någon annan än den registrerade, den registersansvarige, registerbiträdet och sådana personer som under den registeransvariges eller registerbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Bestämmelsen avses motsvarar artikel 26.1 c i EG-direktivet.
En överföring är också tillåten om överföringen är nödvändig eller bindande enligt lag för att säkerställa ett viktigt allmänt intresse eller för att ett rättligt anspråk skall kunna fastställas, göras gällande eller försvaras. Punkt 4 baserar sig på artikel 26.1 d i EG-direktivet. Ett viktigt allmänt intresse kan exempelvis bli aktuell i fråga om informationsutbyte med annan stats myndigheter.
Med rättligt anspråk torde som ifråga om motsvarande bestämmelse i 8 § punkt 4 avses sådana anspråk om vilka man kan föra talan vid domstol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av exempelvis statsmakterna. I den svenska datalagskommittén nämns i kommentaren till motsvarande bestämmelse exempelvis rätten till skatteavdrag för fackföreningsavgift och rätten till socialbidrag.
Enligt punkt 5 är överföring tillåten om överföringen är nödvändig för skydda den registrerades vitala intressen. Bestämmelsen är avsedd att ha samma innebörd som artikel 26.1 e i EG-direktivet. Eftersom förslagna bestämmelsen motsvarar lagens 4 § 1 mom. punkt 3 hänvisas till nämnda paragrafs motiv för en närmare kommentar av bestämmelsens innebörd.
Paragrafens punkt 6 reglerar möjligheten att överföra personuppgifter ur ett register, där rätten att på allmänna eller särskilda grunder erhålla information är särskilt reglerat. Förslaget överensstämmer med motsvarande bestämmelse i artikel 26.1 f. Enligt punkt 58 i ingressen till EG-direktivet bör en sådan överföring inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna av uppgifterna.
Enligt EG-direktivet är det vidare tillåtet för medlemsstaterna att tillåta överföring av personuppgifter till stater utanför EU eller EES med en icke adekvat skyddsnivå om den registeransvarige ställer tillräckliga garantier för skyddet av privatlivet och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan enligt artikel 26.2 i EG-direktivet framgå av lämpliga avtalsklausuler. En bestämmelse om detta föreslås ingå i paragrafens punkt 7. Enligt artikel 26.3 skall medlemsstaterna informera kommissionen och de övriga medlemsstaterna om de överföringar som har tillåtits enligt bestämmelsen. Om kommissionen eller någon medlemsstat anser att skyddsgarantierna är otillräckliga, fattar kommissionen ett beslut i enlighet med det förfarandet som avses i artikel 31.2. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. En överföring av personuppgifter kan således inte göras enligt 7-punkten om kommissionen vid sin prövning har funnit att skyddsgarantierna inte är tillräckliga.
Enligt punkt 8 kan överföring dessutom ske om kommissionen enligt artikel 26.4 i EG-direktivet har beslutat att vissa standardavtalsklausuler erbjuder tillräcklig skyddsnivå.
26 § Tillsynsmyndighet Tillsyn över behandlingen av personuppgifter enligt den föreslagna lagen skall utövas av en ny myndighet kallad Datainspektionen. Eftersom landskapslagen kommer att omfatta även landskapsförvaltningen samtidigt som tillsynsmyndigheten enligt EG-direktivet skall vara fullständigt oberoende föreslås landskapsstyrelsen inte vara tillsynsmyndighet. Enligt artikel 28.1 i EG-direktivet skall varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem.
Närmare bestämmelser om Datainspektionen finns i förslaget till landskapslag om Datainspektionen.
27 § Tillsynsmyndigheten befogenheter Genom paragrafen tilldelas tillsynsmyndigheten vissa befogenheter för att myndigheten på ett så effektivt sätt som möjligt skall kunna utöva sin tillsyn över den behandling av personuppgifter som förekommer hos dem som omfattas av lagen. Enligt bestämmelsen, som har sin närmaste motsvarighet i artikel 28.3 första strecksatsen i EG-direktivet, kan tillsynsmyndigheten på begäran få tillgång till de personuppgifter som behandlas, all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Syftet med tillsynsmyndighetens tillsyn och befogenheter i samband med den är ytterst att myndigheten skall kunna konstatera om den behandling som utförs är laglig. Kan tillsynsmyndigheten inte på begäran få tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig har myndigheten enligt paragrafens 2 mom. rätt att förelägga vite för att förstärka skyldigheten att lämna information.
Enligt paragrafens 1 mom. punkt 1 har tillsynsmyndigheten utan hinder av sekretessbestämmelserna rätt att på begäran få tillgång till de personuppgifter som behandlas. Denna befogenhet innefattar exempelvis en rätt att beordra körningar av personregister och andra åtgärder som behövs för att få fram alla de personuppgifter som behandlas.
Paragrafen har även en punkt 2 som ger tillsynsmyndigheten en rätt att få tillgång till all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. Paragrafen möjliggör ett vidsträckt sökfält. Utöver uppgifter från exempelvis ett personregister kan information således hämtas från alla sådana uppgifter som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. Skyldigheten att lämna information omfattar i enlighet med EG-direktivet även andra än den registeransvarige.
Till tillsynsmyndighetens befogenheter hör även enligt punkt 3 en rätt att på begäran få tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Denna rättighet kan till viss del även omfatta lokaler som omfattas av skyddet för hemfriden enligt 10 § 1 mom. grundlagen. I fråga om hemfridens territoriella omfattning visar grundlagsutskottets tolkningspraxis att skyddets kärnområde är bostaden (GrUU 19/1985, GrUU 1/1986, GrUU 3/1987), även om skyddet enligt motiven till bestämmelsen (jfr 8 § regeringsformen, RP 309/1993) i sig sträcker sig längre. Gränsen för hemfridens omfattning är inte alltid lätt att bestämma. Det kan exempelvis röra sig om en dator som någon använder vid distansarbete i någons hem och det i en och samma dator kan förekomma såväl behandling som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen. En obegränsad rätt till insyn i dessa fall skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som tillsynsmyndighetens tillsynsverksamhet syftar till att förebygga. En begränsande faktor i dessa sammanhang är bestämmelsen i 10 § 3 mom. grundlagen enligt vilken det endast genom lag kan bestämmas om åtgärder som inbegriper i hemfriden under förutsättning att det är nödvändigt för att trygga de grundläggande fri- och rättigheterna eller för att brott skall kunna utredas. För att tillgodose grundlagens bestämmelser föreslås enligt paragrafens 2 mom. att tillsynsmyndigheten endast skall få tillträda till lokaler som omfattas av hemfriden om det finns specificerade skäl att misstänka att brott har skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter.
Om tillsynsmyndigheten inte efter begäran får tillgång till de personuppgifter eller den information som avses i paragrafens 1 mom. 1 och 2 punkten kan tillsynsmyndigheten enligt 3 mom. vitesförelägga den uppgiftsskyldige att uppfylla skyldigheten. Det är tillsynsmyndigheten som utdömer vitet. Allmänna bestämmelser om vite finns i viteslagen.
28 § Olaglig behandling av personuppgifter Paragrafen innehåller en allmän bestämmelse med stöd av vilken den registeransvarige i enskilda fall kan åläggas att rätta olagliga åtgärder.
Tillsynsmyndigheten kan på olika sätt få reda på att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan information kan komma fram i samband med ett besök hos en registeransvarig, kontakter med exempelvis en medhjälpare till den registeransvarige, en insänd anmälan om behandlingen eller av ett klagomål från en registrerad. I sådana fall skall myndigheten i första hand försöka att åstadkomma rättelse genom påpekande eller liknande förfaranden. Även tillsynsmyndighetens förebyggande verksamhet genom anvisningar och råd är här av central betydelse (jfr landskapslagen om Datainspektionen).
Om tillsynsmyndigheten konstaterat att en olaglig behandling föreligger och det inte går att få rättelse på annat sätt, får myndigheten förbjuda den registeransvarige att fortsätta att behandla personuppgifter. Om behandlingen väsentligen äventyrar den registrerades integritetsskydd får tillsynsmyndigheten besluta att verksamheten skall upphöra. Vid situationer som är brådskande, exempelvis när den registrerades integritetsskydd allvarligt kränks, får myndigheten genast gripa in på angivna sätt.
De administrativa tvångsmedel som föreslås i paragrafen har ansetts nödvändiga i synnerhet för att det på grund av att bestämmelserna har allmän karaktär inte varit möjligt att i samtliga fall föreskriva om straff för verksamhet som strider mot lagen. Genom bestämmelsen ges tillsynsmyndigheten på motsvarande sätt som i fråga om vitesföreläggande enligt 14, 16 och 27 §§ de befogenheter som åsyftas i EG-direktivets artikel 24 och 28.
29 § Personregisterföreseelse Paragrafen innehåller bestämmelser om straff för den som bryter mot vissa bestämmelser i lagen. Brottsrubriceringen föreslås vara personregisterförseelse och skulle omfatta de situationer när det är fråga om lindriga lagstridiga gärningar.
Genom paragrafen och hela kapitlet med straffbestämmelser tillgodoses kraven i artikel 24 i EG-direktivet. Enligt artikeln skall det särskilt beslutas om de sanktioner som skall användas vid överträdelse av bestämmelserna om behandling av personuppgifter.
För personregisterförseelse kan den straffas som uppsåtligen eller av grov oaktsamhet försummar att iaktta vad som bestäms om angivna ändamål med behandlingen av personuppgifter i 3 § 1 mom. 3 punkten, registerbeskrivning i 5 §, den registrerades rätt att förbjuda fortsatt behandling av personuppgifter i 6 §, lämnande av information till den registrerade i 4 kap., rättelse i 16 § eller om anmälningar till tillsynsmyndigheten enligt 6 kap. Även lämnande av felaktig eller vilseledande information till tillsynsmyndigheten i ett ärende som gäller behandling av personuppgifter enligt bland annat 22 § eller brott mot aktivitetskraven enligt 3 § 8 och 9 punkten och mot bestämmelserna om säkerhet vid behandling av personuppgifter enligt 18 § är straffbart.
Listan över gärningar är uttömmande och den som begår en här avsedd gärning skall kunna dömas till böter. Strängare straff för gärningen kan eventuellt aktualiseras med stöd av 40 kap. strafflagen (FFS 792/1989) (jfr 71 § självstyrelselagen).
Den som handlar i strid med bestämmelserna i lagen kan dock vid sidan av straffbestämmelserna även drabbas av skadestånd enligt 34 § och vite enligt 14, 16 och 27 §§.
Endast fysiska personer kan dömas till straff för de aktuella gärningarna enligt paragrafen. I fråga om juridiska personers straffansvar hänvisas till 9 kap. strafflagen (FFS 743/1995). Straffansvaret enligt den föreslagna paragrafen begränsas inte till en viss person såsom registerbiträdet, utan det är den person som gjort sig skyldig till förfarandet som döms till straff. I lagtexten anges gärningsmannen med de inom straffrätten sedvanligt neutrala uttrycket Aden som ...@. Sålunda kan till exempel de som är anställda hos registerföraren samt den som erhållit ett uppdrag och personer som är anställda hos denne göra sig skyldig till personregisterförseelse.
En förutsättning för att kunna dömas för personregisterförseelse är att handlingen har begåtts uppsåtligen eller av grov oaktsamhet. Enligt straffrätten[6] innebär uppsåtligt handlande att gärningsmannen uttryckligen avsett att åstadkomma följderna. Begreppet grov oaktsamhet är däremot att hänföra till vållande. Vid vållande framstår gärningsmannens brottliga vilja på ett lindrigare sätt än vid uppsåtlighet. Till gärningsmannens skuld kan dock hänföras att han eller hon inte har visat nödig aktsamhet. Genom kravet på grov oaktsamhet ställs ett strängare krav på hur likgiltig gärningsmannen varit beträffande sitt handlande.
Utöver graden av tillräknelighet förutsätter paragrafen att gärningen äventyrar den registrerades integritet eller rättigheter.
De förslagna bestämmelserna i kapitlet om straffbestämmelser följer i huvudsak motsvarande bestämmelser i den finländska, norska och danska personuppgiftslagstiftningen. I den svenska personuppgiftslagen har man däremot valt att göra ett begränsat antal förfaranden straffbara, såsom lämnande av osann uppgift, olaglig behandling av känsliga personuppgifter och uppgifter om lagöverträdelser etc., eftersom bestämmelserna om skadeståndsskyldighet och vite i övrigt ansetts täcka de krav på sanktionering som EG-direktivet uppställer (prop. sid 108).
30 § Personregisterbrott Paragrafen innehåller bestämmelser om personregisterbrott. Enligt förslaget skall som personregisterbrott anses en sådan gärning som nämns i förteckningen i paragrafen och som kränker den registrerades integritet eller åsamkar honom eller henne skada eller men. Den förslagna straffskalan är böter eller fängelse högst ett år.
Liksom vid personregisterförseelse krävs vid personregisterbrott att gärningen begåtts antingen uppsåtligen eller av grov oaktsamhet. Graden av tillräknelighet kommer dock inte att ha någon betydelse vid valet av brottstyp, utan enbart vid utmätningen av straffet och vid val av straffart som eventuellt föregår denna.
Förutom att formen för gärningen skiljer sig mellan personregisterbrott och personregisterförseelse avviker straffbestämmelserna från varandra vad gäller tilläggskriteriet, eftersom en förutsättning för personregisterbrott är att gärningen kränker den registrerades integritet eller åsamkar honom eller henne skada eller betydande men.
31 § Brott mot tystnadsplikt För brott mot tystnadsplikt enligt denna lag föreslås att straffet skall vara böter eller fängelse högst ett år.
32 § Dataintrång I paragrafen intas en hänvisning till strafflagens bestämmelser om dataintrång.
Enligt 38 kap. 8 § strafflagen skall den som genom att göra bruk av en användaridentifikation som han eller hon inte har rätt till eller genom att annars bryta säkerhetsarrangemang obehörigen tränger in i ett datasystem där data behandlas, lagras eller överförs elektroniskt eller med någon annan sådan teknisk metod eller i en särskilt skyddad del av ett sådant system, dömas för dataintrång till böter eller fängelse i högst ett år. För dataintrång skall också den dömas som utan att tränga in i datasystemet eller en del av detta, med tekniska specialanordningar obehörigen tar reda på information som finns i systemet.
Syftet med bestämmelserna om dataintrång är dels att skydda datasystemen mot inkräktare, dels att skydda integriteten vid sådant arbete som utförs med datorer mot sådan yttre observation som inte utgör olovlig avlyssning eller olovlig observation.
10 kap. Särskilda bestämmelser
33 § Besvär Paragrafen innehåller bestämmelser om besvär samt en bestämmelse enligt vilken tillsynsmyndigheten kan bestämma att dess beslut skall gälla omedelbart, det vill säga utan hinder av att det överklagas.
Besvär skall enligt paragrafens 1 mom. anföras hos Ålands förvaltningsdomstol. Förvaltningsdomstolens beslut får överklagas hos högsta förvaltningsdomstolen.
Enligt artikel 28.3 sista stycket i EG-direktivet skall sådana beslut av tillsynsmyndigheten som går part emot kunna överklagas till domstol. Även artikel 22 i EG-direktivet innehåller bestämmelser om rättslig prövning. Enligt sistnämnda artikel skall medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol, om sådana rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling kränks.
Enligt 2 mom. kan tillsynsmyndigheten bestämma att dess beslut skall gälla omedelbart, det vill säga utan hinder av att det överklagas. En sådan bestämmelse behövs för att det skall vara möjligt att snabbt och effektivt avbryta sådan verksamhet som anses vara osaklig. Det kan röra sig om situationer när tillsynsmyndigheten konstaterat allvarliga säkerhetsbrister eller annan olaglig behandling som gör det nödvändigt att få till stånd en omedelbar förändring för att skydda de registrerades personliga integritet. Se även med 31 § 2 mom. förvaltningsprocesslagen (FFS 586/1996). En motsvarande bestämmelse som den föreslagna finns i den finländska personuppgiftslagens 45 § 2 mom. Enligt 32 § förvaltningsprocesslagen kan dock besvärsmyndigheten förbjuda att ett beslut verkställs eller bestämma att verkställigheten skall avbrytas eller föreskriva något annat som gäller verkställigheten.
34 § Skadestånd Paragrafen innehåller bestämmelser om skadestånd till den registrerade eller någon annan för behandling av personuppgifter i strid med lagen. Bestämmelsen motsvaras av artikel 23 i EG-direktivet.
Artikel 23 i EG-direktivet innebär att vara och en som har lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med bestämmelserna om behandlingen skall ha rätt till ersättning av den registeransvarige för den skada som han eller hon har lidit. Enligt artikelns andra stycke kan den registeransvarige helt eller delvis undgå ersättningsskyldighet om han eller hon bevisar att han eller hon inte är ansvarig för den händelse som orsakade skadan. Som exempel på fall där den registeransvarige kan befrias från ersättningskrav nämns i punkt 55 i ingressen till EG-direktivet fall där den registeransvarige kan påvisa att ett fel har begåtts av den registrerade eller i fall av force majeure.
För skadeståndsansvar enligt paragrafens 1 mom. krävs det inte att den registeransvarige har haft uppsåt skada någon eller varit oaktsam, utan ansvaret uppkommer därför att bestämmelserna i lagen åsidosatts. En viss jämkning av skadeståndsansvaret kan dock aktualiseras med stöd av paragrafens 2 mom., exempelvis om den registeransvarige kan bevisa att felet inte berodde på myndigheten.
Skadeståndsskyldigheten enligt paragrafen gäller såväl den registrerade som någon annan för skada som uppkommit till följd av att personuppgifter behandlats i strid med lagen. Förslaget skiljer sig här mot den svenska personuppgiftslagen, enligt vilken endast den registrerade och ingen annan kan få ersättning, men överensstämmer i enlighet med det mandat som ges i artikel 23 i EG-direktivet med den danska, finländska och norska personuppgiftslagstiftningen.
Skadestånd kan komma i fråga vid varje brott mot lagen. Det är upp till den som lidit skada att bevisa att det från den registeransvariges sida förekommit en olaglig behandling av personuppgifter som skadat ifrågavarande person. Med skada avses enligt paragrafen såväl personskada och sakskada som ren förmögenhetsskada.
Skadeståndsbestämmelserna i paragrafen är sådana specialbestämmelser om skadestånd som tar över de allmänna skadeståndsreglerna i skadeståndslagen (FFS 412/1974). I övrigt skall enligt paragrafens 2 mom. iakttas vad som bestäms i 2 kap. 2 och 3 §§, 3 kap. 4 och 6 §§ samt 4, 6 och 7 kap. skadeståndslagen (FFS 412/1974). I enlighet med detta blir bestämmelserna i 6 kap. skadeståndslagen som gäller fördelningen av skadeståndsansvaret tillämpliga. Om exempelvis den registrerade medverkat till uppkomsten av ett fel genom att han eller hon lämnat felaktiga uppgifter kan detta påverka bedömningen så att ersättningen jämkas enligt 6 kap. 1 § skadeståndslagen. Eftersom lagen omfattar myndigheters behandling av personuppgifter kan bestämmelsen i 3 kap. 4 § skadeståndslagen nämnas. Bestämmelsen innebär att den som lidit skada genom ett felaktigt beslut av en myndighet inte kommer att ha rätt till ersättning för sådan skada som han eller hon hade kunnat undvika genom att söka ändring i beslutet, om han eller hon utan giltigt anledning har underlåtit att söka ändring i beslutet.
35 § Ikraftträdande Landskapstyrelsen föreslår att ikraftträdelsedagen för landskapslagen med stöd av 20 § 3 mom. självstyrelselagen lämnas öppen för landskapsstyrelsen att fatta beslut om. Avsikten är att landskapslagen skall kunna träda i kraft så fort som möjligt.
Enligt artikel 32.1 i EG-direktivet skulle direktivet ha varit genomfört senast den 24 oktober 1998. EG-direktivet har delvis genomförts genom landskapslagen om polisens grundregister (49/1999) och landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister (50/1999). Kommissionen har meddelats om rättsläget genom en partiell notifikation.
Enligt paragrafens 2 mom. blir det skadeståndsansvar som införs enligt 34 § gällande först på de skador som inträffat efter det att lagen trätt i kraft.
Enligt paragrafens 3 mom. får åtgärder som verkställigheten av lagen förutsätter vidtas innan den träder i kraft. Bland annat måste ett förberedande arbete i form av en del information och utbildning påbörjas redan innan lagen träder i kraft.
36 § Anhängiga ärenden Ärenden som är anhängiga när lagen träder i kraft skall enligt paragrafen slutbehandlas enligt den nu gällande lagstiftningen, det vill säga enligt bland annat 3a kap. landskapslagen om allmänna handlingars offentlighet.
2. Landskaplag om Datainspektionen
1 § Datainspektionens uppgifter Enligt artikel 28 i EG-direktivet skall varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av EG-direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem. Enligt paragrafens 1 mom. föreslås att en ny myndighet kallad Datainspektionen inrättas för att utöva tillsyn över behandlingen av personuppgifter enligt landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen. Administrativt föreslås den nya myndigheten vara underställd landskapsstyrelsen.
Som tillsynsmyndighet skall Datainspektionen inom ramen för sina befogenheter kunna ingripa i lagstridig behandling av personuppgifter. Utöver de uppgifter Datainspektionen skall ha enligt EG-direktivet såsom tillsynsmyndighet bör inspektionen särskilt ha till uppgift att informera om gällande regler om behandling av personuppgifter och att på lämpligt sätt ge råd och hjälp åt såväl registeransvariga som registrerade. Syftet med att uttryckligen i 2 mom. paragrafen ange att Datainspektionen skall informera om gällande regler samt ge anvisningar och råd om behandlingen av personuppgifter är att betona Datainspektionens förebyggande verksamhet. Goda kunskaper bland registeransvariga eller registerbiträden och deras medhjälpare om den lagstiftning som är gällande på området underlättar en lagenlig registerföring. Samtidigt stärker detta i förlängningen skyddet av de grundläggande fri- och rättigheterna som lagstiftningen avser att skydda. Nivån på och omfattningen av de anvisningar och råd som myndigheten kan ge är givetvis beroende av de medel myndigheten har till förfogande.
2 § Organisation Chefen för Datainspektionen leder inspektionens verksamhet. Om behov uppstår kan även andra tjänster än tjänsten som chef för Datainspektionen inrättas. Myndighetens uppgifter är sådana att i synnerhet juridisk sakkunskap men även sakkännedom om datateknik bör finnas vid myndigheten. Datainspektionens chef förslås därför ha en juridisk examen. Om Datainspektionens interna verksamhetsstruktur bestäms i reglemente och/eller arbetsordning.
3 § Behandling av ärenden Datainspektionen föreslås vara en chefsstyrd myndighet. Chefen för Datainspektionen avgör de ärenden som ingår i Datainspektionens behörighetsområde, om inte han eller hon genom arbetsordningen har överfört beslutanderätt på en annan tjänsteman vid myndigheten.
Enligt paragrafens 2 mom. föreslås landskapsstyrelsen kunna utfärda närmare bestämmelser om Datainspektionens ekonomiförvaltning och om vissa ärenden som hänför sig till tjänstekollektivavtalen samt till vilken del landskapsstyrelsen handhar skötseln av dessa uppgifter. Med vissa ärenden som hänför sig till tjänstekollektivavtalen avses ärenden som kräver särskilda specialkunskaper, såsom ansökningar om ålders-, års- och andra lönetillägg. Denna skötsel får inte inverka på det inspektionsarbete myndigheten utför, så att inte dess roll som fullständigt oberoende tillsynsmyndighet rubbas.
4 § Sakkunniga Eftersom Datainspektionens arbetsfält är omfattande kan det krävas att myndigheten har tillgång till utomstående sakkunskap. En bestämmelse om Datainspektionens rätt att anlita och höra sakkunniga samt att inbegära utlåtanden föreslås därför intagen i paragrafen.
I synnerhet innan en tillsynsfunktion hunnit etablera sig förutsätts myndigheten få anlita sakkunniga. På sikt är avsikten att huvuddelen av sakkunskapen skall finnas inom myndigheten. Av den sakkunniga som anlitas för olika tillsynsfunktioner förutsätts att denne är opartisk och har förmåga att sköta de uppgifter som lagen förutsätter.
5 § Verksamhetsberättelse Enligt paragrafen skall en verksamhetsberättelse upprättas årligen och tillställas landskapsstyrelsen. Verksamhetsberättelsen skall innehålla uppgifter om bland annat de ärenden som behandlats under verksamhetsåret. Bestämmelsen överensstämmer med artikel 28.5 i EG-direktivet, enligt vilken tillsynsmyndigheten regelbundet skall upprätta och offentliggöra en rapport över sin verksamhet.
6 § Avgifter När Datainspektionen fattar beslut om de avgifter som skall uppbäras, skall bestämmelserna om offentliga prestationer i landskapslagen om grunderna för avgifter till landskapet (27/1993) iakttas i tillämpliga delar.
7 § Avtal För att Datainspektionen såsom en oberoende myndighet skall kunna sköta sin verksamhet på ett ändamålsenligt sätt är det nödvändigt att ha en möjlighet att sluta avtal inom ramen för sin ordinarie verksamhet. Ett förslag om detta intas i paragrafen.
8 § Företrädande av landskapet Enligt paragrafen skulle datainspektionen kära och svara samt bevaka inspektionens intressen vid domstolar och andra myndigheter i angelägenheter som hör samman med inspektionens uppgifter.
9 § Hörande av Datainspektionen Bestämmelsen motsvarar artikel 28.2 i EG-direktivet, enligt vilken varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter. Att myndigheter som berörs av aktuella lagstiftningsreformer skall höras vid en beredning torde vara självklar. Förslaget får närmast ses som en markering i linje med vad som anförts i kommentarerna till lagens 1 §, det vill säga att Datainspektionens funktion främst skall vara att förebygga att olaglig hantering av personuppgifter förekommer.
Med författningar avses enligt paragrafen, på motsvarande sätt som i definitionen i 1 § landskapslagen om Ålands författningssamling (112/1993), de beslut av allmän betydelse som lagtinget eller landskapsstyrelsen fattar.
10 § Besvär Beslut som Datainspektionen har fattat får överklagas till Ålands förvaltningsdomstol, medan beslut som landskapsstyrelsen har fattat får överklagas till Högsta förvaltningsdomstolen. Bestämmelsen överensstämmer med 25 och 26 §§ självstyrelselagen.
11 § Ikraftträdande Landskapsstyrelsen föreslår att ikraftträdelsedagen för landskapslagen med stöd av 20 § 3 mom. självstyrelselagen lämnas öppen för landskapsstyrelsen att fatta beslut om. Avsikten är att landskapslagen skall kunna träda i kraft samtidigt som landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen.
3. Landskapslag om ändring av landskapslagen om allmänna handlingars offentlighet
15a § Av 4 § landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen följer att rätten att ta del av personuppgifter i myndigheters personregister regleras i landskapslagen om allmänna handlingars offentlighet. Eftersom personuppgifter som ingår i personregister utgör allmänna handlingar faller det naturligt att reglera även utlämnandet av uppgifter ur dessa register i landskapslagen om allmänna handlingars offentlighet.
I 15a § finns för närvarande bestämmelser om massutlämnande, ett begrepp som försvinner i den nya personuppgiftslagstiftningen. Enligt den föreslagna paragrafens 1 mom. får personuppgifter som ingår i personregister lämnas ut i form av en kopia, en utskrift eller elektroniskt om inte något annat är föreskrivet i lag och om mottagaren enligt bestämmelserna om behandling av personuppgifter har rätt att registrera och använda sådana personuppgifter.
Bestämmelsen är således av subsidiär karaktär. I bland annat körkörtslagen för landskapet Åland (79/1991), landskapslagen om verkställighet av den gemensamma fiskeripolitiken inom Europeiska gemenskapen (40/1995), landskapslagen om verkställighet av den gemensamma jordbrukspolitiken inom EG (55/1995) och landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister (50/1999) finns bestämmelser lämnande av uppgifter ur register. De föreslagna begränsningarna i fråga utlämnande av personuppgifter hänger samman med skyddet om den enskilde personen och de bindande förpliktelserna i EG-direktivet.
I fråga om definitionen av begreppet personuppgift får landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen iakttas i tillämpliga delar.
Genom förslaget kan personuppgifter utlämnas elektroniskt. Detta innefattar automatisk databehandling. Vid utlämnandet måste myndigheten beakta sättet man lämnar ut uppgifterna på. Med hjälp av automatisk databehandling kan uppgifter sökas på olika sökgrunder, varigenom utlämnandet som helhet betraktat kan äventyra skyddet för integriteten, även om de uppgifter som framgår av en kopia eller utskrift inte i och för sig vore av ömtålig natur.
I paragrafens 2 mom. föreslås en särskild reglering i fråga om direkt marknadsföring och marknads- och opinionsundersökningar. För att tillgodose varje individs självbestämmanderätt föreslås en avvikelse från huvudregeln enligt 1 mom. som gör det möjligt att utlämna personuppgifter för direkt marknadsföring och för marknads- och opinionsundersökningar endast om det finns särskilda bestämmelser om det (jfr statistiklagen för landskapet Åland (42/1994)) eller om den registrerade har gett sin samtycke till att uppgifterna lämnas ut för dylika ändamål.
Ikraftträdelsebestämmelsen Landskapsstyrelsen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 3 mom. självstyrelselagen lämnas öppen för landskapsstyrelsen att fatta beslut om. Avsikten är att den föreslagna ändringen skall kunna träda i kraft samtidigt som landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen.
1 § Tillämpningsområde Enligt gällande lydelse av paragrafen skall blankettlagen inte tillämpas på de personregister som upprätthålls av andra myndigheter eller organ som omfattas av landskapslagen om allmänna handlingars offentlighet än polismyndigheten. På de personregister som huvuddelen av landskapsförvaltningen samt den kommunala självstyrelseförvaltningen upprätthåller skall således bestämmelserna i 3a kap. landskapslagen om allmänna handlingars offentlighet iakttas. Eftersom dessa bestämmelser i huvudsak föreslås upphävda och ersatta med en landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen föreslås en hänvisning intagen i paragrafen till den nya lagen.
Ikraftträdelsebestämmelsen Landskapsstyrelsen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 3 mom. självstyrelselagen lämnas öppen för landskapsstyrelsen att fatta beslut om. Avsikten är att den föreslagna ändringen skall kunna träda i kraft samtidigt som landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen.
5. Landskapslag om ändring av 3 och 19 §§ statistiklagen för landskapet Åland
3 § Förhållandet till bestämmelser om personregister Enligt gällande lydelse av paragrafen skall landskapets myndigheter då de vid framställandet av statistik inhämtar, använder och utlämnar personuppgifter som ingår i personregister eller i andra allmänna handlingar beakta bestämmelserna i 3a kap. landskapslagen om allmänna handlingars offentlighet om inte något annat är bestämt i denna eller annan lag. Eftersom de bestämmelser som paragrafen hänvisar till i huvudsak föreslås upphävda och ersatta med en landskapslag om behandling av personuppgifter inom landskaps- och kommunalförvaltningen föreslås en hänvisning intagen i paragrafen till den nya lagen.
19 § Utlämnande av uppgifter Även i lagens 19 § föreslås på motsvarande sätt som i 3 § en teknisk justering av paragrafen, så att lagen till fullo är uppdaterad med den nya lagstiftningen på området.
Ikraftträdelsebestämmelsen Landskapsstyrelsen föreslår att ikraftträdelsedagen för ändringen av landskapslagen med stöd av 20 § 3 mom. självstyrelselagen lämnas öppen för landskapsstyrelsen att fatta beslut om. Avsikten är att den föreslagna ändringarna skall kunna träda i kraft vid samma tidpunkt som landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen.
Landskapsstyrelsen föreslår att följande lagar antas.
1.
L A N D S K A P S L A
G
om behandling av personuppgifter inom landskaps- och kommunalförvaltningen
I enlighet med lagtingets beslut föreskrivs:
1 kap.
Inledande bestämmelser
1 §
Lagens tillämpningsområde
Syftet med denna lag är att säkerställa att människor skyddas mot att deras personuppgifter används på ett kränkande sätt genom en myndighets behandling av personuppgifter samt att främja en god informationshantering inom myndigheterna.
Lagen tillämpas på sådan myndighetsbehandling av personuppgifter som helt eller devis är automatiserad. Lagen gäller även för annan behandling av personuppgifter vid myndighet, om uppgifterna ingår i eller är avsedda att ingå i ett register med personuppgifter eller en del av ett sådant. På sådan myndighetsbehandling av personuppgifter som enligt 27 § självstyrelselagen för Åland (71/1991) hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen.
Om det i en annan lag finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla. Denna lag tillämpas inte på Ålands polismyndighets personregister.
2 §
Definitioner
I denna lag avses med:
1) personuppgifter, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet;
2) behandling av personuppgifter (behandling), varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring;
3) register med personuppgifter (register), varje strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden;
4) registeransvarig, den myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter;
5) registerbiträde, den som behandlar personuppgifter för den registeransvariges räkning;
6) den registrerade, den som en personuppgift avser;
7) tredje man, någon annan än den registrerade, den registersansvarige, registerbiträdet och sådana personer som under den registeransvariges eller registerbiträdets direkta ansvar har befogenhet att behandla personuppgifter;
8) mottagare, den till vilken personuppgifter lämnas ut. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare;
9) samtycke, varje slag av frivillig, särskild och på information baserad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne;
10) myndighet, landskapets myndigheter, kommunala myndigheter, till Ålands lagting ansluten förvaltning samt landskapets affärsverk. Vad om myndighet föreskrivs gäller även offentligträttsliga sammanträden, representantskap, utskott, kommittéer, kommissioner, delegationer, nämnder samt andra därmed jämförbara organ som med stöd av lag eller beslut fattat av en i första meningen denna punkt avsedd myndighet tillsatts för att utföra en uppgift. Utskott, kommittéer och andra organ, som inte tilldelats beslutanderätt i förvaltningsärenden, anses utgöra en del av den myndighet som tillsatt dem. Vad om myndighet föreskrivs gäller även juridiska och fysiska personer som utövar offentlig makt och som med stöd av landskapslag utför ett offentligt uppdrag.
2 kap.
Allmänna bestämmelser för behandlingen av personuppgifter
3 §
Grundläggande krav på behandlingen av personuppgifter
Den registeransvarige skall se till att
1) personuppgifter behandlas på ett korrekt sätt och bara om det är lagligt,
2) personuppgifter alltid behandlas i enlighet med god informationshantering, så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar den personliga integriteten inte begränsas utan en i lag angiven grund,
3) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
4) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
5) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
6) inte fler personuppgifter än nödvändigt behandlas med hänsyn till ändamålen med behandlingen,
7) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
8) alla rimliga åtgärder vidtas för att rätta, utplåna, blockera eller komplettera sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och
9) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål skall med avvikelse från vad som föreskrivs i 1 mom. 4 punkten inte anses oförenligt med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som föreskrivs i 1 mom. 9 punkten. Uppgifterna får dock i sistnämnda fall inte bevaras under en längre tid än vad som behövs för dessa ändamål i enlighet med vad som föreskrivs i lag.
4 §
Villkor för behandling av personuppgifter
Personuppgifter får behandlas bara om den registrerade har lämnat sitt otvetydiga samtycke till behandlingen eller om behandlingen är nödvändig för att
1) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,
2) den registeransvarige skall kunna fullgöra en rättslig skyldighet när behandlingen regleras i lag,
3) vitala intressen för den registrerade skall kunna skyddas eller
4) utföra en arbetsuppgift då den registrerade på grund av ett kund- eller tjänstgöringsförhållande, ett medlemskap eller annan därmed jämförbart förhållande har ett saklig anknytning till den registeransvariges verksamhet.
Med tillsynsmyndighetens tillstånd får personuppgifter dessutom för viss tid eller tillsvidare behandlas om behandlingen är nödvändig för att
1) en arbetsuppgift av allmänt intresse skall kunna utföras,
2) den registeransvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med utövandet av offentlig makt eller
3) genomdriva ett berättigat intresse hos den registeransvarige eller en tredje man till vilken personuppgifterna lämnas ut, under förutsättning att en sådan behandling av uppgifter inte äventyrar någons integritetsskydd eller rättigheter.
Till tillstånd enligt 2 mom. skall fogas föreskrifter som behövs för att skydda den registrerades personliga integritet.
Om rätt att ta del av personuppgifter i myndigheters personregister gäller vad som föreskrivs i landskapslagen om allmänna handlingars offentlighet (72/1977).
5 §
Registerbeskrivning
Den som är registeransvarig skall upprätta en registerbeskrivning över register med personuppgifter.
Registerbeskrivningen skall innehålla
1) den registeransvariges namn, adress, telefonnummer och kontaktperson,
2) en uppgift om registerbiträde om sådant finns,
3) ändamålet med behandlingen av personuppgifter,
4) en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen,
5) en beskrivning av de uppgifter eller kategorier av uppgifter som skall behandlas om de registrerade,
6) en beskrivning om varifrån uppgifterna hämtas,
7) en upplysning om vart uppgifterna i regel lämnas ut och huruvida uppgifter lämnas till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet samt
8) en allmän beskrivning av de åtgärder som har vidtagits för att trygga säkerheten i behandlingen.
Den registeransvarige skall hålla registerbeskrivningen allmänt tillgänglig. Om det för den allmänna ordningen och säkerheten, för tillsynsuppgifter som hänför sig till beskattningen och den offentliga ekonomin eller för förebyggande och utredande av brott är nödvändigt kan undantag göras från denna skyldighet.
6 §
Den registrerades rätt att motsätta sig behandling av personuppgifter i vissa situationer
Personuppgifter som gäller den registrerade själv får inte behandlas för ändamål som rör direkt marknadsföring samt marknads- och opinionsundersökningar, om den registrerade hos den registeransvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
3 kap.
Känsliga personuppgifter
7 §
Förbud mot behandling av känsliga personuppgifter
Det är förbjudet att behandla personuppgifter som avslöjar
1) ras eller etniskt ursprung,
2) politiska åsikter,
3) religiös eller filosofisk övertygelse,
4) en brottslig gärning eller ett straff eller någon annan påföljd för ett brott eller
5) medlemskap i fackförening
samt uppgifter som rör
6) hälsa eller sexualliv eller
7) någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon beviljats.
Uppgifter av den art som anges i 1 mom. betecknas i denna lag som känsliga personuppgifter.
8 §
Undantag från förbudet att behandla känsliga personuppgifter
Det är trots förbudet i 7 § tillåtet att behandla känsliga personuppgifter om behandlingen uppfyller något av villkoren i 4 § och
1) den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna,
2) behandlingen av sådana uppgifter är reglerad i lag,
3) behandlingen gäller medlemskap i fackförbund och behandlingen är nödvändig för att den registeransvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,
4) behandlingen är nödvändig för att den registrerades eller någon annans vitala intressen skall kunna skyddas, om den registrerade är förhindrad att lämna sitt samtycke,
5) behandlingen är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,
6) behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller uppgifterna behandlas av en person som är yrkesmässigt verksam inom hälso- och sjukvården och har tystnadsplikt,
7) behandlingen gäller den registrerades behov av socialvård eller de socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade, eller
8) behandlingen är nödvändig för historiska eller vetenskapliga forskningsändamål samt statistikändamål och samhällsintresset av behandlingen klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Känsliga personuppgifter skall utplånas ur registret när det inte längre anses motiverat enligt 1 mom. att fortsätta behandlingen. Grunden och behovet av behandling skall bedömas minst vart femte år, om inte något annat följer av lag eller ett tillstånd av tillsynsmyndigheten enligt 9 §.
9 §
Viktig allmänt intresse
Tillsynsmyndigheten kan bevilja tillstånd för viss tid eller tills vidare för ytterligare undantag från förbudet i 7 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Till tillståndet skall fogas föreskrifter som behövs för att skydda den registrerades personliga integritet.
10 §
Behandling av personbeteckning
Uppgifter om personbeteckning får behandlas om den registrerade lämnat sitt samtycke eller när behandlingen är reglerad i lag.
En personbeteckning får dessutom behandlas om det är nödvändigt för att göra en säker identifiering av den registrerade
1) för att utföra en i lag angiven uppgift,
2) för att uppfylla den registrerades eller den registeransvariges rättigheter eller skyldigheter, eller
3) för historisk eller vetenskaplig forskning eller statistikföring.
En personbeteckning får behandlas vid kreditgivning, i uthyrnings- och utlåningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller anställningsförhållanden och förmåner som har samband med dessa.
Utöver vad som i 1-3 mom. föreskrivs om behandling av personbeteckning får en personbeteckning lämnas ut för sådan automatiserad databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.
Den registeransvarige skall se till att personbeteckningen inte onödigt antecknas i handlingar som skrivs ut eller upprättas på basis av personregistret.
4 kap.
Information till den registrerade
11 §
Informationsplikt när uppgifter samlas in från den registrerade
Om uppgifter om en person samlas in från personen själv, skall den registeransvarige vid insamlingen lämna den registrerade information om
1) den registeransvariges och vid behov dennes ställföreträdares identitet,
2) ändamålet med behandlingen av personuppgifterna,
3) vart uppgifter i regel lämnas ut och
4) de upplysningar som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen.
Information enligt 1 mom. behöver inte lämnas om sådant som den registrerade redan känner till eller om det inte är nödvändigt att informera med tanke på den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott.
12 §
Informationsplikt när uppgifter samlas in från någon annan än den registrerade
Om uppgifter om en person samlas in från någon annan än den registrerade, skall den registeransvarige lämna den registrerade sådan information som nämns i 11 § 1 mom. när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången.
Information enligt 1 mom. behöver inte lämnas om sådant som den registrerade redan känner till eller om det inte är nödvändigt att informera med tanke på den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin, för att förebygga och utreda brott eller om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i lag.
Information behöver inte heller lämnas enligt 1 mom., om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.
13 §
Rätt till information
Var och en har utan hinder av sekretessbestämmelserna rätt att på ansökan få information från den registeransvarige om personuppgifter som rör honom eller henne behandlas i ett register eller inte. Behandlas sådana uppgifter i ett register skall information lämnas i begriplig form om
1) vilka uppgifter om den sökande som behandlas,
2) varifrån dessa uppgifter har hämtats,
3) ändamålen med behandlingen,
4) till vilka kategorier av mottagare som uppgifterna lämnas ut och
5) i fråga automatiserade beslut enligt 17 §, vad som styrt den automatiserade behandling som lett fram till ett beslut.
Om informationen enligt 1 mom. lämnas en gång per kalenderår skall den vara gratis. Om information lämnas mer än en gång per kalenderår får den registeransvarige uppbära en skälig ersättning för informationen. Ersättningen får dock inte överstiga de faktiska kostnaderna för åtgärden.
14 §
Ansökan om information
En ansökan om information enligt 13 § kan göras skriftligen eller muntligen. Skriftlig ansökan skall vara undertecknad av den sökande själv och tillställas den registeransvarige. Muntlig ansökan skall göras vid ett personligt besök hos den registeransvarige.
Den registeransvarige skall utan onödigt dröjsmål ge sökanden rätt att ta del av den information som avses i 13 § eller på begäran lämna informationen skriftligen. Om det finns särskilda skäl för det, får informationen dock lämnas senast tre månader efter det att ansökan gjordes.
Om den registeransvarige vägrar lämna information enligt 13 §, skall sökanden erhålla ett skriftligt intyg om detta. I intyget skall även nämnas orsaken till att insynen förvägrats. Har den registeransvarige inte givit ett skriftligt besked inom tre månader efter det att ansökan gjordes, jämställs detta med en vägran att lämna ut information. Den registrerade kan, om han eller hon förvägras rätt till information, begära att tillsynsmyndigheten prövar ärendet. Om tillsynsmyndigheten beslutar att den registrerades rätt till insyn skall tillgodoses, kan beslutet förenas med vite.
En ansökan om insyn i ett register som förs av en hälso- och sjukvårdsmyndighet och som innehåller personuppgifter om hälsotillstånd eller sjukdom, skall riktas till en läkare eller annan hälso- och sjukvårdsutbildad person vid myndigheten, som även ser till att uppgifter om anteckningarna i registret lämnas till den sökande.
15 §
Begränsningar i fråga om rätten till information
Den information som avses i 13 § får inte lämnas ut till den registrerade
1) om informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott,
2) om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för någon annans rättigheter,
3) om de personuppgifter som ingår i registret används uteslutande för historisk eller vetenskaplig forskning eller statistiskföring, eller
4) om de personuppgifter som ingår i registret används för tillsyns- och kontrolluppgifter och underlåtelsen att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen.
Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten till information, har den registrerade rätt att få veta vilka övriga uppgifter som registrerats om honom eller henne.
16 §
Rättelse
Den registeransvarige är skyldig att på begäran av den registrerade utan onödigt dröjsmål rätta, utplåna, blockera eller komplettera sådana personuppgifter som ingår i ett personregister och som med hänsyn till ändamålen med behandlingen är oriktiga, onödiga, bristfälliga eller föråldrade.
Om den registeransvarige inte godkänner den registrerades begäran om rättelse, skall den registrerade erhålla ett skriftligt intyg om detta. I intyget skall även nämnas orsaken till att begäran inte godkänts. Den registrerade kan, om han eller hon inte får en rättelse utförd av den registeransvarige, begära att tillsynsmyndigheten prövar ärendet. Om tillsynsmyndigheten beslutar att en uppgift skall rättas, kan beslutet förenas med vite.
Den registeransvarige skall underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden enligt 1 mom., om den registrerade begär det. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
17 §
Automatiserade beslut
Om ett beslut som har rättsliga följder för den registrerade eller annars har märkbara verkningar för honom eller henne grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, skall den som berörs av beslutet ha möjlighet att på begäran få beslutet omprövat manuellt.
Ett beslut enligt 1 mom. får fattas endast
1) om beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet uppfylls genom beslutet eller att det vidtas lämpliga åtgärder för att skydda hans eller hennes berättigade intressen eller
2) om förfarandet regleras i lag.
I 13 och 14 §§ finns bestämmelser om rätten för den registrerade att få information från den registeransvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.
5 kap.
Säkerhet och sekretess vid behandling
18 §
Säkerhet vid behandling
Den registeransvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Uppgifterna skall skyddas från att de förstörs genom olyckshändelse eller genom otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåtet utlämnande av eller otillåten tillgång till uppgifterna eller mot annan otillåten behandling.
Åtgärderna enligt 1 mom. skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
1) de tekniska möjligheter som finns,
2) vad det skulle kosta att genomföra åtgärderna,
3) de särskilda risker som finns med behandlingen av personuppgifterna,
4) arten av de uppgifter som skall skyddas, och
5) vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet.
När den registeransvarige anlitar ett registerbiträde, skall den registeransvarige försäkra sig om att registerbiträdet kan genomföra de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas. Den registeransvarige skall även se till att registerbiträdet vidtar åtgärderna.
19 §
Personer som behandlar personuppgifter
Ett registerbiträde och den eller de personer som arbetar under biträdets eller den registeransvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den registeransvarige.
Det skall finnas ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet skall det särskilt föreskrivas att registerbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den registeransvarige och att registerbiträdet är skyldigt att vidta de åtgärder som avses i 18 § 1 och 2 mom.
20 §
Tystnadsplikt
Den som vid behandling av personuppgifter har fått kännedom om en enskild persons egenskaper, personliga förhållanden eller ekonomiska ställning får inte utan samtycke av den som saken gäller för tredje man röja dessa uppgifter eller utnyttja dem till egen eller annans fördel.
Oavsett vad som föreskrivs i 1 mom., får upplysningar lämnas till tillsynsmyndigheten för utförande av uppgifter enligt denna lag, till åklagar- och polismyndigheter för utredande av brott och till en myndighet som behandlar en ändringsansökan i ett ärende enligt denna lag.
21 §
Säkerheten vid arkivering
Om säkerheten vid behandling av personuppgifter i register som överförs och förvaras i ett offentligt arkiv gäller vad som föreskrivs i arkivlagstiftningen.
6 kap.
Anmälan till tillsynsmyndigheten
22 §
Anmälningsskyldighet
Den registeransvarige skall göra en anmälan till tillsynsmyndigheten innan en behandling av personuppgifter som är helt eller delvis automatiserad genomförs i ett register. Anmälningsskyldigheten gäller även en serie av sådana behandlingar med samma eller liknande ändamål.
Om den registeransvarige tar i bruk ett system för automatiserade beslut enligt 17 § skall detta anmälas till tillsynsmyndigheten. Även om personuppgifter överförs till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall en anmälan göras till tillsynsmyndigheten, om uppgifterna överförs på de grunder som avses i 24 § 1 och 2 mom. eller 25 § 6 och 7 punkten och om överföringen inte har reglerats i lag. Om tillsynsmyndigheten efter att ha mottagit en anmälan om en överföring enligt 25 § punkt 7 anser att personuppgifterna kan översändas till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall tillsynsmyndigheten informera Europeiska gemenskapens kommission och medlemsstaterna om detta.
Anmälan skall vara skriftlig och undertecknad av den registeransvarige eller av en behörig företrädare för denne. Anmälan skall innehålla de uppgifter som enligt 5 § skall ingå i en registerbeskrivning. I fråga om anmälan som gäller personuppgifter som överförs till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall anmälan dessutom innehålla fakta om vilka uppgifter som överförs och hur överföringen sker. Anmälan skall göras på särskilda blanketter som tillhandhålls av tillsynsmyndigheten. Vid ändring av något eller några av de i anmälan angivna förhållanden skall ändringen anmälas på motsvarande sätt.
Anmälan skall göras senast 30 dagar innan behandlingen av personuppgifter i ett register påbörjas. Tillsynsmyndigheten skall ge den registeransvarige en kvittering på att anmälan är mottagen.
Tillsynsmyndigheten skall föra ett register över de behandlingar av personuppgifter som anmälts till myndigheten enligt denna paragraf. Registren skall åtminstone innehålla den information som ingår i en registerbeskrivning enligt 5 §.
23 §
Undantag från anmälningsskyldigheten
En anmälan enligt 22 § 1 mom. behöver inte göras, om behandlingen av personuppgifter grundar sig på den registrerades otvetydiga samtycke eller på 4 § 1 mom. 1 - 3 punkten, på kund- eller tjänstgöringsförhållande eller medlemskap som avses i 4 § 1 mom. 4 punkten eller på 4 § 2 mom., 8 § 1-7 punkten eller på 10 §.
Landskapsregeringen får dessutom genom landskapsförordning göra undantag från anmälningsskyldigheten enligt 1 mom. för sådana typer av behandlingar av personuppgifter där det är uppenbart att behandlingen inte kränker den registrerades integritetsskydd eller fri- och rättigheter.
7 kap.
Överföring av personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet
24 §
Villkor
Personuppgifter får överföras till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet, om denna stat kan säkerställa en tillräcklig skyddsnivå.
Bedömningen av om skyddsnivån enligt 1 mom. är tillräcklig skall ske på grundval av alla de förhållanden som har samband med överföringen. Härvid skall särskilt beaktas uppgifternas art, behandlingens ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de rättsregler och uppförandekodexar som gäller i landet i fråga samt de skyddsåtgärder som skall iakttas. Det skall även läggas vikt vid om staten tillträtt Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 36/1992).
Personuppgifter får överföras till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet om och i den utsträckning Europeiska gemenskapernas kommission har konstaterat att staten har en tillräcklig nivå för skyddet av personuppgifter i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat EG-direktivet. Det är förbjudet att överföra uppgifter till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet och som Europeiska gemenskapens kommission i enlighet med artikel 25.4 i EG-direktivet har konstaterat att inte uppfyller en tillräcklig nivå för skyddet av personuppgifter.
25 §
Undantag
Personuppgifter kan även överföras till stater som inte kan säkerställa en tillräcklig skyddsnivå enligt 24 §,
1) om den registrerade har lämnat sitt otvetydiga samtycke till överföringen,
2) om överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller med hänsyn till åtgärder som den registrerade begärt att skall kunna vidtas innan ett avtal träffas,
3) om överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man som är i den registrerades intresse,
4) om överföringen är nödvändig eller krävs enligt lag för att säkerställa ett viktigt allmänt intresse eller för att ett rättsligt anspråk skall kunna fastställas, göras gällande eller försvaras,
5) om överföringen är nödvändig för skydda den registrerades vitala intressen,
6) om överföringen görs från ett register som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för offentlig tillgänglighet uppfylls i det enskilda fallet,
7) om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades integritet och rättigheter och den Europeiska gemenskapens kommissionen inte enligt artikel 26.3 i EG-direktivet har konstaterat att skyddsnivån är otillräcklig eller
8) om överföringen regleras av ett avtal som innehåller sådana standardavtalsklausuler som har godkänts av den Europeiska gemenskapens kommissionen enligt artikel 26.4 i EG-direktivet.
8 kap.
Tillsyn
26 §
Tillsynsmyndighet
Den allmänna tillsynen över denna lag och de bestämmelser som har utfärdats med stöd av den utövas av Datainspektionen. Bestämmelser om Datainspektionen finns även i landskapslagen om Datainspektionen ( / ).
27 §
Tillsynsmyndighetens befogenheter
Tillsynsmyndigheten har utan hinder av sekretessbestämmelserna rätt att för sin tillsyn på begäran få
1) tillgång till de personuppgifter som behandlas,
2) all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag och
3) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Tillsynsmyndigheten har tillträde till lokaler som omfattas av hemfriden endast om det finns specificerade skäl att misstänka att brott har skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter. Vid en inspektion skall tillsynsmyndigheten se till att den registeransvarige förorsakas så lite olägenhet och kostnader som möjligt.
Om tillsynsmyndigheten inte efter begäran får tillgång till de personuppgifter eller den information som avses i 1 mom. 1 och 2 punkten kan tillsynsmyndigheten vid vite förelägga den uppgiftsskyldige att uppfylla skyldigheten.
28 §
Olaglig behandling av personuppgifter
Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten förbjuda den registeransvarige att fortsätta att behandla personuppgifterna och om behandlingen väsentligen äventyrar den registrerades integritetsskydd besluta att verksamheten skall upphöra.
9 kap.
Straffbestämmelser
29 §
Personregisterförseelse
Den som uppsåtligen eller av grov oaktsamhet
a) försummar att iaktta vad som bestäms om angivna ändamål med behandlingen av personuppgifter i 3 § 1 mom. 3 punkten, registerbeskrivning i 5 §, den registrerades rätt att förbjuda fortsatt behandling av personuppgifter i 6 §, lämnande av information till den registrerade i 4 kap., rättelse i 16 § eller om anmälningar till tillsynsmyndigheten enligt 6 kap.,
b) lämnar felaktig eller vilseledande information till tillsynsmyndigheten i ett ärende som gäller behandling av personuppgifter, eller
c) bryter mot aktivitetskraven enligt 3 § 1 mom. 8 och 9 punkten och mot bestämmelserna om säkerhet vid behandling av personuppgifter enligt 18 §
och därmed äventyrar den registrerades integritet eller rättigheter skall för personregisterförseelse dömas till böter, om det inte i någon annan lag föreskrivs ett strängare straff för gärningen.
30 §
Personregisterbrott
Den som uppsåtligen eller av grov oaktsamhet
1) behandlar personuppgifter i strid med bestämmelser om ändamålsbundenhet i 3 § 1 mom. 4 punkten, personuppgifternas aktualitet och riktighet i 3 § 1 mom. 7 punkten, villkoren för behandling av personuppgifter i 4 §, förbud mot fortsatt behandling av personuppgifter i 6 §, känsliga uppgifter i 7-9 §§ eller behandling av personbeteckning i 10 §,
2) hindrar eller försöker hindra den registrerade från att utöva sin rätt till information enligt 13 § genom att ge honom eller henne felaktig eller vilseledande information eller,
3) för över personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet i strid med 7 kap.
och därmed kränker den registrerades integritet eller åsamkar honom eller henne skada eller betydande men, skall för personregisterbrott dömas till böter eller fängelse i högst ett år, om det inte i någon annan lag föreskrivs ett strängare straff för gärningen.
31 §
Brott mot tystnadsplikt
Den som bryter mot den tystnadsplikt som föreskrivs i 20 § skall för brott mot tystnadsplikt enligt landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen dömas till böter eller fängelse högst ett år, om inte strängare straff för gärningen bestäms någon annanstans.
32 §
Dataintrång
I fråga om straff för dataintrång skall iakttas vad som bestäms i 38 kap. 8 § strafflagen (FFS 39/1889).
10 kap.
Särskilda bestämmelser
33 §
Besvär
Beslut som tillsynsmyndigheten fattat enligt denna lag får överklagas hos Ålands förvaltningsdomstol.
Tillsynsmyndigheten kan bestämma att ett beslut som fattats enligt denna lag skall iakttas trots eventuella besvär, om inte besvärsmyndigheten beslutar något annat.
34 §
Skadestånd
Den registeransvarige är skyldig att ersätta den skada som en behandling av personuppgifter i strid med denna lag har orsakat den registrerade eller annan person.
I fråga om skadeståndsskyldighet gäller i övrigt vad som bestäms i 2 kap. 2 och 3 §§, 3 kap. 4 och 6 §§ samt 4, 6 och 7 kap. skadeståndslagen (FFS 412/1974).
35 §
Ikraftträdande
Denna lag träder i kraft den
Bestämmelsen i 34 § skall tillämpas på skador som har inträffat efter det att lagen trätt i kraft.
Åtgärder som verkställigheten av lagen förutsätter får vidtas innan den träder i kraft.
36 §
Anhängiga ärenden
Ärenden som är anhängiga när denna lag träder i kraft behandlas enligt de bestämmelser som gäller före lagens ikraftträdande.
2.
L A N D S K A P S L
A G
om Datainspektionen
I enlighet med lagtingets beslut föreskrivs:
1 §
Datainspektionens uppgifter
Datainspektionen är tillsynsmyndighet enligt landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ( / ). Datainspektionen är en oberoende myndighet administrativt underställd landskapsregeringen.
Datainspektionen skall följa den allmänna utvecklingen inom sitt verksamhetsområde och ta nödvändiga initiativ. Datainspektionen skall informera om gällande regler samt ge anvisningar och råd om behandlingen av personuppgifter.
2 §
Organisation
Datainspektionen leds av en chef för myndigheten. Chefen för Datainspektionen utnämns av landskapsregeringen.
Om inte annat bestäms i denna lag handhar Datainspektionen de uppgifter som rör inspektionens personal och som enligt tjänstemannalagen för Åland (61/1987) ankommer på landskapsregeringen.
Andra tjänster än tjänsten som chef för Datainspektionen inrättas och indras av Datainspektionen. Tjänst får inrättas endast under förutsättning att anslag har upptagits i landskapets budget.
Behörig att anställas som chef för Datainspektionen är den som har en vid juridisk fakultet vid universitet eller därmed jämförbar högskola, som är erkänd av nationell utbildningsmyndighet, avlagd examen som motsvarar minst fyra års heltidsstudier samt god förtrogenhet med datasekretessfrågor. Behörighetskraven för annan tjänst vid Datainspektionen bestäms av Datainspektionen.
Datainspektionen beslutar i övrigt själv om sin organisation och kan vid behov utfärda ett reglemente och en arbetsordning för sin verksamhet.
3 §
Behandling av ärenden
Chefen för Datainspektionen avgör de ärenden i vilka beslut fattas av Datainspektionen. Genom Datainspektionens arbetsordning kan chefen för Datainspektionen överföra beslutanderätten på en annan tjänsteman vid Datainspektionen.
Landskapsregeringen utfärdar närmare bestämmelser om Datainspektionens ekonomiförvaltning och om vissa ärenden som hänför sig till tjänstekollektivavtalen samt till vilken del landskapsregeringen handhar skötseln av dessa uppgifter.
4 §
Sakkunniga
Datainspektionen har rätt att anlita och höra sakkunniga samt att inbegära utlåtanden från dem.
5 §
Verksamhetsberättelse
Datainspektionen skall årligen upprätta en berättelse över sin verksamhet, som skall tillställas landskapsregeringen.
6 §
Avgifter
Datainspektionen beslutar med iakttagande i tillämpliga delar av vad som i landskapslagen om grunderna för avgifter till landskapet (27/1993) bestäms om offentligrättsliga prestationer om de avgifter som skall uppbäras för verksamheten.
7 §
Avtal
Datainspektionen kan sluta avtal inom ramen för inspektionens ordinarie verksamhet om inte landskapsregeringen beslutar något annat.
8 §
Företrädande av landskapet
Datainspektionen kärar och svarar för landskapet samt bevakar landskapets intressen vid domstolar och andra myndigheter i angelägenheter som hör samman med inspektionens uppgifter.
9 §
Hörande av Datainspektionen
Vid beredningen av sådana författningar som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter inom myndigheter som omfattas av landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen skall Datainspektionen höras.
10 §
Besvär
Beslut som Datainspektionen har fattat enligt denna lag får överklagas hos Ålands förvaltningsdomstol.
11 §
Ikraftträdande
Denna lag träder i kraft den
Landskapsregeringen inrättar en tjänst som chef för Datainspektionen. Tjänsten får inrättas och besättas innan denna lag träder i kraft.
3.
L A N D S K A P S L A
G
om ändring av landskapslagen om allmänna handlingars offentlighet
I enlighet med lagtingets beslut
upphävs 15b och 15c §§ landskapslagen den 19 juli 1977 om allmänna handlingars offentlighet (72/1977), sådana de lyder i landskapslagen den 15 augusti 1991 (58/1991),
ersätts i 10, 16 och 18 §§ ordet "landskapsstyrelsen" i olika böjningsformer med "landskapsregeringen" i motsvarande former samt
ändras 15a §, sådan den lyder i landskapslagen den 15 augusti 1991, som följer:
15a §
Personuppgifter som ingår i personregister får lämnas ut i form av en kopia, en utskrift eller i elektronisk form om inte något annat är föreskrivet i lag och om mottagaren har rätt att registrera och använda sådana personuppgifter enligt bestämmelserna om behandling av personuppgifter.
För direkt marknadsföring och för marknads- och opinionsundersökningar får personuppgifter dock lämnas ut endast om så bestäms särskilt eller om den registrerade har samtyckt därtill.
Denna lag träder i kraft den
4.
I enlighet med lagtingets beslut
ersätts i 3 och 4 §§ landskapslagen den 12 augusti 1999 om tillämpning i landskapet Åland av riksförfattningar om personregister (50/1999) ordet "landskapsstyrelsen" med "landskapsregeringen" samt
ändras 1 § 2 mom., sådant det lyder i landskapslagen den 10 augusti 2000 (54/2000), som följer:
1 §
Tillämpningsområde
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag tillämpas inte på de personregister som upprätthålls av andra myndigheter eller organ som omfattas av landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen ( / ) än polismyndigheten.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
5.
L A N D S K A P S L A
G
om ändring av statistiklagen för landskapet Åland
I enlighet med lagtingets beslut
ersätts i 24 och 26 §§ statistiklagen den 11 maj 1994 för landskapet Åland (42/1994) ordet "landskapsstyrelsen" i olika böjningsformer med "landskapsregeringen" i motsvarande former samt
ändras 3 § samt 19 § 2 och 3 mom. som följer:
3 §
Förhållandet till bestämmelser om personregister
Vid framställning av sådan statistik som avses i denna lag iakttas vad som föreskrivs i landskapslagen om behandling av personuppgifter i landskaps- och kommunalförvaltningen ( / ), om inte annat föreskrivs i denna eller någon annan lag.
19 §
Utlämnande av uppgifter
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
En myndighet får lämna ut uppgifter för vetenskapliga undersökningar och för statistiska ändamål. Personuppgifter som avses i landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen och andra identifikationsuppgifter får dock inte lämnas ut.
Utan hinder av vad som anges i 2 mom. får Ålands statistik- och utredningsbyrå för vetenskaplig forskning och för statistiska ändamål lämna ut uppgifter om ålder, kön, utbildning och yrke under förutsättning att den som får uppgifterna har rätt enligt 3a kap. landskapslagen om allmänna handlingars offentlighet, landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen eller enligt landskapslagen om tillämpning i landskapet Åland av riksförfattningar om personregister (50/1999) att inhämta dessa uppgifter.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den
|
Mariehamn den 26 februari 2004 |
|
|
L a n t r å d |
Roger Nordlund |
|
Vicelantråd |
Jörgen Strand |
[1] 10 ' 1 mom. grundlagen:AVar och ens privatliv, heder och hemfrid är tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.@
[2] 11 § 1919 års RF (8 § 1995 års RF) har sin motsvarighet i 10 § 3 mom. grundlagen, enligt vilken det genom lag kan bestämmas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna skall kunna tryggas eller ett brott skall kunna utredas. Jämför den i landskapslagen föreslagna 27 § om tillsynsmyndighetens befogenheter.
[3] Jämför grundlagsutskottets (GrUU 25/1998, sid 4) författningsrättliga anmärkning mot 39 § 2 mom. i förslaget till ny personuppgiftslag (RP 96/1998). (Se ovan)
[4] Antaget av landskapsstyrelsen den 5 januari 1988.
[5] Arkivlagen (FFS 184/1981) är gällande i landskapet i den lydelse den hade vid 1991-års självstyrelselags ikraftträdelse, (jfr 18 § 14 punkten, 23 § 4 punkten och 71 § självstyrelselagen).
[6] Enligt straffrätten kan en brottslig handling tillräknas en person på två sätt. Personen kan antingen ha handlat uppsåtligt eller genom vållande.
