Senast publicerat 08-05-2021 12:36

2018 rd Förvaltningsutskottet Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd): Ärendet har remitterats till förvaltningsutskottet för betänkande och till grundlagsutskottet och lagutskottet för utlåtande.

Utlåtanden

Utlåtande har lämnats av

grundlagsutskottet
GrUU 14/2018 rd
grundlagsutskottet
GrUU 24/2018 rd
lagutskottet
LaUU 5/2018 rd

Sakkunniga

Utskottet har hört

lagstiftningsdirektör Tuula Majuri
justitieministeriet
lagstiftningsråd Anu Talus
justitieministeriet
lagstiftningsråd Ville Hinkkanen
justitieministeriet
lagstiftningsråd Tanja Jaatinen
justitieministeriet
biträdande justitieombudsman Pasi Pölönen
Riksdagens justitieombudsmans kansli
specialsakkunnig Tiina Mantere
inrikesministeriet
enhetschef Sami Kivivasara
finansministeriet
regeringsråd Immo Aakkula
undervisnings- och kulturministeriet
överinspektör Maija Rönkä
kommunikationsministeriet
regeringssekreterare Helena Raula
social- och hälsovårdsministeriet
dataombudsman Reijo Aarnio
dataombudsmannens byrå
överinspektör Anna Hänninen
dataombudsmannens byrå
överdirektör för statistikproduktion Timo Koskimäki
Statistikcentralen
utvecklingschef Johanna Rantanen
Statistikcentralen
dataskyddsansvarig, jurist Jarkko Reittu
Helsingfors universitet
forskningsdirektör Olli Pitkänen
IPR University Center
forskningsdirektör Päivi Happonen
Riksarkivet
ecklesiastikråd Pirjo Pihlaja
Kyrkostyrelsen
specialsakkunnig Tuula Seppo
Finlands Kommunförbund
expert Niina Harjunheimo
Finlands näringsliv rf
chefsjurist Kirsi Suopelto
Finanssiala ry
jurist Timo Niemi
Kuluttajaliitto – Konsumentförbundet ry
jurist Tiina Aitlahti
Lääketeollisuus ry
planerare för mediefostran Rauna Rahja
Mannerheims Barnskyddsförbund
branschdirektör Mikko Hoikka
Medieförbundet rf
ombud för arbetsvillkor, dataskyddsansvarig Hannu Hallamaa
Finlands Journalistförbund rf
professor Päivi Korpisaari
professor Olli Mäenpää
juris doktor Riku Neuvonen
ordförande för TATTI-arbetsgruppen Pekka Nurmi.

Skriftligt yttrande har lämnats av

Riksdagens kansli
Statens revisionsverk
försvarsministeriet
justitiekanslersämbetet
högsta förvaltningsdomstolen
Rättsregistercentralen
Nationalbiblioteket
Finlands ortodoxa kyrkostyrelse
Ålands landskapsregering
Rådet för yrkeshögskolornas rektorer Arene rf
juridiska nätverket KAM
Finsk Handel rf
Centralhandelskammaren
Centralförbundet för Barnskydd
Genealogiska Samfundet i Finland rf
Finlands universitetsrektorers råd UNIFI rf
Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.

PROPOSITIONEN

Regeringen föreslår att det stiftas en dataskyddslag. Genom lagen kompletteras och preciseras Europeiska unionens allmänna dataskyddsförordning. I propositionen föreslås det samtidigt att personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen upphävs.

Den föreslagna lagen är en allmän lag som ska tillämpas på behandling av personuppgifter. I och med att den kompletterar och preciserar den allmänna dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med den allmänna dataskyddsförordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för den prövningsmarginal som den nationella lagstiftaren ges i den allmänna dataskyddsförordningen.

Den föreslagna lagen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om särskilda behandlingssituationer.

I propositionen föreslås dessutom ändringar i strafflagen och i lagen om verkställighet av böter.

De föreslagna lagarna avses träda i kraft den 25 maj 2018.

UTSKOTTETS ÖVERVÄGANDEN

Bakgrunden till förslaget

Syftet med den föreslagna dataskyddslagen jämte relaterade lagförslag är att utfärda de nationella bestämmelserna för att komplettera Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan dataskyddsförordningen). Dataskyddsförordningen trädde i kraft den 24 maj 2016 och tillämpas från den 25 maj 2018. Dataskyddsförordningen är direkt tillämplig lagstiftning.

Dataskyddsförordningen är en del av Europeiska unionens stora reform av dataskyddslagstiftningen. Reformen är behövlig med tanke på informationsteknikens snabba utveckling och medlemsstaternas splittrade lagstiftning om skyddet av personuppgifter och den oenhetliga tillämpningen av denna lagstiftning. Syftet är att förbättra individens rättigheter vid behandling av personuppgifter och att förbättra verksamhetsförutsättningarna för den digitala inre marknaden i EU genom att harmonisera medlemsstaternas bestämmelser om skyddet av personuppgifter.

Trots förändringar i omvärlden har de allmänna principerna om hantering av personuppgifter i persondirektivet (95/46/EG) varit hållbara och motsvarande principer ingår också i dataskyddsförordningen. Centrala principer är således fortfarande ändamålsbegränsning, lagenlighet, skälighet och öppenhet, uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet. En ny princip i dataskyddsförordningen är i förhållande till personuppgiftsdirektivet och personuppgiftslagen (523/1999) ansvarsskyldighet enligt vilken den personuppgiftsansvarige ska kunna visa att behandlingen av personuppgifter överensstämmer med den allmänna dataskyddsförordningen. Principerna för behandling av personuppgifter gäller all behandling av personuppgifter.

Till EU:s dataskyddsreform hör också bland annat direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet för brottsbekämpande myndigheter), som genomförs nationellt genom proposition RP 31/2018 rd. Dataskyddsförordningen gäller EU:s organ och antogs den 11 oktober 2018. Under beredning är också ett förslag till förordning om dataskydd vid elektronisk kommunikation.

Dataskyddsförordningen är exceptionell som förordning såtillvida att den i vissa frågor ger medlemsstaterna nationellt handlingsutrymme av direktivkaraktär. Den nationella lagstiftaren får i många fall avgöra om det nationella handlingsutrymmet ska utnyttjas. I den föreslagna dataskyddslagen föreslås det att handlingsutrymmet ska utnyttjas i en situation där upphävandet av personuppgiftslagen (523/1999) medför behov av nationell lagstiftning, t.ex. för att den rättsliga grunden för behandling av personuppgifter i vissa situationer eller förutsättningarna för vetenskaplig forskning i så stor utsträckning som möjligt ska bibehållas så som de är nu. Det nationella handlingsutrymmet kan också utnyttjas senare t.ex. vid utfärdande av speciallagstiftning.

Dataskyddsförordningen innehåller också skyldigheter för medlemsstaterna, såsom skyldigheten att föreskriva om vissa frågor som gäller den nationella tillsynsmyndigheten. Dessutom ska medlemsstaterna förena skyddet av personuppgifter enligt dataskyddsförordningen med vissa andra rättigheter, t.ex. yttrandefriheten och offentlighetsprincipen. Det finns förslag också om bland annat detta i förslaget till dataskyddslag.

I propositionen föreslås det dessutom att dataskyddsförordningen, med stöd av dataskyddslagen, med vissa avgränsningar ska bli tillämplig också när behandlingen av personuppgifter inte omfattas av tillämpningsområdet för dataskyddsförordningen eller direktivet om dataskydd i brottmål.

Grundlagsutskottet har lämnat utlåtandet GrUU 14/2018 rd om propositionen. I utlåtandet sägs att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till tillämpningsområdet gällande riksdagsarbetet, tillsynsmyndighetens behörighet att övervaka de högsta laglighetsövervakarna, förfarandet för att påföra administrativa påföljder och upphävandet av personuppgiftslagen beaktas på behörigt sätt.

Förvaltningsutskottet begärde den 6 juni 2018 i överensstämmelse med 38 § 2 mom. i riksdagens arbetsordning ytterligare utlåtande av grundlagsutskottet om regelverket för påförande av administrativa påföljdsavgifter. Grundlagsutskottet gav utlåtandet GrUU 24/2018 rd, enligt vilket de förslag till paragrafer som bifogats förvaltningsutskottets begäran om utlåtande kan behandlas i vanlig lagstiftningsordning. Grundlagsutskottet förutsatte också beaktande av andra anmärkningar i betänkandet, särskilt i anslutning till rättssäkerhet.

Med hänvisning till propositionen och annan utredning tillstyrker förvaltningsutskottet lagförslagen i propositionen, men med följande kommentarer och ändringsförslag. Dessutom föreslår utskottet att ett nytt lagförslag och ett uttalande godkänns.

Nationell allmän och särskild lagstiftning som kompletterar dataskyddsförordningen

Som kompletterande nationell bestämmelse till dataskyddsförordningen utgör dataskyddslagen inget självständigt och heltäckande regelverk, utan den tillämpas parallellt med dataskyddsförordningen. Grundlagsutskottet har vid bedömningen av propositionens utgångspunkter hänvisat till sin nyare utlåtandepraxis enligt vilken det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet av personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag. Utskottet anser att propositionen som kompletterar förordningen i grunden är godtagbar. (GrUU 14/2018 rd).

Förvaltningsutskottet ser det som ändamålsenligt att den föreslagna dataskyddslagens struktur följer dataskyddsförordningens struktur. Regleringen blir ändå rätt komplicerad, vilket framhävs av att dataskyddsförordningen i sig ställvis är svårtydbar. Av unionsrätten följer att begreppen i förordningen inte kan tolkas utifrån nationell lag. Därför följer dataskyddslagen terminologin i dataskyddsförordningen. Man har försökt öppna upp innehållet i begreppen genom att i propositionsmotiven beskriva den rättspraxis som inom unionen hänför sig till begreppen.

Dessutom innehåller den nationella speciallagstiftningen en hel del dataskyddsreglering som ministeriet i skrivande stund arbetar på att justera på grund av dataskyddsförordningen. Det finns flera hundra specialförfattningar som berör behandling av personuppgifter.

Grundlagsutskottet har bedömt att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och har även hänvisat till sin tidigare utlåtandepraxis enligt vilken det är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, och GrUU 41/2006 rd).

Också förvaltningsutskottet poängterar betydelsen av en tydlig reglering och betonar att det dessutom måste erbjudas tydlig och begriplig handledning och rådgivning som underlättar tillämpningen av regleringen. Regleringen kan förtydligas också exempelvis genom en uppförandekod i överensstämmelse med dataskyddsförordningen. Uppförandekoden kan utarbetas så att särskilda behov hos den aktuella sektorn beaktas på behörigt sätt. Utskottet påpekar också att den finska förordningstexten innehåller fel, exempelvis artikel 9.1 där bestämningen ”henkilön yksiselitteistä tunnistamista varten” bör referera enbart till behandling av biometriska uppgifter. I den svenska texten tydliggörs detta genom adekvat kommatering. Omedelbara åtgärder bör vidtas för att korrigera språkfelen.

Med anledning av den förestående tillämpningen av dataskyddsförordningen ser utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, allmänt taget utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter.

I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I princip räcker det att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen, anser utskottet. De detaljerade bestämmelserna i förordningen gör det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger.

Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd). I överensstämmelse med grundlagsutskottets riktlinje kommer begreppet känsliga uppgifter, sådant det definieras i personuppgiftslagen, också framöver att vara relevant i den konstitutionella bedömningen.

Förvaltningsutskottet hänvisar i sammanhanget dessutom till de övriga ställningstaganden om den nationella lagberedningen som framgår av grundlagsutskottets utlåtande.

Dataskyddslagens tillämpningsområde

Enligt 2 § i den föreslagna dataskyddslagen tillämpas lagen i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Dataskyddslagen tillämpas brett inom olika sektorer som allmän lag som kompletterar dataskyddsförordningen. I linje med dataskyddsförordningen tillämpas dataskyddslagen dock inte på sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll eller behandling av personuppgifter som omfattas av dataskyddsdirektivet för brottsbekämpande myndigheter.

I 2 § i dataskyddslagen föreslås att dataskyddsförordningen på grundval av dataskyddslagen och med vissa begränsningar ska tillämpas också på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för unionsrätten samt på behandling av personuppgifter som utförs i samband med den gemensamma utrikes- och säkerhetspolitik som avses i avdelning V kapitel 2 i fördraget om Europeiska unionens funktionssätt. Utanför denna nationella utvidgning av förordningens tillämpningsområde faller dock kap. VI och VII till den del det är fråga om den så kallade mekanismen för en lucka och mekanismen för enhetlighet, som gäller situationer där den personuppgiftsansvarige behandlar personuppgifter inom flera medlemsländer.

Grundlagsutskottet har i detta avseende tagit upp aspekter som gäller unionens behörighet. Utskottet anser ändå att det i princip är motiverat att utvidga förordningens tillämpningsområde genom nationella lagstiftningsåtgärder. Lagreservationen i 10 § i grundlagen kräver att bestämmelser om skydd för personuppgifter utfärdas genom lag. Tillämpningsområdet för den allmänna lagstiftningen om skydd för personuppgifter måste därför vara heltäckande. Eftersom det inte alltid går att tydligt och entydigt bestämma räckvidden för unionsrätten är den valda modellen för utvidgning av förordningens tillämpningsområde motiverad också i konstitutionellt hänseende.

Grundlagsutskottet noterar i sitt utlåtande också tillämpningen av dataskyddslagen i riksdagens verksamhet. Riksdagens verksamhet kan delas in i riksdagsarbete, som regleras i grundlagen och riksdagens arbetsordning, och förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk.

Utskottet ser i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (se GrUU 30/1998 rd). I grundlagsutskottets utlåtande konstateras att riksdagens ämbetsverk liksom andra myndigheter på tillbörligt sätt är undantagna från bestämmelserna om påföljdsavgift i lagförslaget. Till övriga delar innehåller propositionen däremot ingen reglering eller motivering när det gäller hur riksdagsarbetet och de medverkande riksdagsorganen såsom utskotten, talmanskonferensen eller riksdagsledamöterna förhåller sig till de föreslagna bestämmelserna eller dataskyddsförordningen. Grundlagsutskottets uppfattning är att riksdagsarbetet inte hör till unionsrättens tillämpningsområde. Men bestämmelserna i 2 § 1 mom. i förslaget till dataskyddslag leder till att dataskyddsförordningen också måste iakttas i riksdagsarbetet. Dessutom kommer bestämmelserna om påföljdsavgift att tillämpas också på de organ som deltar i riksdagsarbetet.

Bestämmelser om behandlingen av uppgifter i riksdagsarbetet finns i 50 § i grundlagen och i riksdagens arbetsordning. Grundlagens 50 § innehåller vissa lagreservationer i fråga om arbetsordningen. De gäller publikation, offentlighet och sekretess för uppgifter. Enligt 52 § i grundlagen ska närmare bestämmelser om förfarandet under riksmötena samt om riksdagens organ och riksdagsarbetet utfärdas i riksdagens arbetsordning. Grundlagsutskottet anser att riksdagens ställning som högsta statsorgan och unionsrättens avgränsade tillämpningsområde innebär att lagförslag 1 i propositionen måste ändras på så sätt att riksdagsarbetet utesluts från dataskyddslagens tillämpningsområde. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

För att utesluta riksdagsarbetet från lagens tillämpningsområde föreslår förvaltningsutskottet att 2 § i dataskyddslagen ändras på det sätt som närmare framgår av detaljmotiven.

Förhållandet mellan skyddet för personuppgifter och offentlighetsprincipen

Offentlighetsprincipen är en central princip inom förvaltningen i Finland. Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar.

Den allmänna lag som reglerar handlingarnas offentlighet är lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen. Offentlighetslagen och den nuvarande personuppgiftslagen bildar en helhet som reglerar villkoren för hantering av personuppgifter samt offentligheten och sekretessen för personregister och andra handlingar som upprätthålls av myndigheterna och för uppgifter som ingår i dem.

I flera av sina utlåtanden om förslaget till dataskyddsförordning har förvaltningsutskottet ansett det viktigt att det i dataskyddsförordningen inskrivs en bestämmelse om att beakta handlingars offentlighet vid tillämpningen av dataskyddsförordningen (t.ex. FvUU 11/2012 rd, FvUU 30/2014 rd, FvUU 2/2015 rd, FvUU 25/2015 rd). Kommissionens förslag till förordning innehöll ingen bestämmelse om att samordna dataskyddslagstiftningen och principen om handlingars offentlighet. Frågan var ändå relevant eftersom dataskyddsförordningen samtidigt innebär att personuppgiftsdirektivet, som ligger till grund till personuppgiftslagen, upphävs. Förvaltningsutskottet ser det som viktigt att det har förhandlats fram en artikel i förordningen som möjliggör en samordning av den nationella offentlighetslagen och dataskyddsförordningen.

Också grundlagsutskottet ansåg att en explicit bestämmelse om handlingars offentlighet kan ses som ett minimikrav för att offentligheten ska vara tryggad på tillbörligt sätt (GrUU 12/2012 rd, GrUU 60/2017 rd, GrUU 15/2017 rd). Det väsentliga är enligt utskottets mening att artikel 86 i dataskyddsförordningen, som kompletteras genom förslaget till dataskyddslag, innehåller en explicit bestämmelse om offentlighet för allmänna handlingar.

I 28 § i propositionens förslag till dataskyddslag föreskrivs det om hänsyn till offentlighetsprincipen. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. Bestämmelsen motsvarar 8 § 4 mom. i den gällande personuppgiftslagen, som stiftats med grundlagsutskottets medverkan (GrUU 25/1998 rd). I förarbetena till personuppgiftslagen anser regeringen att den lag som bestämmelsen hänvisar till föreskriver om de avgränsningar av rätten att lämna ut personuppgifter som behövs med tanke på integritetsskyddet (RP 96/1998 rd, s. 42—43). Inga ändringar föreslås nu i offentlighetslagen, som stiftats med grundlagsutskottets medverkan (GrUU 43/1998 rd). Enligt grundlagsutskottets uppfattning finns det inget omedelbart behov av ändringar i offentlighetslagen trots att dataskyddsförordningen börjar tillämpas (GrUU 14/2018 rd).

Grundlagsutskottet ser den valda lösningen som motiverad med avseende på 12 § 2 mom. i grundlagen. Det nödvändighetskrav som i den bestämmelsen ställs på begränsningar av offentligheten gäller inte enbart sekretessbestämmelser. Utskottet har ansett att om till exempel utlämnandet av personuppgifter i stor utsträckning knyts till ett användningsändamål innebär det att offentlighetsprincipen begränsas på ett sätt som dock kan anses ha godtagbara grunder enligt 10 § i grundlagen (GrUU 3/2009 rd, s. 2, GrUU 2/2008 rd, s. 2, och GrUU 40/2005 rd, s. 2).

Offentlighetslagens 17 § 1 mom. föreskriver att när en myndighet fattar beslut i enlighet med lagen och även i övrigt utför sina uppgifter ska den bland annat se till att möjligheterna att få information om dess verksamhet inte med hänsyn till offentlighetsprincipen och syftet med den begränsas mer än vad som är nödvändigt för det intresse som ska skyddas. Bestämmelsen är till denna del formulerad i förvaltningsutskottets betänkande (FvUB 31/1998 rd, s. 10—11). Förvaltningsutskottet kompletterade föreslagna 17 § i offentlighetslagen, eftersom grundlagsutskottet i sitt utlåtande hade villkorat lagstiftningsordningen med att sekretessbestämmelserna kompletteras så att det framgår att sekretessen är ett undantag från huvudregeln att handlingar ska vara offentliga på så sätt att det i lagtexten poängteras att sekretessbestämmelserna ska tolkas restriktivt (GrUU 43/1998 rd, s. 3/II).

I sitt utlåtande om offentlighetslagen hänvisar grundlagsutskottet också till att de allmänna förvaltningsrättsliga principerna hör till de faktorer som begränsar prövningsrätten. Ändamålsbundenhet, proportionalitet, objektivitet och jämlikhet hör till dessa principer. Utskottet ser det som viktigt med tanke på bestämmelsen om grundläggande fri- och rättigheter gällande handlingars offentlighet att begränsningar i myndighetens prövningsrätt anges i själva lagtexten (GrUU 43/1998 rd, s. 3/I). Bestämmelser om de allmänna förvaltningsrättsliga principerna finns numera i 6 § i förvaltningslagen (434/2003). Utskottet har även i ett bredare perspektiv påpekat att de lagtillämpande myndigheternas prövning framför allt är bunden vid kraven på ändamålsbundenhet och proportionalitet enligt 6 § i förvaltningslagen (GrUU 17/2014 rd, s. 4—5, GrUU 17/2016 rd, s. 3). Grundlagsutskottet understryker fortfarande att de här faktorerna, som också framgår av 17 § i offentlighetslagen, har betydelse vid tolkningen och tillämpningen av offentlighetslagen även då denna tillämpas på rätt att få information och på övrigt utlämnande av personuppgifter ur myndigheternas personregister (GrUU 14/2018 rd).

Yttrandefrihet

Artikel 85 i dataskyddsförordningen föreskriver att medlemsstaterna i lag ska förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. I 27 § i dataskyddslagen föreslås bestämmelser om befrielser och undantag från den allmänna dataskyddsförordningen för att rätten som gäller skydd av personuppgifter ska samordnas med yttrandefriheten. Enligt grundlagsutskottets uppfattning går de föreslagna bestämmelserna till denna del ut på att yttrandefriheten begränsas i syfte att skydda personuppgifter och att skyddet av personuppgifter begränsas i syfte att trygga yttrandefriheten på motsvarande sätt. Det är nödvändigt med en balans av denna typ i konstitutionellt hänseende (GrUU 14/2018 rd).

Men de föreslagna bestämmelserna i 27 § i förslaget till dataskyddslag är till viss del flertydiga. Inskränkningar av de grundläggande fri- och rättigheterna ska vara noga avgränsade och tillräckligt exakt definierade. Deras innehåll ska till väsentliga delar framgå av lagen (GrUB 25/1994 rd, s. 5/I). Den föreslagna dataskyddslagens 27 § uppfyller inte det här kravet till alla delar. Som exempel lyfter grundlagsutskottet fram 2 mom. där det står att artiklarna 44—50 i dataskyddsförordningen inte ska tillämpas, om tillämpningen ”skulle kränka rätten till yttrandefrihet eller informationsfrihet”. I 3 mom. föreskrivs det att vissa bestämmelser i förordningen endast ska tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Enligt grundlagsutskottets utlåtande måste förvaltningsutskottet på grund av 10 och 12 § i grundlagen göra väsentliga ändringar i bestämmelserna (GrUU 14/2018 rd).

Förvaltningsutskottet konstaterar att uttrycket ”i tillämpliga delar”, som i princip bör undvikas i författningsspråk, används i paragrafen. Till exempel enligt lagberedningshandboken Lainkirjoittajan opas ska en hänvisning till tillämpning eller iakttagande av en annan lag helst åskådliggöras på annat sätt och med exakthet. Den föreslagna paragrafen hänvisar till tillämpningen av vissa artiklar i dataskyddsförordningen. I propositionsmotiven utreds i detalj till vilka delar artiklarna som nämns i paragrafen ska tillämpas.

Exempelvis i artikel 5 i dataskyddsförordningen föreskrivs om allmänna principer som gäller hantering av personuppgifter. De allmänna principerna kan tillämpas endast när en egentlig skyldighet för den personuppgiftsansvarige eller den registrerades rätt blir tillämplig. Allmänna principer kan inte tillämpas självständigt lösryckta från andra skyldigheter och rättigheter. De allmänna principernas tillämplighet till tillämpliga delar beskrivs och klargörs i detalj i propositionsmotiven.

Enligt propositionen tillämpas också exempelvis artikel 24 om den personuppgiftsansvariges ansvar endast i tillämpliga delar. I artikel 24 om den personuppgiftsansvariges ansvar föreskrivs på allmän nivå om den personuppgiftsansvariges ansvar. Artikeln om den personuppgiftsansvariges ansvar ska tolkas tillsammans med andra bestämmelser om den personuppgiftsansvariges skyldigheter. Artikel 24 i dataskyddsförordningen kan inte tillämpas självständigt som en skyldighet för den personuppgiftsansvarige som är lösryckt från andra skyldigheter. Artikel 24 i förordningen ska enligt propositionen tillämpas i situationer där någon skyldighet för den personuppgiftsansvarige enligt dataskyddsförordningen ska tillämpas. Det konstateras i propositionsmotiven.

Utöver dessa två exempel gäller motsvarande upplägg också de övriga artiklar i dataskyddsförordningen som räknas upp i 27 § 3 mom. De artiklar som nämns i paragrafen kan inte tillämpas självständigt lösryckta från andra skyldigheter eller rättigheter. I propositionsmotiven klargörs för varje artikelhänvisning i 27 § i detalj hur artikelen ska tillämpas på hantering av de personuppgifter som avses i paragrafen.

Förvaltningsutskottet konstaterar att även om uttrycket ”i tillämpliga delar” används i den föreslagna 27 §, lämnar lagförslaget inte öppet för den personuppgiftsansvariges eller tillsynsmyndighetens prövning till vilka delar artiklarna i 3 mom. blir tillämpliga. Det framgår som ovan beskrivs av propositionsmotiven.

Grundlagsutskottets utlåtande (GrUU 14/2018 rd) fäster också uppmärksamhet vid en mening i paragrafens 2 mom. I propositionsmotiven utreds att artiklarna 44—50 om överföring av uppgifter tillämpas när skyldigheterna gäller skydd av personuppgifter och informationssäkerhet. Uttrycket ”skulle kränka rätten till yttrandefrihet eller informationsfrihet” är för sin del härlett ur artikel 86 i dataskyddsförordningen, enligt vilken medlemsstaterna ska fastställa undantag från vissa artiklar i dataskyddsförordningen om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

Enligt förvaltningsutskottets uppfattning är det centralt att regleringen täcker ett så brett fält som möjligt. Det går inte heller att på regleringsnivå uttömmande specificera olika situationer där man borde avvika från regleringen i förordningen för att samordna de här avsedda rättigheterna. Därför måste regleringen vara baserad på allmänna uttryck. Vidare konstaterar utskottet att det i EU-domstolens rättspraxis har betonats att yttrandefriheten ska ges en vid tolkning. Utskottet betonar ytterligare att syftet med den föreslagna regleringen är att bevara nuläget. Därför kan tolkningen vara baserad på nuvarande praxis. I detaljmotiven till den föreslagna bestämmelsen ingår också en ytterst detaljerad utredning av bestämmelsernas innehåll. Utskottet anser att det i sammanhanget saknas förutsättningar för att precisera regleringen ytterligare. Anmärkningsvärt är enligt utskottets mening också att på grundval av yttranden från medie- och journalistbranschen har man i förslaget rätt väl förmått bevara den nuvarande balansen mellan rättigheterna, trots paragrafens många led med åtföljande svårtydbarhet.

Påföljdsreglering

Påföljdssystemet och tillsynsmyndighetens behörighet

I dataskyddsförordningen betonas att ett effektivt skydd av personuppgifter över hela unionen förutsätter att de registrerades rättigheter förstärks, samt att det finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna. Förordningen innehåller därför heltäckande och detaljerade bestämmelser om påföljdssystemet och tillsynsmyndigheternas befogenheter.

När det talas om påföljder har uppmärksamheten i hög grad riktats mot administrativa sanktionsavgifter påförda av tillsynsmyndigheten. Förvaltningsutskottet konstaterar i sammanhanget att tillsynsmyndigheten också förfogar över andra medel. I artikel 58.2 i dataskyddsförordningen föreskrivs det om tillsynsmyndighetens korrigerande befogenheter. Tillsynsmyndigheterna får bland annat utfärda varningar till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar kommer att bryta mot bestämmelserna i förordningen (led a och b) och införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling (led f). Bestämmelser om administrativa sanktionsavgifter finns i punkt 2 led i. Enligt det kan tillsynsmyndigheten påföra administrativa sanktionsavgifter utöver eller i stället för de åtgärder som nämns i punkt 2.

Bestämmelser om allmänna villkor för påförande av administrativa sanktionsavgifter finns i artikel 83 i förordningen. De administrativa sanktionsavgifter som ska påföras vid överträdelse av de bestämmelser som anges i artikel 83.4 i förordningen kan uppgå till högst 10 000 000 euro eller, om det gäller ett företag, två procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Det gäller bland annat överträdelse av bestämmelserna om den i artikel 31 nämnda skyldigheten att samarbeta med tillsynsmyndigheten eller om den i artikel 33 och 34 nämnda skyldigheten att göra en anmälan av en personuppgiftsincident till tillsynsmyndigheten och att ge information till den registrerade om en personuppgiftsincident. I de fall som avses i artikel 83.5 kan det påföras administrativa sanktionsavgifter på högst 20 000 000 euro eller, om det gäller företag, fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Punkten gäller överträdelser av bland annat registrerades rättigheter enligt artiklarna 12—22.

Därför kan det konstateras att den nationella tillsynsmyndighetens befogenheter utvidgas betydligt direkt med stöd av förordningen. Det innebär en betydande förändring av nuläget i Finland. Samtidigt bör det observeras att Europeiska dataskyddsstyrelsen utformar för tillsynsmyndigheterna riktlinjer som gäller tillämpning av korrigerande åtgärder och påförande av administrativa påföljdsavgifter (artikel 70.1.k i dataskyddsförordningen). På så sätt vill man bidra till att dataskyddsförordningen tillämpas enhetligt i medlemsstaterna.

Lagutskottet har i sitt utlåtande bland annat gjort iakttagelser om påförandet av administrativ påföljdsavgift. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och vid bedömning av beloppet för avgifterna ska man enligt artikel 83.2 i förordningen ta hänsyn till bland annat överträdelsens karaktär, svårighetsgrad och varaktighet samt dess skadlighet och tidigare överträdelser och till huruvida överträdelsen skett med uppsåt eller genom oaktsamhet. Regleringen bygger således inte på strikt ansvar eller omvänd bevisbörda, vilket är motiverat när man beaktar rätten till en rättvis rättegång och god förvaltning enligt Europakonventionen och 21 § i grundlagen. Lagutskottet konstaterar att det är viktigt att respektera dessa garantier vid påförandet av administrativa sanktioner, eftersom de administrativa sanktionsavgifterna i sak är ekonomiska sanktioner av straffkaraktär, som enligt Europadomstolen och grundlagsutskottet kan jämställas med en straffrättslig påföljd. Som grundlagsutskottet konstaterar i sitt utlåtande om propositionen (GrUU 14/2018 rd) är prövningsrätten å andra sidan betydande när det gäller hur dessa omständigheter förhåller sig till varandra. Det finns också prövningsrätt när det gäller den administrativa sanktionsavgiftens storlek, eftersom förordningen endast anger en maximinivå.

Också lagutskottet betonar att kraven på god förvaltning och rättssäkerhet ska beaktas vid påförandet av administrativa sanktionsavgifter. Det är en viktig sak att förordningen har fått uttryckliga bestämmelser om att tillsynsmyndighetens utövande av sina befogenheter omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet (artikel 83.8 och 58.4).

Trots att regleringen om påföljder i förordningen är mycket detaljerad, behöver den nationella lagstiftningen kompletteras med bestämmelser om bland annat påförande av administrativa sanktionsavgifter enligt artikel 83 i dataskyddsförordningen. Det bör också i anslutning till artikel 84 i förordningen utfärdas nationella bestämmelser om de fall när administrativa sanktionsavgifter enligt förordningen inte ska tillämpas och anges om sanktionerna är straffrättsliga eller administrativa. Dessutom bör det bedömas om det behövs sådana nationella bestämmelser med tanke på allvarliga överträdelser av förordningen.

Förfarandet vid påförande av administrativ påföljdsavgift

Enligt 8 § i förslaget till dataskyddslag är dataombudsmannen den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Bestämmelser om tillsynsmyndighetens uppgifter och befogenheter finns i artiklarna 55—59 i dataskyddsförordningen. Enligt artikel 58.2 i är det tillsynsmyndigheten i medlemsstaten som är behörig att påföra administrativa sanktionsavgifter. Det innebär att enligt lagförslaget ingår det i dataombudsmannens behörighet att påföra den administrativa påföljdsavgift som avses i förordningen.

Också vid gränsöverskridande behandling av personuppgifter ska den materiellträttsliga frågan avgöras på EU-nivå i ett samarbetsförfarande mellan tillsynsmyndigheterna, vilket betyder behandling i kollegial sammansättning. Det är då den nationella tillsynsmyndigheten som ska besluta om påföljdsavgiftens storlek.

En administrativ påföljdsavgift enligt dataskyddsförordningen bli en mycket sträng påföljd med karaktär av straff. Därför är det särskilt viktigt att beakta aspekter som gäller rättssäkerhet och garantier för behörigt förfarande. Förvaltningsutskottet noterar att påförandet av administrativ påföljdsavgift i propositionen anförtros en enskild tjänsteman som skulle kunna påföra den självständigt. Enligt 15 § i den föreslagna dataskyddslagen ska dataombudsmannen avgöra ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat. Bestämmelsen skulle i princip också göra det möjligt att påföra administrativ påföljdsavgift utan föredragning. Under utskottets utfrågning av sakkunniga har det framförts kritiska anmärkningar om regleringen.

Finlands lagstiftning innehåller administrativa påföljdsavgifter som påförs av en förvaltningsmyndighet. De mycket stora administrativa påföljdsavgifter som dataskyddsförordningen tillåter kan enligt grundlagsutskottet ändå inte jämställas med de administrativa påföljder som myndigheterna i nuläget påför. Å andra sidan ska beslut om att påföra administrativa påföljdsavgifter exempelvis inom tillsynen över finansmarknaden med dess ibland mycket stränga påföljdsavgifter i vissa situationer fattas av ett kollegialt organ, Finansinspektionens direktion. Dessutom finns det administrativa påföljdsavgifter som domstolen ska fatta beslut om. Det gäller till exempel de påföljdsavgifter som marknadsdomstolen påför med stöd av konkurrenslagen (948/2011).

I artikel 83.1 i dataskyddsförordningen sägs att om det i medlemsstatens rättssystem inte finns några föreskrifter om administrativa sanktionsavgifter får den här artikeln tillämpas så att förfarandet inleds av den behöriga tillsynsmyndigheten och sanktionsavgifterna sedan utdöms av behörig nationell domstol, varvid det säkerställs att rättsmedlen är effektiva och har motsvarande verkan som de administrativa sanktionsavgifter som påförs av tillsynsmyndigheter. De sanktionsavgifter som påförs ska i alla händelser vara effektiva, proportionella och avskräckande. Som ovan konstateras är administrativa påföljdsavgifter ändå möjliga i den finländska rättsordningen, och det finns bestämmelser om dem. Enligt utredning till utskottet gäller den möjlighet som avses i artikelns punkt 9 endast Danmark och Estland, vilket framgår av skäl 151 i ingressen till förordningen. Där sägs att ”Danmarks och Estlands rättssystem tillåter inte administrativa sanktionsavgifter i enlighet med denna förordning. Bestämmelserna om administrativa sanktionsavgifter kan tillämpas så att sanktionsavgiften i Danmark utdöms som en straffrättslig påföljd av en behörig nationell domstol och att den i Estland utdöms av tillsynsmyndigheten inom ramen för ett förseelseförfarande, under förutsättning att en sådan tillämpning av bestämmelserna i dessa medlemsstater har en effekt som är likvärdig med administrativa sanktionsavgifter som utdöms av tillsynsmyndigheter”. Enligt erhållen utredning har Finland således inte nationell prövningsmarginal så att man skulle kunna föreskriva om ett förfarande där den administrativa påföljdsavgiften skulle påföras av domstol i stället för av tillsynsmyndigheten.

Grundlagsutskottet anser att ett beslutsförfarande för administrativ påföljdsavgift likt det som nu föreslås strider mot 21 § i grundlagen och menar att ett kollegialt organ bör ges i lagfäst uppdrag att besluta om administrativa påföljdsavgifter. Dataombudsmannen kan ges i uppdrag att ha hand om utredning, övrig beredning och föredragning innan påföljdsavgiften påförs i ärendet. Att förfarandet för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift. Den här ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. (GrUU 14/2018 rd).

Även lagutskottet anser att det är befogat att de administrativa sanktionsavgifterna som avses i förordningen nationellt ska påföras av ett kollegialt organ, med beaktande av att avgifterna enligt förordningen kan bli mycket höga. Det handlar alltså om en betydande befogenhet. För den som påförs avgiften är det således ur rättsskyddssynpunkt av ytterst stor betydelse vilket slags organ som fattar beslutet och hur beslutsförfarandet ser ut. En annan sak som talar för att beslutet ska fattas av ett kollegialt organ är att man i de fall där en administrativ sanktionsavgift utgör påföljd för en överträdelse av förordningen i huvudsak avstår från att använda straffrättsliga påföljder. Det betyder att inte ens de mest allvarliga överträdelserna av förordningen då blir föremål för domstolsprövning. Lagutskottet föreslår ändringar i 9, 23 ja 25 § i dataskyddslagen och anser att åtminstone de ändringarna bör göras i lagförslaget.

Av artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 51 och 52 i dataskyddsförordningen följer att kompetensen, oavhängigheten och opartiskheten hos det kollegiala organ som ska besluta om administrativa påföljdsavgifter måste säkerställas. Av dataskyddsförordningen följer också vissa förbehåll för organiseringen av tillsynsmyndigheten. Trots att medlemsstaterna enligt artikel 51 kan organisera tillsynsmyndigheten så att medlemsstaten har fler än en tillsynsmyndighet, ger förordningen ingen nationell prövningsmarginal för att dela upp dess befogenheter på flera myndigheter. Detta beror på att enligt artikel 58 i förordningen ska varje tillsynsmyndighet ha som utgångspunkt samtliga befogenheter enligt förordningen.

Med anledning av grundlagsutskottets utlåtanden föreslår förvaltningsutskottet som närmare framgår av detaljmotiven att beloppet av den administrativa sanktionsavgiften (administrativ påföljdsavgift) enligt artikel 83 i dataskyddsförordningen ska påföras av ett påföljdskollegium som dataombudsmannen och de biträdande dataombudsmännen bildar tillsammans. Dataombudsmannen ska vara ordförande i kollegiet. Förslaget innehåller bestämmelser om beslutsförfarandet. Beslutet ska fattas efter föredragning.

Enligt grundlagsutskottets utlåtande GrUU 24/2018 rd uppfyller förvaltningsutskottets regleringslösning angående beslutsfattande om påförande av sanktionsavgift i huvudsak minimikraven enligt 21 § i grundlagen, och det finns inga konstitutionella hinder för den. Men grundlagsutskottet anser att förvaltningsutskottet ändå ytterligare bör kontrollera om bindandet av beslutsfattandet till föredragning också kan utsträckas till de övriga befogenheterna i artikel 58 i dataskyddsförordningen.

Artikel 58.2 i dataskyddsförordningen innehåller totalt 10 olika så kallade korrigerande befogenheter av vilka de kanske mest betydande är påförande av sanktionsavgift och att införa en tillfällig eller definitiv begränsning av behandling (punkt f). Behovet av denna befogenhet kan aktualiseras om man med snabbt beslutsfattande måste förhindra kränkningar som omedelbart hotar de registrerades rättigheter. Ett liknande läge kan vara att flödet av uppgifter till en mottagare i tredje land eller en internationell organisation ska avbrytas (punkt j). Att binda beslutsfattandet till föredragning av en föredragande i det befullmäktigade kontoret kan i praktiken bli svårt och försvaga de registrerades rättssäkerhet. Därför anser förvaltningsutskottet att det inte är befogat att utvidga området för beslutsfattande som kräver föredragningsförfarande.

Grundlagsutskottet har noterat att det inte i förslaget ingår bestämmelser om beslutförhet i kollegiet. Dessutom har grundlagsutskottet ansett att det inte är konstitutionellt relevant att en ställföreträdare för den biträdande dataombudsmannen lämnas beroende av arbetsordningen för dataombudsmannens byrå, om avsikten är att sådana ställföreträdare också ska ingå i påföljdskollegiet. Enligt förslaget kommer påföljdskollegiet att utöva betydande offentlig makt. Följaktligen måste sammansättningen framgå direkt av lagen på grund av 2 § 3 mom. och 119 § 2 mom. i grundlagen. Lagen måste dessutom få bestämmelser om kollegiets beslutförhet. Förvaltningsutskottet föreslår de relevanta preciseringarna i detaljmotiven.

Utveckling av tillsynsmyndighetens organisation

Även om förvaltningsutskottets förslag till bestämmelser om påföljdskollegiet kan behandlas i vanlig lagstiftningsordning, har grundlagsutskottet i sitt utlåtande GrUU 24/2018 rd fäst uppmärksamhet vid att det vore mindre problematiskt med avseende på grundlagen om den nationella tillsynsmyndigheten får en mer självständig ställning, exempelvis är ett verk. Dataskyddsförordningen tillåter att tillsynsmyndigheten har ett flertal ledamöter. Då kan myndigheten inom sig på riktigt delegera uppgiften att påföra påföljdsavgift och eventuellt en del andra befogenheter till ett kollegialt beslutsorgan. Grundlagsutskottet har i sitt utlåtande fört en mer utförlig diskussion om organisationsmodellen i ämbetsverksform.

Också lagutskottet har ansett att det är viktigt att i framtiden utreda om det går att utveckla och stärka förfarandet vid bestämmande av administrativa påföljdsavgifter och sammansättningen vid beslutsfattandet ytterligare. Det skulle till exempel vara befogat att utreda det alternativ som var aktuellt redan under beredningen av propositionen, det vill säga en tillsynsmyndighet vars organisation har formen av ett dataskyddsverk med både en dataombudsman och en påföljdsnämnd. I det sammanhanget bör man också beakta de övriga särskilda ombudsmännens ställning och organisation. (LaUU 5/2018 rd)

Ämbetsverksformen kan enligt förvaltningsutskottets åsikt anses vara en naturligare lösning än en personmyndighet för den nationella tillsynsmyndigheten också med avseende på personaltillskottet för dataombudsmannens byrå. Ett villkor för ämbetsverksmodellen är att det kollegiala organet till sin sammansättning blir sådant att dataskyddsförordningens krav på självständighet och oberoende uppfylls. Frågan om hur ombudsmannens roll i en sådan organisation borde utformas bör ändå med fördel baseras på en separat utredning.

Förvaltningsutskottet förutsätter att regeringen utreder huruvida organisationen för tillsynsmyndigheten för dataskyddet bör utvecklas som ett verk och vid behov bereder relevanta lagändringar i ärendet. Frågor som bör beaktas när organisationen utvecklas är bland annat bestämningen av administrativa påföljdsavgifter i verkets kollegiala organ och kraven i EU:s dataskyddsförordning om tillsynsmyndighetens självständighet och oberoende. (Utskottets förslag till uttalande)

Utredning av andra rättssäkerhetsgarantier

Förfaranden vid påförande av påföljdsavgift

Utskottet påpekar i sitt utlåtande att betydelsen av hur rättssäkerheten är ordnad framhävs av att förordningen inte närmare anger hur stor påföljdsavgift som ska påföras i de enskilda situationerna. I förordningen anges bara mycket höga övre gränser för avgiften och olika faktorer som ska vägas in när administrativa sanktioner påförs (artikel 83.2). Enligt grundlagsutskottet måste förvaltningsutskottet därför noga reda ut också vilka ändringar som krävs i regleringen av förfarandet för att rättssäkerheten ska bli bättre när det kollegiala organ som ska besluta om den administrativa påföljdsavgiften inrättas. (GrUU 14/2018 rd, GrUU 24/2018 rd).

Grundlagsutskottet konstaterar att grunderna för påförande av administrativa sanktionsavgifter och de faktorer som ska beaktas vid påförandet och den prövningsrätt som ingår definieras ganska detaljerat i artikel 83 i förordningen. Dessutom utarbetar Europeiska dataskyddsstyrelsen för tillsynsmyndigheterna riktlinjer för att påföra påföljdsavgift. Riktlinjerna ska främja en enhetlig tillämpning av dataskyddsförordningen i medlemsländerna.

Förfarandet vid påförandet av administrativ sanktionsavgift regleras däremot inte i dataskyddsförordningen, eftersom det på grundval av medlemsstaternas processuella autonomi är medlemsstaten som genom lag ska definiera de behöriga myndigheterna och deras förfaranden. Den föreslagna dataskyddslagen innehåller bestämmelser om beslutsfattande vid påförande av påföljdsavgift inklusive röstningsförfarande. I förslaget ingår inga särskilda procedurbestämmelser. Således tillämpas förvaltningslagen (434/2003) och övrig allmän förvaltningsrättslig lagstiftning.

De allmänna bestämmelserna om rättssäkerhetsgarantier i förvaltningslagen är ganska omfattande. Förvaltningslagen föreskriver bland annat om rådgivning, rätt att anlita ombud och biträde, utredningsskyldighet för myndigheten, begäran om utredning och komplettering av handlingar, hörande med tillhörande procedur, muntliga utredningar och muntlig bevisning, syn och inspektion, tolkning och översättning samt om beslutets form, innehåll, motivering och besvärsanvisning. I förvaltningsförfarande iakttas officialprincipen.

Beslut om påföljdsavgift ska gå att överklaga. I propositionen sägs att dataombudsmannens beslut utifrån 23 § i dataskyddslagen får överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Ett beslut om påföljdsavgift ska endast vara verkställbart som lagakraftvunnet. Förvaltningsutskottet menar att regleringen i grunden är ändamålsenlig. Men förfarandet för att påföra den föreslagna administrativa påföljdsavgiften bör ändå beaktas i bestämmelserna om sökande av ändring. Dessutom behöver regleringen förtydligas tekniskt. Utskottet går närmare in på detta i detaljmotiveringen.

Förslaget innehåller bestämmelser om preskription av påföljdsavgift. Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Lagutskottet har i sitt utlåtande påpekat att preskriptionstiden är lång, men detta kan anses motiverat för att säkerställa ett effektivt genomförande av förordningen. Förslaget motsvarar också författningarna om tillsyn över finansmarknaden och förhindrande av penningtvätt och terrorism, som även möjliggör stränga administrativa påföljdsavgifter. Man bör dessutom beakta att överträdelserna av förordningen kan vara omfattande, allvarliga och rättsligt komplicerade och att det kan dröja en lång tid innan tillsynsmyndigheten får kännedom om dem. Det är således viktigt att det finns tillräckligt med tid för att reda ut saken och påföra påföljdsavgifterna. I dataskyddsfrågor kan överträdelserna och försummelserna vara av engångsnatur men också fortlöpande, vilket inte har beaktats i bestämmelsen. Förvaltningsutskottet föreslår att bestämmelsen i detta avseende ska kompletteras enligt vad som framställs i detaljmotiven.

Dataskyddslagen innehåller inga bestämmelser om verkställbarheten av administrativa påföljdsavgifter. Det betyder att frågan bestäms i enlighet med förvaltningsprocesslagen (586/1996). Tillsynsmyndighetens beslut om administrativ påföljdsavgift är således verkställbar när beslutet har vunnit laga kraft. Lagutskottet har ansett att detta är en bra lösning när man beaktar dessa avgifters karaktär av sanktioner samt deras stränghet. På grundval av förvaltningsprocesslagen kan förvaltningsdomstolens beslut däremot verkställas utan laga kraft om inte högsta förvaltningsdomstolen förbjuder det.

Det föreskrivs i 23 § 3 mom. i dataskyddslagen att det i ett annat beslut av tillsynsmyndigheten än ett beslut som gäller en administrativ påföljdsavgift kan bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. Enligt propositionsmotiven är syftet med detta att säkerställa att tillsynsmyndigheten har möjlighet att effektivt ingripa i lagstridig behandling av personuppgifter. Utskottet anser att det är motiverat.

I propositionen sägs det att bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). Lagutskottet har bedömt att förfarandet enligt den lagen i princip oförändrat lämpar sig för verkställighet av de administrativa påföljdsavgifter som avses i artikel 83 i förordningen. Lagen i fråga gäller också verkställighet av motsvarande administrativa påföljdsavgifter som påförts utifrån andra lagar. Likaså kan det ses som motiverat att även lagen om verkställighet av böter på det sätt som regeringen föreslår i propositionen (lagförslag 3) får en bestämmelse om att administrativa påföljdsavgifter enligt artikel 83 i förordningen verkställs i den ordning som föreskrivs i den lagen.

Propositionen innehåller inga bestämmelser om preskription av verkställigheten av administrativa påföljdsavgifter. För närvarande finns det inte några allmänna bestämmelser om saken. Det finns emellertid bestämmelser i speciallagstiftning, och enligt dem är den normala preskriptionstiden fem år. Förvaltningsutskottet anser i likhet med lagutskottet att en motsvarande specialbestämmelse i förslaget till dataskyddslag är motiverad och hänvisar till det som framställs i detaljmotiven.

Bedömning av relationen mellan ett administrativt och ett straffrättsligt påföljdssystem

Påföljdssystemet i dataskyddsförordningen innebär en stor nationell förändring också på så sätt att det i förordningen i hög grad är fråga om administrativa påföljder som bestäms av den nationella tillsynsmyndigheten. Vårt nuvarande system grundar sig däremot på straffrättsliga påföljder som ska bestämmas av domstol.

Eftersom påföljdssystemet i fortsättningen som utgångspunkt ska grunda sig direkt på de administrativa sanktionsavgifter som avses i artikel 83 i förordningen och artikeln i hög grad täcker de förfaranden som strider mot förordningen, anser regeringen att den mycket omfattande kriminaliseringen i 38 kap. 9 § i strafflagen inte längre är befogad. Regeringen föreslår därför i propositionen att den nuvarande kriminaliseringen upphävs och ersätts med en straffbestämmelse enligt vilken straffrättsligt ansvar blir aktuellt bara i situationer där lagstridig behandling av personuppgifter inte med stöd av förordningen omfattas av administrativa påföljdsavgifter. Enligt propositionen blir straffrättsligt ansvar aktuellt endast i situationer där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde.

Lagutskottet noterar att man av motiveringen till regeringens proposition får uppfattningen att det straffrättsliga ansvaret i fortsättningen endast gäller situationer där ett lagstridigt förfarande inte hör till tillämpningsområdet för de administrativa sanktionsavgifter som det föreskrivs om i förordningen och där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Med andra ord skulle straffrätten inte alls tillämpas i de fall när det handlar om en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt förordningen vars lagstridiga förfarande omfattas av de administrativa sanktionsavgifter som avses i förordningen. De administrativa sanktionsavgifter som avses i förordningen och det straffrättsliga systemet skulle alltså inte till någon del överlappa varandra. Utskottet anser ändå att detta stämmer bara delvis. Det beror på att de personuppgiftsansvariga och personuppgiftsbiträden som avses i förordningen inte omfattas av tillämpningsområdet för den föreslagna bestämmelsen om att skaffa, lämna ut och överföra personuppgifter i 38 kap. 9 § 1 mom. i strafflagen, men däremot nog av dess 2 mom. om personuppgiftsincidenter. I den senare straffbestämmelsen är tillämpningsområdet allmänt i fråga om gärningsmannakretsen.

Sammantaget har lagutskottet ändå kommit till att det är motiverat att inom tillämpningsområdet för den nu aktuella EU-förordningen i så stor utsträckning som möjligt använda endast de administrativa sanktioner som avses i förordningen, eftersom en betydande del av regleringen — också av påföljdssystemet — kommer direkt från förordningen och denna förutsätter att administrativa sanktioner påförs i de fall som regleras i den. Med beaktande av att förordningen möjliggör mycket kännbara administrativa sanktionsavgifter är det i det här sammanhanget inte vare sig nödvändigt eller behövligt att föreskriva att överträdelser av förordningen ska omfattas av det straffrättsliga systemet, inte ens om de är allvarliga. Lagutskottet understryker att avkriminaliseringen i detta fall inte betyder att man skulle se lindrigare på straffbara gärningar eller att inga påföljder i framtiden skulle dömas ut för dem. Man bör dessutom beakta att en reglering där det administrativa och det straffrättsliga påföljdssystemet inte överlappar varandra är klar och tydlig med avseende på både lagstiftning och praxis och är den bästa garantin för att man inte bryter mot förbudet mot dubbel bestraffning (ne bis in idem).

Det har ändå inte varit möjligt att tillämpa denna utgångspunkt i propositionen på ett enhetligt sätt. Lagutskottet menar att när de gärningar som kränker säkerheten för personuppgifter omfattas både av de administrativa sanktionsavgifter som avses i förordningen och av de straffrättsliga påföljderna blir regleringen komplicerad och bestämmelserna svåra att tillämpa. I ljuset av erhållen utredning och med beaktande av att överlappningen är snäv anser lagutskottet ändå att den föreslagna regleringen är godtagbar.

Självinkrimineringsskyddet

Övergången från straffrättsliga till administrativa påföljder innebär inte att garantierna för en rättvis rättegång och minimirättigheterna för åtalade enligt Europakonventionen och grundlagen skulle vara betydelselösa i förfarandet med att påföra administrativa påföljder. Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv samt rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder.

Enligt lagutskottet hindrar skyddet mot självinkriminering inte i sig lagstiftaren från att utfärda bestämmelser om administrativ anmälningsskyldighet, men skydd mot självinkriminering kan i vissa fall vara relevant vid bedömningen av iakttagandet av anmälningsskyldigheten. Utskottet noterar bland annat artikel 33 i dataskyddsförordningen enligt vilken den personuppgiftsansvarige ska anmäla en personuppgiftsincident till tillsynsmyndigheten. Försummelse av anmälningsskyldigheten kan enligt förordningen leda till påförande av administrativ påföljdsavgift eller exempelvis en anmärkning. Enligt lagutskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i så fall tolkas i överensstämmelse med skydd mot självinkriminering med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol.

Lagutskottet fäste också uppmärksamhet vid 22 § i dataskyddslagen, som innehåller bestämmelser om vite. De till regleringen relaterade aspekterna på skydd mot självinkriminering behandlas mer detaljerat nedan i paragrafens detaljmotiv.

Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring

I 21 § i den föreslagna dataskyddslagen sägs att en registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen. Dataombudsmannens beslut får enligt 23 § i dataskyddslagen överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut.

Syftet med de föreslagna bestämmelserna är att utfärda nationella bestämmelser som kompletterar rättsmedlen i dataskyddsförordningen. I artikel 77 i förordningen föreskrivs det om den registrerades rätt att lämna in klagomål till en tillsynsmyndighet, i artikel 78 om den registrerades rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut och i artikel 79 om den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde.

Propositionen föreslår inte möjlighet att begära omprövning i tillsynsmyndighetens beslut, utan det första rättsmedlet utgörs av egentligt sökande av ändring hos förvaltningsdomstolen. Lagutskottet har ansett att detta är motiverat, eftersom omprövningsförfarandet inte är tänkt att vara en obligatorisk fas i alla förvaltningsärenden och inte heller lämpar sig för alla förvaltningsärenden. De beslut av tillsynsmyndigheten som avses här är till sin karaktär förvaltningsbeslut som en särskild myndighet för laglighetskontroll har fattat i ett enskilt tillsynsärende. Myndigheten har meddelat sitt beslut efter att noggrant ha utrett ärendet och efter att ha gjort en rättslig prövning utifrån sin särskilda sakkunskap. Dessa beslut är vanligtvis varken enkla eller av sådan vardaglig karaktär att det skulle vara motiverat eller lämpligt att granska dem närmare hos samma myndighet i ett omprövningsförfarande.

Lagutskottet har inte heller något att anmärka mot att det förutsätts besvärstillstånd i samband med överklagande hos högsta förvaltningsdomstolen. Den föreslagna bestämmelsen motsvarar de allmänna riktlinjerna för utvecklande av högsta förvaltningsdomstolens ställning. Vidare sägs det i utlåtandet att för tillsynsmyndighetens rätt att söka ändring talar myndighetens uppgift att övervaka att den allmänna dataskyddsförordningen iakttas samt behovet att garantera en enhetlig rättspraxis. Dessa omständigheter talar enligt lagutskottet också för att myndighetens rätt att söka ändring ska vara öppen. Detta trots att tillsynsmyndighetens intresse att överklaga förvaltningsdomstolens beslut i praktiken förmodligen kommer att gälla de fall när förvaltningsdomstolen ändrar eller upphäver tillsynsmyndighetens beslut.

På grundval av erhållen utredning anser förvaltningsutskottet att den föreslagna regleringen av ändringssökande är adekvat. Förslagen om ett kollegialt organ som påför påföljdsavgifter medför ändå behov av ändringar i bestämmelserna om sökande av ändring. Dessutom behöver regleringen förtydligas lagtekniskt.

Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling

I artikel 79 i dataskyddsförordningen föreskrivs om de registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde utan att denna rätt dock begränsar rätten enligt bland annat artikel 77 att anföra besvär hos tillsynsmyndigheten. I punkt 2 i artikeln sägs att talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde ska väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. I den föreslagna dataskyddslagen ingår inga separata bestämmelser om dessa faktorer.

Artikel 79 i förordningen är en direkt tillämplig bestämmelse. Den registrerade kan således åberopa bestämmelsen direkt till stöd för sina rättigheter. Lagutskottet konstaterar i sitt utlåtande att bestämmelsen i förordningen inte heller verkar lämna någon möjlighet att nationellt begränsa den registrerades möjligheter att vända sig till någon annan än dataombudsmannen, även om det i praktiken är naturligare att vända sig till dataombudsmannen.

Finlands rättssystem innehåller redan nu metoder som kan anses uppfylla de registrerades rätt till effektiva rättsmedel i enlighet med artikel 79. Exempelvis när den personuppgiftsansvarige eller personuppgiftsbiträdet är någon annan än en myndighet, finns det inget hinder för att den registrerade för ett ärende som gäller behandling av personuppgifter till tingsrätten som ett tvistemål. Det kan handla om fullgörelsetalan eller fastställelsetalan. Den registrerade kan genom fullgörelsetalan kräva att den personuppgiftsansvarige tillmötesgår rättigheter enligt dataskyddsförordningen såsom den registrerades rätt till information. En domstolsdom som utfärdats med anledning av en fullgörelsetalan får verkställas genom utsökningsförfarande. Den registrerade kan i ett ärende som gäller behandling av personuppgifter också väcka fastställelsetalan som kan gälla exempelvis giltigheten av ett avtalsvillkor. Den registrerade kan också anhängiggöra ett krav enligt artikel 82 om rätt till skadestånd vid tingsrätten.

Om den personuppgiftsansvarige är en myndighet, kan den registrerade hos förvaltningsdomstolen överklaga ett förvaltningsbeslut som myndigheten fattat i egenskap av personuppgiftsansvarig. Enligt lagutskottets uppfattning kan ett förvaltningsbeslut av en myndighet också gälla hantering av personuppgifter och vid behov kan den registrerade i ärendet begära ett förvaltningsbeslut som kan överklagas.

Förvaltningsutskottet omfattar lagutskottets ståndpunkter.

Sammankopplade förfaranden

Det är i praktiken möjligt att överträdelser av förordningen är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att fastställa en sådan ersättning. Det handlar då om samma registrerad, samma personuppgiftsansvarig eller personuppgiftsbiträde och samma påstådda brott mot dataskyddsförordningen eller dataskyddslagen.

I ljuset av den föreslagna regleringen är det enligt utskottets mening inte klart hur sådana till varandra kopplade parallella förfaranden ska hanteras. Lagutskottet anser att det kan föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som samtidigt är anhängigt vid domstol. Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare. En motsvarande bestämmelse ingår i propositionen om nationellt genomförande av det nya dataskyddsdirektivet (RP 31/2018 rd, 57 § i lagförslag 1).

På grundval av erhållen utredning anser förvaltningsutskottet att 21 § i dataskyddslagen för tydlighetens skull bör kompletteras med en sådan bestämmelse om avbrott och hänvisar dill det som föreslås i detaljmotiven.

Dröjsmålsbesvär

Enligt artikel 78.2 i dataskyddsförordningen ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur det fortskrider med det klagomål som ingetts med stöd av artikel 77 eller vilket beslut som har fattats med anledning av det. Dataskyddslagen innehåller inga uttryckliga bestämmelser om ett sådant rättsmedel.

Lagutskottet granskar i sitt utlåtande huruvida det finns behov av att föreskriva om ett särskilt dröjsmålsbesvär som anförs hos domstol. Utskottet anser att tillsynen över en till sin ställning självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Det är inte heller ändamålsenligt att ta i bruk ett särskilt dröjsmålsbesvär bara för de ärenden som avses i dataskyddsförordningen. Utskottet anser också att redan den nuvarande möjligheten att anföra klagomål hos de högsta laglighetsövervakarna är ett effektivt rättsmedel eftersom deras uppgift är att vidta nödvändiga åtgärder med anledning av klagomålet. De kan också väcka åtal eller förordna om förundersökning. De kan också rikta en framställning till en myndighet om att ett fel ska rättas eller ett missförhållande avhjälpas eller gottgöras. I ljuset av detta tillstyrker lagutskottet den lösning som regeringen föreslår. Förvaltningsutskottet gör samma bedömning av de aktualiserade aspekterna och anser att den föreslagna lösningen är motiverad.

Sammanfattning

Grundlagsutskottet förutsätter i sitt utlåtande att förvaltningsutskottet ska reda ut vilka andra rättssäkerhetsgarantier som krävs för att rättssäkerheten ska bli bättre när det kollegiala organ som ska besluta om den administrativa påföljdsavgiften inrättas. Med beaktande av propositionen, lagutskottets utlåtande och övriga relevanta utredningar anser förvaltningsutskottet att det aktuella förslaget förbättrar rättssäkerheten också till övriga delar. Som de mest centrala av dessa kan nämnas bland annat regleringen av röstningsförfarandet, rätt till ändringssökande i beslut om påföljdsavgift, preskription av påföljdsavgift och verkställande av den, att ett lagakraftvunnet beslut kan verkställas, tillämpning av förvaltningens allmänna lagar på förfarandet, myndighetens utredningsansvar och bevisskyldighet, proportionerlighet för påföljdsavgift baserad på dataskyddsförordningen och iakttagande av oskyldighetspresumtionen, förbud mot dubbel bestraffning och skydd mot självinkriminering. I betänkandet föreslås också förtydliganden i regleringen och precisering av terminologin. Viktiga ur ett rättssäkerhetsperspektiv är också preciseringarna i straffbestämmelserna.

Den högsta laglighetskontrollens ställning i förhållande till tillsynsmyndigheten

Grundlagsutskottet noterar den högsta laglighetskontrollens ställning vid tillsynen över tillämpningen av dataskyddsförordningen. Justitiekanslern i statsrådet och riksdagens justitieombudsman är enligt grundlagen likställda laglighetsövervakare med avseende på uppgifter och behörighet. I förarbetena till grundlagen omtalas justitiekanslern och justitieombudsmannen uttryckligen som de högsta laglighetsövervakarna (RP 1/1998 rd, s. 165—166). Enligt grundlagen har båda laglighetsövervakarna till uppgift att övervaka att domstolarna och andra myndigheter samt tjänstemännen, offentligt anställda arbetstagare och också andra, när de sköter offentliga uppdrag, följer lag och fullgör sina skyldigheter. Vid utövningen av sitt ämbete ska laglighetsövervakarna enligt grundlagen övervaka att de grundläggande fri- och rättigheterna samt de mänskliga rättigheterna tillgodoses. Dataskyddsförordningen och den föreslagna dataskyddslagen kommer härefter att vara en del av den rättsordning som ska övervakas av de högsta laglighetsövervakarna. I laglighetsövervakarnas konstitutionella uppgifter ingår också att övervaka att de grundläggande och mänskliga rättigheterna fullföljs i fråga om skyddet för privatliv och personuppgifter. I utlåtandet står också att riksdagen och dess grundlagsutskott alltså har som direkt grundlagsfäst uppgift att undersöka lagligheten av de högsta laglighetsövervakarnas ämbetsåtgärder och att övervaka deras verksamhet.

De högsta laglighetsövervakarnas konstitutionella roll och uppgifter och den samlade konstitutionella laglighetskontrollen gör det omöjligt att dataombudsmannen, som är lägre i instansordningen, skulle utöva tillsyn över de högsta laglighetsövervakarna. Den här avgränsningen måste också explicit framgå av dataskyddslagen.

Enligt grundlagsutskottet är det i och för sig klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se GrUU 20/2017 rd och GrUU 51/2014 rd, s. 2) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot EU-lagstiftningen (GrUU 26/2017 rd, s. 42—43). Det står också klart att bestämmelserna i dataskyddsförordningen inte med tanke på ordalydelsen verkar möjliggöra en avgränsning av denna typ.

Artikel 4.2 i fördraget om Europeiska unionen föreskriver att unionen ska respektera medlemsstaternas likhet inför fördragen samt deras nationella identitet, som kommer till uttryck i deras politiska och konstitutionella grundstrukturer, inbegripet det lokala och regionala självstyret. Bestämmelsen uttrycker enligt grundlagsutskottets uppfattning principen att den materiella EU-rätten inte kan anses ifrågasätta den konstitutionella och institutionella strukturen hos den offentliga maktutövningen i medlemsstaterna. Utskottet ser det emellertid som klart att en fördragsbestämmelse om nationell identitet med förankring i den konstitutionella strukturen bara kan utgöra en snävt tillämplig proportionerlig grund för att avvika från fullständig tillämpning av EU-rätten.

Enligt grundlagsutskottets uppfattning är det väsentligt i analysen av proportionaliteten att det nu inte rör sig om en materiell konflikt mellan EU-rätten och innehållet i grundlagen. Däremot handlar det om att EU-rätten leder till en sådan konflikt med de institutionella lösningarna i Finlands grundlag som dataskyddsförordningen inte uttryckligen syftar till. Utskottet ser det som väsentligt att avgränsningarna av tillämpningsområdet i fråga om de högsta laglighetsövervakarna inte riskerar målen för rättsligt skydd och effektiv övervakning enligt ingressen i förordningen eller de grundläggande syftena med datasekretessmyndigheternas verksamhet utifrån EU-domstolens rättspraxis.

I sista hand är det EU-domstolen som är behörig att tolka artikel 4.2 i EU-fördraget, dataskyddsförordningen och relationen mellan dessa. Men eftersom tolkningen fortfarande är oklar på den här punkten menar grundlagsutskottet att regeringen i propositionen inte kommer med en tillräcklig EU-rättslig motivering till förslaget att låta dataombudsmannens tillsynsbehörighet omfatta de högsta laglighetsövervakarna. Följaktligen måste förslaget till dataskyddslag ändras på så sätt att den tillsynsmyndighet som avses i dataskyddslagen inte är behörig att övervaka den laglighetskontroll som utförs av de högsta laglighetsövervakarna. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Förvaltningsutskottet föreslår med hänvisning till det som står i grundlagsutskottets utlåtande att dataombudsmannens behörighet ska avgränsas mer exakt på det sätt som framgår av utskottets detaljmotiv nedan.

Att påföra en myndighet administrativ påföljdsavgift

Enligt artikel 83.7 i dataskyddsförordningen får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. I propositionen används detta nationella handlingsutrymme genom att det i 25 § 2 mom. i dataskyddslagen föreslås att den administrativa påföljdsavgift som avses i artikel 83 inte får påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli.

I propositionen motiveras bestämmelsen med att en administrativ påföljdsavgift som påförs en myndighet är ett främmande förfarande utifrån vårt allmänna rättssystem. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen vilka för sin del motiverar denna lagstiftningslösning. Myndigheterna är bundna av laglighetsprincipen i förvaltningen och måste också iaktta de allmänna förvaltningslagarna. Den lagenliga behandling av personuppgifter som sker vid myndigheter hör till tjänsteplikten för dem som arbetar hos myndigheterna. Ställningen som tjänsteman för med sig ett större ansvar för fel som begås i arbetet än för andra. För det första kan tjänsteansvaret vara ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar och skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan anföras hos en högre myndighet. Myndigheternas verksamhet är budgetbunden och effekterna av en påföljd som avser ett penningbelopp är inte desamma som inom den privata sektorn. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter.

Förvaltningsutskottet anser att det finns motiveringar både för och emot den föreslagna regleringen, som det också framgår av lagutskottets utlåtande. Också i förvaltningsutskottet utfrågningar av sakkunniga har bland annat skillnaden i ställning mellan offentliga och privata sektorns aktörer i fråga om sanktionsrisken varit föremål för uppmärksamhet. Det nationella genomförandet av dataskyddsförordningen är fortfarande oavslutad i en del EU-medlemsstater, men enligt färska uppgifter ser det ut som att medlemsstaterna är i färd med att i användningen av marginalen gå in för olika slutresultat och att påföljdssystemen sammantaget kommer att bottna i olika nationella lösningar.

Grundlagsutskottet har ingenting att invända mot propositionsmotiven. Utskottet påpekar ändå att administrativa påföljdsavgifter som påförs myndigheter blir problematiska inte bara med tanke på de fakta som nämns ovan utan också i systemet med grundläggande fri- och rättigheter över lag. Så som utskottet framhåller i sitt utlåtande bör lagstiftaren tillgodose rättigheterna enligt 10 § i grundlagen på ett sätt som kan anses vara godtagbart i systemet med grundläggande fri- och rättigheter över lag genom att sätta skyddet av privatlivet och personuppgifter i proportion till övriga grundläggande och mänskliga rättigheter. Enligt utskottets uppfattning är det uppenbart att hotet om en mycket hög påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan äventyra jämvikten när de olika grundläggande fri- och rättigheterna ska vägas mot varandra i myndighetsverksamheten och kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. Därför menar utskottet att det inte är konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet.

Lagutskottet anser i sitt utlåtande att det i propositionen anförs flera godtagbara grunder för att myndigheterna ska undantas från de administrativa påföljdsavgifterna. Därför har utskottet beslutat sig för att stödja den föreslagna lösningen. Man bör ändå följa hur den fungerar.

På grundval av erhållen utredning tillstyrker förvaltningsutskottet avgränsningen i propositionen med vissa preciseringar som föreslås i detaljmotiven. Förvaltningsutskottet vill med hänvisning till grundlagsutskottets utlåtande betona att det handlar om att ställa myndighetsverksamhet utanför den administrativa påföljdsavgiften. Den offentlig sektorns omvärld utvecklas på många sätt och förvaltningsutskottet ser det därför som viktigt att den föreslagna lösningen följs upp med beaktande av bland annat gränsdragningen mellan myndighetsarbete och övrig verksamhet.

Rättslig grund för behandling av personuppgifter

Behandlingens laglighet

På den rättsliga grunden för behandling av personuppgifter tillämpas från och med den 25 maj 2018 dataskyddsförordningen. Enligt artikel 6 i dataskyddsförordningen är behandling endast laglig om och i den mån som åtminstone ett av villkoren i artikelns 1 punkt är uppfylld.

Men artikel 6 i dataskyddsförordningen ger ändå medlemsstaterna nationellt handlingsutrymme till vissa delar. Den rättsliga grunden för behandling av personuppgifter får fastställas närmare i medlemsstatens lagstiftning när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).

Till övriga delar kan det inte utfärdas närmare bestämmelser i den nationella lagstiftningen och inte heller annan nationell reglering om den rättsliga grunden för behandling av personuppgifter, utan när personuppgifter behandlas på grundval av samtycke (artikel 6.1 a) eller den personuppgiftsansvariges berättigade intresse (artikel 6.1 f), följer den rättsliga grunden för behandling av personuppgifter direkt av den allmänna dataskyddsförordningen.

Eftersom den gällande personuppgiftslagen föreskriver om rättsliga grunder för behandling av personuppgifter delvis mer detaljerat än dataskyddsförordningen, är det enligt förvaltningsutskottets mening befogat att de rättsliga grunderna kompletteras inom ramen för det nationella spelrum som möjliggörs av den nationella dataskyddsförordningen. Förslag till bestämmelser om dessa finns i 4 § i dataskyddslagen.

Det nationella handlingsutrymme som avses i artikel 6 i förordningen kan användas också vid utfärdande av särskilda nationella bestämmelser. Enligt artikelns 1 punkt är behandling ”endast laglig om och i den mån som åtminstone ett av villkoren i artikelns 1 punkt är uppfylld.” Enligt erhållen utredning finns det för närvarande inga förutsättningar för att tolka artikeln på annat sätt än enligt dess ordalydelse. Att döma av artikelns ordalydelse kan hantering av personuppgifter således vara baserad på flera av de rättsliga grunder som avses i artikel 6. Utskottet påpekar att punkt 1 c och e delvis kan vara överlappande. Utskottet vill betona att användning av flera än en rättslig grund för hantering av personuppgifter ändå inte kan leda till att det blir oklart vilka rättigheter den registrerade enligt lagen ska ha. Det ska alltid framgå tydligt ur den föreslagna lagstiftningen.

Kulturarvsmaterial

Enligt 4 § 4 punkten i den föreslagna dataskyddslagen får personuppgifter behandlas om behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter. Regleringens syfte är att rättsläget inte förändras genom förslaget. Arkiveringssyftet kan anses omfatta även annan behandling av material än förvaring. I paragrafens detaljmotiv sägs att den föreslagna grunden för behandling av personuppgifter inbegriper också en möjlighet att behandla kulturarvsmaterial i syfte att göra materialen tillgängliga. Den personuppgiftsansvarige ska dock även för detta ändamål bedöma om behandlingen är behövlig och står i proportion till det eftersträvade målet. Utskottet konstaterar att det förhåller sig så redan nu. Den personuppgiftsansvarige ska vid bedömningen av om behandlingen är proportionell beakta den registrerades rättigheter, ändamålsbegränsning och de övriga allmänna principerna för behandling av personuppgifter. Om det har gjorts undantag från den registrerades rättigheter med stöd av 33 § i lagen, ska den personuppgiftsansvarige särskilt notera detta vid bedömningen av om behandlingen är proportionell.

Vid utfrågningen av sakkunniga har förvaltningsutskottet gjorts uppmärksamt på att dataskyddslagen bör innehålla en uttrycklig bestämmelse med stöd av vilken en kulturarvsorganisation ska ha rätt att göra kulturarvsmaterial eller innehålls- och referensinformationen som gäller sådant material och som innehåller personuppgifter tillgängligt för allmänheten. Utskottet hänvisar till sitt föregående stycke och konstaterar ytterligare att det varken i den gällande personuppgiftslagen eller enligt utskottets uppfattning någon annan bestämmelse i nuläget ingår en sådan uttrycklig bestämmelse. Det väsentliga är enligt utskottets åsikt att rättsläget inte ändras genom den nu föreslagna regleringen. Utskottet betonar ändå digitaliseringens växande betydelse och anser det vara viktigt att svara på det moderna samhällets utmaningar genom att utveckla webbtjänsterna och främja geografisk jämlikhet, möjligheter att få tag på och utnyttja information och att ta i bruk olika slags partnerskapsmodeller och bedriva samarbete. Lagstiftningens funktion i detta avseende bör därför bedömas med samtidigt beaktande av kraven på skydd för personuppgifter.

Förvaltningsutskottet konstaterar att de bestämmelser om arkivering och behandling av kulturarvsmaterial som föreslås i dataskyddslagen i ett brett perspektiv handlar om också annat material som innehåller personuppgifter än exempelvis gamla fotografier. Bestämmelserna täcker också behandling av information som hänför sig till särskilda personuppgiftsgrupper. Det kan exempelvis gälla privatpersoners brev eller fångars klagomål. Riksarkivet förvarar till exempel i hög grad olika slags material som innehåller personuppgifter. I Finland fungerar också ett flertal privata och offentliga aktörer som behandlar personuppgifter i det syfte som avses i 4 § 4 punkten i den föreslagna dataskyddslagen.

Det finns ett brett spektrum av kulturarvsmaterial, och begreppet kulturarvsmaterial är ännu inte särskilt specifikt. I propositionsmotiven konstateras att kulturarvsmaterial förutom material som samlats i människors verksamhet och berättar om verksamhetens historia och betydelse dessutom kan innehålla bland annat information om naturarv och konst. Kulturarvsmaterial kan t.ex. vara dokument, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material samt dokumentmaterial och enkätmaterial.

Den behandling i arkiveringssyfte som avses i 4 § 4 punkten och 6 § 8 punkten i den föreslagna dataskyddslagen sker i Finland framförallt i bibliotek, arkiv och museer, och detta verksamhetsfält är mycket omfattande och heterogent, vilket har blivit klarlagt vid utfrågningen av sakkunniga. Förvaltningsutskottet konstaterar vidare att om syftet med den ovan nämnda uttryckliga bestämmelsen om att göra materialet tillgängligt för allmänheten skulle vara att allt som hör till samlingarna ska läggas ut offentligt på nätet, bör också detta beaktas i samband med regleringen. Regleringen borde således visa vilka personer och vilket material rätten att tillhandahålla uppgifter kunde gälla.

Det föreslås att 31 § i dataskyddslagen ska föreskriva om omfattande undantag i rättigheterna för den som är registrerad, när personuppgifter behandlas i sådant arkiveringssyfte som avses i den föreslagna 4 § 4 punkten. De föreslagna begränsningarna i den registrerades rättigheter kan anses motiverade på de grunder som framgår av propositionen. Vid övervägande av en uttrycklig bestämmelse om att tillhandahålla uppgifter bör det dock bland annat utredas hur dessa föreslagna begränsningar i den registrerades rättigheter ska beaktas i bestämmelsen och hur det ska säkerställas att den registrerades rättigheter och friheter ska skyddas på behörigt sätt så som dataskyddsförordningen förutsätter.

Förvaltningsutskottet konstaterar att utskottet inte har möjligheter att utföra ett sådant grundligt utredningsarbete som detta slag av tekniskt krävande ärendekomplex kräver. Utskottet förutsätter att bedömningen av regleringen av kulturarvsmaterial med avseende på utvecklingen av digitaliseringen och kraven på skydd för personuppgifter därför bör göras separat, och eventuella lagstiftningsåtgärder vidtas på grundval av det.

Undantag och skyddsåtgärder med anknytning till vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

I artikel 89.2 i dataskyddsförordningen sägs att om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, får det i nationell lagstiftning föreskrivas undantag från de rättigheter för den registrerades rättigheter som avses i artiklarna 15, 16, 18 och 21, med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. I den nämnda artikel 15 föreskrivs det om den registrerades rätt till tillgång, i artikel 16 om rätt till rättelse, i artikel 18 om rätt till begränsning av behandling och i artikel 21 om rätt att göra invändningar.

Dataskyddsförordningen innehåller redan i sig betydande skyddsåtgärder för att trygga den registrerades rättigheter. Den registrerade kan exempelvis föra ärendet till tillsynsmyndigheten för behandling, om han eller hon misstänker att personuppgifter behandlas för ett vetenskapligt forskningsändamål i strid med dataskyddsförordningen. Enligt dataskyddsförordningen ska det dock föreskrivas i nationell lag om särskilda skyddsåtgärder i situationer där det nationellt anses behövligt att avvika från den registrerades rättigheter.

De föreslagna undantagen i dataskyddslagen kan anses motiverade för att inte vetenskapliga och historiska forskningsändamål ska äventyras i onödan. Detta motsvarar i stor utsträckning även nuläget, eftersom den registrerade med stöd av 27 § i den gällande personuppgiftslagen inte har rätt till insyn om personuppgifter används uteslutande för historisk eller vetenskaplig forskning eller statistikföring. Enligt propositionsmotiven kan undantag från den registrerades rättigheter dock göras endast i den mån sådana rättigheter sannolikt förhindrar uppnåendet av dessa särskilda ändamål eller försvårar det i hög grad och sådana undantag behövs för att uppfylla dessa ändamål.

Föreskrifter om undantag från rättigheter för den registrerade och anknytande skyddsåtgärder i samband med vetenskaplig och historisk forskning föreslås i dataskyddslagens 31 § 1 mom. och om statistisk forskning i 2 mom.

Enligt paragrafens 3 mom. kan ett undantag från rättigheterna enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen göras även när uppgifter som hör till särskilda kategorier av personuppgifter behandlas för vetenskaplig eller historisk forskning eller för statistikföring. Det samma gäller personuppgifter som rör fällande domar i brottmål samt överträdelser enligt artikel 10 i dataskyddsförordningen. Särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Hantering av särskilda kategorier av personuppgifter är också behandling av genetiska uppgifter, hantering av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. De särskilda kategorierna av personuppgifter gäller främst uppgifter som i dataskyddsdirektivet kallades känsliga uppgifter. Vid hantering av uppgifter som avses i 3 mom. krävs enligt propositionen undantag från den registrerades rättigheter utöver det som föreskrivs i 1 och 2 mom. utarbetande av en konsekvensbedömning avseende dataskydd i överensstämmelse med artikel 35 i dataskyddsförordningen.

Den konsekvensbedömning som föreslås i 31 § 3 mom. i dataskyddslagen har under förvaltningsutskottets utfrågning av sakkunniga å ena sidan ansetts öka den administrativa bördan, och i vissa situationer har man ansett att den kan inverka också på konkurrenskraften. Å andra sidan har man också uttryckt misstankar mot dess funktion som tilläggsskyddsåtgärd. Grundlagsutskottet påpekar för sin den att det i till exempel historieforskning regelmässigt kan ingå behandling av personuppgifter där personuppgifterna avslöjar politiska åsikter eller religiös övertygelse enligt artikel 9 i förordningen. Att det till exempel för forskning av den här typen krävs en konsekvensbedömning som ska delges dataombudsmannen innebär att det görs ett intrång i vetenskapsfriheten enligt 16 § 3 mom. i grundlagen på ett sätt som enligt grundlagsutskottet inte till alla delar är förenligt med proportionalitetskravet. Grundlagsutskottet säger i sitt utlåtande att förvaltningsutskottet måste ändra bestämmelserna inom de gränser som dataskyddsförordningen tillåter på så sätt att vetenskapsfriheten bättre blir tillgodosedd.

Förvaltningsutskottet konstaterar att konsekvensbedömning kan aktualiseras redan direkt med stöd av dataskyddsförordningen. En konsekvensbedömning ska enligt dataskyddsförordningen alltid göras när uppgiftsbehandlingen inbegriper en hög risk. Förvaltningsutskottet anser att skyddsåtgärder enligt paragrafens 1 mom. ändå inte enbart kan anses som tillräckliga åtgärder rent allmänt för att i fråga om behandling av uppgifter som hör till särskilda kategorier av personuppgifter berättiga till omfattande undantag från den registrerades rättigheter. Enligt skäl 51 i dataskyddsförordningens inledande stycke bör särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Också grundlagsutskottet har på annat håll i sitt utlåtande lyft fram riskerna med behandling av känsliga uppgifter.

Men dataskyddslagen kan utöver konsekvensbedömningen innehålla också andra skyddsåtgärder med vars stöd undantag kan göras från den registrerades rättigheter. Exempelvis en uppförandekod som godkänts av datasekretessmyndigheten enligt artikel 40 i dataskyddsförordningen kan under vissa förutsättningar vara en sådan skyddsåtgärd. Enligt förvaltningsutskottets uppfattning kan inkludering av en uppförandekod i 31 § 3 mom. som valfri skyddsåtgärd göra regleringen smidigare och ge den personuppgiftsansvarige alternativ i fråga om skyddsåtgärder på ett sätt som tryggar den registrerades ställning. Uppförandekoden skulle också lindra den personuppgiftsansvariges och tillsynsmyndighetens administrativa börda. Uppförandekoden kan också utarbetas så att särskilda behov hos den aktuella sektorn beaktas på behörigt sätt.

Uppförandekoden kan gälla också sådan hantering av personuppgifter som sker på flera medlemsstaters territorier. När hanteringen sker på flera medlemsstaters territorier ger Europeiska dataskyddsstyrelsen yttrande om uppförandekoden. Enligt utredning har det i den europeiska debatten uttryckts oro över att regleringen om vetenskaplig forskning blir splittrad och vad det innebär för gränsöverskridande vetenskaplig forskning. Utskottets uppfattning är att man delvis kunde tillmötesgå dessa farhågor genom en uppförandekod.

Därför anser förvaltningsutskottet att det är befogat att komplettera 31 § 3 mom. med en bestämmelse om uppförandekoder på det sätt som närmare framgår av detaljmotiven.

Förvaltningsutskottet fäster ytterligare särskild uppmärksamhet vid att när det föreskrivs om undantag för den registrerades rättigheter måste bestämmelserna granskas som en helhet. I Finland ger den omfattande användningen av personbeteckning möjligheter till en sådan registerbaserad forskning som inte är möjlig i flera av unionens medlemsstater. Exempelvis Tyskland har ingen motsvarande personbeteckning med vars hjälp en omfattande kombination av uppgifter om registrerade ur olika register vore möjlig. Den registerbaserade forskningen är till sin karaktär ett typexempel på forskning där det behövs undantag från den registrerades rättigheter.

Mellan olika medlemsstater kan det finnas också andra skillnader i regleringen som inte märks bara genom att kontrollera hur det har föreslagits undantag från den registrerades rättigheter i lagstiftningen. Det kan exempelvis tänkas att det med stöd av artikel 9.4 i dataskyddsförordningen genom nationell lag har föreskrivits om en mer omfattande begränsning av hantering av personuppgifter som gäller behandling av genetiska uppgifter, biometriska uppgifter eller uppgifter om hälsa.

Förvaltningsutskottet konstaterar slutligen att de skyddsåtgärder som förutsätts i 13 § i dataskyddslagen givetvis inte behövs, om det inte görs något undantag från den registrerades rättigheter vid behandling av personuppgifter. Dessutom är det skäl att observera att den registrerades rättigheter begränsas i artikel 14.5 b, artikel 17.3 d och artikel 21.6 i dataskyddsförordningen. I överensstämmelse med dessa bestämmelser kan undantag från den registrerades rättigheter göras direkt med stöd av förordningen. Dataskyddsförordningen innehåller till dessa delar också de skyddsklausuler som behövs.

Om undantag från den registrerades rättigheter inte behövs, såsom ofta är fallet då uppgifter samlas in direkt av de som är föremål för forskning och då forskningsmaterialet är litet, kan uppgifter som hör till särskilda kategorier av personuppgifter behandlas också med stöd av något annat led i artikel 9.2. i den allmänna dataskyddsförordningen, t.ex. med stöd av uttryckligt samtycke.

Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

Ett viktigt mål med dataskyddsförordningen är att förbättra skyddet för barn vid behandling av personuppgifter. Barnens rättigheter betonas i artikel 8 i dataskyddsförordningen, där det föreskrivs om villkor som gäller barns samtycke avseende informationssamhällets tjänster, och dessutom i flera skäl i ingressen till dataskyddsförordningen (t.ex. skäl 38, 58, 65 och 71) och i andra artiklar (t.ex. artikel 12, 17 och 40). Dessutom är dataskyddsförordningen i flera avseenden baserad på ett så kallat riskbaserat betraktelsesätt, där det vid sidan av andra faktorer kan vara relevant om uppgifter som gäller barn behandlas. Förvaltningsutskottet anser att det med tanke på sakens relevans hade varit önskvärt att konsekvenserna för barn av dataskyddsförordningen och den föreslagna dataskyddslagen skulle fått en bredare analys i samband med propositionen.

I artikel 8.1 i dataskyddsförordningen sägs att när personuppgifter behandlas med samtycke enligt den allmänna dataskyddsförordningen och informationssamhällets tjänster erbjuds direkt till ett barn, är behandlingen av ett barns personuppgifter lagenlig, om barnet är minst 16 år. Medlemsstaterna får föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år. I propositionen föreslås 13 år som åldersgräns (5 § i dataskyddslagen). I fråga om yngre barn ska den personuppgiftsansvarige kontrollera att barnet har föräldrarnas samtycke exempelvis till att använda sociala medier.

På grundval av propositionsmotiven och erhållen utredning tillstyrker förvaltningsutskottet den föreslagna åldersgränsen på 13 år. Enligt utredning motsvarar den föreslagna åldersgränsen också i hög grad åtminstone den linje som håller på att utformas i de nordiska länderna. Utskottet konstaterar att det principiellt i sig är relativt krävande att fastställa åldersgränser, inte minst med avseende på barns och ungdomars individuella utveckling. Men barns och ungas rätt att utnyttja informationssamhällets tjänster och medverka i den digitala kulturen ska ändå inte begränsas i onödan. Samtidigt vill utskottet ytterligare inskärpa betydelsen av andra åtgärder för att inverka på att barn och ungdomar kan agera tryggt i den virtuella världen. Utskottet betonar bland annat betydelsen av mediekompetens och att villkoren för webbtjänsterna är begripliga.

Verkställandet av dataskyddsförordningen och lagstiftningen är ett slags balansgång mellan skydd av barn och rätt att delta. Förvaltningsutskottet hänvisar till FN:s konvention om barnets rättigheter och ser det som angeläget att dataskyddslagstiftningen verkställs med tillräcklig hänsyn till barnens rättigheter och att det tryggas att de genomförs på bred front. Utöver barnen och de unga själva behöver yrkesutbildade personer som jobbar med barn och ungdomar som stöd tillräckligt med information och utförlig handledning i anslutning till dataskyddslagstiftningen. Också vid resurstilldelningen för dataombudsmannen bör specialkännedom om dataskyddsfrågor för barn och unga tas i betraktande.

Att verkställa dataskyddsregleringen

Ikraftträdande och kopplingar till regeringens proposition (RP 31/2018 rd).

Det föreslås i propositionen att dataskyddslagen jämte anknytande lagar ska träda i kraft den 25 maj 2018, alltså samtidigt som tillämpningen av dataskyddsförordningen inleds. Eftersom det inte är möjligt att de föreslagna lagarna träder i kraft vid den föreslagna tidpunkten, föreslår förvaltningsutskottet att ikraftträdandebestämmelserna lämnas öppna på det sätt som framgår av detaljmotiven.

Enligt 37 § 2 mom. i den föreslagna dataskyddslagen upphävs genom den lagen personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994). Personuppgiftslagen är en allmän lag som bland annat föreskriver om villkoren för lagenlig behandling, tillsynsmyndighetens uppgifter och behörighet och den registrerades rättigheter och rättssäkerhet.

Grundlagsutskottet påpekar i sitt utlåtande GrUU 14/2018 rd att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas i sin helhet innan den sistnämnda lagen träder i kraft, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 5—6).

Enligt grundlagsutskottet måste förvaltningsutskottet med hjälp av övergångsbestämmelser se till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av polisdirektivet träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

De lagar som föreslås i den av grundlagsutskottet åsyftade propositionen om att genomföra direktivet om behandling av personuppgifter i brottmål (RP 31/2018 rd) är ursprungligen avsedda att träda i kraft den 6 maj 2018. Men lagförslagen har lagtekniskt utarbetats utifrån att de ska träda i kraft samtidigt med de lagar som föreslås i den nu aktuella propositionen. Regeringens proposition RP 31/2018 är samtidigt under behandling i förvaltningsutskottet. Förvaltningsutskottet konstaterar att den planerade marschordningen i nuläget är möjlig varvid det problem som grundlagsutskottet nämner inte uppstår. Därför föreslås ingen övergångsreglering i betänkandet. Förvaltningsutskottet konstaterar att lagarna ska sättas i kraft samtidigt varvid inga övergångsbestämmelser behövs.

Anvisningar, rådgivning och utbildning

Behovet av anvisningar, rådgivning och utbildning i fråga om dataskyddslagen och dataskyddsförordningen gäller både lagberedningen och tillämpningen av dataskyddslagen och dataskyddsförordningen mer allmänt. Den justering av speciallagstiftningen som föranleds av dataskyddsförordningen är i många avseenden fortfarande på gång i ministerierna. På grundval av utfrågningen av sakkunniga finns det inte full säkerhet hos myndigheterna, förvaltningens kunder, företagen och konsumenterna om hur bestämmelserna om hantering av personuppgifter ska tillämpas. Också vid övergången, innan speciallagstiftningen har uppdaterats, krävs det anvisningar om tillämpningen av lagstiftningen och rådgivning för eventuella uppkommande normkonflikter. Utskottet fäster dessutom speciell uppmärksamhet vid situationen för de myndigheter på vars verksamhet delvis tillämpas dataskyddsförordningen och delvis dataskyddsdirektivet för brottsbekämpande myndigheter.

Dataskyddsförordningen har medfört nya skyldigheter för företag och i många avseenden också ökat den administrativa bördan. I dataskyddsförordningen föreskrivs om nya administrativa påföljder såsom administrativ påföljdsavgift som i vissa situationer kan vara mycket stor. Det är viktigt med rådgivning och utbildning för att hjälpa företag att anpassa sin verksamhet till kraven från dataskyddsförordningen och dataskyddslagen. Förvaltningsutskottet betonar i synnerhet utarbetandet av redskap och anvisningar som är lätta att använda för små och medelstora företag, föreningar och andra små aktörer. Det behövs också sektorsspecifika anvisningar för olika branscher i anslutning till exempelvis arbetsliv, hälso- och sjukvård och direktmarknadsföring. Information behövs också om dataskyddsregleringen som gäller exempelvis barn.

Utskottet konstaterar att ett mål med dataskyddsförordningen är att stärka konsumenternas förtroende för digitala tjänster och därigenom på längre sikt främja affärsmöjligheterna särskilt för små och medelstora företag. Därför är det viktigt att också den allmänna vetskapen om dataskyddslagstiftningen ökas.

Resurser

Av artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna framgår att oberoende datasekretessmyndigheters tillsyn över genomförandet av skyddet för personuppgifter är en del av en effektiv rätt till skydd för personuppgifter. Att dataskyddslagstiftningen har ett mycket brett tillämpningsområde i det digitaliserade samhället och att den är svårgripbar ökar betydelsen av datasekretessmyndighetens handledning och rådgivning. I och med dataskyddsförordningen betonas också EU-dimensionen mer i dataombudsmannens uppgifter. Artikel 52.4 i dataskyddsförordningen ålägger medlemsstaterna att säkerställa att varje tillsynsmyndighet förfogar över de personella, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten effektivt ska kunna utföra sina uppgifter och utöva sina befogenheter. Förvaltningsutskottet konstaterar att resursbehov förorsakas inte bara av dataskyddsförordningen utan också av bland annat direktivet om dataskydd i brottmål. Inom EU bereds flera andra bestämmelser som leder till skyldigheter för de nationella datasekretessmyndigheterna. I det avseendet kan nämnas exempelvis förordningen om dataskydd vid elektronisk kommunikation och förslag till bestämmelser om olika områden inom rättsliga och inrikes frågor.

I sina utlåtanden om planen för de offentliga finanserna och statsbudgeten och i sina utlåtanden om EU:s informationssystem och översynen av dataskyddslagstiftningen i EU har utskottet upprepade gånger pekat på behovet att stärka dataombudsmannens resurser. I budgeten för 2018 anvisas dataombudsmannens byrå 525 000 euro i tilläggsfinansiering. Enligt propositionsmotiven behövs dessutom från och med 2019 ett årligt tillägg på 675 000 euro för genomförandet av dataskyddsförordningen. Enligt en bedömning i motiven föranleder den allmänna dataskyddsförordningen ett behov av 16 årsverken från och med 2019 i tillsynsmyndighetens resurser, och i detta behov ingår en ökning på 8 årsverken jämfört med 2018. I 2019 års budgetproposition föreslås anslagen för dataombudsmannens byrå bli utökade. Enligt budgetpropositionen beräknas det för dataombudsmannens verksamhet användas 3,244 miljoner euro (25.01.03). Förvaltningsutskottet anser att resursernas tillräcklighet för att genomföra dataskyddsförordningen bör följas aktivt och justeras vid behov. Dessutom bör ramplaneringen ta hänsyn till den ovan konstaterade omständigheten att dataombudsmannens uppgifter väntas fortsätta att öka. Med avseende på skyddet för personuppgifter och tillsynens effektivitet är det nödvändigt att dataombudsmannens byrå tillförsäkras tillräckliga resurser.

Reformen har konsekvenser också för exempelvis förvaltningsdomstolarna. Som en följd av tillämpningen av dataskyddsförordningen får förvaltningsdomstolarna helt nya ärendegrupper för behandling, såsom administrativa påföljdsavgifter och vissa andra beslut som gäller tillsynsmyndighetens befogenheter. Eftersom det handlar om ny EU-reglering som det ännu inte finns rättspraxis för kan ärendena beräknas vara svårare än i genomsnitt och förknippade med svåra tolkningsfrågor. Antagligen får unionens domstol också ta emot begäran om förhandsavgörande från nationella domstolar i frågor med koppling till dataskyddsförordningen. De ekonomiska konsekvenserna är dock i detta skede svåra att förutse. Men det är uppenbart att det med avseende på förvaltningsdomstolarna handlar om en reform som kräver utbildning, och att arbetsmängden kommer att öka något. Utskottet ser det som viktigt att de ekonomiska konsekvenserna med avseende på domstolarna följs och åtgärdas i tid med adekvata resurser.

DETALJMOTIVERING

1. Dataskyddslag

2 §. Tillämpningsområde.

I andra meningen i 1 mom. föreskrivs det om en nationell utvidgning av tillämpningsområdet för dataskyddsförordningen. Utskottet påpekar att det i meningen behöver skrivas ut att också den föreslagna lagen är tillämplig. Samtidigt föreslår utskottet att språkdräkten förtydligas.

Grundlagsutskottet förutsätter att det egentliga riksdagsarbetet lämnas utanför tillämpningsområdet för dataskyddslagen. Därför föreslår förvaltningsutskottet att paragrafen kompletteras med en avgränsning i ett nytt 2 mom., där det ska stå att lagen inte tillämpas på riksdagsarbetet. Det föreslagna 2 mom. i propositionen blir således 3 mom.

4 §. Laglig behandling av personuppgifter.

Enligt artikel 6 i dataskyddsförordningen är behandling av personuppgifter laglig om åtminstone något av villkoren i artikel 6.1 är uppfyllt. I 4 § i dataskyddslagen föreslås bestämmelser som preciserar lagenligheten av behandlingen av personuppgifter inom ramen för det nationella handlingsutrymmet i situationer enligt artikel 6.1 e där behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse.

Utskottet påpekar att 1 mom. 2 punkten föreskriver att personuppgifter får behandlas i enlighet med artikel 6.1 e i förordningen bland annat om behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse. Enligt propositionens detaljmotiv är syftet med bestämmelsen att göra det möjligt för myndigheter att behandla personuppgifter när rätten inte direkt kan härledas från en uppgifts- och behörighetsbestämmelse som gäller myndigheten eller från en mer detaljerad bestämmelse, om sådan finns.

Utskottet konstaterar att det alltid ska föreskrivas särskilt om myndigheternas befogenheter och uppgifter. En uppgift som föreskrivs för myndigheten medför inte behörighet för myndigheten. Analogt kan behörighet för myndigheten inte härledas ur den rättsliga grunden för att behandla personuppgifter. Enligt propositionens detaljmotiv gäller den behandlingsgrund som avses i 2 punkten sådan behandling av personuppgifter som inte beror på en rättslig förpliktelse för myndigheten utan bara har karaktär av stöd för myndighetens skyldigheter och egentliga uppgifter. Artikel 6.1 c i dataskyddsförordningen föreskriver om grunden för behandling av personuppgifter när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Enligt erhållen utredning kan den rättsliga grunden enligt led c dock inte utsträckas till att gälla den ovan avsedda behandlingen av personuppgifter. Stödåtgärder av den här typen som inbegriper behandling av personuppgifter kan trots allt behövas för att myndigheten ska kunna utföra sin uppgift. Därför behöver det i dataskyddslagen anges en behandlingsgrund med stöd av vilken behandlingen är möjlig för sådana syften.

Som exempel kan nämnas 16 § i den gällande personuppgiftslagen, enligt vilken en myndighet för planerings- och utredningsuppgifter får samla in och registrera personuppgifter i myndighetens personregister. Bestämmelsen har setts som behövlig bland annat av den orsaken att det arbete som myndigheten utför för planering och utredning kan gälla någon ny företeelse som uppstått i och med den samhälleliga utvecklingen och där ingen myndighet ännu har lagfäst ansvar för att sköta anknytande uppgifter. Utskottet anser att det fortfarande bör vara möjligt att behandla personuppgifter för de här ändamålen. I nuläget kan myndigheten dessutom med stöd av personuppgiftslagen behandla personuppgifter bland annat om anknytningskravet enligt 8 § 1 mom. 5 punkten i personuppgiftslagen är uppfyllt. I fortsättningen är detta dock inte möjligt för myndigheter enligt artikel 6.1 f i dataskyddsförordningen.

Följaktligen anser utskottet att bestämmelsen om kriterier för behandlingen i 1 mom. 2 punkten är befogad. Bestämmelsen är viktig också med avseende på den registrerades rättssäkerhet. Om det behandlingskriterium som bygger på en rättslig förpliktelse för den personuppgiftsansvarige enligt artikel 6.1 c i dataskyddsförordningen också anses gälla åtgärder till stöd för myndighetens uppgifter har den registrerade inte rätt att göra invändningar mot behandlingen av personuppgifter enligt artikel 21 i förordningen. Däremot har den registrerade en sådan rättighet när behandlingen bygger på artikel 6.1 e i förordningen.

6 §. Behandling av särskilda kategorier av personuppgifter.

Artikel 9.1 i dataskyddsförordningen föreskriver om förbud mot behandling av särskilda kategorier av personuppgifter. Särskilda kategorier av personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Till behandling av särskilda kategorier av personuppgifter räknas också behandling av genetiska uppgifter, behandling av biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Men enligt artikel 9.2 får uppgifterna behandlas om något av villkoren i punkt 2 a—j är uppfyllt. En del av leden är direkt tillämplig lagstiftning, medan andra kräver nationell lagstiftning.

Den föreslagna 6 § gäller samma situationer som 12 § i den gällande personuppgiftslagen, dvs. där känsliga personuppgifter får behandlas i den mån den aktuella behandlingen av personuppgifter inte är möjlig direkt med stöd av artikel 9.2 i dataskyddsförordningen. Det är dock viktigt att i sammanhanget observera att begreppet särskilda kategorier av personuppgifter inte är exakt detsamma som de personuppgifter som avses i 12 § i den nuvarande personuppgiftslagen. Förordningen förutsätter dessutom att medlemsstatens lagstiftning då innehåller bestämmelser om lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.

Utskottet noterar att bestämmelsen innehåller avgränsningar gällande behandlingssituationerna, den personuppgiftsansvarige och de uppgifter som ska behandlas. Exempelvis avses med uppgifter om hälsa enligt artikel 4.15 i förordningen personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I den föreslagna 6 § 1 mom. 1 punkten ges en mer snäv definition av de uppgifter som får behandlas av försäkringsanstalter. I den föreslagna 6 § 1 mom. 5 punkten definieras mer snävt de uppgifter som får behandlas av tillhandahållare av socialvård, jämfört med förordningens definition av uppgifter om hälsa. Utskottet påpekar att proportionerlig behandling av särskilda kategorier av personuppgifter säkerställs i lagstiftningen. Det bidrar till proportionaliteten att de uppgifter som får behandlas avgränsas så exakt som möjligt, så som regeringen föreslår i 1 och 5 punkten.

Utskottet fäster också uppmärksamhet vid att 1 mom. 2 punkten föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter enligt artikel 9.1 i förordningen inte ska till-lämpas på sådan behandling av uppgifter som regleras i lag eller föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I detaljmotiveringen till paragrafen finns en hänvisning till artikel 9.2 g i förordningen, som villkorar behandlingen av personuppgifter med dels bestämmelser i lag, dels det faktum att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och står i proportion till det eftersträvade syftet. Utskottet framhåller att det när varje speciallag ska stiftas bör bedömas och motiveras om regleringen behövs på grund av ett viktigt allmänt intresse och om behandlingen står i proportion till det eftersträvade syftet. Till denna del är det inte fråga om lagstiftarens normala överväganden, utan det handlar om att uppfylla ett rättsligt bindande krav i förordningen.

Bestämmelser om de skyddsåtgärder som krävs i förordningen finns i 2 mom. i den föreslagna paragrafen. En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska enligt förslaget vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. De här åtgärderna återfinns i en förteckning med 11 punkter. Enligt detaljmotiveringen till paragrafen är förteckningen inte heltäckande eller tvingande. Utskottet anser att förteckningen återger exempel på åtgärder som kan vidtas i form av skyddsåtgärder. Även andra skyddsåtgärder är möjliga. Valet av skyddsåtgärder beror bland annat på hurdana personuppgifter och hurdan behandling det gäller i det aktuella fallet.

Den personuppgiftsansvarige ska i första skedet pröva hurdana skyddsåtgärder de risker som är förknippade med behandling av personuppgifter förutsätter. Av ansvarsskyldigheten i artikel 5.2 i dataskyddsförordningen följer att den personuppgiftsansvarige ska kunna visa att de skyddsåtgärder som valts är lämpliga och proportionerliga. Enligt utskottet har den personuppgiftsansvarige den bästa uppfattningen av vilka skyddsåtgärder som bäst lämpar sig för behandlingen av personuppgifter i fråga. Vidare föreskriver artikel 37 i förordningen om ett dataskyddsombud som ska biträda den personuppgiftsansvarige i frågor som kräver sakkunskap i fråga om dataskyddslagstiftning. Förvaltningsutskottet anser att de föreslagna bestämmelserna är genomförbara och fyller sitt syfte. Enligt utredning har också Tyskland i sin allmänna lag om skydd för personuppgifter gått in för motsvarande struktur i regleringen av behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter. Lagen har antagits av Tysklands parlament.

7 §. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser.

Enligt 1 mom. 1 punkten får personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder behandlas, om behandlingen behövs för att fastställa, utöva, försvara eller avgöra rättsliga anspråk. Förslaget motsvarar 12 § 4 punkten i den gällande personuppgiftslagen.

Förvaltningsutskottet anser att bestämmelsen i 1 punkten av tydlighetsskäl behöver kompletteras på så sätt att de personuppgifter som avses i paragrafen också får behandlas i syfte att utreda rättsliga anspråk. Detta inbegriper en möjlighet att behandla personuppgifter i syfte att utreda om det har inträffat en överträdelse, även om utredningen inte leder till något rättsligt anspråk.

Slutligen konstaterar utskottet att det inom social- och hälsovårdsbranschen på grund av personalens och patienternas eller klienternas säkerhet i vissa situationer är nödvändigt att behandla personuppgifter som rör fällande domar i brottmål samt överträdelser. Också vid exempelvis barnskyddsfall samt vid utredning av tvister som gäller vårdnad om barn och umgängesrätt och verkställande av relaterade domar är det nödvändigt att behandla dessa uppgifter. Den gällande personuppgiftslagen innehåller ingen särskild behandlingsgrund för dessa situationer. Enligt utredning finns det inte heller någon speciallagstiftning för sådana situationer, utan de har ansetts höra till uppgifter som hänför sig till arbetarskydd eller social- och hälsovården. Utskottet konstaterar att avsikten inte är att ändra nuläget genom den föreslagna dataskyddslagen. Ytterligare bör det noteras att inom social- och hälsovården kan personuppgifter med stöd av paragrafens 1 mom. 2 punkt behandlas exempelvis när det gäller behandling av personuppgifter som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag.

9 §. Dataombudsmannens byrå.

För att beakta grundlagsutskottets utlåtande föreslås det att förfarandet för att påföra administrativa påföljdsavgifter utvecklas på så sätt att påföljdsavgiften ska påföras av ett påföljdskollegium bestående av dataombudsmannen och biträdande dataombudsmännen. Bestämmelser om organet och beslutsfattandet vid påförande av den administrativa påföljdsavgiften ska ingå i 24 (25) §.

Därför föreslår förvaltningsutskottet att 9 § 1 mom. preciseras med att dataombudsmannens byrå ska ha minst två biträdande dataombudsmän. Ändringen säkerställer det minimiantal biträdande dataombudsmän som behövs för att bilda ett kollegium för påföljder.

14 §. Dataombudsmannens uppgifter och befogenheter.

I överensstämmelse med det som sägs i den allmänna motiveringen i utskottets överväganden föreslår förvaltningsutskottet att paragrafen kompletteras med ett nytt 2 mom. om att dataombudsmannen inte ska övervaka statsrådets justitiekanslers eller riksdagens justitieombudsmans verksamhet. Bestämmelsens syfte är att tillsynsmyndighetens övervakning inte till någon del ska omfatta de högsta laglighetsövervakarna. Utöver laglighetskontrollen ska också exempelvis behandling av personuppgifter som gäller personaladministration uteslutas från tillsynsmyndighetens övervakning. Förvaltningsutskottet understryker att dataskyddsförordningen ändå ska tillämpas också på den behandling av personuppgifter som utförs av de högsta laglighetsövervakarna. Till följd av nya 2 mom. blir 2—3 mom. i propositionen 3—4 mom.

21 §. Rätt att föra ärenden till dataombudsmannen.

I paragrafen föreskrivs det att en registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen. Utifrån det som står i den allmänna motiveringen ovan föreslår förvaltningsutskottet att paragrafen kompletteras med ett nytt 2 mom. om att dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. Enligt den föreslagna bestämmelsen ska dataombudsmannen avgöra frågan om behandlingen av ett ärende ska avbrytas. Bestämmelsen är allmänt utformad och ger dataombudsmannen prövningsrätt i fråga om vad som är motiverat och lämpligt i varje enskilt fall. Vid bedömningen av uttrycket ”ärende som har samband med” i momentet kan man fästa vikt vid om det handlar om samma registrerade, samma personuppgiftsansvarige eller personuppgiftsbiträde och samma påstådda överträdelse av dataskyddsförordningen eller dataskyddslagen.

22 §. Vite.

Enligt förslaget får dataombudsmannen förena vissa i dataskyddsförordningen avsedda beslut samt rätten att få information enligt 18 § i dataskyddslagen med vite. I 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. Lagutskottet konstaterar i sitt utlåtande att det i 2 mom. handlar om skydd mot självinkriminering.

Lagutskottet konstaterar att det inte har utformats någon enhetlig linje om tröskeln för att inte förelägga vite, utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska anses ha bedömt frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning (”on syytä epäillä”, ung. ”finns skäl att misstänka”) eller om skyddet också borde gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”on aihetta epäillä”, ung. ”finns anledning att misstänka”).

För uttrycket ”on aihetta epäillä” talar enligt lagutskottet det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Om skyddet kopplas till uttrycket ”on syytä epäillä”, kan det uppstå en alltför strikt anknytning till kravet på inledande av en formell förundersökning. Lagutskottet ser ändå inte heller något hinder för att man i bestämmelsen skulle använda uttrycket ”finns skäl att misstänka”. Om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan det kan i vissa fall vara mer omfattande än i bestämmelsen.

Efter att ha bedömt de olika synpunkter som framställs i lagutskottets utlåtande tillstyrker förvaltningsutskottet den lösning som föreslås i propositionen.

23 (24) §. Beslut av kommissionen.

Utskottet föreslår för att förtydliga regleringen att 23 § om ändringssökande blir 25 §, och då ändras paragrafnumreringen.

I 1 mom. sägs det att om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. I artikel 45 möjliggörs överföring av personuppgifter till ett tredjeland eller en internationell organisation, om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.

Enligt utredning är bakgrunden till paragrafen EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets överensstämmelse med förordningen, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet med det föreslagna 1 mom. är således att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med dataskyddsförordningen. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs.

Av ordalydelsen i den föreslagna bestämmelsen kan man enligt lagutskottet ändå få den uppfattningen att det är frågan om huruvida Europeiska kommissionens beslut är förenligt med förordningen som ska hänskjutas till Helsingfors förvaltningsdomstol. De nationella myndigheterna eller domstolarna har ändå inte behörighet att pröva om ett beslut av kommissionen är förenligt med förordningen, utan EU-domstolen har exklusiv behörighet i frågan. I enlighet med detta är syftet med bestämmelsen främst att göra det möjligt för dataombudsmannen att till domstol hänskjuta frågan om det behöver utredas om ett beslut av kommissionen är förenligt med förordningen. Lagutskottet har föreslagit att förvaltningsutskottet bedömer om det föreslagna momentet kan förtydligas så att det bättre motsvarar sitt syfte.

Förvaltningsutskottet anser att syftet med bestämmelsen framgår av ordalydelsen. Utskottet föreslår trots det att slutet av bestämmelsen förtydligas så här: ”... kan dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande”. Då blir det klart att hänvisningen gäller utredning av om ett förhandsavgörande behöver begäras och inte ett ärende som är anhängigt hos dataombudsmannen.

I sitt utlåtande påpekar lagutskottet att 72 § i förvaltningsprocesslagen, som gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”, är tillämplig på dessa ansökningsärenden. Ärendena anhängiggörs genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt förvaltningsutskottets uppfattning är det därför möjligt att beakta särdragen i de nu aktuella ansökningsärendena vid behandlingen av ärendena.

Det föreslagna 2 mom. innehåller en särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Liksom lagutskottet anser förvaltningsutskottet att 2 mom. behöver kompletteras med orden ”genom besvär endast”.

Momentet innehåller inte några särskilda bestämmelser om vem som har besvärsrätt. Det betyder att de allmänna bestämmelserna i förvaltningsprocesslagen blir tillämpliga på besvärsrätten. Enligt 6 § 1 mom. i den lagen får besvär över ett beslut anföras av den som beslutet avser eller vars rätt, skyldighet eller fördel direkt påverkas av beslutet. Med beaktande av att det är tillsynsmyndigheten som är sökande i ett sådant ansökningsärende som avses här, anser lagutskottet i sitt utlåtande att beslutet på det sätt som avses i bestämmelsen ovan avser tillsynsmyndigheten, och det är således denna som har rätt att överklaga förvaltningsdomstolens beslut. Behovet att genom besvär överklaga ett beslut av förvaltningsdomstolen kommer främst att aktualiseras i de fall när beslutet avviker från tillsynsmyndighetens ståndpunkt.

När det har uppstått oklarhet om huruvida kommissionens beslut är förenligt med förordningen, krävs det för att avgöra frågan om den registrerade vars ärende det gäller har rätt att överklaga Helsingfors förvaltningsdomstols beslut en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. I sitt utlåtande går lagutskottet in på aspekter kring detta. I princip är det möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt.

24 (25) §. Administrativa påföljdsavgifter.

Till följd av utskottets förslag till ändring av paragrafnumreringen blir 25 § om administrativa påföljdsavgifter 24 §. Förvaltningsutskottet hänvisar till sin allmänna motivering och föreslår för att efterkomma grundlagsutskottets utlåtanden att paragrafen får bestämmelser om att ett kollegium för påföljder ska besluta om att påföra administrativa påföljdsavgifter.

Enligt det nya 1 mom. som förvaltningsutskottet föreslår ska administrativa påföljdsavgifter påföras av ett kollegium för påföljder. Kollegiet ska bestå av dataombudsmannen och de biträdande dataombudsmännen. Dataombudsmannen ska vara ordförande för kollegiet. Utskottet föreslår ovan ett tillägg till 9 § 1 mom., och enligt det ska dataombudsmannens byrå ha minst två biträdande dataombudsmän. Kollegiet har således minst tre medlemmar.

I 11 § i dataskyddslagen sägs det att dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet för fem år i sänder. Varje biträdande dataombudsman är självständig och oberoende på samma sätt som dataombudsmannen i sitt arbete och med avseende på sin ställning. De biträdande dataombudsmännen är således inte i underlydande ställning gentemot dataombudsmannen. I 10 § finns bestämmelser om behörighetsvillkoren för dataombudsmannen och biträdande dataombudsmännen. Enligt 16 § i dataskyddslagen ska biträdande dataombudsmannen ha samma befogenheter vid skötseln av uppgifter som dataombudsmannen. Förvaltningsutskottet anser att de föreslagna bestämmelserna borgar för kompetens, oberoende och opartiskhet i besluten om administrativa påföljdsavgifter i enlighet med artikel 8.3 i EU:s stadga om de grundläggande rättigheterna och artiklarna 51 och 52 i dataskyddsförordningen. Bestämmelserna väger också in artikel 58 i förordningen, enligt vilken befogenheterna inte får delas upp mellan olika myndigheter.

I sitt utlåtande GrUU 24/2018 rd konstaterar grundlagsutskottet de minimikrav som gäller ett organ inom statsförvaltningen som kommer att utöva offentlig makt i en omfattning som kan anses betydande. De föreslagna bestämmelserna uppfyller enligt grundlagsutskottet huvudsakligen dessa minimikrav, men slutresultatet kan inte anses vara optimalt med avseende på 21 § i grundlagen. Ett påföljdskollegium med tre tjänstemän kan i och för sig anses vara ett kollegialt organ. Benämningen kollegium är inte särskilt lyckat, men grundlagen ställer inga hinder i vägen för att använda den.

Grundlagsutskottet noterar att det inte är konstitutionellt relevant att det i arbetsordningen för dataombudsmannens byrå en föreskrivs om förordnande av en ställföreträdare för den biträdande dataombudsmannen, utan ärendet ska regleras i lag. Samtidigt måste regleringen kompletteras också med bestämmelser om beslutförhet. Därför föreslår förvaltningsutskottet att 1 mom. också får en bestämmelse där det sägs att om den biträdande dataombudsmannen har förhinder, kan denne ersättas i påföljdskollegiet av en föredragande som utses för detta i arbetsordningen för dataombudsmannens byrå. Vidare föreslår förvaltningsutskottet att kollegiet ska vara beslutfört med tre medlemmar.

Utskottet föreslår dessutom att 1 mom. preciseras terminologiskt med att administrativ påföljdsavgift avser administrativ sanktionsavgift enligt artikel 83 i dataskyddsförordningen.

I det nya 2 mom. föreslår utskottet bestämmelser om beslut om att påföra påföljdsavgift. Enligt 15 § i dataskyddslagen ska dataombudsmannen kunna avgöra ärenden också utan föredragning. Grundlagsutskottet anser att en bestämmelse om att administrativa påföljdsavgifter får påföras utan föredragning är problematisk i konstitutionellt hänseende (GrUU 14/2018 rd). Därför föreslår förvaltningsutskottet att ärenden som gäller påföljdsavgifter alltid måste avgöras efter föredragning.

Det föreslagna 2 mom. föreskriver också om omröstning vid avgörandet. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som kollegiets beslut den mening som är lindrigare för den som påföljden riktas mot.

Syftet är att ärenden som gäller administrativ påföljdsavgift ska beredas och föredras av en föredragande vid dataombudsmannens byrå. Enligt förvaltningsutskottets uppfattning finns det inget hinder för detta utifrån grundlagsutskottets utlåtanden. Enligt 9 § i dataskyddslagen ska dataombudsmannens byrå ha ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde.

På grund av de två nya moment som utskottet föreslår blir propositionens 1—4 mom. paragrafens 3—6 mom. Samtidigt behöver den bestämmelse som blir 3 mom. justeras lagtekniskt.

I den allmänna motiveringen ovan går utskottet också in på hur den administrativa påföljdsavgiften förhåller sig till myndigheterna. Enligt den bestämmelse som blir 4 mom. får statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli inte påföras påföljdsavgift. I artikel 83.7 i dataskyddsförordningen sägs det att varje medlemsstat får fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. Utskottet påpekar att dataskyddsförordningen och den föreslagna dataskyddslagen också gäller den evangelisk-lutherska kyrkan och den ortodoxa kyrkan i Finland. Båda kyrkorna är offentliga samfund. I kyrkolagen (1054/1993) finns bestämmelser om den evangelisk-lutherska kyrkans organisation och förvaltning i enlighet med grundlagen. Den ortodoxa kyrkans ställning fastställs i lagen om ortodoxa kyrkan (985/2006). Båda kyrkornas församlingar, stift och centralförvaltning behandlar personuppgifter och för personregister. Församlingarna kan inrätta kyrkliga samfälligheter. Ortodoxa kyrkan har också kloster. Varken den föreslagna paragrafen eller detaljmotiveringen till den innehåller något omnämnande av de här kyrkorna. Utifrån erhållen utredning föreslår förvaltningsutskottet att 4 mom. kompletteras på så sätt att där nämns evangelisk-lutherska kyrkan i Finland och ortodoxa kyrkan i Finland samt deras församlingar, kyrkliga samfälligheter och andra organ.

I överensstämmelse med vad som sägs i allmänna motiven föreslår förvaltningsutskottet att 5 mom. kompletteras med en bestämmelse som föreskriver att om en överträdelse eller försummelse till sin natur har varit fortlöpande, ska preskriptionstiden på tio år räknas från det att överträdelsen eller försummelsen har upphört.

Enligt 6 mom. finns bestämmelser om verkställighet av påföljdsavgifter i lagen om verkställighet av böter (672/2002). Av skäl som konstateras i de allmänna motiven föreslår förvaltningsutskottet att 6 mom. kompletteras med en bestämmelse som föreskriver att påföljdsavgifter ska preskriberas fem år efter den dag då avgiften påfördes.

25 (23) §. Ändringssökande.

Av tydlighetsskäl föreslår förvaltningsutskottet att bestämmelserna om ändringssökande blir 25 §, så att de kommer efter bestämmelserna om beslut.

Förfarandet för att påföra administrativ påföljdsavgift bör också beaktas i bestämmelserna om ändringssökande. Därför föreslår förvaltningsutskottet att 1 mom. preciseras med att ändring får sökas i beslut som fattats av dataombudsmannen, en biträdande dataombudsman eller det kollegium för påföljder som avses i 24 § 1 mom.

Dessutom behöver 3 mom. kompletteras med ett omnämnande av biträdande dataombudsmannen. Momentet gäller andra beslut än beslut som gäller administrativa påföljdsavgifter. Påföljdskollegiets beslut om administrativ påföljdsavgift kan verkställas först när beslutet har vunnit laga kraft.

26 §. Straffbestämmelser.

I 26 § i förslaget till dataskyddslag finns det hänvisningar till de bestämmelser i strafflagen som är relevanta med tanke på den samlade regleringen. I den sista meningen i 1 mom. hänvisas det till strafflagens bestämmelser för brott mot den i 36 § i dataskyddslagen föreskrivna tystnadsplikten. Den paragrafen gäller emellertid skydd för rapportörers identitet, medan 35 § gäller tystnadsplikt. Liksom lagutskottet anser förvaltningsutskottet att hänvisningen bör gälla båda bestämmelserna. Utskottet föreslår följaktligen att sista meningen i 1 mom. kompletteras i enlighet med detta.

27 §. Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål.

Paragrafen handlar om att skydd av personuppgifter ska samordnas med yttrandefriheten. I 1 mom. anges de artiklar i dataskyddsförordningen som inte ska tillämpas på behandling av personuppgifter för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Utanför avgränsningen ligger bland annat artiklarna 37 och 38 i dataskyddsförordningen. De blir således tillämpliga när personuppgifter behandlas för journalistiska ändamål eller för akademiskt, konstnärligt och litterärt skapande. Artikel 37 i dataskyddsförordningen gäller utnämning av dataskyddsombud. Skyldigheten gäller bara i begränsad utsträckning aktörer inom den privata sektorn. Ett dataskyddsombud ska utnämnas i situationer där den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling som på grund av sin karaktär, sin omfattning och/eller sina ändamål kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller den personuppgiftsansvariges eller personuppgiftsbiträdets kärnverksamhet består av behandling i stor omfattning av särskilda kategorier av uppgifter i enlighet med artikel 9 och personuppgifter som rör fällande domar i brottmål och överträdelser, som avses i artikel 10.

Skyldigheten att utnämna dataskyddsombudet gäller således endast i begränsad utsträckning aktörer som behandlar personuppgifter i sådana situationer som avses i artikel 85. Det har inte ansetts behövligt att avgränsa skyldigheten på något annat sätt än det som föreskrivs i förordningen. Genom dataskyddslagen föreslås betydande begränsningar i den registrerades rättigheter då personuppgifter behandlas i situationer som avses i artikel 85. Genom dataskyddslagen föreslås undantag bland annat i den registrerades rätt att inte bli föremål för profilering. Då betonas betydelsen av att utnämna ett dataskyddsombud. Dataskyddsombudet ska informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet. Besluten om behandling av personuppgifter fattas av den personuppgiftsansvarige, som ansvarar för att behandlingen av personuppgifter i organisationen följer lagen. Avsikten med bestämmelserna om dataskyddsombudets ställning i artikel 38 är att säkerställa att dataskyddsombudet har lämpliga förutsättningar för skötseln av sina uppgifter. Förvaltningsutskottet anser att de föreslagna bestämmelserna är motiverade.

31 §. Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål.

Paragrafens 2 mom. gäller behandling av personuppgifter för statistiska ändamål. Enligt det får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att 1) statistiken inte kan tas fram eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter behandlas, 2) framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet, och 3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

För tydlighetens skull påpekar utskottet att artikel 11 i dataskyddsförordningen föreskriver att om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara tvungen att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att tillgodose den registrerades rättigheter. Enligt utredning till utskottet blir följden då att man med stöd av artikel 11 principiellt inte behöver tillgodose den registrerades rätt till insyn om de registrerade inte längre kan identifieras.

I 3 mom. föreslås bestämmelser om villkor för att undantag från rättigheterna enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen ska få göras när uppgifter som hör till särskilda kategorier av personuppgifter behandlas för vetenskaplig eller historisk forskning eller för statistikföring eller när personuppgifter som rör fällande domar i brottmål samt överträdelser enligt artikel 10 i dataskyddsförordningen behandlas. Undantag från den registrerades rättigheter kräver enligt propositionen utöver vad som föreskrivs i 1 och 2 mom. också att en konsekvensbedömning avseende dataskydd utförs enligt artikel 35 i dataskyddsförordningen.

Med hänvisning till den allmänna motiveringen föreslår förvaltningsutskottet att 3 mom. kompletteras med bestämmelser om en alternativ skyddsåtgärd som består i att man åtar sig att följa en i artikel 40 i dataskyddsförordningen avsedd uppförandekod som godkänts av datasekretessmyndigheten. För att uppförandekoden ska kunna anses uppfylla kraven på lämpliga och särskilda åtgärder enligt artikel 9.2 j i förordningen måste undantag från den registrerades rättigheter beaktas på behörigt sätt när uppförandekoden utarbetas. Det måste också framgå av formuleringen. När datasekretessmyndigheten godkänner uppförandekoden ska den bedöma om den registrerades grundläggande fri- och rättigheter och intressen har beaktats på behörigt sätt.

Enligt propositionen ska konsekvensbedömningen som avses i 3 mom. skriftligen delges dataombudsmannen 30 dagar innan behandlingen inleds. Förvaltningsutskottet anser att en tidsfrist på 30 dagar är onödigt lång och anser att det räcker att konsekvensbedömningen delges dataombudsmannen innan behandlingen inleds.

32 §. Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse.

I paragrafen föreslås bestämmelser om undantag från den registrerades rättigheter i fråga om arkivering. Bestämmelsen möjliggör relativt omfattande undantag från den registrerades rättigheter. Det handlar således om en betydande bestämmelse som inte avses omfatta all arkivering av allmänt intresse. Tills vidare finns det ingen tillämpningspraxis för vad som kan anses vara arkivering av allmänt intresse. Därför föreslås det inte att det nationella handlingsutrymmet i detta avseende ska användas fullt ut.

I den föreslagna paragrafen hänvisas det endast till arkivering enligt 4 § 4 punkten i dataskyddslagen. Utskottet konstaterar att all arkivering som utförs av myndigheter ändå inte är arkivering enligt den föreslagna 4 § 4 punkten, utan hänvisningen bör vara mer heltäckande. Undantag från den registrerades rättigheter bör vid behov vara möjliga också när en myndighet behandlar uppgifter i arkiveringssyfte. För att det i detta avseende ska gå att föreskriva om undantag i allmän lag bör bestämmelsen enligt utskottets uppfattning avgränsas till att gälla sådan arkivering av allmänt intresse som är baserad på artikel 6.1 c i dataskyddsförordningen, med andra ord när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Utskottet föreslår därför att paragrafen kompletteras med en hänvisning till artikel 6.1 c i dataskyddsförordningen.

33 §. Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information.

I paragrafen föreskrivs om sådana förutsättningar genom vilka den registrerades rätt till insyn i behandling av personuppgifter om sig själv kan begränsas. För närvarande finns bestämmelser om den registeransvariges möjlighet att avvika från upplysningsplikten i 24 § i personuppgiftslagen. För tydlighetens skull noterar utskottet att avsikten inte är att med den föreslagna dataskyddslagen göra några ändringar i rådande praxis inom laglighetskontrollen. Praxis är att de personer som nämns i klagomålen till de myndigheter som utför laglighetskontrollen inte behöver bli underrättade om behandlingen.

34 §. Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne.

Paragrafens 1 mom. gäller situationer där den registrerade inte har i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne. Sådana är exempelvis när lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (1 punkten). Situationerna motsvarar i huvuddrag situationerna enligt 27 § i personuppgiftslagen och avsikten är att den föreslagna regleringen ska trygga kontinuiteten. Utskottet anser att regleringen är viktig också såtillvida att den avsevärt minskar behovet av sektorsspecifika särskilda bestämmelser. Dataskyddsförordningen förutsätter att kraven i artikel 23.2 i en sådan reglering beaktas på behörigt sätt. Bestämmelserna om detta ingår i 2—4 mom.

Den föreslagna dataskyddslagen innehåller inga bestämmelser om de förutsättningar enligt vilka undantag från den registrerades rätt till begränsning av behandlingen enligt artikel 18 kan göras enligt artikel 23. Enligt utredning till utskottet är det inte befogat att ta in det undantag som avses i artikel 18 i allmän lag. Artikel 18 gäller principiellt mycket begränsade situationer. Med begränsning av behandlingen avses enligt artikel 4.3 markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. I vissa situationer kan personuppgifter trots den registrerades rättigheter enligt artikel 18 ändå behandlas direkt med stöd av artikel 18.2. Det är möjligt exempelvis i situationer där det handlar om att skydda en annan fysisk eller juridisk persons rättigheter eller om skäl som har ett viktigt allmänintresse för unionen eller en medlemsstat. Föreskrifter om undantag från den registrerades rättigheter enligt artikel 18 kan dock med stöd av artikel 23 vid behov utfärdas genom särskild lagstiftning. En sådan begränsning kan i vissa enskilda fall mycket väl vara befogad. Också då bör artikel 23.2 beaktas. Enligt den ska sådana lagstiftningsåtgärder innehålla specifika bestämmelser avseende bland annat ändamålen med behandlingen och omfattningen av de införda begränsningarna.

36 §. Skydd för rapportörers identitet.

Utskottet föreslår en teknisk justering av formuleringen av bestämmelsen, eftersom personen rapporterar till tillsynsmyndigheten, det vill säga dataombudsmannen, inte till dataombudsmannens byrå.

37 §. Ikraftträdande.

Eftersom den föreslagna lagen inte kan träda i kraft vid den angivna tidpunkten föreslår utskottet att tiden för ikraftträdandet i 1 mom. lämnas öppen enligt vedertagen praxis.

2. Lag om ändring av 38 kap. 9 och 10 § i strafflagen

38 kap. Om informations- och kommunikationsbrott

9 §. Dataskyddsbrott.

Den gällande paragrafen föreskriver om ett övergripande personregisterbrott som kan medföra böter eller fängelse i högst ett år. Som det sägs ovan i den allmänna motiveringen kommer påföljdssystemet framöver som utgångspunkt att grunda sig direkt på de administrativa sanktionsavgifter som avses i artikel 83 i dataskyddsförordningen. Därför föreslås det i propositionen att den övergripande bestämmelsen i 38 kap. 9 § i strafflagen upphävs och ersätts med en straffbestämmelse med snävare innehåll.

Grundlagsutskottet påpekar i sitt utlåtande att det i den föreslagna straffbestämmelsen till väsentliga delar finns hänvisningar till annan lagstiftning där de gärningar och försummelser som kan utgöra dataskyddsbrott definieras närmare. Grundlagsutskottet anser att de krav som legalitetsprincipen ställer uppfylls bättre om 1 mom. 1 punkten hänvisar till dataskyddsförordningen och 2 och 3 punkten hänvisar till den nationella lagen i fråga om överträdelser som kan vara straffbara som dataskyddsbrott. Särskilt problematisk är 1 mom. 4 punkten enligt vilken det är straffbart att överträda någon sådan bestämmelse i ”någon annan lag” om behandling av personuppgifter som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter. Enligt grundlagsutskottets uppfattning finns det flera hundra bestämmelser av det slag som avses i 4 punkten, så det är omöjligt att räkna upp dem i bestämmelsen. Därför anser grundlagsutskottet att bestämmelsen bör preciseras med hjälp av exaktare brottsrekvisit.

Grundlagsutskottet noterar vidare att det inte heller i det föreslagna 2 mom. finns någon närmare hänvisning till de materiella bestämmelserna eller föreskrifterna om säkerhet vid behandling av personuppgifter. Enligt grundlagsutskottet bör även denna bestämmelse preciseras med hjälp av exaktare hänvisningar och rekvisit.

Lagutskottet konstaterar för sin del att den föreslagna straffbestämmelsen på grund av hänvisningstekniken delvis får sitt materiella innehåll från övrig lagstiftning. För lagtillämparen är den här typen av reglering inte den tydligaste och enklaste. Det finns ändå sådan reglering i den gällande lagstiftningen redan i dag. I typfallet handlar det om frågor som regleras i nationell speciallagstiftning medan den materiella rättens innehåll till centrala delar bestäms utifrån EU-lagstiftningen eller internationella fördrag.

Lagutskottet har bedömt möjligheterna att precisera den föreslagna regleringen så att den bättre motsvarar den straffrättsliga legalitetsprincipen. En exakt hänvisning i 1 mom. 1 punkten till de bestämmelser i dataskyddsförordningen som kunde aktualisera dataskyddsbrott förtydligar enligt utskottet ändå inte regleringen, eftersom det inte till alla delar är möjligt att ur förordningen plocka ut sådana enskilda bestämmelser som kunde läggas till grund för straffbarhet. Till exempel krävs det ofta att man beaktar flera av bestämmelserna i förordningen för att kunna avgöra om en person skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål. Inte heller när det gäller utlämnande eller överföring av personuppgifter går det att peka på enskilda materiella bestämmelser i förordningen, utan frågorna regleras i flera olika typer av bestämmelser.

Lagutskottet anser att det inte heller är motiverat att ta in exaktare hänvisningar i 1 mom. 2 eller 3 punkten. De relevanta bestämmelserna när det gäller exempelvis 2 punkten finns främst i 2 och 5 kap. i dataskyddslagen, som det hänvisas till, men också de ska i allmänhet tolkas tillsammans med förordningen.

Särskilt vag är 1 mom. 4 punkten, där det allmänt hänvisas till ”någon annan lag”. Det är ändå omöjligt att precisera punkten, eftersom det finns flera hundra sådana andra bestämmelser. Å andra sidan har vi redan i dag motsvarande straffbestämmelser med allmänt utformade hänvisningar till annan lagstiftning. Sådana hänvisningar där lagstiftningen inte specificeras ens på författningsnivån finns bland annat i straffbestämmelserna om motstånd mot person som upprätthåller ordningen (SL 17:6.1), sekretessbrott (SL 38:1) och miljöförstöring (SL 48:1).

I momentet preciseras det straffbara området också genom rekvisit som gäller gärningssättet och följden, och det är därför inte helt öppet. Till exempel när det gäller gärningssättet förutsätts det att gärningsmannen ”skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter”. I fråga om följden förutsätts det för sin del att gärningsmannen genom gärningssättet ”gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet”.

Efter en samlad bedömning av det som sägs ovan har lagutskottet stannat för att stödja den föreslagna regleringen i 1 och 2 mom., trots de allmänt utformade hänvisningarna. Bestämmelserna i strafflagen hör väsentligen till lagutskottets fackområde. Förvaltningsutskottet ser ingen anledning att komma med någon avvikande bedömning.

Det finns skäl att för tydlighetens skull notera att det personella tillämpningsområdet för 1 mom. i den föreslagna straffbestämmelsen inte är detsamma som för dess 2 mom. Formuleringen i 1 mom. är invecklad, men enligt propositionsmotiven ska bestämmelsen tillämpas endast i en situation där personen i fråga inte kan anses ha agerat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt förordningen. Som det sägs ovan är bakgrunden att straffrättsligt ansvar i det nu aktuella momentet endast aktualiseras i situationer där lagstridig behandling av personuppgifter inte omfattas av administrativa sanktionsavgifter enligt förordningen.

Av det som sägs ovan följer att det personella tillämpningsområdet för 1 mom. är snävt. Enligt utskottets uppfattning kommer momentet främst att tillämpas på personer som är anställda hos en personuppgiftsansvarig eller behandlar personuppgifter för dennes räkning, i de fall när deras verksamhet uppfyller de föreskrivna rekvisiten men inte utgör självständig registerföring. Enligt lagutskottet bör det noteras att en person som självständigt börjar behandla personuppgifter på ett olagligt sätt i allmänhet ska betraktas som personuppgiftsansvarig och således omfattas av de administrativa påföljderna. Det gäller oavsett om uppgifterna skaffas ur något annat register eller av den registrerade själv.

Bestämmelsen i 2 mom. om personuppgiftsincidenter är däremot allmän när det gäller den personkrets som kan vara gärningsmän. De personuppgiftsansvariga och personuppgiftsbiträden som avses i dataskyddsförordningen har inte undantagits från tillämpningsområdet för 2 mom. Det betyder att även de administrativa sanktionsavgifter som avses i förordningen blir tillämpliga i fråga om de gärningar som ska bestraffas enligt momentet. Överlappningen i fråga om de administrativa påföljdsavgifterna och straffbestämmelserna gäller ändå bara personuppgiftsansvariga och personuppgiftsbiträden som är fysiska personer. Det minskar betydelsen av överlappningen, eftersom de personuppgiftsansvariga som avses i förordningen i regel är juridiska personer.

I paragrafens 1 mom. 3 punkt hänvisas till den så kallade lagen om behandling av personuppgifter i brottmål som föreslås i propositionen RP 31/2018 rd. Den aktuella propositionen är samtidigt under behandling i förvaltningsutskottet.

Ikraftträdandebestämmelsen.

Eftersom den föreslagna lagen inte kan träda i kraft vid den angivna tidpunkten föreslår utskottet att ikraftträdandebestämmelsen lämnas öppen enligt vedertagen praxis.

I sitt utlåtande anser lagutskottet att det för den föreslagna straffbestämmelsens del behövs en särskild övergångsbestämmelse som utgör ett undantag från huvudregeln i 3 kap. 2 § 2 mom. i strafflagen om att den lindrigare lagen gäller. Det behövs särskilda bestämmelser om tillämpligheten i tiden, eftersom avkriminaliseringen på det sätt som sägs ovan inte i detta fall betyder att man som utgångspunkt skulle se lindrigare på straffbara gärningar. Inte heller betyder det partiella upphävandet av straffbestämmelsen att inga påföljder i framtiden skulle kunna dömas ut för gärningarna.

Gärningar och försummelser som skett innan dataskyddsförordningen började tillämpas ska i princip leda till en straffrättslig påföljd. Att den straffrättsliga regleringen delvis ersätts med administrativa sanktionsavgifter enligt förordningen innebär således inte befrielse från straffansvar, utan att principen om att lindrigare lag gäller beaktas när straffet bestäms (se LaUU 3/2017 rd). Om en sådan administrativ sanktionsavgift eller straffrättslig påföljd enligt dataskyddsförordningen och dataskyddslagen som påförs för det föreslagna nya dataskyddsbrottet i ett enskilt fall de facto skulle vara lindrigare än en straffrättslig påföljd för ett personregisterbrott enligt den tidigare lagen, ska övergångsbestämmelsen tolkas i överensstämmelse med artikel 15.1 i den internationella konventionen om medborgerliga och politiska rättigheter (FördrS 8/1976). Exempelvis antalet dagsböter kan då sänkas vid behov.

Utskottet föreslår att ikraftträdandebestämmelsen kompletteras med ett nytt 2 mom. så som lagutskottet föreslår. Enligt uppgift bör bestämmelsen dock hänvisa till sådana gärningar och försummelser som inträffat före den 25 maj 2018, det vill säga innan dataskyddsförordningen blev tillämplig.

3. Lag om ändring av 1 § i lagen om verkställighet av böter

Ikraftträdandebestämmelsen.

Eftersom den föreslagna lagen inte kan träda i kraft vid den angivna tidpunkten föreslår utskottet att ikraftträdandebestämmelsen lämnas öppen enligt vedertagen praxis.

4. Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi (Ny)

12 §. Behandling av personuppgifter och rätt till insyn.

Paragrafens 1 mom. har ändrats genom lag 404/2018, som trädde i kraft den 5 juni 2018. Det 1 mom. som föreslogs i proposition RP 38/2018 rd innehöll en hänvisning till dataskyddslagen. Laghänvisningen ändrades i riksdagen till att gälla personuppgiftslagen, eftersom behandlingen av proposition RP 9/2018 rd då fortfarande pågick. Förvaltningsutskottet föreslår att laghänvisningen nu i detta sammanhang ändras till sin tidigare föreslagna form.

FÖRSLAG TILL BESLUT

Förvaltningsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 1—3 i proposition RP 9/2018 rd med ändringar. (Utskottets ändringsförslag) Riksdagen godkänner ett nytt lagförslag 4. (Utskottets nya lagförslag) Riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande)

Utskottets ändringsförslag

1. Dataskyddslag

I enlighet med riksdagens besluts föreskrivs:

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och dess nationella tillämpning.

2 §
Tillämpningsområde

Denna lag tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Denna lag och dataskyddsförordningen tillämpas dessutom, med undantag för artikel 56 och kapitel VII i förordningen, på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs någon annanstans i lag.

Denna lag tillämpas inte på riksdagsarbetet. (Nytt 2 mom.)

Denna lag tillämpas inte på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ( / ). (2 mom. i RP)

3 §
Tillämplig lag

På sådan behandling av personuppgifter som sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Europeiska unionen ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland.

Om en främmande stats lag ska tillämpas på behandling av personuppgifter och det med stöd av den lagen görs ett undantag i enlighet med artikel 89.2 i dataskyddsförordningen från de rättigheter som föreskrivs för att skydda registrerade, ska de skyddsåtgärder till skydd för registrerade som anges i 31 § dock iakttas oberoende av lagvalet.

2 kap.
Rättslig grund för behandling av personuppgifter i vissa fall

4 §
Laglig behandling av personuppgifter

Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om

1) det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas,

2) behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse,

3) behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas, eller

4) behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

5 §
Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

När personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.

6 §
Behandling av särskilda kategorier av personuppgifter

Artikel 9.1 i dataskyddsförordningen tillämpas inte

1) när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om en försäkrads eller ersättningssökandes hälsotillstånd, sjukdom eller funktionsnedsättning eller sådana uppgifter om de vårdåtgärder eller andra därmed jämförbara åtgärder som avser den försäkrade och som behövs för att utreda anstaltens ansvar,

2) på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag,

3) på sådan behandling av uppgifter om medlemskap i fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område,

4) när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård,

5) när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade,

6) på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka,

7) på behandling av uppgifter för vetenskaplig eller historisk forskning eller för statistikföring,

8) på behandling av forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål, med undantag för genetiska uppgifter.

En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter,

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,

3) utnämning av ett dataskyddsombud,

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,

5) pseudonymisering av personuppgifter,

6) kryptering av personuppgifter,

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident,

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen.

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.

7 §
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

Personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder får behandlas om

1) behandlingen behövs för utredning, fastställande, utövande, försvar eller avgörande av rättsliga anspråk, eller

2) uppgifterna behandlas för syften som anges i 6 § 1 mom. 1, 2 eller 7 punkten.

Vad som i 6 § 2 mom. föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas även vid behandling av sådana personuppgifter som avses i 1 mom.

3 kap.
Tillsynsmyndighet

8 §
Dataombudsmannen

Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen finns i anslutning till justitieministeriet.

Dataombudsmannen är självständig och oberoende i sin verksamhet.

9 §
Dataombudsmannens byrå

Dataombudsmannen har en byrå med minst två biträdande dataombudsmän och ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal.

Dataombudsmannen utnämner tjänstemännen och anställer den övriga personalen vid byrån.

Dataombudsmannen godkänner en arbetsordning för byrån.

10 §
Behörighetsvillkor och utnämningsgrunder

Behörighetsvillkor för dataombudsmannen och biträdande dataombudsmän är annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt, god förtrogenhet med frågor som gäller skydd av personuppgifter och i praktiken visad ledarförmåga. Dessutom förutsätts förmåga att sköta internationella uppgifter.

11 §
Utnämning och mandatperiod

Dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet för fem år i sänder.

Den som utnämns till dataombudsman och biträdande dataombudsman är fri från skötseln av en annan tjänst under den tid som han eller hon är dataombudsman eller biträdande dataombudsman.

12 §
Sakkunnignämnd

Vid dataombudsmannens byrå finns en sakkunnignämnd som består av ordförande, en vice ordförande och tre andra ledamöter. Var och en av dem ska ha en personlig ersättare.

Statsrådet tillsätter nämnden för en mandatperiod på tre år.

Nämndens ordförande och vice ordförande ska ha avlagt annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt och ha god förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter. Av nämndens övriga ledamöter förutsätts förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter.

På nämndens ledamöter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). Nämndens ledamöter och ersättarna betalas arvode för uppdraget. Justitieministeriet fastställer arvodesbeloppen.

13 §
Redogörelse för bindningar

Dataombudsmannen och biträdande dataombudsmän ska lämna en i 8 a § i statstjänstemannalagen (750/1994) avsedd redogörelse för sina bindningar.

14 §
Dataombudsmannens uppgifter och befogenheter

Bestämmelser om dataombudsmannens uppgifter och befogenheter finns i artiklarna 55—59 i dataskyddsförordningen. Dataombudsmannen har också andra uppgifter och befogenheter som anges i denna lag och annanstans i lag.

Dataombudsmannen övervakar inte statsrådets justitiekanslers eller riksdagens justitieombudsmans verksamhet. (Nytt 2 mom.)

Dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen. (2 mom. i RP)

Dataombudsmannen ackrediterar det certifieringsorgan som avses i artikel 43 i dataskyddsförordningen. (3 mom. i RP)

Dataombudsmannen ska upprätta en årlig rapport om sin verksamhet enligt artikel 59 i dataskyddsförordningen och lämna den till riksdagen och statsrådet. Verksamhetsrapporten ska hållas allmänt tillgänglig. (4 mom. i RP)

15 §
Dataombudsmannens beslutsfattande

Dataombudsmannen avgör ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat.

16 §
Biträdande dataombudsmannens uppgifter och befogenheter

Uppgiftsfördelningen mellan dataombudsmannen och de biträdande dataombudsmännen bestäms i arbetsordningen för dataombudsmannens byrå.

En biträdande dataombudsman har vid skötseln av sina uppgifter samma befogenheter som dataombudsmannen.

17 §
Sakkunnignämndens uppgifter och behandling av ärenden

Sakkunnignämnden ska på dataombudsmannens begäran ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter.

Nämnden kan höra utomstående sakkunniga.

En föredragande vid dataombudsmannens byrå är sekreterare för nämnden.

18 §
Dataombudsmannens rätt att få information och utföra inspektioner

Dataombudsmannen har, utöver vad som i artikel 58.1 i dataskyddsförordningen föreskrivs om tillsynsmyndighetens rätt att få information och utföra inspektioner, rätt att trots sekretessbestämmelserna avgiftsfritt få de uppgifter som behövs för skötseln av sina uppgifter.

I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen (39/1889).

19 §
Anlitande av sakkunniga

Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.

Dataombudsmannen får vid inspektioner som ingår i dataombudsmannens befogenheter anlita biträde av utomstående sakkunniga. På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter sådana uppgifter. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

20 §
Handräckning

Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.

4 kap.
Rättssäkerhet och påföljder

21 §
Rätt att föra ärenden till dataombudsmannen

En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen.

Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol. (Nytt 2 mom.)

22 §
Vite

Dataombudsmannen får förena ett i dataskyddsförordningens artikel 58.2 c—g och j avsett beslut samt ett med stöd av 18 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).

Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.

Utskottet föreslår en ändring 23 Slut på ändringsförslaget (24) §
Beslut av kommissionen

Om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.

I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.

Utskottet föreslår en ändring 24 Slut på ändringsförslaget (25) §
Administrativa påföljdsavgifter

Administrativa sanktionsavgifter (administrativa påföljdsavgifter) enligt artikel 83 i dataskyddsförordningen påförs av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen är ordförande för kollegiet. Om en biträdande dataombudsman har förhinder, kan denne ersättas i påföljdskollegiet av en föredragande som utses för detta i arbetsordningen för dataombudsmannens byrå. Kollegiet är beslutfört med tre medlemmar. (Nytt 1 mom.)

Kollegiet ska fatta beslut efter föredragning. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot. (Nytt 2 mom.)

Administrativa pPåföljdsavgifter enligt artikel 83 i dataskyddsförordningen får påföras även för överträdelse av artikel 10 i dataskyddsförordningen, med iakttagande av vad som föreskrivs i artikel 83.5 i dataskyddsförordningen och i denna lag. (1 mom. i RP)

Statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ får inte påföras påföljdsavgift. (2 mom. i RP)

Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas den tioåriga tidsfristen från det att överträdelsen eller försummelsen har upphört. (3 mom. i RP)

Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas fem år från den dag då den påfördes. (4 mom. i RP)

Utskottet föreslår en ändring 25 Slut på ändringsförslaget (23) §
Ändringssökande

Dataombudsmannens, biträdande dataombudsmannens och ett i 24 § 1 mom. avsett beslut får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996).

Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i ett beslut av förvaltningsdomstolen.

I ett annat beslut av dataombudsmannen eller en biträdande dataombudsman än ett beslut som gäller en administrativ påföljdsavgift kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.

26 §
Straffbestämmelser

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen och bestämmelser om straff för dataintrång och för grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. Till straff för brott mot tystnadsplikten enligt 35 § i denna lag och mot sekretessen enligt 36 § döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

I 38 kap. 10 § 3 mom. i strafflagen finns det bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns i 1 mom. liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål.

5 kap.
Särskilda behandlingssituationer

27 §
Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 c—e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12—22, artikel 30, artikel 34.1—34.3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60—63 och artiklarna 65—67 i dataskyddsförordningen inte tillämpas på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Artikel 27 i dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter i samband med sådan verksamhet som omfattas av lagen om yttrandefrihet i masskommunikation (460/2003). Artiklarna 44—50 i dataskyddsförordningen ska inte tillämpas, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 a och b, artikel 5.2, artiklarna 24—26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

28 §
Offentlighetsprincipen

På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.

29 §
Behandling av personbeteckningar

En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade

1) för att utföra en i lag angiven uppgift,

2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller

3) för historisk eller vetenskaplig forskning eller för statistikföring.

En personbeteckning får behandlas vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.

Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.

30 §
Behandling av personuppgifter i anställningsförhållanden

Bestämmelser om behandling av anställdas personuppgifter, test och kontroller som anställda ska genomgå och de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av anställdas e-postmeddelanden finns i lagen om integritetsskydd i arbetslivet (759/2004).

31 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål

När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att

1) behandlingen av uppgifterna grundar sig på en ändamålsenlig forskningsplan,

2) det finns en ansvarig person eller en grupp som ansvarar för forskningen, och

3) personuppgifterna används och lämnas ut endast för historisk eller vetenskaplig forskning eller ett annat förenligt ändamål och verksamheten också i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående.

När personuppgifter behandlas för statistiska ändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen under förutsättning att

1) statistiken inte kan tas fram eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter behandlas,

2) framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet, och

3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

När personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas för ett ändamål enligt 1 eller 2 mom. krävs det för ett undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, utöver vad som föreskrivs i 1 och 2 mom., att det utförs en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen eller att en i artikel 40 i dataskyddsförordningen avsedd uppförandekod följs och att koden på behörigt sätt beaktar ovan avsedda möjlighet att göra undantag från den registrerades rättigheter. Konsekvensbedömningen ska skriftligen delges dataombudsmannen 30 dagar innan behandlingen inleds.

32 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse

När personuppgifter behandlas med stöd av 4 § 4 punkten eller artikel 6.1 c i dataskyddsförordningen för arkivändamål av allmänt intresse får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18—21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen.

33 §
Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information

Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information får göras, om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller allmän ordning och säkerhet eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin.

Undantag från artikel 14.1—14.4 i dataskyddsförordningen får också göras om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.

Om den registrerade enligt 1 eller 2 mom. inte tillhandahålls information, ska den personuppgiftsansvarige vidta lämpliga åtgärder till skydd för den registrerades rättigheter. I dessa åtgärder ingår att hålla den information som avses i artikel 14.1 och 14.2 i dataskyddsförordningen allmänt tillgänglig, om inte detta äventyrar syftet med begränsningen som gäller tillhandahållande av uppgifter.

34 §
Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne

En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om

1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott,

2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller

3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.

Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne.

Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.

Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.

6 kap.
Särskilda bestämmelser

35 §
Tystnadsplikt

Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller någon annans affärshemligheter får inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan.

36 §
Skydd för rapportörers identitet

När en fysisk person har rapporterat till dataombudsmannen om en misstänkt överträdelse av bestämmelser som omfattas av dataombudsmannens tillsyn, ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.

37 §
Ikraftträdande

Denna lag träder i kraft den 25 maj 2018.

Genom denna lag upphävs personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994).

38 §
Övergångsbestämmelser

Giltigheten av de tillstånd som beviljats av datasekretessnämnden upphör vid ikraftträdandet av denna lag. Ärenden som före ikraftträdandet av denna lag blivit anhängiga i datasekretessnämnden förfaller vid ikraftträdandet.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller en anmälan till dataombudsmannen tillämpas de bestämmelser i 36 och 37 § i personuppgiftslagen som gäller anmälningsplikt och hur en anmälan ska göras.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller utövande av rätten till insyn och rättelse av personuppgifter tillämpas inte de bestämmelser i artiklarna 12 och 15—18 i dataskyddsförordningen enligt vilka den personuppgiftsansvarige åläggs mer omfattande skyldigheter än vad den registeransvarige hade enligt de bestämmelser som gällde vid ikraftträdandet av denna lag om det med avseende på den personuppgiftsansvarige skulle vara oskäligt att tillämpa de nämnda bestämmelserna i dataskyddsförordningen.

Vid överklagande av beslut som datasekretessnämnden och dataombudsmannen fattat före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet. På extraordinärt ändringssökande tillämpas de bestämmelser som gällde vid ikraftträdandet av denna lag dock endast om ändringssökandet inletts före ikraftträdandet.

Om en gärning som orsakat skada har begåtts före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet på skyldigheten att ersätta skadan.

2. Lag om ändring av 38 kap. 9 och 10 § i strafflagen

I enlighet med riksdagens beslut

ändras i strafflagen (39/1889) 38 kap. 9 § och 10 § 3 mom.,

sådana de lyder, 38 kap. 9 § i lagarna 525/1999 och 480/2001 och 10 § 3 mom. i lag 441/2011, som följer:

38 kap.
Om informations- och kommunikationsbrott

9 §
Dataskyddsbrott

Den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter i strid med någon sådan bestämmelse i

1) den allmänna dataskyddsförordningen,

2) dataskyddslagen ( / ),

3) lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten ( / ), eller

4) någon annan lag som gäller behandling av personuppgifter

som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter, och därmed gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet, ska för dataskyddsbrott dömas till böter eller fängelse i högst ett år.

För dataskyddsbrott döms också den som uppsåtligen eller av grov oaktsamhet handlar i strid med vad som i de författningar och rättsakter som avses i 1 mom. 1—4 punkten föreskrivs om säkerhet vid behandling av personuppgifter.

10 §
Åtalsrätt

Åklagaren ska höra dataombudsmannen innan åtal väcks för sekretessbrott, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av kommunikationshemlighet, dataintrång, grovt dataintrång eller dataskyddsbrott, om brottet i fråga riktar sig mot ett personregister. När domstolen behandlar ett mål som gäller ett sådant brott ska den ge dataombudsmannen tillfälle att bli hörd.

Denna lag träder i kraft den 25 maj 2018.

På gärningar och försummelser som skett före den 25 maj 2018 tillämpas den 38 kap. 9 § som gällde vid ikraftträdandet av denna lag. Om tillämpningen av denna lag, den allmänna dataskyddsförordningen och dataskyddslagen leder till ett lindrigare slutresultat ska detta beaktas när straffet bestäms. (Nytt 2 mom.)

3. Lag om ändring av 1 § i lagen om verkställighet av böter

I enlighet med riksdagens beslut

ändras i lagen om verkställighet av böter (672/2002) 1 § 1 mom. 11 punkten, sådan den lyder i lag 470/2017, och

fogas till 1 § 1 mom., sådant det lyder i lagarna 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 och 470/2017, en ny 12 punkt som följer:

1 §
Lagens tillämpningsområde

I den ordning som föreskrivs i denna lag verkställs följande påföljder:

11) ordningsavgift enligt 8 kap. 1 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och påföljdsavgift enligt 8 kap. 3 § i den lagen,

12) administrativa påföljdsavgifter enligt artikel 83 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den 25 maj 2018.

Utskottets nya lagförslag

Utskottet föreslår en ändring 4. Slut på ändringsförslaget Utskottet föreslår en ändring Lag Slut på ändringsförslaget Utskottet föreslår en ändring om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi Slut på ändringsförslaget

I enlighet med riksdagens beslut

ändras i lagen om Enheten för utredning av grå ekonomi (1207/2010) 12 § 1 mom., sådant det lyder i lag 404/2018, som följer:

Utskottet föreslår en ändring 12 § Slut på ändringsförslaget
Behandling av personuppgifter och rätt till insyn

Bestämmelser om behandling av personuppgifter finns i dataskyddslagen (/) och i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Denna lag träder i kraft den2018.

Utskottets förslag till uttalande

Riksdagen förutsätter att regeringen utreder huruvida organisationen för tillsynsmyndigheten för dataskyddet bör utvecklas som ett ämbetsverk och vid behov bereder relevanta lagändringar i ärendet. Frågor som bör beaktas när organisationen utvecklas är bland annat bestämmande av administrativa påföljdsavgifter i verkets kollegiala organ och kraven i EU:s dataskyddsförordning om tillsynsmyndighetens självständighet och oberoende.

Helsingfors 25.10.2018

I den avgörande behandlingen deltog

ordförande

Juho Eerola saf

vice ordförande

Timo V. Korhonen cent

medlem

Anders Adlercreutz sv

medlem

Pertti Hakanen cent

medlem

Kari Kulmala blå

medlem

Antti Kurvinen cent

medlem

Sirpa Paatero sd

medlem

Olli-Poika Parviainen gröna

medlem

Juha Pylväs cent

medlem

Veera Ruoho saml

medlem

Joona Räsänen sd

medlem

Matti Semi vänst.

Sekreterare var

utskottsråd Minna-Liisa Rinne.

Kakinställningar

FvUB 13/2018 rd // <![CDATA[ _spBodyOnLoadFunctionNames.push("setupPageDescriptionCallout"); // ]]>

Betänkande FvUB 13/2018 rd RP 9/2018 rd Förvaltningsutskottet Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning

INLEDNING

Remiss

Utlåtanden

Sakkunniga

PROPOSITIONEN

UTSKOTTETS ÖVERVÄGANDEN

Bakgrunden till förslaget

Nationell allmän och särskild lagstiftning som kompletterar dataskyddsförordningen

Dataskyddslagens tillämpningsområde

Förhållandet mellan skyddet för personuppgifter och offentlighetsprincipen

Yttrandefrihet

Påföljdsreglering

Påföljdssystemet och tillsynsmyndighetens behörighet

Förfarandet vid påförande av administrativ påföljdsavgift

Utveckling av tillsynsmyndighetens organisation

Utredning av andra rättssäkerhetsgarantier

Förfaranden vid påförande av påföljdsavgift

Bedömning av relationen mellan ett administrativt och ett straffrättsligt påföljdssystem

Självinkrimineringsskyddet

Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring

Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling

Sammankopplade förfaranden

Dröjsmålsbesvär

Sammanfattning

Den högsta laglighetskontrollens ställning i förhållande till tillsynsmyndigheten

Att påföra en myndighet administrativ påföljdsavgift

Rättslig grund för behandling av personuppgifter

Behandlingens laglighet

Kulturarvsmaterial

Undantag och skyddsåtgärder med anknytning till vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

Att verkställa dataskyddsregleringen

Ikraftträdande och kopplingar till regeringens proposition (RP 31/2018 rd).

Anvisningar, rådgivning och utbildning

Resurser

DETALJMOTIVERING

1. Dataskyddslag

2. Lag om ändring av 38 kap. 9 och 10 § i strafflagen

38 kap. Om informations- och kommunikationsbrott

3. Lag om ändring av 1 § i lagen om verkställighet av böter

4. Lag om ändring av 12 § i lagen om Enheten för utredning av grå ekonomi (Ny)

FÖRSLAG TILL BESLUT

Utskottets ändringsförslag

1. Dataskyddslag

1 kap. Allmänna bestämmelser

1 § Lagens syfte

2 § Tillämpningsområde

3 § Tillämplig lag

2 kap. Rättslig grund för behandling av personuppgifter i vissa fall

4 § Laglig behandling av personuppgifter

5 § Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

6 § Behandling av särskilda kategorier av personuppgifter

7 § Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

3 kap. Tillsynsmyndighet

8 § Dataombudsmannen

9 § Dataombudsmannens byrå

10 § Behörighetsvillkor och utnämningsgrunder

11 § Utnämning och mandatperiod

12 § Sakkunnignämnd

13 § Redogörelse för bindningar

14 § Dataombudsmannens uppgifter och befogenheter

15 § Dataombudsmannens beslutsfattande

16 § Biträdande dataombudsmannens uppgifter och befogenheter

17 § Sakkunnignämndens uppgifter och behandling av ärenden

18 § Dataombudsmannens rätt att få information och utföra inspektioner

19 § Anlitande av sakkunniga

20 § Handräckning

4 kap. Rättssäkerhet och påföljder

21 § Rätt att föra ärenden till dataombudsmannen

22 § Vite

Utskottet föreslår en ändring 23 Slut på ändringsförslaget (24) § Beslut av kommissionen

Utskottet föreslår en ändring 24 Slut på ändringsförslaget (25) § Administrativa påföljdsavgifter

Utskottet föreslår en ändring 25 Slut på ändringsförslaget (23) § Ändringssökande

26 § Straffbestämmelser

5 kap. Särskilda behandlingssituationer

27 § Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

28 § Offentlighetsprincipen

FvUB 13/2018 rd

1 kap.
Allmänna bestämmelser

1 §
Lagens syfte

2 §
Tillämpningsområde

3 §
Tillämplig lag

2 kap.
Rättslig grund för behandling av personuppgifter i vissa fall

4 §
Laglig behandling av personuppgifter

5 §
Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

6 §
Behandling av särskilda kategorier av personuppgifter

7 §
Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser

3 kap.
Tillsynsmyndighet

8 §
Dataombudsmannen

9 §
Dataombudsmannens byrå

10 §
Behörighetsvillkor och utnämningsgrunder

11 §
Utnämning och mandatperiod

12 §
Sakkunnignämnd

13 §
Redogörelse för bindningar

14 §
Dataombudsmannens uppgifter och befogenheter

15 §
Dataombudsmannens beslutsfattande

16 §
Biträdande dataombudsmannens uppgifter och befogenheter

17 §
Sakkunnignämndens uppgifter och behandling av ärenden

18 §
Dataombudsmannens rätt att få information och utföra inspektioner

19 §
Anlitande av sakkunniga

20 §
Handräckning

4 kap.
Rättssäkerhet och påföljder

21 §
Rätt att föra ärenden till dataombudsmannen

22 §
Vite

Utskottet föreslår en ändring 23 Slut på ändringsförslaget (24) §
Beslut av kommissionen

Utskottet föreslår en ändring 24 Slut på ändringsförslaget (25) §
Administrativa påföljdsavgifter

Utskottet föreslår en ändring 25 Slut på ändringsförslaget (23) §
Ändringssökande

26 §
Straffbestämmelser

5 kap.
Särskilda behandlingssituationer

27 §
Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

28 §
Offentlighetsprincipen

29 §
Behandling av personbeteckningar

30 §
Behandling av personuppgifter i anställningsförhållanden

31 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål

32 §
Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse

33 §
Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information

34 §
Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne

6 kap.
Särskilda bestämmelser

35 §
Tystnadsplikt

36 §
Skydd för rapportörers identitet

37 §
Ikraftträdande

38 §
Övergångsbestämmelser

38 kap.
Om informations- och kommunikationsbrott

9 §
Dataskyddsbrott

10 §
Åtalsrätt

1 §
Lagens tillämpningsområde

Utskottet föreslår en ändring 12 § Slut på ändringsförslaget
Behandling av personuppgifter och rätt till insyn