Den nya dataskyddslagen träder i kraft vid ingången av 2019
Den nya dataskyddslagen, som gäller behandling av personuppgifter, träder i kraft den 1 januari 2019. Lagen kompletterar EU:s allmänna dataskyddsförordning.
Dataskyddslagen utgör ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med dataskyddsförordningen, som började tillämpas i maj 2018. Dataskyddsförordningen gäller i princip all behandling av personuppgifter. Den innehåller bestämmelser om de registrerades rättigheter och om de personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter.
I den nya dataskyddslagen föreskrivs det om vissa undantag från och preciseringar till EU:s dataskyddsförordning. I lagen föreskrivs det dessutom om den nationella tillsynsmyndigheten och om vissa särskilda situationer vid behandlingen av personuppgifter, bl.a. om samordning av tryggandet av yttrandefriheten och skyddet för personuppgifter.
När lagen träder i kraft upphävs den nuvarande personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen.
Åldersgränsen vid erbjudande av informationssamhällets tjänster till barn blir 13 år
Informationssamhällets tjänster får i fortsättningen erbjudas direkt till ett barn om barnet är minst 13 år. Det innebär att ett barn som är under 13 år ska ha föräldrarnas samtycke till användning av sociala medier och andra tjänster som förutsätter att man lämnar sina personuppgifter. Den personuppgiftsansvarige ska kontrollera att detta samtycke har getts. I Finland är åldersgränsen lägre än den åldersgräns på 16 år som föreskrivs i förordningen.
Dataombudsmannen fortsätter som tillsynsmyndighet
De nationella myndighetsuppgifterna enligt EU:s dataskyddsförordning koncentreras hos dataombudsmannen. Till följd av det ökande antalet ärenden inrättas två tjänster som biträdande dataombudsman vid dataombudsmannens byrå.
Vid byrån inrättas dessutom en sakkunnignämnd med fem ledamöter. Nämnden ska på dataombudsmannens begäran ge utlåtanden om frågor som gäller tillämpningen av lagstiftningen. Den nuvarande datasekretessnämnden läggs ned, och den kommer därmed inte längre att bevilja tillstånd för behandling av personuppgifter, utan behandlingen grundar sig direkt på EU:s dataskyddsförordning, dataskyddslagen eller speciallagstiftning.
För genomförandet av reformen har det reserverats avsevärda tilläggsresurser för dataombudsmannens byrå.
Ett sådant föreläggande att lämna ut uppgifter som dataombudsmannen meddelar ett företag, en sammanslutning eller en myndighet får förenas med vite.
Ett påföljdskollegium, som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans, får med minst tre medlemmar påföra administrativa påföljdsavgifter för överträdelse av bestämmelserna. Avgiften kan i lindrigare fall vara högst 10 miljoner euro eller två procent av ett företags totala årsomsättning och i allvarliga fall högst 20 miljoner euro eller fyra procent av ett företags totala årsomsättning.
Påföljdsavgiften baserar sig på EU:s dataskyddsförordning. Det finns också lindrigare medel, såsom anmärkningar.
Till riksdagens svar fogades ett uttalande, enligt vilket riksdagen förutsätter att regeringen utreder huruvida organisationen för tillsynsmyndigheten för dataskyddet bör utvecklas som ett ämbetsverk och vid behov bereder relevanta lagändringar i ärendet.
Med stöd av det nationella handlingsutrymmet föreskrivs det i dataskyddslagen att administrativa påföljdsavgifter inte tillämpas på behandling av personuppgifter inom den offentliga sektorn. Detta motiveras med att myndigheterna är bundna av kravet på laglighet i förvaltningen och av tjänsteansvar och skadeståndsansvar. Grundlagsutskottet understödde denna lösning i sitt utlåtande.
I strafflagen tas det in bestämmelser som gör det straffbart för t.ex. den personuppgiftsansvariges anställda att obehörigen snoka i personuppgifter i strid med uppgifternas användningsändamål. Detta ska betraktas som dataskyddsbrott, för vilket straffet blir böter eller fängelse i högst ett år. Strafflagens nuvarande bestämmelse om personregisterbrott stryks.
Undantag för att trygga yttrandefriheten, forskning och arkivering
I dataskyddslagen föreskrivs det om vissa undantag eller friheter från villkoren för behandling av personuppgifter för att trygga yttrandefriheten t.ex. inom journalismen. Också vid historisk och vetenskaplig forskning, statistikföring och arkivering är det möjligt att avvika från vissa av de skyldigheter som följer av EU:s dataskyddsförordning, om det är nödvändigt t.ex. med tanke på forskningens ändamål.
Undantagen kan bl.a. innebära att den registrerade i dessa fall inte har rätt att kontrollera uppgifter om sig själv. Syftet med undantagen är att bevara en reglering som motsvarar den nuvarande. För att man vid behandling av personuppgifter ska få göra undantag från den registrerades rättigheter förutsätts det bl.a. att man gör en konsekvensbedömning avseende dataskydd eller förbinder sig att följa en särskild uppförandekod.
Dessutom är det fortsättningsvis möjligt att för forskning och statistikföring behandla uppgifter om personers hälsa, sexualliv, sexuella läggning, religion och politiska åsikter.
Ytterligare upplysningar: Tuula Majuri, lagstiftningsdirektör, tfn 02951 50280, e-post: [email protected],
Virpi Korhonen, lagstiftningsråd, tfn 02951 50100, e-post: [email protected]