Hoppa till innehåll

Ny dataskyddslag ska komplettera EU:s dataskyddsförordning

justitieministeriet
Utgivningsdatum 1.3.2018 13.25
Pressmeddelande

Regeringen föreslår att det stiftas en ny dataskyddslag. Det är fråga om en allmän lag om behandling av personuppgifter som syftar till att komplettera och precisera EU:s allmänna dataskyddsförordning.

Den föreslagna dataskyddslagen ska inte vara en självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med EU:s dataskyddsförordning. Dataskyddsförordningen gäller all behandling av personuppgifter. Den innehåller bestämmelser om de registrerades rättigheter samt personuppgiftsansvarigas och personuppgiftsbiträdenas skyldigheter.

EU:s allmänna dataskyddsförordning är direkt tillämplig i medlemsstaterna, men ger dock i vissa frågor möjlighet att föreskriva om nationella undantag och preciseringar. Bestämmelser om dessa ska finnas i dataskyddslagen. I lagen ska dessutom föreskrivas bland annat om den nationella tillsynsmyndigheten och om vissa särskilda situationer vid behandlingen av personuppgifter, bl.a. samordning av yttrandefriheten och skyddet för personuppgifter.

EU:s dataskyddsförordning ska tillämpas i medlemsstaterna från och med den 25 maj 2018. Enligt förslaget ska dataskyddslagen träda ikraft vid samma tidpunkt. Samtidigt ska den nuvarande personuppgiftslagen samt lagen om datasekretessnämnden och dataombudsmannen upphävas.

Åldersgräns för användning av informationssamhällets tjänster ska vara 13 år

Enligt förslaget ska erbjudande av informationssamhällets tjänster direkt till ett barn förutsätta att barnet är minst 13 år. Ett barn som är under 13 ska ha föräldrarnas samtycke till användning av sociala medier och andra tjänster som förutsätter att man lämnar sina personuppgifter. Den personuppgiftsansvarige ska kontrollera att detta samtycke har getts.

I Finland ska åldersgränsen vara lägre än den i förordningen föreskrivna åldersgränsen på 16 år. I utlåtanden som inkom i samband med beredningen av dataskyddslagen betonades internets betydelse för unga och bland annat på grund av detta understöddes en lägre åldersgräns.

Dataombudsmannen ska fortsätta som tillsynsmyndighet

De nationella myndighetsuppgifterna enligt den allmänna dataskyddsförordningen ska koncentreras hos dataombudsmannen. Till följd av det ökande antalet ärenden ska vid dataombudsmannens byrå inrättas en eller flera tjänster som biträdande dataombudsman.

Vid byrån ska dessutom inrättas en sakkunnignämnd med fem ledamöter. Sakkunnignämnden ska på begäran av dataombudsmannen yttra sig om olika frågor som gäller tillämpningen av lagstiftningen. Den nuvarande datasekretessnämnden ska dras in. Efter reformen beviljar datasekretessnämnden inte längre tillstånd för behandling av personuppgifter utan behandlingen sker direkt enligt dataskyddsförordningen, dataskyddslagen eller speciallagstiftningen.  

Tillsynsmyndighetens verksamhet ska organiseras så att den effektivt kan sköta sina uppgifter. För dataombudsmannens byrå reserveras tilläggsresurser för genomförandet av reformen. Behovet av tilläggspersonal uppgår till 16 årsverke.

Dataombudsmannen ska kunna förena ett föreläggande att lämna ut uppgifter som meddelats ett företag, en sammanslutning eller en myndighet med vite.

Dataombudsmannen ska också kunna påföra en administrativ påföljdsavgift för brott mot bestämmelserna. Avgiften ska i lindrigare fall vara högst 10 miljoner euro eller två procent av ett företags totala årsomsättning och i allvarliga fall högst 20 miljoner euro eller fyra procent av ett företags totala årsomsättning. Påföljdsavgiften baserar sig på dataskyddsförordningen. Det ska också finnas lindrigare medel, såsom en anmärkning.

I propositionen föreslås att det med stöd av det nationella spelrummet föreskrivs att den administrativa påföljdsavgiften inte ska tillämpas på behandling av personuppgifter inom den offentliga sektorn. Detta motiveras med att myndigheterna är bundna av kravet på laglighet i förvaltningen, tjänsteansvar och skadeståndsansvar. Påförande av administrativa påföljdsavgifter på myndigheter bedöms på nytt senare utifrån inkommen rättspraxis och erfarenheterna av lagens tillämpning.

Enligt förslaget ska det enligt strafflagen vara straffbart att t.ex. en person som är anställd hos den personuppgiftsansvarige spionerar på personuppgifter i strid med deras användningsändamål. Detta ska betraktas som dataskyddsbrott för vilket det kan dömas ut böter eller fängelse i högst ett år. Strafflagens nuvarande bestämmelse om personregisterbrott ska slopas.

Undantag för att trygga yttrandefriheten, forskning och arkivering

Enligt förslaget ska det i fråga om villkoren för behandling av personuppgifter föreskrivas om vissa undantag eller friheter för att trygga yttrandefriheten bl.a. i journalism. Också i samband med historisk och vetenskaplig forskning, statistikföring och arkivering ska det vara möjligt att avvika från vissa skyldigheter enligt dataskyddsförordningen, om detta är nödvändigt t.ex. med tanke på forskningens ändamål.  

Undantagen skulle innebära bl.a. att den registrerade i dessa fall inte har rätt att få information om att hans eller hennes personuppgifter behandlas eller kontrollera uppgifter om sig själv. Syftet med undantagen är att bevara en motsvarande reglering som i nuläget.

Det ska också fortsättningsvis vara möjligt att behandla uppgifter om en persons hälsa, sexualliv eller sexuella läggning, religion och politiska åsikter för forskning eller för statistikföring.

Konsekvenserna av EU:s dataskyddsförordning

Dataskyddsförordningen medför inga större ändringar i grundprinciperna för behandling av personuppgifter och den registrerades rättigheter. Enskilda personer har också i fortsättningen rätt att till exempel kontrollera uppgifter om sig själv.

Med stöd av förordningen införs också nya rättigheter. Den registrerade kan begära att få sina personuppgifter i elektronisk form och det blir lättare för honom eller henne att överföra de uppgifter som han eller hon själv tillhandahållit från ett system till ett annat.

Den personuppgiftsansvarige är skyldig att rätta felaktiga uppgifter och utplåna en personuppgift som är till exempel onödig eller föråldrad. Åtgärder för att rätta uppgifterna ska vidtas utan obefogat dröjsmål, i normala fall senast inom en månad från mottagandet av en begäran om att rätta eller utplåna uppgifter.

I vissa fall måste den personuppgiftsansvarige utnämna ett dataskyddsombud. Ett företag måste utnämna ett dataskyddsombud om dess verksamhet förutsätter regelbunden och systematisk övervakning av de registrerade eller om det behandlar ett stort antal känsliga personuppgifter. Inom den offentliga förvaltningen är det nästan alltid obligatoriskt att utnämna ett dataskyddsombud.

Enligt principen om en enda kontaktpunkt kan företagen sköta sina ärenden med endast en dataskyddsmyndighet, fastän de är verksamma i flera medlemsstater.

Vid en personuppgiftsincident ska den personuppgiftsansvarige senast inom 72 timmar efter att ha fått vetskap om incidenten, anmäla den till dataskyddsombudet. Också den registrerade måste informeras om personuppgiftsincidenten utan obefogat dröjsmål. 

Förordningen hindrar inte till exempel biobankverksamhet, förande av lönestatistik eller släktforskning.

Det är nödvändigt reformera dataskyddsregleringen, eftersom man till följd av den tekniska utvecklingen och globaliseringen samlar in allt större mängder av personuppgifter. Ett starkt dataskydd ger också möjlighet att öka förtroendet för nättjänster och ta vara på den digitala ekonomins potential.

Regeringens proposition med förslag till dataskyddslag har kompletterats enligt utlåtandet av rådet för bedömning av lagstiftningen, bl.a. genom att lägga till en redogörelse för det centrala innehållet i EU:s dataskyddsförordning samt en bedömning av förordningens konsekvenser för företag.

Mer information: Anu Talus, lagstiftningsråd, tfn 02951 50586, Tanja Jaatinen, specialsakkunnig, tfn 02951 50056, e-post: [email protected]

Statsrådets beslutsmaterial (på finska)

Information om EU:s dataskyddsreform (Dataombudsmannens webbplats)

Frågor och svar om dataskyddsreformen (Dataombudsmannens webbplats, på finska)

Anvisningar för tillämpning av EU:s nya dataskyddsregler (Europeiska kommissionens webbplats)

2018 års reform av EU:s regler för dataskydd (Europeiska kommissionens webbplats)