Innehållsförteckning

Dataskyddslag 5.12.2018/1050

I enlighet med riksdagens beslut föreskrivs:

1 kapAllmänna bestämmelser

1 § Lagens syfte

1. mom.

Genom denna lag preciseras och kompletteras Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och dess nationella tillämpning.

2 § Tillämpningsområde

1. mom.

Denna lag tillämpas i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. Denna lag och dataskyddsförordningen tillämpas dessutom, med undantag för artikel 56 och kapitel VII i förordningen, på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs någon annanstans i lag.

2. mom.

Denna lag tillämpas inte på riksdagsarbetet.

3. mom.

Denna lag tillämpas inte på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018).

3 § Tillämplig lag

1. mom.

På sådan behandling av personuppgifter som sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Europeiska unionen ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland.

2. mom.

Om en främmande stats lag ska tillämpas på behandling av personuppgifter och det med stöd av den lagen görs ett undantag i enlighet med artikel 89.2 i dataskyddsförordningen från de rättigheter som föreskrivs för att skydda registrerade, ska de skyddsåtgärder till skydd för registrerade som anges i 31 § dock iakttas oberoende av lagvalet.

2 kapRättslig grund för behandling av personuppgifter i vissa fall

4 § Laglig behandling av personuppgifter

1. mom.

Personuppgifter får behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om

1) det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas,

2) behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse,

3) behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas, eller

4) behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

5 § Åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

1. mom.

När personuppgifter behandlas med samtycke enligt artikel 6.1 a i dataskyddsförordningen och det är fråga om informationssamhällets tjänster enligt artikel 4.25 i dataskyddsförordningen som erbjuds direkt till ett barn, är behandlingen av barnets personuppgifter lagenlig, om barnet är minst 13 år.

6 § Behandling av särskilda kategorier av personuppgifter

1. mom.

Artikel 9.1 i dataskyddsförordningen tillämpas inte

1) när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om en försäkrads eller ersättningssökandes hälsotillstånd, sjukdom eller funktionsnedsättning eller sådana uppgifter om de vårdåtgärder eller andra därmed jämförbara åtgärder som avser den försäkrade och som behövs för att utreda anstaltens ansvar,

2) på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag,

3) på sådan behandling av uppgifter om medlemskap i fackförbund som behövs för att den personuppgiftsansvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område,

4) när en tillhandahållare av hälso- och sjukvårdstjänster vid ordnande eller produktion av tjänster behandlar uppgifter som tillhandahållaren i denna verksamhet fått om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på den registrerades vård,

5) när en tillhandahållare av socialvårdstjänster vid ordnande eller produktion av tjänster eller beviljande av förmåner behandlar uppgifter som tillhandahållaren i denna verksamhet fått eller producerat om en persons hälsotillstånd eller funktionsnedsättning eller om en hälso- och sjukvårdstjänst och rehabiliteringstjänst som personen fått eller andra uppgifter som är nödvändiga med avseende på beviljande av tjänster och förmåner till den registrerade,

6) på behandling av hälsouppgifter och genetiska uppgifter i antidopningsarbete och i samband med idrott för personer med funktionsnedsättning, i den mån behandlingen av dessa uppgifter är nödvändig för att möjliggöra antidopningsarbetet eller idrott för personer med funktionsnedsättning och idrott för långtidssjuka,

7) på behandling av uppgifter för vetenskaplig eller historisk forskning eller för statistikföring,

8) på behandling av forskningsmaterial och kulturarvsmaterial för allmännyttiga arkivändamål, med undantag för genetiska uppgifter.

2. mom.

En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en situation som avses i 1 mom. ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är

1) åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter,

2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,

3) utnämning av ett dataskyddsombud,

4) den personuppgiftsansvariges och personuppgiftsbiträdets interna åtgärder för att förhindra tillträde till personuppgifter,

5) pseudonymisering av personuppgifter,

6) kryptering av personuppgifter,

7) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna i anknytning till behandlingen av personuppgifterna, inbegripet förmåga att återställa tillgängligheten och tillgången till uppgifterna i rimlig tid vid en fysisk eller teknisk incident,

8) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet,

9) särskilda förfaranderegler för att säkerställa att dataskyddsförordningen och denna lag iakttas när personuppgifter överförs eller behandlas för något annat ändamål,

10) utförande av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen.

11) andra tekniska, förfarandemässiga och organisatoriska åtgärder.

7 § (21.12.2023/1225) Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

1. mom.

Personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder får behandlas om

1) behandlingen behövs för utredning, fastställande, utövande, försvar eller avgörande av rättsliga anspråk, eller

2) uppgifterna behandlas för syften som anges i 6 § 1 mom. 1, 2 eller 7 punkten.

2. mom.

Vad som i 6 § 2 mom. föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas även vid behandling av sådana personuppgifter som avses i 1 mom. i denna paragraf.

3 kapTillsynsmyndighet

8 § Dataombudsmannen

1. mom.

Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen finns inom justitieministeriets förvaltningsområde. (12.1.2024/29)

1 mom. har ändrats genom L 29/2024, som träder i kraft 1.1.2025. Den tidigare formen lyder:

1. mom.

Dataombudsmannen är den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen finns i anslutning till justitieministeriet.

2. mom.

Dataombudsmannen är självständig och oberoende i sin verksamhet.

Se L om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 1054/2018 45 och 46 §.

9 § Dataombudsmannens byrå

1. mom.

Dataombudsmannen har en byrå med minst två biträdande dataombudsmän och ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal.

2. mom.

Dataombudsmannen utnämner tjänstemännen och anställer den övriga personalen vid byrån.

3. mom.

Dataombudsmannen godkänner en arbetsordning för byrån.

10 § Behörighetsvillkor och utnämningsgrunder

1. mom.

Behörighetsvillkor för dataombudsmannen och biträdande dataombudsmän är annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt, god förtrogenhet med frågor som gäller skydd av personuppgifter och i praktiken visad ledarförmåga. Dessutom förutsätts förmåga att sköta internationella uppgifter.

11 § Utnämning och mandatperiod

1. mom.

Dataombudsmannen och biträdande dataombudsmän utnämns av statsrådet för fem år i sänder.

2. mom.

Den som utnämns till dataombudsman och biträdande dataombudsman är fri från skötseln av en annan tjänst under den tid som han eller hon är dataombudsman eller biträdande dataombudsman.

12 § Sakkunnignämnd

1. mom.

Vid dataombudsmannens byrå finns en sakkunnignämnd som består av ordförande, en vice ordförande och tre andra ledamöter. Var och en av dem ska ha en personlig ersättare.

2. mom.

Statsrådet tillsätter nämnden för en mandatperiod på tre år.

3. mom.

Nämndens ordförande och vice ordförande ska ha avlagt annan högre högskoleexamen i juridik än magisterexamen i internationell och komparativ rätt och ha god förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter. Av nämndens övriga ledamöter förutsätts förtrogenhet med frågor som gäller skydd av personuppgifter och den övriga kompetens som skötseln av uppgiften förutsätter.

4. mom.

På nämndens ledamöter tillämpas bestämmelserna om straffrättsligt tjänsteansvar när de sköter uppgifter som avses i denna lag. Bestämmelser om skadeståndsansvar finns i skadeståndslagen (412/1974). Nämndens ledamöter och ersättarna betalas arvode för uppdraget. Justitieministeriet fastställer arvodesbeloppen.

Se StraffL 39/1889 40 kap.

13 § Redogörelse för bindningar

1. mom.

Dataombudsmannen och biträdande dataombudsmän ska lämna en i 8 a § i statstjänstemannalagen (750/1994) avsedd redogörelse för sina bindningar.

14 § Dataombudsmannens uppgifter och befogenheter

1. mom.

Bestämmelser om dataombudsmannens uppgifter och befogenheter finns i artiklarna 55–59 i dataskyddsförordningen. Dataombudsmannen har också andra uppgifter och befogenheter som anges i denna lag och annanstans i lag. Dataombudsmannen får väcka sådan grupptalan som avses i lagen om grupptalan om åtgärder för förbudsföreläggande (1101/2022). (20.12.2022/1112)

2. mom.

Dataombudsmannen övervakar inte statsrådets justitiekanslers eller riksdagens justitieombudsmans verksamhet.

3. mom.

Dataombudsmannen företräder Finland i Europeiska dataskyddsstyrelsen.

4. mom.

Dataombudsmannen ackrediterar det certifieringsorgan som avses i artikel 43 i dataskyddsförordningen.

5. mom.

Dataombudsmannen ska upprätta en årlig rapport om sin verksamhet enligt artikel 59 i dataskyddsförordningen och lämna den till riksdagen och statsrådet. Verksamhetsrapporten ska hållas allmänt tillgänglig.

15 § Dataombudsmannens beslutsfattande

1. mom.

Dataombudsmannen avgör ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat.

2. mom.

I ärenden om vilka det bestäms närmare i arbetsordningen och i vilka praxis i fråga om lagens tillämpning är vedertagen och avgörandet av ärendet inte förutsätter föredragning för dataombudsmannen på grund av ärendets rättsliga natur eller innehåll får dataombudsmannen överföra beslutanderätten på tjänstemän som är föredragande. Dataombudsmannen har dock i enskilda fall rätt att överta avgörandet av ett ärende som annars skulle avgöras av en föredragande. (21.12.2023/1225)

16 § Biträdande dataombudsmannens uppgifter och befogenheter

1. mom.

Uppgiftsfördelningen mellan dataombudsmannen och de biträdande dataombudsmännen bestäms i arbetsordningen för dataombudsmannens byrå.

2. mom.

En biträdande dataombudsman har vid skötseln av sina uppgifter samma befogenheter som dataombudsmannen.

17 § Sakkunnignämndens uppgifter och behandling av ärenden

1. mom.

Sakkunnignämnden ska på dataombudsmannens begäran ge utlåtanden om viktiga frågor i samband med tillämpningen av lagstiftning som gäller behandling av personuppgifter.

2. mom.

Nämnden kan höra utomstående sakkunniga.

3. mom.

En föredragande vid dataombudsmannens byrå är sekreterare för nämnden.

18 § Dataombudsmannens rätt att få information och utföra inspektioner

1. mom.

Dataombudsmannen har, utöver vad som i artikel 58.1 i dataskyddsförordningen föreskrivs om tillsynsmyndighetens rätt att få information och utföra inspektioner, rätt att trots sekretessbestämmelserna avgiftsfritt få de uppgifter som behövs för skötseln av sina uppgifter.

2. mom.

I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det i det aktuella fallet finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara en administrativ påföljdsavgift eller ett straff enligt strafflagen (39/1889).

Se 24 §.

18 a § (27.11.2020/902) Samarbete med tillsynsmyndigheter i tredjeländer

1. mom.

Dataombudsmannen har, utöver vad som i artikel 61 i dataskyddsförordningen föreskrivs om ömsesidigt bistånd mellan tillsynsmyndigheterna i Europeiska unionens medlemsstater, rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen har trots sekretessbestämmelserna rätt att till dessa tillsynsmyndigheter lämna ut personuppgifter och andra uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut.

19 § Anlitande av sakkunniga

1. mom.

Dataombudsmannen får höra utomstående sakkunniga och begära utlåtanden från dem.

2. mom.

Dataombudsmannen får vid inspektioner som ingår i dataombudsmannens befogenheter anlita biträde av utomstående sakkunniga. På en sakkunnig tillämpas bestämmelserna om straffrättsligt tjänsteansvar när han eller hon sköter sådana uppgifter. Bestämmelser om skadeståndsansvar finns i skadeståndslagen.

Se StraffL 39/1889 40 kap.

20 § Handräckning

1. mom.

Dataombudsmannen har rätt att på begäran få handräckning av polisen för att utföra sina uppgifter.

Om handräckning se PolisL 872/2011 9 kap. 1 §.

4 kapRättssäkerhet och påföljder

21 § Rätt att föra ärenden till dataombudsmannen för behandling samt passivitetsbesvär (21.12.2023/1225)

1. mom.

En registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen.

2. mom.

Dataombudsmannen kan avbryta behandlingen av ett ärende, om ett ärende som har samband med det är anhängigt i domstol.

3. mom.

Dataombudsmannen ska behandla ett klagomål som blivit anhängigt med stöd av artikel 77 i dataskyddsförordningen inom tre månader från det att klagomålet blev anhängigt eller, om ärendet inte kan behandlas inom denna tid, inom tre månader meddela den registrerade en uppskattning om när ett beslut kommer att ges. (21.12.2023/1225)

4. mom.

Om dataombudsmannen försummar att iaktta den tidsfrist på tre månader som avses i 3 mom., har den registrerade rätt att anföra besvär hos förvaltningsdomstolen. Besvären ska anföras innan dataombudsmannen har behandlat ärendet eller meddelat en uppskattning om när ett beslut kommer att ges. Besvären anses då avse ett beslut att avvisa ärendet. (21.12.2023/1225)

22 § Vite

1. mom.

Dataombudsmannen får förena ett i dataskyddsförordningens artikel 58.2 c–g och j avsett beslut samt ett med stöd av 18 § 1 mom. i denna lag meddelat föreläggande att lämna ut uppgifter med vite. Bestämmelser om föreläggande och utdömande av vite finns i viteslagen (1113/1990).

2. mom.

Ett i 1 mom. avsett föreläggande att lämna ut uppgifter får inte förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken.

23 § Beslut av kommissionen

1. mom.

Om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ett ärende som gäller begäran om förhandsavgörande till Helsingfors förvaltningsdomstol för avgörande.

2. mom.

2 mom. har upphävts genom L 16.2.2023/239. (16.2.2023/239)

24 § Administrativa påföljdsavgifter

1. mom.

Administrativa sanktionsavgifter (administrativa påföljdsavgifter) enligt artikel 83 i dataskyddsförordningen påförs av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen är ordförande för kollegiet. Om en biträdande dataombudsman har förhinder, kan denne ersättas i påföljdskollegiet av en föredragande som utses för detta i arbetsordningen för dataombudsmannens byrå. Kollegiet är beslutfört med tre medlemmar.

2. mom.

Kollegiet ska fatta beslut efter föredragning. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot.

3. mom.

Påföljdsavgifter får påföras även för överträdelse av artikel 10 i dataskyddsförordningen, med iakttagande av vad som föreskrivs i artikel 83.5 i dataskyddsförordningen och i denna lag.

4. mom.

Statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ får inte påföras påföljdsavgift.

5. mom.

Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Om överträdelsen eller försummelsen har varit fortlöpande räknas den tioåriga tidsfristen från det att överträdelsen eller försummelsen har upphört.

6. mom.

Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas fem år från den dag då den påfördes.

25 § Ändringssökande

1. mom.

Bestämmelser om sökande av ändring i förvaltningsdomstol finns i lagen om rättegång i förvaltningsärenden (808/2019). (27.11.2020/869)

2. mom.

2 mom. har upphävts genom L 27.11.2020/869. (27.11.2020/869)

3. mom.

I ett beslut av dataombudsmannen eller en biträdande dataombudsman kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.

26 § Straffbestämmelser

1. mom.

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet och för grov kränkning av kommunikationshemlighet finns i 38 kap. 3 och 4 § i strafflagen och bestämmelser om straff för dataintrång och för grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. Till straff för brott mot tystnadsplikten enligt 35 § i denna lag och mot sekretessen enligt 36 § döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag.

2. mom.

I 38 kap. 10 § 3 mom. i strafflagen finns det bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns i 1 mom. i denna paragraf liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål.

5 kapSärskilda behandlingssituationer

27 § Behandling av personuppgifter för journalistiska, akademiska, konstnärliga eller litterära ändamål

1. mom.

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 c–e, artiklarna 6 och 7, artiklarna 9 och 10, artikel 11.2, artiklarna 12–22, artikel 30, artikel 34.1–34.3, artiklarna 35 och 36, artikel 56, artikel 58.2 f, artiklarna 60–63 och artiklarna 65–67 i dataskyddsförordningen inte tillämpas på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2. mom.

Artikel 27 i dataskyddsförordningen ska inte tillämpas på behandling av personuppgifter i samband med sådan verksamhet som omfattas av lagen om yttrandefrihet i masskommunikation (460/2003). Artiklarna 44–50 i dataskyddsförordningen ska inte tillämpas, om tillämpningen skulle kränka rätten till yttrandefrihet eller informationsfrihet.

3. mom.

För att trygga yttrandefriheten och informationsfriheten ska artikel 5.1 a och b, artikel 5.2, artiklarna 24–26, artikel 31, artiklarna 39 och 40, artikel 42, artiklarna 57 och 58, artikel 64 och artikel 70 i dataskyddsförordningen endast tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

28 § Offentlighetsprincipen

1. mom.

På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet.

29 § (21.12.2023/1225) Behandling av personbeteckningar

1. mom.

En personbeteckning får behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt särskilja den registrerade och den registrerades personuppgifter från andra registrerade och deras personuppgifter (specificering)

1) för att utföra en i lag angiven uppgift,

2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller

3) för historisk eller vetenskaplig forskning eller för statistikföring.

2. mom.

En personbeteckning får behandlas för entydig specificering av den registrerade vid kreditgivning och indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings- och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.

3. mom.

Utöver vad som i 1 och 2 mom. föreskrivs om behandling av personbeteckningar får en personbeteckning lämnas ut för sådan databehandling som sker i syfte att uppdatera adressuppgifter eller undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

4. mom.

En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett register.

5. mom.

Enbart personbeteckningen eller en kombination av personbeteckningen och den registrerades namn får inte användas för utredning av den registrerades identitet med hjälp av uppgifter som den registrerade har uppgett eller lämnat eller med hjälp av handlingar som den registrerade har visat upp (identifiering).

Se t.ex. KreditinstitutsL 610/2014 15 kap. 18 a §.

30 § Behandling av personuppgifter i anställningsförhållanden

1. mom.

Bestämmelser om behandling av anställdas personuppgifter, test och kontroller som anställda ska genomgå och de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av anställdas e-postmeddelanden finns i lagen om integritetsskydd i arbetslivet (759/2004).

31 § Undantag och skyddsåtgärder som avser behandling av personuppgifter för vetenskapliga och historiska forskningsändamål samt statistiska ändamål

1. mom.

När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att

1) behandlingen av uppgifterna grundar sig på en ändamålsenlig forskningsplan,

2) det finns en ansvarig person eller en grupp som ansvarar för forskningen, och

3) personuppgifterna används och lämnas ut endast för historisk eller vetenskaplig forskning eller ett annat förenligt ändamål och verksamheten också i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående.

2. mom.

När personuppgifter behandlas för statistiska ändamål får undantag vid behov göras från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, under förutsättning att

1) statistiken inte kan tas fram eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter behandlas,

2) framtagandet av statistiken har en saklig anknytning till den personuppgiftsansvariges verksamhet, och

3) uppgifter inte lämnas ut eller görs tillgängliga på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

3. mom.

När personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas för ett ändamål enligt 1 eller 2 mom. krävs det för ett undantag från den registrerades rättigheter enligt artiklarna 15, 16, 18 och 21 i dataskyddsförordningen, utöver vad som föreskrivs i 1 och 2 mom., att det utförs en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen eller att en i artikel 40 i dataskyddsförordningen avsedd uppförandekod följs och att koden på behörigt sätt beaktar ovan avsedda möjlighet att göra undantag från den registrerades rättigheter. Konsekvensbedömningen ska skriftligen delges dataombudsmannen innan behandlingen inleds.

32 § Undantag och skyddsåtgärder som avser behandling av personuppgifter för arkivändamål av allmänt intresse

1. mom.

När personuppgifter behandlas med stöd av 4 § 4 punkten eller artikel 6.1 c i dataskyddsförordningen för arkivändamål av allmänt intresse får undantag göras från den registrerades rättigheter enligt artiklarna 15, 16 och 18–21 i dataskyddsförordningen under de förutsättningar som anges i artikel 89.3 i dataskyddsförordningen.

33 § Begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information

1. mom.

Undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information får göras, om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller allmän ordning och säkerhet eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin.

2. mom.

Undantag från artikel 14.1–14.4 i dataskyddsförordningen får också göras om tillhandahållandet av information orsakar väsentlig skada eller olägenhet för den registrerade och de uppgifter som registreras inte används för sådant beslutsfattande som gäller den registrerade.

3. mom.

Om den registrerade enligt 1 eller 2 mom. inte tillhandahålls information, ska den personuppgiftsansvarige vidta lämpliga åtgärder till skydd för den registrerades rättigheter. I dessa åtgärder ingår att hålla den information som avses i artikel 14.1 och 14.2 i dataskyddsförordningen allmänt tillgänglig, om inte detta äventyrar syftet med begränsningen som gäller tillhandahållande av information.

34 § Begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne

1. mom.

En registrerad har inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om

1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott,

2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller

3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.

2. mom.

Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten enligt artikel 15 i dataskyddsförordningen, har den registrerade rätt att få tillgång till de övriga uppgifter som rör honom eller henne.

3. mom.

Den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen.

4. mom.

Om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade.

6 kapSärskilda bestämmelser

35 § Tystnadsplikt

1. mom.

Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden, ekonomiska ställning eller någon annans företagshemligheter får inte obehörigen för utomstående röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan.

36 § Skydd för rapportörers identitet

1. mom.

När en fysisk person har rapporterat till dataombudsmannen om en misstänkt överträdelse av bestämmelser som omfattas av dataombudsmannens tillsyn, ska rapportörens identitet hållas hemlig, om det utifrån omständigheterna kan bedömas vara till nackdel för rapportören att hans eller hennes identitet röjs.

37 § Ikraftträdande

1. mom.

Denna lag träder i kraft den 1 januari 2019.

2. mom.

Genom denna lag upphävs personuppgiftslagen (523/1999) och lagen om datasekretessnämnden och dataombudsmannen (389/1994).

38 § Övergångsbestämmelser

1. mom.

Giltigheten av de tillstånd som beviljats av datasekretessnämnden upphör vid ikraftträdandet av denna lag. Ärenden som före ikraftträdandet av denna lag blivit anhängiga i datasekretessnämnden förfaller vid ikraftträdandet.

2. mom.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller en anmälan till dataombudsmannen tillämpas de bestämmelser i 36 och 37 § i personuppgiftslagen som gäller anmälningsplikt och hur en anmälan ska göras.

3. mom.

På ett vid ikraftträdandet av denna lag anhängigt ärende som gäller utövande av rätten till insyn och rättelse av personuppgifter tillämpas inte de bestämmelser i artiklarna 12 och 15–18 i dataskyddsförordningen enligt vilka den personuppgiftsansvarige åläggs mer omfattande skyldigheter än vad den registeransvarige hade enligt de bestämmelser som gällde vid ikraftträdandet av denna lag, om det med avseende på den personuppgiftsansvarige skulle vara oskäligt att tillämpa de nämnda bestämmelserna i dataskyddsförordningen.

4. mom.

Vid överklagande av beslut som datasekretessnämnden och dataombudsmannen fattat före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet. På extraordinärt ändringssökande tillämpas de bestämmelser som gällde vid ikraftträdandet av denna lag dock endast om ändringssökandet inletts före ikraftträdandet.

5. mom.

Om en gärning som orsakat skada har begåtts före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet på skyldigheten att ersätta skadan.

Ikraftträdelsestadganden:

27.11.2020/869:

Denna lag träder i kraft den 1 december 2020.

RP 109/2020, LaUB 10/2020, RSv 136/2020

27.11.2020/902:

Denna lag träder i kraft den 10 december 2020.

RP 30/2020, FvUB 16/2020, RSv 125/2020

20.12.2022/1112:

Denna lag träder i kraft den 25 juni 2023.

RP 111/2022, LaUB 20/2022, RSv 204/2022, Europaparlamentets och rådets direktiv (EU) 2020/1828 (32020L1828); EUT L 409, 4.12.2020, s.1

16.2.2023/239:

Denna lag träder i kraft den 1 mars 2023.

RP 93/2022, LaUB 25/2022, RSv 252/2022

21.12.2023/1225:

Denna lag träder i kraft den 1 januari 2024.

Bestämmelserna i 21 § 3 och 4 mom. i denna lag tillämpas inte på ärenden som är under behandling hos dataombudsmannen vid ikraftträdandet av lagen.

RP 62/2023, FvUB 9/2023, RSv 55/2023

12.1.2024/29:

Denna lag träder i kraft den 1 januari 2025.

RP 31/2023, LaUB 6/2023, RSv 47/2023