7
Bestämmelserna i protokollet och deras förhållande till lagstiftningen i Finland
Europeiska unionen har utövat sin lagstiftningsmakt i fråga om medlemsstaternas behandling av personuppgifter genom att utfärda bestämmelser om behandling av personuppgifter, vilka ingår i den allmänna dataskyddsförordningen och i dataskyddsdirektivet avseende brottmål. Bestämmelser om behandling av personuppgifter ingår också i annan EU-lagstiftning, av vilken en del gäller behandling av personuppgifter i medlemsstaterna. I enlighet med Europeiska unionens fördrag är befogenheten delad mellan Europeiska unionen och medlemsstaterna på tillämpningsområdet för dataskyddskonventionen och för protokollen till den. Befogenhetsfördelningen mellan unionen och medlemsstaterna förklaras mer ingående i avsnitt 12.1.
Dataskyddskonventionens bestämmelser har ursprungligen genomförts i Finland genom personregisterlagen (471/1987) och senare personuppgiftslagen (523/1999), vars bestämmelser till största delen baserade sig på personuppgiftsdirektivet. I stället för genom den upphävda personuppgiftslagen genomförs dataskyddskonventionen genom den allmänna dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål. Dessutom ingår rikligt med bestämmelser om behandling av personuppgifter i speciallagstiftning som innehåller till exempel registerbestämmelser, närmare bestämmelser om behandlingen av särskilda kategorier av personuppgifter och undantag från den registrerades rättigheter. Konventionen innehåller allmänt tillämpliga krav och grundläggande principer för behandlingen av personuppgifter, som i alla avseenden har genomförts genom allmän lagstiftning i Finland. Sådana undantag i speciallagstiftning som gäller de grundläggande principerna ska emellertid uppfylla kraven i konventionen.
Artikel 1. I konventionens ingress företas ändringar som betonar behovet av att trygga vars och ens människovärde, skyddet för de mänskliga rättigheterna och de grundläggande friheterna och vars och ens rätt att bestämma om de personuppgifter som gäller en själv och behandlingen av dem. I den ändrade inledningen betonas också dataskyddets samhälleliga och världsomspännande betydelse samt behovet av att samordna rätten till skydd för personuppgifter med övriga mänskliga rättigheter och grundläggande friheter, inklusive yttrandefriheten. I inledningen beaktas att konventionen gör det möjligt att beakta offentlighetsprincipen i fråga om myndigheternas handlingar, och erkänns behovet av att globalt främja respekten för privatlivet och skyddet för personuppgifter samt stärka det internationella samarbetet mellan parterna. Ordalydelsen i ingressen ändras också så att inte bara stater utan även internationella organisationer i fortsättningen kan bli parter i konventionen.
Artikel 2. Ordalydelsen i artikel 1 i konventionen ändras så att konventionens ändamål är att skydda var och en, oavsett nationalitet eller hemvist, när det är fråga om behandling av personuppgifter som gäller honom eller henne, och på så vis främja respekten för hans eller hennes mänskliga rättigheter och grundläggande friheter, särskilt rätten till personlig integritet.
Artikel 3. Definitionerna i artikel 2 i konventionen ändras. Definitionen av automatiserat register (led b) utgår. Begreppet automatisk databehandling ersätts med begreppet databehandling, som avser en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter, såsom insamling, registrering, lagring, ändring, framtagning, utlämning, tillhandahållande, radering eller förstöring eller utförande av logisk och/eller aritmetisk behandling av dessa uppgifter (det nya led b). Enligt det nya led c ska ”databehandling” dessutom, när uppgifter inte behandlas automatiskt, avse en åtgärd eller kombination av åtgärder beträffande personuppgifter som utgör en del av en strukturerad uppsättning av personuppgifter och som är tillgängliga eller kan tas fram enligt vissa kriterier. Definitionen avviker endast något från motsvarande definition i artikel 4.2 i dataskyddsförordningen och 3 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål, och de behandlingsåtgärder som nämns i definitionerna är exempel. Även definitionen av registeransvarig ändras (led d), och den svenska termen byts till personuppgiftsansvarig. Enligt den nya definitionen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, byrå, institution eller annat organ som ensam eller tillsammans med andra är behörig att besluta om databehandlingen. Till konventionen läggs definitioner av mottagare (led e) och personuppgiftsbiträde (led f). Definitioner av personuppgiftsansvarig, mottagare och personuppgiftsbiträde ingår också i artikel 4.7–4.9 i dataskyddsförordningen och i 3 § 1 mom. 6–8 punkten i dataskyddslagen avseende brottmål.
Artikel 4.Artikel 3, som gäller konventionens tillämpningsområde, ändras. Enligt punkt 1 ska tillämpningsområdet, liksom enligt den gällande punkten, omfatta behandling av personuppgifter inom den offentliga och den privata sektorn. Enligt den gällande punkten omfattar tillämpningsområdet automatiserade personregister och automatisk databehandling av personuppgifter, men i och med ändringarna tillämpas konventionen på behandling av personuppgifter i vidare bemärkelse. Sådan behandling av personuppgifter som avses i definitionsbestämmelsen i artikel 2 b omfattar under vissa förutsättningar även andra personregister än register som förs med hjälp av automatisk databehandling. I den nya punkt 2 i den ändrade artikel 3 föreskrivs det att konventionen inte ska tillämpas på sådan databehandling som en enskild utför i verksamhet som är helt och hållet privat eller har samband med hans eller hennes hushåll. Avgränsningen motsvarar avgränsningen i artikel 2.2 c i dataskyddsförordningen. Ur artikel 3 i konventionen stryks bestämmelserna i punkterna 2–6, i enlighet med vilka parterna genom en förklaring kan utvidga eller begränsa konventionens tillämpningsområde för egen del.
Dataskyddsförordningen och dataskyddsdirektivet avseende brottmål täcker konventionens tillämpningsområde med undantag av sådan behandling av personuppgifter som tillämpas i samband med verksamhet som inte faller inom tillämpningsområdet för unionslagstiftningen eller som medlemsstaterna utför när de genomför verksamhet som hör till tillämpningsområdet för avdelning V kapitel 2 i fördraget om Europeiska unionen. I Finland har dock tillämpningsområdet för dataskyddslagen och dataskyddslagen avseende brottmål utvidgats så att dataskyddslagen avseende brottmål med vissa undantag även tillämpas på behandling av personuppgifter vid upprätthållandet av den nationella säkerheten och försvaret, och genom utvidgningen av dataskyddslagens tillämpningsområde tillämpas dataskyddsförordningen och dataskyddslagen i Finland på annan behandling av personuppgifter som faller utanför EU:s dataskyddslagstiftning, med undantag av riksdagsarbetet, som nämns i 2 § 2 mom. i dataskyddslagen.
Riksdagsarbetet uteslöts från dataskyddslagens tillämpningsområde i samband med riksdagsbehandlingen (FvUB 13/2018 rd, s. 7). Grundlagsutskottet påpekade i sitt utlåtande (GrUU 14/2018 rd) att representativ demokrati och riksdagens ställning som högsta statsorgan hör till grundvalen för Finlands statsskick. De här principerna är härledda ur 2 § 1 mom. i grundlagen, som föreskriver att statsmakten i Finland tillkommer folket, som företräds av riksdagen. Detta framgår också explicit av motiveringen till grundlagsreformen (RP 1/1998 rd, s. 74). Riksdagens verksamhet kan delas in i riksdagsarbete, som regleras i grundlagen och riksdagens arbetsordning, och förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk. Enligt grundlagsutskottet utlåtande innebär riksdagens konstitutionella ställning också att riksdagsarbetet inte kan övervakas av utomstående. Därför föreskriver grundlagen uttömmande om att laglighetskontrollen av riksdagens verksamhet ska handhas av riksdagens egna organ, talmannen och grundlagsutskottet (GrUU 14/2018 rd, s. 10). Utskottet såg i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (GrUU 14/2018 rd, s. 11; GrUU 30/1998 rd). Utskottet ansåg att riksdagens ställning som högsta statsorgan och unionsrättens avgränsade tillämpningsområde innebar att lagförslag 1 i propositionen måste ändras på så sätt att riksdagsarbetet utesluts från dataskyddslagens tillämpningsområde. Ändringen var en förutsättning för att lagförslag 1 skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 14/2018 rd, s. 11).
I motiveringen till den gällande dataskyddskonventionen (Explanatory Report/ ETS 108) har det påpekats att konventionen har betydelse även för den offentliga sektorn, även om största delen av de gränsöverskridande dataflödena sker inom den privata sektorn. I konventionens andra bestämmelser görs ingen skillnad mellan den offentliga och den privata sektorn, eftersom dessa termer kan ha olika innebörd i olika stater. Enligt motiveringen kan en åtskillnad ändå vara av betydelse för de förklaringar som parterna avger i fråga om konventionens tillämpningsområde (punkt 33 i motiveringen). Motiveringen till artikel 3 i dataskyddskonventionen överlåter således innebörden av de giltiga texternas engelska term ”public sector” och franska term ”secteur public” åt respektive parts rättsordning. Offentliga myndigheter anses till exempel inom unionsrätten betyda statliga, regionala och lokala myndigheter samt andra sammanslutningar som lyder under offentlig rätt. Vilken lagstiftning som tillämpas på riksdagsarbetet kan variera inom parternas rättsordningar. I fråga om den gällande konventionen har ändå bara två stater (Liechtenstein och Schweiz) uttryckligen genom en förklaring uteslutit riksdagsarbetet från tillämpningsområdet. Finland har inte avgett någon förklaring om riksdagsarbetet beträffande den gällande dataskyddskonventionen. Konventionen är som sådan gällande rätt, och inte heller dess ikraftträdandeförfattning, den upphävda personuppgiftslagen, innehöll något sådant undantag beträffande riksdagsarbetet som skulle ha motsvarat 2 § 2 mom. i dataskyddslagen.
Konventionens tillämpningsområde bör bedömas i ljuset av grundlagsutskottets ovannämnda riktlinjer. Avgränsningen av dataskyddslagen tillämpningsområde lämnar endast personuppgifter i anslutning till riksdagsarbetet och inte riksdagens ämbetsverks verksamhet utanför tillämpningsområdet, så de situationer där personuppgifter som står utanför dataskyddslagens tillämpningsområde behandlas kan bedömas vara begränsade. Även grundlagsutskottets riktlinjer beträffande tillämplig lagstiftning bör ges betydelse. Enligt utskottet kan de allmänna lagarna om förvaltningen inte tillämpas på riksdagsarbetet, även om de kan tillämpas på den förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk. Riksdagens ämbetsverk är enligt 2 § 2 mom. i lagen om riksdagens tjänstemän (1197/2003) riksdagens kansli och riksdagens justitieombudsmans kansli samt statens revisionsverk och forskningsinstitutet för internationella relationer och EU-frågor, som båda finns i anknytning till riksdagen. Till följd av detta blir även tillämpningsområdet för ett eventuellt undantag från konventionens tillämpningsområde snävt, om riksdagsarbetet anses vara en del av den offentliga sektorn. Den omnumrerade artikel 11 i konventionen tillåter undantag från bestämmelserna i konventionen bland annat med hänvisning till ett betydande allmänt intresse, men undantagen kan gälla endast vissa bestämmelser i konventionen, och artikel 3.1 om tillämpningsområde hör inte till dem. Begreppet ”public sector” torde dock i Finland kunna tolkas i ljuset av ovannämnda riktlinjer om tillämpligheten av allmänna förvaltningslagar. Med beaktande av att det förslås att konventionens innehåll ska genomföras genom en blankettbestämmelse i en blandad ikraftträdandelag, föreslås det samtidigt för att undvika oklarheter att det godkänns en förklaring om tolkningen av artikel 3.1 i konventionen där det preciseras hur begreppet den offentliga sektorn ska tolkas vid tillämpningen av konventionen i Finland.
Förhållandet mellan de undantag som konventionen tillåter och lagstiftningen behandlas i övrigt i samband med artikel 14 i protokollet.
Artikel 5. Rubriken för kapitel II i konventionen ändras till ”Grundläggande principer för skydd av personuppgifter”.
Artikel 6. I artikel 4 ändras bestämmelserna om parternas lagstiftningsskyldigheter i punkterna 1 och 2. Enligt den ändrade punkt 1 ska varje part vidta de åtgärder i sin lagstiftning som behövs för att genomföra alla bestämmelser i konventionen och säkerställa att de faktiskt tillämpas. Den gällande punkten förutsätter endast att konventionens grundläggande principer för dataskydd ska genomföras. I praktiken utvidgar ändringen lagstiftningsskyldigheternas innehåll så att till exempel bestämmelserna om gränsöverskridande dataflöden börjar omfattas av den uttryckliga genomförandeskyldigheten. Enligt den gällande punkt 2 ska den lagstiftning som förutsätts för att genomföra konventionen träda i kraft senast vid den tidpunkt då konventionen träder i kraft för parten. Enligt den ändrade punkt 2 ska parterna vidta lagstiftningsåtgärderna innan de ratificerar konventionen eller ansluter sig till den. Detta är av betydelse särskilt för tillämpningen av genomförandebestämmelserna med sakinnehåll. Till artikeln läggs en ny punkt 3, enligt vilken varje part åtar sig att tillåta att den konventionskommitté som avses i kapitel VI bedömer effektiviteten av de åtgärder som parten har vidtagit i sin lagstiftning för att genomföra konventionens bestämmelser (led a). Parterna åtar sig också att medverka aktivt i bedömningsprocessen (led b). Med medverkan avses till exempel överlämnande av rapporter om tillämpningen av konventionen eller lämnande av upplysningar i någon annan form för bedömningsprocessen. Av den nya artikel 11.3 i konventionen följer emellertid att parterna inte förutsätts överlämna sekretessbelagda upplysningar till konventionskommittén.
Artikel 7. Bestämmelserna i artikel 5 om vilken behandling av personuppgifter som är berättigad kompletteras, och rubriken för artikeln ändras till ”Databehandlingens legitimitet och uppgifternas beskaffenhet”.
Till artikeln läggs en ny punkt 1, enligt vilken databehandlingen ska vara proportionell i förhållande till det legitima mål som eftersträvas och behandlingen i samtliga faser ska avspegla rättvis balans mellan å ena sidan alla allmänna och privata intressen som hänför sig till saken och å andra sidan de rättigheter och friheter som ska skyddas. Punkt 1 överlappar delvis den nya punkt 4 c, så att bägge gäller proportionalitetsprincipen. Motsvarande krav på proportionalitet i fråga om behandlingen ingår i artikel 5.1 c och artikel 6.3 och 6.4 i dataskyddsförordningen samt i 6 § 1 mom. i dataskyddslagen avseende brottmål.
Till artikeln läggs en ny punkt 2, enligt vilken parterna ska säkerställa att uppgifter kan behandlas med den registrerades fria, uttryckliga, informerade och otvetydiga samtycke eller på någon annan legitim grund som fastställts i lag. I artikel 6.1 i dataskyddsförordningen föreskrivs det om grunderna för behandling av personuppgifter, av vilka den registrerades samtycke är en. Bestämmelser om villkoren för samtycke finns i artikel 7 i dataskyddsförordningen. I dataskyddslagen avseende brottmål anges inte samtycke som en förutsättning för behandling av personuppgifter, utan förutsättningen för behandling är enligt 4 § i den lagen i samtliga situationer att behandlingen behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift som hör till lagens tillämpningsområde.
Till artikeln läggs en ny punkt 3 och en ny punkt 4, som preciserar bestämmelserna om laglighetskravet och ändamålsbegränsningen i fråga om behandlingen av personuppgifter i leden a och b i den gällande artikeln. Personuppgifter som behandlas ska enligt punkt 3 behandlas på ett lagligt sätt.
Enligt punkt 4 a ska personuppgifterna behandlas rättvist och öppet. Enligt punkt 4 b ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses vara förenlig med dessa ändamål, om lämpliga garantier iakttas. Bestämmelserna motsvarar artikel 5.1 a och b i dataskyddsförordningen och 5 § i dataskyddslagen avseende brottmål. I artikel 6.4 i dataskyddsförordningen finns närmare bestämmelser om kriterierna för ytterligare förenlig behandling. Innehållet i punkt 4.c–e motsvarar i sak leden c–e i den gällande artikeln.
Artikel 8. Bestämmelserna om särskilda slags uppgifter i artikel 6 i konventionen ändras. Enligt den ändrade punkt 1 är det tillåtet att behandla de personuppgifter som räknas upp i bestämmelsen endast om lämpliga skyddsåtgärder, som kompletterar skyddsåtgärderna enligt konventionen, har fastställts i lag. Ett krav på bestämmelser om skyddsåtgärder ingår redan i den gällande artikeln, men de särskilda kategorierna av uppgifter kompletteras så att med fällande domar i brottmål jämställs uppgifter som hänför sig till brott och rättegångar i brottmål samt säkerhetsåtgärder, och till artikeln fogas biometriska uppgifter med vilkas hjälp det är möjligt att entydigt identifiera en person, genetiska uppgifter och personuppgifter som avslöjar medlemskap i fackföreningar. Enligt den nya punkt 2 ska de skyddsåtgärder som avses i artikeln skydda mot de risker som behandlingen av känsliga uppgifter kan medföra för den registrerades intressen, rättigheter och grundläggande friheter, särskilt mot risken för diskriminering. Bestämmelser som motsvarar den ändrade artikel 6 i konventionen ingår i artiklarna 9 och 10 i dataskyddsförordningen samt i 11 § i dataskyddslagen avseende brottmål. På grund av tillämpningsområdet för dataskyddslagen avseende brottmål jämställs i lagen inte de uppgifter som avses i artikel 10 i dataskyddsförordningen med särskilda kategorier av personuppgifter.
Artikel 9.Artikel 7 i konventionen ändras. Innehållet i den ändrade punkt 1 motsvarar i huvudsak den gällande artikeln, där det föreskrivs om krav på säkerhetsåtgärder i anslutning till datasäkerheten. Enligt den ändrade punkten gäller kraven utöver den personuppgiftsansvarige i tillämpliga fall även personuppgiftsbiträdet. Motsvarande krav ingår i artikel 32 i dataskyddsförordningen och i 31 § i dataskyddslagen avseende brottmål.
Till artikeln läggs en ny punkt 2, enligt vilken parterna ska säkerställa att den personuppgiftsansvarige utan dröjsmål anmäler åtminstone sådana personuppgiftsincidenter som allvarligt kan kränka de registrerades rättigheter och grundläggande friheter till den behöriga tillsynsmyndigheten enligt artikel 15 i konventionen. Ett motsvarande krav ingår i artikel 33 i dataskyddsförordningen och i 34 § i dataskyddslagen avseende brottmål.
Artikel 10. Till konventionen läggs en ny artikel 8, som gäller öppenheten i databehandlingen. Artikeln innehåller skyldigheter i fråga om information till de registrerade. Artikel 8.1 innehåller huvudregeln, enligt vilken parterna ska säkerställa att den personuppgiftsansvarige är skyldig att lämna de registrerade den information som nämns i punkten samt de kompletterande uppgifter som behövs för att säkerställa en rättvis och öppen behandling. Kravet tillämpas inte om den registrerade redan förfogar över denna information (artikel 8.2). Artikel 8.3 tillåter undantag från den personuppgiftsansvariges skyldighet i fall där personuppgifterna inte samlas in direkt från den registrerade, om det föreskrivs uttryckligen om databehandlingen genom lag eller det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning att tillhandahålla information. Reglering som motsvarar artikeln ingår till stor del i artiklarna 12–14 i dataskyddsförordningen och i 22 § i dataskyddslagen avseende brottmål, men i synnerhet dataskyddsförordningens reglering är mer detaljerad och innehåller strukturella skillnader jämfört med artikeln i konventionen. Artikel 11.1 i konventionen tillåter undantag från artikel 8.1 för att lätta på den personuppgiftsansvariges administrativa börda, förutsatt att undantaget inte ingriper i den registrerades grundläggande rätt att få tillgång till uppgifter som gäller honom eller henne själv och det föreskrivs om undantaget genom lag, de grundläggande rättigheterna och friheterna respekteras i väsentliga avseenden och undantaget är nödvändigt och proportionellt.
Artikel 11. Den nuvarande artikel 8 omnumreras till artikel 9, och rubriken ändras till ”Den registrerades rättigheter”. Artikelns innehåll ersätts med ny text.
En ny punkt 1 led a ersätter artikelns led a. Enligt det nya ledet har var och en rätt att inte bli föremål för ett sådant beslut som i betydande grad påverkar honom eller henne och som enbart grundas på automatisk databehandling utan att hänsyn tas till hans eller hennes synpunkter. Enligt punkt 2 tillämpas inte punkt 1 led a, om beslutet är tillåtet enligt den lagstiftning som ska tillämpas på den personuppgiftsansvarige och det i den lagstiftningen också föreskrivs om lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen. Bestämmelser som motsvarar den nya artikeln finns i artikel 22 i dataskyddsförordningen och i 13 § i dataskyddslagen avseende brottmål. Artikel 22 i dataskyddsförordningen möjliggör emellertid undantag även på andra grunder, till vilka hör att beslutet är nödvändigt för ingående av ett avtal mellan den registrerade och den personuppgiftsansvarige och att beslutet grundar sig på den registrerades uttryckliga samtycke. I 13 § i dataskyddslagen avseende brottmål ingår en möjlighet till undantag genom bestämmelser i lag.
I punkt 1 led b föreskrivs det om vars och ens rätt att på begäran med rimliga mellanrum och utan oskäliga dröjsmål eller kostnader få bekräftelse på att personuppgifter som gäller honom eller henne behandlas, information i begriplig form om de behandlade personuppgifterna, all tillgänglig information om dessa uppgifters innehåll, varifrån de kommer och deras lagringstid samt övrig information som den personuppgiftsansvarige ska lämna för att säkerställa att databehandlingen är öppen i enlighet med artikel 8.1. Bestämmelserna i det nya ledet motsvarar huvudreglerna i det gällande led b, men är mer detaljerade.
Enligt led c i den nya punkt 1 har var och en rätt att på begäran få kännedom om grunderna för behandlingen av personuppgifter, om resultaten av behandlingen tillämpas på honom eller henne. Ett motsvarande krav ingår i artiklarna 13–15 i dataskyddsförordningen och i 22 och 23 § i dataskyddslagen avseende brottmål.
Enligt led d i den nya punkt 1 har var och en rätt att av skäl som hänför sig till hans eller hennes specifika situation när som helst göra invändningar mot behandling av personuppgifter som gäller honom eller henne, om inte den personuppgiftsansvarige påvisar berättigade skäl för behandlingen av personuppgifter som väger tyngre än hans eller hennes intressen eller rättigheter och grundläggande friheter. I artikel 21 i dataskyddsförordningen ingår en motsvarande bestämmelse, med stöd av vilken den registrerade i regel, av skäl som hänför sig till hans eller hennes specifika situation, har rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f i förordningen. Utöver undantaget enligt konventionen kan man med stöd av dataskyddsförordningen göra undantag från rätten också om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. Rätt till invändningar föreligger ändå inte enligt dataskyddsförordningen till exempel när behandlingen i enlighet med artikel 6.1 c är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Den registrerade har dock med stöd av artikel 22 i dataskyddsförordningen alltid rätt att göra invändningar mot behandling för direktmarknadsföring och profilering i anslutning därtill.
På grund av sitt tillämpningsområde innehåller dataskyddslagen avseende brottmål ingen rätt att göra invändningar mot behandlingen av personuppgifter. Med stöd av artikel 11.1 a i konventionen får undantag från den registrerades rätt att göra invändningar tillåtas bland annat när rätten behöver begränsas av skäl som hänför sig till den nationella säkerheten, försvaret, den allmänna säkerheten eller förebyggande, utredning eller lagförande av brott eller verkställigheten av straffrättsliga påföljder, förutsatt att det föreskrivs om sådant undantag genom lag, de grundläggande rättigheterna och friheterna respekteras i väsentliga avseenden och undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle. Med stöd av dataskyddslagen avseende brottmål har den registrerade dock tillgång till andra rättigheter, inklusive rätt att få oriktiga personuppgifter rättade eller olagligt behandlade personuppgifter utplånade, samt de rättsmedel som föreskrivs i 9 kap. Den omständighet att rätten att göra invändningar saknas i dataskyddslagen avseende brottmål kan betraktas som ett undantag enligt artikel 11.1 a i konventionen.
Leden c och d i den gällande artikeln ersätts med nya led e och f, som i huvudsak motsvarar de gällande leden. Enligt det nya led e i punkt 1 har var och en rätt att på begäran och utan oskäligt dröjsmål i förekommande fall få de personuppgifter som gäller honom eller henne rättade och raderade, om de behandlas eller har behandlats i strid med bestämmelserna i konventionen. Motsvarande krav på rättelse eller radering av uppgifter ingår i artiklarna 16 och 17 i dataskyddsförordningen och i 25 § i dataskyddslagen avseende brottmål. I artikel 12.5 i dataskyddsförordningen föreskrivs det att bland annat åtgärder enligt artiklarna 16 och 17 är avgiftsfria. Också i 30 § 2 mom. i dataskyddslagen avseende brottmål föreskrivs det om avgiftsfri behandling av registrerades begäranden, vilken inte är begränsad till enbart begäranden om rättelse och utplåning av personuppgifter. Med stöd av såväl dataskyddsförordningen som dataskyddslagen avseende brottmål kan en avgifts tas ut, om begärandena upprepats eller av någon annan orsak är uppenbart orimliga eller ogrundade. Artikel 11.1 i konventionen tillåter proportionella undantag från kravet på avgiftsfrihet.
Enligt det nya led f i punkt 1 har var och en rätt att använda ett rättsmedel enligt artikel 12, om hans eller hennes rättigheter enligt konventionen har kränkts. I kapitel VIII i dataskyddsförordningen föreskrivs det om rättsmedel som är tillämpliga på rättskränkningar, och rättsmedlen kompletteras av bestämmelserna om rättssäkerhet och påföljder i 4 kap. i dataskyddslagen. I dataskyddslagen avseende brottmål föreskrivs det om rättssäkerhet i 9 kap. och om skadestånd i 60 §.
Enligt led g i punkt 1 har var och en rätt att oavsett nationalitet och hemvist få hjälp av den tillsynsmyndighet som avses i artikel 15 med att utöva sina rättigheter enligt konventionen. Enligt artikel 57.1 e i dataskyddsförordningen är den nationella tillsynsmyndigheten skyldig att på begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter. En motsvarande bestämmelse ingår i 46 § 1 mom. 3 punkten i dataskyddslagen avseende brottmål. Med stöd av artikel 58.2 c i dataskyddsförordningen och 51 § 5 punkten i dataskyddslagen avseende brottmål kan dataombudsmannen förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter. Om den registrerades rätt enligt artikel 15 i dataskyddsförordningen att bekanta sig med uppgifter som samlats in om honom eller henne har begränsats med stöd av 34 § i dataskyddslagen, ska uppgifterna lämnas till dataombudsmannen på begäran av den registrerade i enlighet med 4 mom. I 29 § i dataskyddslagen avseende brottmål föreskrivs det om utövande av rättigheter via dataombudsmannen. Dataombudsmannens befogenheter är inte bundna till den registrerades hemvist. Artikel 21.2 i Europeiska unionens stadga om de grundläggande rättigheterna och grundlagens 6 § 2 mom. förbjuder diskriminering på grund av nationalitet.
Artikel 12. Till konventionen läggs en ny artikel 10, som gäller parternas övriga förpliktelser.
Punkt 1 gäller personuppgiftsansvarigas och personuppgiftsbiträdens skyldighet att vidta alla lämpliga åtgärder för att uppfylla förpliktelserna i konventionen och kunna påvisa att förpliktelserna är uppfyllda. Bestämmelserna i punkten motsvarar artikel 24.1 och 24.2 och artikel 28.1 i dataskyddsförordningen samt 14 § och 17 § 1 mom. i dataskyddslagen avseende brottmål.
I punkt 2 åläggs parterna skyldighet att säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden innan behandlingen inleds utreder vilka konsekvenserna den tänkta behandlingen av personuppgifter sannolikt har för de registrerades rättigheter och grundläggande friheter och planerar behandlingen av personuppgifter så att risken för att dessa rättigheter och grundläggande friheter kränks förhindras eller minimeras. Krav på konsekvensbedömning ingår i artikel 35 i dataskyddsförordningen och i 20 § i dataskyddslagen avseende brottmål.
Enligt punkt 3 i artikeln ska parterna säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden genomför tekniska och organisatoriska åtgärder som tar hänsyn till hur rätten till skydd för personuppgifter påverkar samtliga databehandlingsfaser. Enligt motiveringen till protokollet ska principen om inbyggt dataskydd beaktas i en så tidig fas av behandlingen av personuppgifter som möjligt, det vill säga i mån av möjlighet redan när de tekniska och organisatoriska behandlingslösningarna planeras. När behandlingen av personuppgifter planeras bör man eftersträva lättanvända lösningar som främjar efterlevnaden av lagstiftningen. Bestämmelser om inbyggt dataskydd och dataskydd som standard ingår i artikel 25 i dataskyddsförordningen och 15 § i dataskyddslagen avseende brottmål.
Enligt punkt 4 i artikeln får parterna i sin lagstiftning anpassa bestämmelserna i punkterna 1–3 så att de motsvarar de behandlade uppgifternas art och omfattning och databehandlingens art, omfattning och ändamål samt i förekommande fall den registeransvariges eller personuppgiftsbiträdets storlek. I artikel 25.1 i dataskyddsförordningen och i 15 § 1 mom. i dataskyddslagen avseende brottmål ingår skyldighet för den personuppgiftsansvarige att beakta behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter när skyddsåtgärder genomförs, men bestämmelserna innehåller ingen flexibilitet för den personuppgiftsansvarige eller behandlingen av personuppgifter.
Artikel 13. Artiklarna 9–12 i konventionen omnumreras till artiklarna 11–14.
Artikel 14. Enligt artikeln ersätts bestämmelserna i konventionens omnumrerade artikel 11 med nya. Artikeln gäller tillåtna undantag från konventionens tillämpningsområde.
Enligt punkt 1 är undantag från konventionens artikel 5.4 (öppen behandling av personuppgifter samt principer), artikel 7.2 (anmälan av personuppgiftsincidenter till tillsynsmyndigheten), artikel 8.1 (skyldighet att informera den registrerade) och artikel 9 (den registrerades rättigheter) tillåtna, när det är fråga om att trygga den nationella säkerheten, försvaret, den allmänna säkerheten, statens viktiga ekonomiska eller finansiella intressen, rättsväsendets opartiskhet och oberoende eller förebyggande, utredning eller lagförande av brott eller verkställigheten av straffrättsliga påföljder eller andra viktiga mål som ligger i det allmänna intresset (led a). Undantag är också tillåtna när det är fråga om att skydda den registrerades eller andra personers grundläggande fri- och rättigheter, särskilt yttrandefriheten (led b). Av åtgärder som utgör undantag förutsätts att de medges i lag och att de är nödvändiga och proportionella i ett demokratiskt samhälle. Med nödvändighet avses att undantaget har ett berättigat mål som inte kan uppnås med metoder som utgör en mindre inskränkning av skyddet för privatlivet. Nödvändigheten av undantagen i artikel 11 i den ändrade konventionen ska bedömas från fall till fall och i enlighet med de viktiga mål som ligger i det allmänna intresset. (Punkterna 91 och 93 i motiveringen)
Begreppet nationell säkerhet ska tolkas i enlighet med den Europeiska människorättsdomstolens rättspraxis i anslutning till saken (punkt 94 i motiveringen). Rättspraxis av betydelse för saken gäller i synnerhet skydd för statens säkerhet och demokratin mot spionage, terrorism samt stöd för terrorism och separatism. När det är fråga om undantag som hänför sig till den nationella säkerheten måste skyddsåtgärder mot maktmissbruk säkerställas.
Europeiska unionens dataskyddslagstiftning tillämpas inte på behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret. Tillämpningsområdet för Europarådets dataskyddskonvention är mer omfattande och täcker även sådan behandling av personuppgifter. Även eventuella undantag måste hållas inom de gränser som konventionen tillåter.
I dataskyddsförordningen och dataskyddslagen avseende brottmål görs inga undantag från principerna för behandling av personuppgifter. Bestämmelser om behandling av personuppgifter som är förenlig med det ursprungliga ändamålet finns i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen samt i 5 § i dataskyddslagen avseende brottmål. Närmare bestämmelser om undantag från det ursprungliga ändamålet finns i speciallagstiftning. Den ovillkorliga skyldigheten att anmäla personuppgiftsincidenter till tillsynsmyndigheten är i artikel 33 i dataskyddsförordningen och i 34 § i dataskyddslagen avseende brottmål begränsad till att på samma sätt som artikel 7.2 i konventionen gälla situationer som skulle medföra en risk för den registrerades rättigheter. I artikel 23 i dataskyddsförordningen ingår grunder på vilka den registrerades rättigheter kan begränsas genom lagstiftningsåtgärder. Begränsningsgrunderna motsvarar i stor utsträckning grunderna för undantag enligt konventionen. I artikel 23 i dataskyddsförordningen föreskrivs det dessutom om förutsättningarna för lagstiftningsåtgärder. I 33 § i dataskyddslagen föreskrivs det om undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information. I 34 § i dataskyddslagen föreskrivs det om begränsningar i den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. I 24 § i dataskyddslagen avseende brottmål föreskrivs det om inskränkningar i den registrerades rätt till insyn, och i 28 § i den lagen föreskrivs det mer allmänt som de grunder på vilka den registrerades rättigheter kan begränsas. I speciallagstiftningen ingår också begränsningar av och undantag från den registrerades rättigheter.
Punkt 2 i den omnumrerade artikel 11 i konventionen möjliggör inskränkningar i tillämpningen för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, om det inte finns någon identifierbar risk för kränkning av den registrerades rättigheter och grundläggande friheter. Behandling av personuppgifter för sådana ändamål betraktas i enlighet med artikel 5.1 b i dataskyddsförordningen som behandling som är förenlig med den ursprungliga behandlingen av personuppgifterna. I artikel 89 i dataskyddförordningen föreskrivs det om skyddsåtgärder för sådan behandling och om undantag som kan föreskrivas i nationell rätt. Närmare bestämmelser om undantag och skyddsåtgärder ingår i 31 och 32 § i dataskyddslagen. I 5 § 3 mom. i dataskyddslagen avseende brottmål tillåts inom lagens tillämpningsområde behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, om lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits.
I punkt 3 konstateras det att när det är fråga om behandling av personuppgifter i anslutning till ändamål som avser den nationella säkerheten och försvaret får konventionsparterna i lag medge undantag även från artikel 4.3 (skyldighet att tillåta att effektiviteten av lagstiftningsåtgärder som gäller konventionen bedöms och skyldighet att aktivt medverka i bedömningen), artikel 14.5 och 14.6 (tillsynsmyndighetens rätt att få information om gränsöverskridande överföring av personuppgifter) samt artikel 15.2 a, b, c och d (vissa av tillsynsmyndighetens befogenheter). Undantag är dock tillåtna endast i den mån som undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle för att nå målet i fråga. Varje part ska i vilket fall som helst säkerställa att databehandlingsverksamhet i anslutning till den nationella säkerheten och försvarsändamål bedöms och övervakas oberoende och effektivt i enlighet med partens nationella lagstiftning. I enlighet med 45 § i dataskyddslagen avseende brottmål övervakar dataombudsmannen all behandling av personuppgifter vid upprätthållandet av den nationella säkerheten.
I dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål föreskrivs det inte om några sådana begränsningar av den nationella tillsynsmyndighetens rätt till information och befogenheter som avses i artikel 14.5 och 14.6. Tillsynsmyndighetens behörighet enligt artikel 15.2 c i konventionen att besluta om administrativa påföljder har i viss mån begränsats i dataskyddslagen. En begränsning som gäller det aktuella ledet är tillåten, och den ändrade konventionen tillåter också alternativt ett annat slags påföljdssystem. Förhållandet mellan dessa begränsningar och bestämmelserna i konventionen förklaras i samband med artikel 15 i protokollet.
Artikel 15. Konventionens artikel 10 (den nya artikel 12) preciseras så att parternas skyldighet att införa lämpliga sanktioner och rättsmedel som gäller sanktioner som bestäms och rättsmedel som tillämpas i både rättskipande och andra organ. Enligt motiveringen till den nya artikel 12 får parterna själva bestämma arten av de påföljder som tillämpas. Påföljderna kan vara civilrättsliga, administrativa eller straffrättsliga. Påföljderna ska emellertid vara effektiva, proportionella och förebyggande. Parterna får också bestämma de tillämpliga rättsmedlen, förutsatt att den registrerade har verklig möjlighet att använda rättsmedlen för att bestrida ett beslut eller en praxis.
I artikel 83 i den allmänna dataskyddsförordningen föreskrivs det om administrativa sanktionsavgifter (nedan administrativ påföljdsavgift), som tillämpas inom den allmänna dataskyddsförordningens och dataskyddslagens tillämpningsområde. Administrativ påföljdsavgift får emellertid enligt 24 § 4 mom. i dataskyddslagen inte påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ. Administrativ påföljdsavgift får inte heller påföras inom tillämpningsområdet för dataskyddslagen avseende brottmål, vilket gäller enbart myndigheters verksamhet. I de situationer där påföljdsavgift inte kan påföras blir påföljder och rättsmedel enligt strafflagen, tjänstemannalagen och skadeståndslagen tillämpliga. Dataombudsmannen har dessutom med stöd av 22 § i dataskyddslagen och 52 § i dataskyddslagen avseende brottmål rätt att förena sina förelägganden enligt nämnda bestämmelser med vite. I 21 § i dataskyddslagen föreskrivs det om rätt att föra ett ärende som gäller brott mot lagstiftningen om behandling av personuppgifter till dataombudsmannen, och i 25 § i den lagen föreskrivs det om rätt att söka ändring i dataombudsmannens och biträdande dataombudsmannens beslut. Motsvarande bestämmelser ingår i 56 och 59 § i dataskyddslagen avseende brottmål. Bestämmelserna i dataskyddslagen och dataskyddslagen avseende brottmål motsvarar kraven i den ändrade artikel 12.
Artikel 16. Rubriken för kapitel III i konventionen ändras till ”Gränsöverskridande överföring av personuppgifter”.
Artikel 17. Rubriken för konventionens artikel 12 (den nya artikel 14) ändras till ”Gränsöverskridande överföring av personuppgifter”. Texten i artikeln ersätts med ny text.
Enligt punkt 1 i den omnumrerade artikel 14 får en part inte, uteslutande i syfte att skydda personuppgifter, förbjuda överföring av sådana uppgifter till en mottagare som lyder under en annan parts jurisdiktion eller kräva särskilt tillstånd för överföringen. Denna bestämmelse motsvarar den gällande konventionens artikel 12.2. I motsats till nuläget får en part emellertid agera så, om det finns en faktisk och allvarlig risk för att överföring till en annan parts territorium eller från denna andra parts territorium till någon annan än en part skulle leda till kringgående av bestämmelserna i konventionen. En part får också agera så, om parten är bunden av harmoniserade dataskyddsregler som är gemensamma för stater som hör till en internationell organisation. Punkt 1 tillåter alltså EU:s medlemsstater att tillämpa bestämmelser i EU-rätten och dess genomförandelagstiftning i stället för kraven i konventionen.
I punkt 2 i artikeln föreskrivs det att om mottagaren av personuppgifter lyder under en sådan stats eller internationell organisations jurisdiktion som inte är part i konventionen, får personuppgifter överföras endast som en lämplig skyddsnivå enligt bestämmelserna i konventionen säkerställs. Punkten motsvarar det gällande tilläggsprotokollets artikel 2.1. Enligt punkt 3 kan en lämplig skyddsnivå basera sig på nationell eller internationell lagstiftning, inklusive tillämpliga internationella överenskommelser (led a), eller på ad hoc- eller godkända standardiserade skyddsåtgärder som fastställs i en sådan rättsligt bindande och verkställbar handling som de personer som deltar i överföringen och den fortsatta behandlingen av personuppgifter godkänner och genomför (led b). Punkten är ny i förhållande till tilläggsprotokollet. Bestämmelser som motsvarar ledet finns i artiklarna 44–47 i dataskyddsförordningen och i 41–42 § i dataskyddslagen avseende brottmål.
Enligt punkt 4 får en part dock trots bestämmelserna om skyddsnivå bestämma att personuppgifter får överföras med den registrerades samtycke, om den registrerades särskilda intressen förutsätter det i ett enskilt fall, med stöd av ett lagstadgat berättigat intresse eller ett viktigt allmänt intresse eller för att trygga yttrandefriheten. Punkten motsvarar delvis det gällande tilläggsprotokollets artikel 2.2, men avtalsklausuler (contractual clauses) utgör inte längre en grund för undantag. Dessutom har den grund som gäller ett berättigat intresse eller ett viktigt allmänt intresse skärpts. Till denna del krävs fortsättningsvis uttryckliga bestämmelser i lag, men dessutom förutsätts i fråga om lagbestämmelserna att nödvändigheten och proportionaliteten säkerställs. I artikel 49 i dataskyddsförordningen och i 43 § i dataskyddslagen avseende brottmål finns bestämmelser om överföring av uppgifter som baserar sig på enskilt eller allmänt intresse. Paragrafen i dataskyddslagen avseende brottmål gäller inte behandling av personuppgifter vid upprätthållandet av den nationella säkerheten.
Punkterna 2 och 3 i artikeln tillåter inga undantag, utan kraven i dem ska tillämpas på all behandling av personuppgifter. EU:s dataskyddslagstiftning tillämpas inte som sådan på bland annat sådan behandling av personuppgifter som hänför sig till verksamhet som står utanför EU-rätten. Sådan behandling av personuppgifter är i synnerhet behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret och som i Finland till stor del har inkluderats i tillämpningsområdet för dataskyddslagen avseende brottmål, men lagens 7 kap. om överföring av personuppgifter till tredjeländer och internationella organisationer gäller inte sådan behandling av personuppgifter. I 51 § 4 mom. i polisens personuppgiftslag föreskrivs det om skyldigheten att ta hänsyn till bland annat de internationella fördrag som är bindande för Finland och nivån på dataskyddet i den stat som är mottagare av personuppgifterna. Motsvarande krav på hänsyn till skyddsnivån finns i 31 § 2 mom. och 32 § 1 mom. i Försvarsmaktens personuppgiftslag. I det sistnämnda momentet förutsätts också att hänsyn tas till internationella fördrag. Huvudregeln i punkt 2 i artikeln gäller dessutom redan nu dessa myndigheter i och med lagen om ikraftsättande av tilläggsprotokollet. Lagen om ikraftsättande av ändringsprotokollet sätter också i kraft bestämmelserna i punkt 3 om vad bedömningen av en tillräcklig skyddsnivå kan basera sig på. Genomförandet av punkt 4 förutsätter materiella bestämmelser, men det är fråga om en möjlighet för konventionsparterna, och det är inte nödvändigt att genomföra de gällande bestämmelserna i dataskyddslagen avseende brottmål i större omfattning. Punkternas förhållande till dataskyddslagen avseende brottmål bedöms mer ingående i detaljmotiveringen till lagförslag 3.
Enligt punkt 5 ska parterna föreskriva en skyldighet att underrätta den behöriga myndigheten om överföringar som baserar sig på ad hoc- eller godkända standardiserade skyddsåtgärder samt på begäran om överföringar som baserar sig på ett särskilt intresse, ett berättigat intresse eller ett viktigt allmänt intresse. Motsvarande krav ingår i artikel 30 i dataskyddsförordningen och i 42–44 § i dataskyddslagen avseende brottmål. Punkten möjliggör undantag bland annat i fråga om behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret, men de ifrågavarande grunderna för överföring av personuppgifter gäller enligt den gällande lagstiftningen inte behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten. Överföring av personuppgifter till tredjeländer och internationella organisationer i enlighet med 51 § i polisens personuppgiftslag och 31 och 32 § i Försvarsmaktens personuppgiftslag ska dock anmälas till tillsynsmyndigheterna i den utsträckning som förutsätts i 18 och 47 § i dataskyddslagen avseende brottmål.
Enligt punkt 6 ska parterna föreskriva om rätt för tillsynsmyndigheten att begära att den person som överför personuppgifter visar att skyddsåtgärderna är effektiva eller att tvingande berättigade intressen föreligger samt säkerställa att tillsynsmyndigheten kan förbjuda, avbryta eller villkora sådana överföringar. Bestämmelser som i huvudsak motsvarar punkten ingår i artiklarna 44–49 och 58 i dataskyddsförordningen och i 41–44 och 51 § i dataskyddslagen avseende brottmål. Punkten möjliggör undantag bland annat i fråga om behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret, men tillsynsmyndighetens befogenheter enligt artikel 58 i dataskyddsförordningen och 51 § i dataskyddslagen avseende brottmål gäller all behandling av personuppgifter utan undantag.
Enligt punkt 3 i artikel 17 i ändringsprotokollet innehåller artikeln de bestämmelser som för närvarande ingår i artikel 2 i tilläggsprotokollet. Enligt artikel 37.4 i ändringsprotokollet upphävs tilläggsprotokollet den dag då ändringsprotokollet träder i kraft.
Artikel 18. Efter kapitel III i konventionen läggs ett nytt kapitel IV till med rubriken ”Tillsynsmyndigheter”.
Artikel 19. Den nya artikel 15 innehåller bestämmelserna i artikel 1 i det gällande tilläggsprotokollet.
Bestämmelserna om tillsynsmyndigheter utvidgas. Enligt punkt 1 ska parterna se till att en eller flera myndigheter kontrollerar att bestämmelserna i konventionen följs. Enligt 8 § i dataskyddslagen och 45 § i dataskyddslagen avseende brottmål är dataombudsmannen den myndighet som övervakar att de författningarna och dataskyddsförordningen efterlevs. Dataskyddslagen och dataskyddslagen avseende brottmål innehåller ingen hänvisning till dataskyddskonventionen. Inte heller den upphävda lagen om datasekretessnämnden och dataombudsmannen (389/1994) innehöll någon uttrycklig hänvisning. I praktiken har dock dataombudsmannen skött tillsynsuppgiften enligt konventionen med stöd av 38 § i den upphävda personuppgiftslagen, som innehöll en allmän hänvisning som behandling av personuppgifter med stöd också av annan lagstiftning. Dataombudsmannen övervakar direkt med stöd av dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål överföring av personuppgifter till länder utanför EU, bland annat till övriga parter i dataskyddskonventionen, trots att motsvarande uppgift inte har föreskrivits uttryckligt för dataombudsmannen i fråga om konventionen. Dataombudsmannen bör för tydlighetens skull särskilt anges också som den tillsynsmyndighet som avses i konventionen.
Enligt punkt 2 ska myndigheterna för detta ändamål ha rätt att företa undersökningar och ingripanden (led a), ha uppgifter i anslutning till gränsöverskridande överföring av personuppgifter, särskilt godkännande av standardiserade skyddsåtgärder (led b) och ha behörighet att fatta beslut som gäller brott mot bestämmelserna i konventionen (led c). I denna behörighet kan enligt led c ingå i synnerhet behörighet att besluta om administrativa påföljder. Enligt motiveringen till konventionen kan bestämmelserna i punkt 2 också tillämpas så att påföljden påförs av en behörig domstol, om en parts rättsordning inte möjliggör administrativa påföljder (punkt 119 i motiveringen). Enligt punkt 2 ska tillsynsmyndigheten också ha behörighet att vara part i rättsliga förfaranden eller att för de behöriga rättsliga myndigheterna anmäla brott mot bestämmelserna i konventionen (led d) samt främja allmän kännedom om tillsynsmyndighetens uppgifter, behörighet och verksamhet, om de registrerades rättigheter och om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter (led e).
Konventionen ger parterna spelrum när det gäller hur de organiserar tillsynsmyndighetens uppgifter och behörighet. Tillsynsmyndighetens befogenhet att ålägga den personuppgiftsansvarige korrigerande åtgärder kan omfatta olika åtgärder, såsom rättelse, radering eller utplåning av felaktiga personuppgifter eller personuppgifter som behandlats i strid med lag. Tillsynsmyndigheten kan utöva sin behörighet på eget initiativ eller på den registrerades begäran, om denne inte själv kan utöva sina rättigheter (punkterna 119 och 121 i motiveringen). Bestämmelser som motsvarar de uppgifter och befogenheter som avses i punkt 2 i konventionen ingår i artiklarna 57 och 58 i dataskyddsförordningen, i 15, 18, 22 och 24 § i dataskyddslagen och i 46–48, 51 och 52 § i dataskyddslagen avseende brottmål.
Enligt punkt 3 ska de behöriga tillsynsmyndigheterna höras om förslag till lagstiftningsåtgärder och administrativa åtgärder som möjliggör behandling av personuppgifter. Motsvarande bestämmelser ingår i artikel 52.3 b i dataskyddsförordningen och i 53 § 2 mom. i dataskyddslagen avseende brottmål.
Enligt punkt 4 ska varje behörig tillsynsmyndighet behandla framställningar och klagomål som gäller registrerades dataskydd samt informera de registrerade om hur behandlingen framskrider. Motsvarande bestämmelser ingår i artikel 57.1 f i dataskyddsförordningen och i 29 § 2 mom. och 46 § 1 mom. 7 punkten i dataskyddslagen avseende brottmål.
Enligt punkt 5 ska tillsynsmyndigheterna agera helt oberoende och opartiskt när de utför sina uppgifter och utövar sina befogenheter, och de får inte begära eller ta emot instruktioner. Motsvarande krav ingår i artikel 52.1–52.3 i dataskyddsförordningen och i 8 § 2 mom. i dataskyddslagen.
Enligt punkt 6 ska parterna säkerställa att tillsynsmyndigheterna får de resurser de behöver för att utföra sina uppgifter effektivt och utöva sina befogenheter effektivt. Ett motsvarande krav ingår i artikel 52.4 i dataskyddsförordningen. I 9 § 1 mom. i dataskyddslagen föreskrivs om personalen vid dataombudsmannens byrå och i 12 § 1 mom. i den lagen om sakkunnignämnden.
Enligt punkt 7 ska varje tillsynsmyndighet regelbundet upprätta och publicera en rapport om sin verksamhet. Ett motsvarande krav ingår i artikel 59 i dataskyddsförordningen och i 14 § 4 mom. i dataskyddslagen.
Enligt punkt 8 ska tillsynsmyndigheternas medlemmar och personal hemlighålla information som de har eller har haft åtkomst till vid utförandet av sina uppgifter och utövandet av sina befogenheter. Bestämmelser om tystnadsplikt för dataombudsmannen, biträdande dataombudsmannen och anställda vid dataombudsmannens byrå finns i 17 § i statstjänstemannalagen (750/1994) och i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen).
Enligt punkt 9 ska tillsynsmyndigheternas beslut kunna överklagas i domstol. Bestämmelser om ändringssökande finns i artikel 78 i dataskyddsförordningen, i 25 § i dataskyddslagen och i 59 § i dataskyddslagen avseende brottmål.
Enligt punkt 10 har tillsynsmyndigheterna inte behörighet avseende databehandling som olika organ utför i sin dömande verksamhet. Enligt artikel 55.3 i dataskyddsförordningen ska tillsynsmyndigheterna inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Enligt 45 § i dataskyddslagen avseende brottmål tillämpas bestämmelserna om tillsyn i lagen inte på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman.
Den gällande punkt 5 i tilläggsprotokollet utgår. Punkten innehåller bestämmelser om tillsynsmyndigheternas samarbete, som tas in i den nya artikel 17.
Artikel 20. Kapitlen IV–VII i konventionen omnumreras till kapitlen V–VIII (punkt 1). Rubriken för kapitel V i konventionen ersätts med rubriken ”Samarbete och ömsesidigt bistånd” (punkt 2). Till konventionen läggs en ny artikel 17, och artiklarna 13–27 omnumreras till artiklarna 16–31 (punkt 3).
Artikel 21. Rubriken för artikel 13 (den nya artikel 16) i konventionen ersätts med rubriken ”Utseende av tillsynsmyndigheter”. Punkt 1 i den omnumrerade artikel 16 motsvarar innehållsmässigt den gällande biståndsskyldigheten mellan parterna vid genomförandet av konventionen, men dessutom tillfogas en uttrycklig samarbetsskyldighet. Sådana skyldigheter för parterna att utse och meddela myndigheter som motsvarar punkt 2 ingår i den gällande konventionen, och artikel 16 innehåller inga nya skyldigheter. Behovet av att utse en myndighet i den nationella lagstiftningen förklaras mer ingående i samband med artikel 15 samt i motiveringen till lagförslag 1.
Artikel 22. Till konventionen läggs en ny artikel 17, som gäller tillsynsmyndigheternas samarbetsformer. Artikeln ersätter artikel 1.5 i tilläggsprotokollet, men bestämmelserna i den nya artikeln är mer detaljerade. Enligt punkt 1 samarbetar tillsynsmyndigheterna i den mån det behövs för att utföra deras uppgifter och utöva deras befogenheter, särskilt genom att bistå varandra genom att utbyta upplysningar (led a), samordna sina undersökningar eller ingripanden eller genomföra gemensamma operationer (led b) och lämna ut upplysningar och handlingar om sin lagstiftning och administrativa praxis som gäller dataskydd (led c). De upplysningar som lämnas ut får enligt punkt 2 inte innehålla personuppgifter som behandlas, om inte personuppgifterna är väsentliga för samarbetet eller om inte den registrerade har gett sitt samtycke till att personuppgifterna lämnas ut. Samtycket ska vara uttryckligt, specificerat, fritt och informerat. Enligt punkt 3 bildar tillsynsmyndigheterna ett nätverk för att organisera sitt samarbete och utföra sina uppgifter enligt artikeln.
Bestämmelserna i artikeln påverkar inte samarbetet mellan EU:s dataskyddsmyndigheter, som bedrivs i enlighet med dataskyddsförordningen inom ramen för Europeiska dataskyddsstyrelsen. Tillsynsmyndigheternas samarbete enligt dataskyddsförordningen och dataskyddslagen avseende brottmål omfattar endast samarbete med myndigheter i EU:s medlemsstater. Dataombudsmannens befogenheter i fråga om tillsynssamarbetet enligt dataskyddskonventionen framgår därmed inte entydigt av lag. De konventionsbestämmelser som gäller tillsynsmyndigheternas samarbete är dock i kraft som sådana med stöd av 1 § i lagförslag 1, och de tillämpas på samarbete som bedrivs med myndigheter i andra stater än EU:s medlemsstater. På dataombudsmannens rätt att lämna ut sekretessbelagda uppgifter till utländska myndigheter tillämpas 30 § i offentlighetslagen. Uppgifterna ska få lämnas ut på samma villkor som de med stöd av 29 § får lämnas ut till finska myndigheter. Behovet av lagändringar bedöms närmare i motiveringen till lagförslag 2 och 3.
Utöver riksdagsarbetet är dataombudsmannens befogenheter begränsade i den mån det är fråga om behandling av personuppgifter som utförs av domstolarna, statsrådets justitiekansler och riksdagens justitieombudsman. I dataskyddslagen avseende brottmål har dataombudsmannens övernationella befogenheter dessutom begränsats i den mån det är fråga om behandling av personuppgifter vid upprätthållandet av den nationella säkerheten. Bestämmelserna i 54 § i dataskyddslagen avseende brottmål tillämpas inte på sådan behandling av personuppgifter som avses i 1 § 2 mom. i den lagen. Begränsningar som gäller tillsyn kan påverka tillsynsmyndigheternas samarbete i den mån som den behandling av personuppgifter som omfattas av begränsningarna är förenad med gränsöverskridande överföring av personuppgifter. De begränsningar som hänför sig till upprätthållandet av den nationella säkerheten är till denna del dock förenliga med konventionen, med beaktande de tillämpliga bestämmelserna i 18 och 47 § i dataskyddslagen avseende brottmål.
Artikel 23. Rubriken för artikel 14 (den nya artikel 18) i konventionen ersätts med rubriken ”Bistånd till registrerade personer”, och punkt 1 i artikeln ändras så att parterna ska bistå en registrerad, oberoende av hans eller hennes nationalitet eller hemvist, vid utövandet av sina rättigheter enligt konventionen. Även om det är fråga om en skyldighet som ålagts parterna, svarar tillsynsmyndigheterna för det praktiska biståndet. Den upphävda personuppgiftslagen begränsade inte dataombudsmannens befogenheter på basis av den registrerades hemvist eller nationalitet, utan gällde sådan behandling av personuppgifter där den registeransvariges verksamhetsställe var beläget inom finskt territorium eller i övrigt stod under finsk jurisdiktion. Inte heller dataskyddslagen begränsar dataombudsmannens befogenheter på basis av den registrerades hemvist eller nationalitet. Den gällande dataskyddskonventionen förutsätter redan att registrerade som är bosatta utomlands ska bistås. Ändringarna av punkt 1 innebär således inga innehållsmässiga utvidgningar i finsk lagstiftning. I de övriga punkterna i artikeln företas tekniska ändringar som motsvarar de ändrade definitionerna, men innehållet i punkterna förblir i övrigt oförändrat. Enligt motiveringen kan de registrerade utöva sina rättigheter antingen direkt eller via tillsynsmyndigheten. Registrerade som befinner sig utomlands kan också att möjlighet att utöva sina rättigheter via en diplomatisk beskickning eller ett konsulat (punkterna 145 och 146 i motiveringen).
Artikel 24. Rubriken för artikel 15 (den nya artikel 19) ersätts med rubriken ”Skyddsåtgärder”. I artikeln begränsas utnyttjandet av uppgifter som tillsynsmyndigheten tagit emot till att gälla de uppgifter som nämns i framställningen (punkt 1) samt tillsynsmyndighetens framställning om bistånd åt en registrerad person till situationer där den registrerade har gett sitt samtycke till det (den omnumrerade punkt 2). Ordalydelsen i punkt 1 och punkt 3 (den nya punkt 2) i artikeln förenklas, men innehållet förändras inte. Den gällande punkt 2 i artikeln, som gäller sekretess för tillsynsmyndighetens anställda utgår. En motsvarande bestämmelse har tagits in i artikel 15.8.
Artikel 25. I artikel 16 (den nya artikel 20) i konventionen företas tekniska justeringar i rubriken och i led a. Led b i artikeln förblir oförändrat. I led c görs en begreppsmässig precisering, enligt vilken tillsynsmyndigheten får vägra att efterkomma en framställning om samarbete enligt artikel 17, om det skulle strida mot den nationella säkerheten hos den part som har utsett tillsynsmyndigheten. Det begrepp som använts i det gällande ledet i konventionen är säkerhet.
Artikel 26. I artikel 17 (den nya artikel 21) företas tekniska ändringar i rubriken och i punkterna 1 och 3. Innehållet i artikeln ändras inte, men utöver ömsesidigt bistånd nämns också samarbete mellan tillsynsmyndigheterna uttryckligen i ordalydelsen.
Artikel 27.Rubriken för kapitel V (det nya kapitel VI) i konventionen ändras till ”Konventionskommitté”.
Artikel 28. Termen ”rådgivande kommitté”, som används i punkt 1 i artikel 18 (den nya artikel 22) i konventionen, ersätts med termen ”konventionskommitté”. Motsvarande ändring företas i punkt 3. Punkt 3 i artikeln ändras dessutom så att konventionskommittén, med två tredjedelars majoritet av företrädarna för parterna, får bjuda in en observatör att låta sig företrädas på kommitténs möten. Enligt den gällande punkten förutsätts ett enhälligt beslut för att bjuda in en observatör.
Till artikeln läggs en ny punkt 4, enligt vilken en part som inte är medlem i Europarådet deltar i finansieringen av konventionskommitténs verksamhet i enlighet med sådana detaljerade regler som ministerkommittén fastställer genom överenskommelse med den parten.
Artikel 29. I det inledande stycket i artikel 19 (den nya artikel 23) i konventionen ersätts termerna ”den rådgivande kommittén” med termen ”konventionskommittén”. Innehållet i leden a–d förblir i huvudsak oförändrat. I led a ersätts kommitténs rätt att lägga fram förslag med rätt att lägga fram rekommendationer för att underlätta tillämpningen av konventionen. Enligt led d ska kommittén dessutom ha rätt att på eget initiativ yttra sig om tolkningen och tillämpningen av konventionen. Enligt det gällande ledet yttrar sig kommittén på begäran av en part, och det gäller endast tillämpning av konventionen. Enligt motiveringen har man genom ändringen beaktat att behandlingen av personuppgifter, som konventionen gäller, hela tiden utvecklas, varför det är möjligt att frågor väcks också om konventionens betydelse vid sidan av frågor om den praktiska tillämpningen (punkt 157).
Till artikeln läggs nya led (e–i), genom vilka konventionskommittén ges nya uppgifter. Enligt det nya led e utarbetar kommittén före varje ny anslutning till konventionen för ministerkommittén ett yttrande om nivån på skyddet för personuppgifter i den kandidat som vill ansluta sig och rekommenderar vid behov åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen. I fråga om den gällande konventionen har man iakttagit en praxis där Europarådets ministerkommitté beslutar om en stat utanför Europarådet ska bjudas in att ansluta sig till konventionen och inhämtar rådgivande kommitténs yttrande före det. För utlåtandet har varje stat som är företrädd i kommittén särskilt ombetts att ge sin syn på om den stat som vill ansluta sig har genomfört de lagstiftningsåtgärder som behövs för att efterleva konventionen. Praxis motsvarar andra förfaranden enligt Europarådets konventioner, eftersom konventionen gör det möjligt för en stat utanför Europarådet att ansluta sig, men den nuvarande kommitténs roll är inte lika betydande som den blir när ändringarna i dataskyddskonventionen träder i kraft. Till skillnad från gällande praxis får kommittén i och med de nya befogenheterna en nyckelroll när det gäller att bedöma om en stat som vill ansluta sig uppfyller nivån på tillfredsställande dataskydd.
Enligt det nya led f kan kommittén på begäran av en stat eller internationell organisation bedöma om den nivån på skyddet för personuppgifter som den erbjuder är förenlig med bestämmelserna i konventionen och kan vid behov rekommendera åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen.
Enligt det nya led g kan kommittén utveckla eller godkänna modeller för standardiserade skyddsåtgärder enligt artikel 14.
Enligt det nya led h bedömer kommittén hur parterna har genomfört konventionen och rekommenderar åtgärder i fall där en part inte följer konventionen. Förfarandet förklaras mera ingående i samband med artikel 30 i protokollet.
Enligt det nya led i underlättar kommittén vid behov förlikning för att lösa alla problem i anslutning till tillämpningen av konventionen. Enligt motiveringen ska konventionskommittén vid tvister försöka hitta en lösning med hjälp av förhandlingar eller andra förlikningsförfaranden (punkt 165).
Artikel 30. Texten i artikel 20 (den nya artikel 24) i konventionen ersätts med ny text. Led 1 i artikeln ändras så att konventionskommittén sammanträder minst en gång om året. Enligt den gällande punkten ska kommittén hålla möte åtminstone vartannat år. Den ändrade punkten torde emellertid inte medföra några ändringar i kommitténs nuvarande praxis, eftersom den på senare tid har hållit möte två gånger om året. Den gällande punkt 2 i artikeln utgår. Den gällande punkt 3 omnumreras till punkt 2, men utöver kommitténs namn ändras dess innehåll inte.
Till artikeln läggs en ny punkt 3, enligt vilken konventionskommitténs omröstningsarrangemang fastställs i grunderna för arbetsordningen, som utgör bilaga till tilläggsprotokollet. När EU blir part i konventionen, överlämnar EU ett meddelande där befogenhetsfördelningen mellan unionens och medlemsstaternas preciseras i den mån det är fråga om sådan behandling av personuppgifter som hör till konventionens tillämpningsområde. EU ska också underrätta Europarådets generalsekreterare om ändringar i befogenhetsfördelningen (punkt 160 i motiveringen).
Till artikeln läggs en ny punkt 4, enligt vilken konventionskommittén utarbetar övriga grunder för sin arbetsordning och i synnerhet fastställer de bedömningsförfaranden som avses i artikel 4.3 och artikel 23 e, f och h på objektiva kriterier. Dessa förfaranden gäller bedömning av om nivån på dataskyddet hos stater eller internationella organisationer som ansluter sig är tillfredsställande och bedömning av effektiviteten hos parternas lagstiftning för att genomföra konventionen.
Kommitténs nya befogenheter att bedöma effektiviteten hos lagstiftningsåtgärderna i de stater och internationella organisationer som är parter innebär ett nytt slags bedömningsförfarande för att garantera att de dataskyddsprinciper som fastställts i konventionen genomförs och att parterna uppfyller kraven i den (punkt 162 i motiveringen). Uppföljningsförfarandet stärker samtidigt kommitténs befogenheter. Parterna å sin sida är i enlighet med den ändrade artikel 4.3 i konventionen skyldiga att aktivt medverka i bedömningsförfarandet. För EU:s medlemsstaters del riktar sig bedömningsförfarandet i praktiken mot både EU:s dataskyddslagstiftning och den nationella lagstiftning som kompletterar och genomför den. Bedömningen kan också gälla speciallagstiftning till exempel i den mån som man i speciallagstiftningen avviker från den registrerades rättigheter. Detta är av särskild betydelse för den lagstiftning som gäller behandling av personuppgifter vid upprätthållandet av den nationella säkerheten med beaktande av att den inte hör till tillämpningsområdet för EU:s dataskyddslagstiftning och att Europeiska kommissionen har inte befogenheter att bedöma den inom ramen för bedömningen av innehållet i den lagstiftning som genomför EU-rätten.
Man har ännu inte fattat beslut om detaljerna i bedömnings- och uppföljningsförfarandet för konventionen. Konventionskommittén har befogenheter att besluta om dem när ändringsprotokollet har trätt i kraft. Kommittén ska dock direkt med stöd av bestämmelserna i protokollet ge rekommendationer om korrigering av bestämmelserna eller förfaranden som eventuellt strider mot konventionen. I ljuset av tillgängliga uppgifter torde kommittén fästa uppmärksamhet vid både lagstiftningen och dess tillämpningspraxis. Även om det är fråga om rekommendationer och inte rättsligt bindande bestämmelser, kan de särskilt genom inverkan på anseendet antas ha positiv inverkan på uppfyllandet av dataskyddskraven, och på så sätt torde bedömnings- och uppföljningsförfarandet inverka på konventionens allmänna syfte att säkerställa en enhetlig nivå på dataskyddet hos parterna.
Artikel 31. I punkterna 1,3 och 4 i artikel 21 (den nya artikel 25) i konventionen ändras kommitténs namn. Dessutom ändras punkt 2 för att beakta att även internationella organisationer kan bli parter i konventionen vid sidan av stater.
Till artikeln läggs en ny punkt 7, enligt vilken ministerkommittén, efter att ha hört konventionskommittén, kan besluta enhälligt att en enskild ändring i konventionen träder i kraft tre år från det att ändringen har öppnats för godkännande, om inte någon part underrättar Europarådets generalsekreterare om att parten motsätter sig ikraftträdandet av ändringen. I det fallet träder ändringen i kraft den första dagen i den månad som följer på den dag då den part som meddelat att den motsätter sig ändringen har deponerat sitt godkännandeinstrument.
Artikel 32.Punkt 1 i artikel 22 (den nya artikel 26) i konventionen ändras för att beakta att konventionen är öppen för undertecknande samt ratifikation, godtagande eller godkännande för inte bara Europarådets medlemsstater utan också Europeiska unionen. I punkt 3 ersätts termen ”medlemsstat” därför med termen ”part”.
Befogenhetsfördelningen mellan Europeiska unionen och dess medlemsstater behandlas mer ingående i avsnitt 10.1.
Artikel 33. Rubriken för och texten i artikel 23 (den nya artikel 27) i konventionen ändras för att beakta att även internationella organisationer vid sidan av stater utanför Europarådet kan ansluta sig till konventionen. Dessutom ändras punkt 1 så att konventionsparternas och konventionskommitténs roll stärks i förfarandet där ministerkommittén kan bjuda in en stat eller internationell organisation att ansluta sig till konventionen. Europarådets ministerkommitté får, efter att ha hört parterna i konventionen och erhållit deras enhälliga samtycke samt med beaktande av ett yttrande som konventionskommitténs utarbetat i enlighet med artikel 23 e, bjuda in en stat, som inte är medlem av Europarådet, eller en internationell organisation att ansluta sig till konventionen genom ett beslut med sådan majoritet som föreskrivs i artikel 20 stycke d i Europarådets stadga och under förutsättning att samtliga företrädare för de fördragsslutande stater som är medlemmar i kommittén har röstat för beslutet.
Artikel 34. Artikel 24 (den nya artikel 28) i konventionen gäller förklaringar rörande konventionens geografiska tillämpning. Punkterna 1 och 2 i konventionen ändras för att beakta att även Europeiska unionen och andra internationella organisationer kan vara parter i den ändrade konventionen.
Artikel 35. I det inledande stycket i artikel 27 (den nya artikel 31) ersätts termen ”stat” med termen ”part”. I led c ersätts dessutom hänvisningen ”artiklarna 22, 23 och 24” med hänvisningen ”artiklarna 26, 27 och 28”.
Artikel 36.Undertecknande, ratifikation och anslutning. Enligt artikeln är protokollet öppet för undertecknande av de fördragsslutande staterna i konventionen. Det ska ratificeras, godtas eller godkännas. Ratifikations-, godtagande- och godkännandeinstrumenten ska deponeras hos Europarådets generalsekreterare. Sedan protokollet har öppnats för undertecknande och innan det träder i kraft ger varje annan stat sitt samtycke till att vara bunden av protokollet genom att ansluta sig till det. En stat kan inte bli part i konventionen utan att samtidigt ansluta sig till ändringsprotokollet.
Artikel 37.Ikraftträdande. Enligt punkt 1 träder protokollet i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter den dag då alla parter i konventionen har uttryckt sin vilja att vara bundna av protokollet i enlighet med bestämmelserna i artikel 36.1.
I punkt 2 föreskrivs det att om protokollet inte har trätt i kraft i enlighet med punkt 1, ska det för de staters del som i enlighet med punkt 1 har uttryckt sin vilja att vara bundna av protokollet träda i kraft inom fem år efter det att det öppnades för undertecknande, förutsatt att protokollet har minst trettioåtta parter. Samtliga bestämmelser i den ändrade konventionen träder i kraft mellan parterna i protokollet genast när protokollet träder i kraft.
Enligt punkt 3 kan en part i konventionen, innan protokollet träder i kraft, vid undertecknandet av protokollet eller när som helst senare avge en förklaring enligt vilken parten tillämpar bestämmelserna i protokollet temporärt, utan att detta påverkar bestämmelserna om ikraftträdande och anslutning för icke-medlemsstater eller internationella organisationer. I sådana fall tillämpas bestämmelserna i protokollet endast med avseende på andra sådana parter i konventionen som har avgett en förklaring med samma innehåll. En sådan förklaring träder i kraft den första dagen i den tredje månaden efter det att Europarådets generalsekreterare har tagit emot förklaringen.
Enligt punkt 4 upphävs tilläggsprotokollet när ändringsprotokollet träder i kraft. Bestämmelserna i tilläggsprotokollet ingår i artiklarna 14 och 15 i den ändrade konventionen.
Enligt punkt 5 förlorar de ändringar i dataskyddskonventionen som ministerkommittén antog i Strasbourg den 15 juni 1999 sin betydelse när ändringsprotokollet träder i kraft.
Artikel 38.Förklaringar som hänför sig till konventionen. Enligt artikeln förfaller sådana gällande förklaringar om tillämpningsområdet som avgetts i enlighet med artikel 3 när ändringsprotokollet träder i kraft.
Finland har i samband med deponeringen av sitt ratifikationsinstrument för tilläggsprotokollet avgett en förklaring enligt vilken Finland inte tillämpar konventionen på behandling av personuppgifter som en fysisk person utför uteslutande för personliga eller därmed jämförbara sedvanliga privata syften. Finland har dessutom avgett en förklaring enligt vilken Finland tillämpar konventionen inte bara på automatisk behandling av personuppgifter utan också på annan behandling av personuppgifter då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Det faktum att dessa förklaringar förfaller får ingen rättsverkan, eftersom bestämmelserna om konventionens tillämpningsområde i och med ikraftträdandet av ändringsprotokollet motsvarar innehållet i Finlands förklaringar.
Den ändrade konventionen innehåller inga bestämmelser om förklaringar med undantag av bestämmelserna om geografiska förklaringar enligt artikel 28. Om en part deponerar en förklaring i samband med undertecknandet, ratifikationen, godtagandet eller godkännandet är det alltså fråga om en tolkningsförklaring som inte grundar sig på bestämmelserna i konventionen. En tolkningsförklaring får inte utgöra en reservation.
Artikel 39.Reservationer. Enligt artikeln får inga reservationer mot bestämmelserna i protokollet göras. Inte heller den gällande konventionen eller den ändrade konventionen tillåter reservationer.
Artikel 40.Underrättelser. Enligt artikeln ska Europarådets generalsekreterare underrätta Europarådets medlemsstater och varje annan part i konventionen om varje undertecknande (led a), deponering av varje instrument rörande ratifikation, godtagande, godkännande eller anslutning (led b), dagen för ikraftträdande av protokollet enligt artikel 37 (led c) och varje annan handling och underrättelse och varje annat meddelande som hänför sig till protokollet (led d).
Bilaga till protokollet.Grunder för konventionskommitténs arbetsordning. Ändringsprotokollet innehåller en bilaga. Bilagans rättsliga ställning framgår inte uttryckligen av texten i protokollet, men artikel 30.3 och 30.4 i protokollet antyder att bilagan är en oskiljaktig del av protokollet, för enligt artikel 30.3 fastställs omröstningsarrangemangen i de grunder för arbetsordningen, som utgör bilaga, och enligt artikel 30.4 utarbetar konventionskommittén övriga grunder för sin arbetsordning. Bilagan har således samma rättsverkan som protokollets övriga bestämmelser. Bilagan innehåller detaljerade bestämmelser om omröstning. Detta omfattar bestämmelser om situationer där organisationer för regional integration, såsom Europeiska unionen, utövar rösträtt i ärenden som faller inom deras befogenhet. Europeiska unionen kan utöva sin rösträtt i fall där medlemsstaterna inte utövar sin egen rösträtt.