Hoppa till huvudnavigeringen

Direkt till innehållet

RP 30/2020 rd

Senast publicerat 02-04-2020 14:01

Regeringens proposition RP 30/2020 rd Regeringens proposition till riksdagen om godkännande och sättande i kraft av protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter samt med förslag till lagar om ändring av dataskyddslagen och 1 och 54 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att riksdagen godkänner ett protokoll om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter till den del det hör till Finlands behörighet. Genom protokollet ändras betydande delar av konventionens bestämmelser så att dess innehåll bättre motsvarar Europeiska unionens dataskyddslagstiftning. I propositionen föreslås det också att riksdagen godkänner den förklaring av tolkningen av artikel 3.1 i den ändrade konventionen, som innehåller begreppet offentlig sektor, och som avges i samband med ratificeringen av protokollet. 

I propositionen ingår ett förslag till lag om protokollet om ändring av konventionen. Dessutom föreslås det i propositionen att dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten ändras.  

Protokollet träder i kraft den första dagen i den månad som följer efter utgången av en tid om tre månader efter det att alla parter i konventionen har uttryckt sin vilja att vara bundna av protokollet. Om protokollet inte har trätt i kraft inom fem år från det att det öppnades för undertecknande, är förutsättningen för att protokollet ska träda i kraft att minst 38 parter har ratificerat, godtagit eller godkänt det. Det lagförslag som gäller ikraftsättande av protokollet avses träda i kraft vid en tidpunkt som föreskrivs genom förordning av statsrådet. De övriga lagförslagen avses träda i kraft senast samtidigt som Finland deponerar sitt ratifikationsinstrument hos Europarådets generalsekreterare. 

MOTIVERING

Bakgrund och beredning

1.1  Bakgrund

Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 35–36/1992, nedan dataskyddskonventionen), som ingicks i Strasbourg den 28 januari 1981, trädde i kraft internationellt den 1 oktober 1985 och för Finlands del den 1 april 1992. Dataskyddskonventionen kompletterades den 8 november 2001 med ett tilläggsprotokoll om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (ETS nr 181, FördrS 78/2012, nedan tilläggsprotokollet). Riksdagen antog tilläggsprotokollet genom lag 408/2012, och det trädde i kraft för Finlands del den 1 november 2012 (statsrådets förordning 535/2012). 

Dataskyddskonventionen, som utarbetats inom ramen för Europarådet, var den första internationella rättsligt bindande överenskommelsen om skydd för personuppgifter, och den har påverkat lagstiftningen om skydd för personuppgifter i Europa på ett betydande sätt, bland annat Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan personuppgiftsdirektivet). Dataskyddskonventionen ger stater utanför Europarådet möjlighet att ansluta sig till konventionen. Konventionen erbjuder ett minimiskydd vid behandling av personuppgifter för alla personer som vistas inom de staters territorier som har ratificerat konventionen samt vid gränsöverskridande överföring av personuppgifter. Parterna i dataskyddskonventionen är skyldiga att i sin nationella lagstiftning ta in åtgärder för att garantera att de grundläggande principerna för dataskydd följs. Konventionen gäller all automatisk behandling av personuppgifter, inklusive behandling av personuppgifter inom polissamarbete och straffrättsligt samarbete. Utöver konventionen har Europarådet också gett ett flertal rekommendationer om behandling av personuppgifter. 

Konventionen har ratificerats av de 47 medlemsstaterna i Europarådet, och 8 stater utanför Europarådet har anslutit sig till den (situationen den 13 mars 2020). Samtliga medlemsstater i Europeiska unionen (EU) är parter i konventionen. Sammanlagt 43 stater, inklusive Finland, har ratificerat eller anslutit sig till tilläggsprotokollet (situationen den 13 mars 2020). 

Protokollet om ändring av konventionen öppnades för undertecknande den 10 oktober 2018, då också Finland undertecknade det. Protokollet (ETS nr 223, nedan ändringsprotokollet) har undertecknats av 35 stater, av vilka 3 är stater utanför Europarådet (situationen den 13 mars 2020). Tre stater har ratificerat ändringsprotokollet. Förenta nationernas (FN) specialrapportör för integritetsfrågor har i sin årsrapport till FN:s generalförsamling i november 2018 uppmanat FN:s samtliga medlemsstater att ansluta sig till konventionen. FN:s specialrapportör har upprepat uppmaningen i sin årsrapport till FN:s råd för mänskliga rättigheter i mars 2019, med beaktande av konventionens betydelse särskilt på området för nationell säkerhet. Även Europarådet har strävat efter att främja undertecknande och ratificering av ändringsprotokollet till konventionen. Ändringsprotokollet gör det möjligt för EU och andra internationella organisationer att ansluta sig till konventionen efter det att protokollet trätt i kraft. EU kan inte underteckna eller ratificera ändringsprotokollet, eftersom det i den gällande dataskyddskonventionen föreskrivs att endast stater är parter i konventionen. Den 15 juni 1999 godkändes visserligen en ändring av konventionen, med stöd av vilken Europeiska gemenskaperna skulle ha kunnat ansluta sig till konventionen efter att alla parter godkänt ändringen. Ändringen har dock aldrig trätt i kraft, och den förlorar sin betydelse när ändringsprotokollet träder i kraft. 

1.2  Beredning

Beredning av protokollet

Arbetet med att revidera dataskyddskonventionen var en del av en större helhet, som omfattar flera samtidiga projekt för att revidera de internationella dataskyddsbestämmelserna. I reformarbetet beaktades OECD:s riktlinjer för skydd för privatlivet och gränsöverskridande överföringar av personuppgifter, som reviderades 2013, Förenta nationernas riktlinjer från 1990 om reglering av automatisk behandling av personuppgifter, EU:s regelverk från och med 1995, bestämmelserna om skydd för privatlivet i anslutning till det ekonomiska samarbetet i Asien och Stillahavsområdet samt 2009 års internationella standarder om skydd för privatlivet i anslutning till behandling av personuppgifter. 

EU:s dataskyddslagstiftning reviderades samtidigt som arbetet med att revidera dataskyddskonventionen pågick. Man har strävat efter att säkerställa så stor överensstämmelse som möjligt mellan dataskyddskonventionen och EU:s dataskyddslagstiftning. EU:s dataskyddslagstiftning har också utnyttjats i den reviderade dataskyddskonventionens innehåll. 

Vid revideringen av dataskyddskonventionen rådde stort samförstånd om följande aspekter: konventionens bestämmelser bör fortsättningsvis vara allmänt tillämpliga och teknikneutrala, konventionens följdriktighet och dess kompatibilitet med andra rättsliga ramverk bör bibehållas, och konventionen bör fortfarande vara öppen för anslutning för stater utanför Europarådet. 

Den rådgivande kommitté som inrättats genom artikel 18 i dataskyddskonventionen utarbetade utkast till förslag till ändringar av konventionen, vilka godkändes av kommitténs plenum den 27–30 november 2012 och överlämnades till Europarådets ministerkommitté. Ministerkommittén tillsatte en ad hoc-dataskyddskommitté (CAHDATA), som fick i uppdrag att finslipa ändringsförslagen. Detta arbete slutfördes under CAHDATA:s tredje möte den 1–3 december 2014. För att behandla öppna frågor tillsattes en andra ad hoc-kommitté (CAHDATA), som inledde sitt arbete efter att revideringen av EU:s dataskyddslagstiftning hade slutförts. CAHDATA höll sitt sista möte den 15–16 juni 2016, då förslagen färdigställdes och överlämnades till ministerkommittén för behandling och godkännande. 

Ministerkommittén godkände ändringsprotokollets text den 18 maj 2018. Ändringsprotokollets bilaga är en oskiljaktig del av protokollet, och den har samma rättsverkan som protokollets övriga bestämmelser. 

Beredningen på nationell nivå

Konventionen och dess protokoll hör till EU:s och medlemsstaternas delade befogenhet. Befogenheten i fråga om lagstiftningen om behandling av personuppgifter tillkommer EU:s medlemsstater till den del det är fråga om behandling av personuppgifter som hänför sig till verksamhet utanför unionsrätten, såsom behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret. Befogenhetsfördelningen mellan unionen och medlemsstaterna förklaras mer ingående i avsnitt 12.1. 

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning, nedan dataskyddsförordningen) och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (nedan dataskyddsdirektivet avseende brottmål) trädde i kraft den 5 maj 2016. Denna dataskyddslagstiftning, som är allmänt tillämplig i unionen, samt den nationella lagstiftning och de genomförandebestämmelser som kompletterar den utgör samtidigt lagstiftning som genomför konventionens ändringsprotokoll i EU:s medlemsstater, med undantag av sådana rättsområden där behandlingen av personuppgifter inte hör till unionsrättens tillämpningsområde. 

Dataskyddsförordningen började tillämpas den 25 maj 2018. Dataskyddslagen (1050/2018), som kompletterar dataskyddsförordningen, och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål), genom vilken dataskyddsdirektivet avseende brottmål genomförs, trädde i kraft den 1 januari 2019. 

Kommissionen gav den 19 november 2012 Europeiska unionens råd en rekommendation till ett beslut genom vilket kommissionen bemyndigas att inleda förhandlingar om en reform av konventionen. Europeiska unionens råd bemyndigade den 6 juni 2013 kommissionen att delta i förhandlingarna på unionens vägnar. Kommissionen förde på unionens vägnar i enlighet med rådets anvisningar förhandlingar om de frågor som enligt fördragen hör till unionens befogenhet. Kommissionen rapporterade om framstegen i förhandlingarna till medlemsstaterna via rådets arbetsgrupp för informationsutbyte och uppgiftsskydd. Den nationella beredningen i anslutning till samordningen av EU:s medlemsstaters synpunkter har gjorts vid justitieministeriet. 

Protokollets målsättning

Syftet med ändringsprotokollet har varit att bättre än tidigare svara på de utmaningar för integritetsskyddet som orsakas av den nya informations- och kommunikationstekniken och den ökade användningen av den, den gränsöverskridande behandlingen av personuppgifter och den allt mer omfattande överföringen av personuppgifter. Med hjälp av den fastställda konventionens bedömnings- och uppföljningsmekanism försöker man säkerställa att parterna iakttar kraven i dataskyddskonventionen. I ändringsprotokollet har man samtidigt försökt säkerställa så stor överensstämmelse som möjligt med EU:s reviderade dataskyddslagstiftning. Detta motsvarar också EU:s medlemsstaters huvudsakliga förhandlingsmål. 

Syftet med den reviderade dataskyddskonventionen är att skydda var och en, oavsett nationalitet eller hemvist, när det är fråga om behandling av personuppgifter, och att på så vis främja respekten för de mänskliga rättigheterna och grundläggande friheterna och i synnerhet för skyddet för privatlivet. 

De viktigaste förslagen

3.1  Lagen om protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter

Det föreslås att de bestämmelser i protokollet som hör till området för lagstiftningen ska sättas i kraft sådana som Finland har förbundit sig till dem. I ikraftträdandelagen anges dessutom den i konventionen avsedda behöriga tillsynsmyndigheten, som i enlighet med dataskyddslagen är dataombudsmannen och i enlighet med Ålands landskapslagstiftning Datainspektionen. Tillsynsuppgiften enligt konventionen har inte uttryckligen föreskrivits för dessa myndigheter i lag. 

3.2  Dataskyddslagen

Det föreslås att det till dataskyddslagen fogas bestämmelser med stöd av vilka dataombudsmannen kan vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Tillsynsmyndigheterna ska i synnerhet ha rätt att utbyta upplysningar som gäller tillsynen och att genomföra gemensamma operationer. Dataskyddslagen kompletteras i fråga om utlämnande av personuppgifter och andra uppgifter. Bestämmelserna i dataskyddslagen är som sådana inte med säkerhet tillräckliga för att omfatta alla former av samarbete med myndigheter i stater utanför EU. 

3.3  Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

Tillämpningsområdet för den ändrade dataskyddskonventionen är mer omfattande än tillämpningsområdet för EU-rätten, och inga undantag från tillämpningen kan längre göras med stöd av konventionens artikel 3. Kraven i den ändrade konventionen uppfylls inte i alla avseenden i den gällande lagstiftningen. Detta gäller i synnerhet behandlingen av personuppgifter i anslutning till den nationella säkerheten och försvaret, som inte hör till unionsrättens tillämpningsområde. Dataskyddslagens tillämpningsområde har med vissa begränsningar utvidgats till att gälla även sådan behandling av personuppgifter som inte hör till tillämpningsområdet för EU:s dataskyddslagstiftning och sådan behandling som medlemsstaterna utför när de genomför verksamhet som hör till tillämpningsområdet för avdelning V kapitel 2 i fördraget om Europeiska unionen. Dataskyddslagen avseende brottmål har å sin sida utvidgats till att gälla även behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret (upprätthållandet av den nationella säkerheten), med undantag av de bestämmelser som tillämpas på överföring av personuppgifter till tredjeländer och internationella organisationer och vissa andra bestämmelser som gäller genomförande av EU-rätten. 

Den ändrade dataskyddskonventionen tillåter i fråga om överföring av personuppgifter inga fullständiga undantag från regleringen. I synnerhet kraven på adekvat skyddsnivå gäller all överföring av personuppgifter till stater som står utanför konventionen och till internationella organisationer, också när personuppgifter överförs med stöd av speciallagstiftning. Den ändrade dataskyddskonventionen förutsätter också uttryckligen att konventionens bestämmelser genomförs i lagstiftningen, utom när det gäller de tillåtna undantagen. Konventionen tillåter dock att EU:s medlemsstater fortsättningsvis tillämpar de bestämmelser i EU:s dataskyddslagstiftning som förutsätter en adekvat skyddsnivå i fråga om alla internationella organisationer och stater utanför EU. 

I denna proposition föreslås det att dataskyddslagen avseende brottmål ändras så att lagens 7 kap. i regel tillämpas på alla överföringar av personuppgifter till tredjeländer och internationella organisationer, om inget annat föreskrivs i någon annan lag. Bestämmelserna i lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) och i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019, nedan Försvarsmaktens personuppgiftslag) kvarstår tillsvidare oförändrade. På utlämnandet av personuppgifter från skyddspolisen och Försvarsmakten i enlighet med dessa lagar tillämpas därmed i och med den föreslagna ikraftträdandelagen bestämmelserna i den ändrade dataskyddskonventionen som sådana, med undantag av avvikelserna i fråga om adekvat skyddsnivå, om vilka det vid behov ska utfärdas särskilda bestämmelser. Tills ikraftträdandelagen träder i kraft tillämpas de gällande bestämmelserna i dataskyddskonventionen på skyddspolisen och Försvarsmakten. 

I dataskyddslagen avseende brottmål föreslås dessutom på motsvarande sätt som i dataskyddslagen en ändring genom vilken man beaktar det samarbete mellan tillsynsmyndigheterna som dataskyddskonventionen förutsätter. De föreslagna bestämmelserna behövs, eftersom bestämmelserna om ömsesidigt bistånd i 54 § i dataskyddslagen avseende brottmål gäller bara tillsynsmyndigheterna i EU:s medlemsstater. 

3.4  Tolkningsförklaringen

I propositionen föreslås det att en tolkningsförklaring som gäller artikel 3.1 i konventionen godkänns. Tolkningsförklaringen preciserar hur begreppet den offentliga sektorn ska tolkas vid tillämpningen av konventionen i Finland. Enligt motiveringen till konventionens text kan begreppets innebörd variera inom konventionsparternas rättsordningar. Tillämpningen av konventionen kan medföra oklarhet i synnerhet i fråga om behandling av personuppgifter som hänför sig till riksdagens verksamhet. Det föreslås att dataskyddskonventionen ska tillämpas på riksdagens ämbetsverks behandling av personuppgifter på motsvarande sätt som dataskyddsförordningen och dataskyddslagen. Den definition av den offentliga sektorn som föreslås i tolkningsförklaringen motsvarar förteckningen i 24 § 4 mom. i dataskyddslagen över de myndigheter och offentliga samfund som inte får påföras administrativ påföljdsavgift. 

Propositionens konsekvenser

4.1  Konsekvenser för myndigheterna och företagen

Revideringen av dataskyddslagstiftningen har haft betydande ekonomiska konsekvenser för personuppgiftsansvariga inom såväl den offentliga som den privata sektorn. Dessa konsekvenser är en direkt följd av dataskyddsförordningen, och dessutom har konsekvenser följt av de allmänna lagar som kompletterar EU:s dataskyddslagstiftning, det vill säga dataskyddslagen och dataskyddslagen avseende brottmål. Ändringsprotokollet till dataskyddskonventionen medför inga nya förpliktelser för personuppgiftsansvariga och personuppgiftsbiträden i förhållande till vad som föreskrivs i dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål. 

Vissa konsekvenser för myndigheternas och företagens verksamhet kan dock uppstå i form av ökat gränsöverskridande samarbete. Ett syfte med ändringsprotokollet har varit att innehållsmässigt föra dataskyddskonventionen närmare EU:s dataskyddslagstiftning. Kapitel V i EU:s allmänna dataskyddsförordning och i kapitel V i dataskyddsdirektivet avseende brottmål innehåller bestämmelser om överföring av personuppgifter till tredjeländer eller internationella organisationer. Vid överföring av personuppgifter till tredjeländer förutsätter EU:s dataskyddslagstiftning och dess genomförandelagstiftning att det mottagande landet i enlighet med kommissionens beslut har konstaterats säkerställa en adekvat skyddsnivå eller att det mottagande landet ger andra tillräckliga rättsliga garantier för skydd av personuppgifter. En stat som ratificerar protokollet förbinder sig till att dess nationella lagstiftning ska vara på den nivå som den reviderade konventionen förutsätter och som ligger närmare nivån på dataskyddet inom EU än tidigare. Den ändrade konventionens positiva inverkan på skyddet för de personuppgifter som överförs torde öka på grund av att det, till skillnad från i den gällande konventionen, uttryckligen föreskrivs en skyldighet att i lagstiftningen ta in kriterier för överföringen. Detta kan antas främja det internationella samarbetet inom såväl den offentliga som den privata sektorn. Det ökade samarbetet kan dock också medföra en ökad administrativ börda för de personuppgiftsansvariga, i och med att kraven i dataskyddslagstiftningen ska beaktas vid all överföring av personuppgifter. 

Det råder ändå osäkerhet kring konsekvenserna för myndigheternas och företagens verksamhet så länge ändringsprotokollet inte har trätt i kraft och det inte finns någon erfarenhet av tillämpningen av den ändrade konventionen. Osäkerhetsfaktorerna beror i synnerhet på att den ändrade konventionens bestämmelser i vissa situationer kan tillämpas i samband med åtgärder som hör till tillämpningsområdet för EU-rätten och dess nationella genomförandelagstiftning. Den ändrade konventionens bestämmelser kan också ha konsekvenser för dimensionen och tolkningen av gemensamt tillämpliga regler. 

Myndigheter med ansvar för upprätthållandet av den nationella säkerheten

Dataskyddslagen avseende brottmål har i Finland utvidgat bestämmelserna i dataskyddsdirektivet avseende brottmål till att delvis gälla även behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret.  

De myndigheter med ansvar för upprätthållande av den nationella säkerheten som avses i 1 § 2 mom. i dataskyddslagen avseende brottmål är polisen, Gränsbevakningsväsendet och Försvarsmakten. Av dessa är det endast skyddspolisen och Försvarsmakten som enligt gällande speciallagstiftning har befogenhet att lämna ut personuppgifter inom ramen för uppgifter som hänför sig till skyddet av den nationella säkerheten. Enligt förslaget kvarstår de undantag i speciallagarna om skyddspolisen och Försvarsmakten som gäller tillämpningen av 7 kap. och 10 § 2 mom. i dataskyddslagen avseende brottmål, och propositionen får därför inga direkta konsekvenser för dessa myndigheters verksamhet. 

Dataombudsmannen

EU:s nya dataskyddslagstiftning och den kompletterande nationella lagstiftningen har medfört ekonomiska och andra konsekvenser även för de myndigheter som ansvarar för tillsynen över lagstiftningen, nämligen dataombudsmannen samt på Åland Datainspektionen, som är tillsynsmyndighet enligt landskapslagstiftningen. När Finland ratificerar ändringsprotokollet till dataskyddskonventionen förbinder man sig att säkerställa att de nationella myndigheterna kontrollerar att den reviderade dataskyddskonventionens bestämmelser följs. Den tillsynsmyndighet som avses i konventionen är i Finland dataombudsmannen, utom när det gäller de uppgifter som faller inom den åländska Datainspektionens behörighet. Det har preliminärt bedömts att propositionen inte har några betydande konsekvenser för Datainspektionens verksamhet. 

I fråga om dataombudsmannen har det bedömts att propositionen i viss mån kommer att medföra konsekvenser, eftersom dataombudsmannen i praktiken kommer att svara för största delen av det internationella tillsynssamarbetet. Det är inte fråga om någon ny uppgift, utan dataombudsmannen har hittills svarat för uppgiften med stöd av den upphävda personuppgiftslagen och lagarna om ikraftsättande av konventionen och dess tilläggsprotokoll, och dataombudsmannen kan redan nu utföra en stor del av sina tillsynsuppgifter med stöd av dataskyddsförordningen och dataskyddslagen. Samarbetet med tillsynsmyndigheter i tredjeländer förutsätter dock vissa lagändringar. Propositionen medför konsekvenser för dataombudsmannen i synnerhet när det gäller behovet av att se över tillsynsrutinerna och anvisningarna samt i fråga om utbildning av de anställda så att de beaktar ändringarna i konventionen och lagändringarna. Dessutom kan dataombudsmannens byrå orsakas merarbete i någon mån, om den gränsöverskridande överföringen av personuppgifter till tredjeländer ökar när ändringsprotokollet träder i kraft. Dataombudsmannen övervakar dock sådan överföring redan nu, inklusive överföring av personuppgifter till tredjeländer och internationella organisationer vid upprätthållandet av den nationella säkerheten och försvaret.  

Det gällande tilläggsprotokollets bestämmelser om samarbete mellan tillsynsmyndigheterna ersätts med en ny artikel. Där föreskrivs mera detaljerat om samarbetsformerna, och i synnerhet bestämmelserna om ömsesidigt bistånd och samordning av åtgärderna eller gemensamma åtgärder kan stegvis öka dataombudsmannens internationella samarbete i takt med att ändringsprotokollet träder i kraft och nya stater blir parter i det. Dataombudsmannen samarbetar redan nu med andra konventionsparters tillsynsmyndigheter med stöd av tilläggsprotokollet, men den ändrade konventionen innehåller en bestämmelse om skapande av ett särskilt nätverk mellan tillsynsmyndigheterna. Ratificeringen av ändringsprotokollet har inga direkta ekonomiska konsekvenser för dataombudsmannen, men konsekvenserna bör följas upp åren efter ikraftträdandet av protokollet.  

Den omständighet att dataombudsmannens uppgifter utökas i flera omgångar i samband med separata lagstiftningsprojekt kan som helhet föranleda ett behov av tilläggsresurser, vilket dock är svårt att avgöra i samband med ett enskilt projekt. På grund av detta och osäkerhetsfaktorerna i fråga om konsekvenserna bör eventuella utgifter täckas inom ramen för rambesluten för statsfinanserna och de budgetenliga anslagen och årsverkena. 

4.2  Konsekvenser för medborgarnas ställning i samhället

Finland förbinder sig också till att personuppgifter inte överförs från Finland till territorier under sådana staters eller organisationers jurisdiktion som inte garanterar ett adekvat skydd för personuppgifter. Finland har motsvarande skyldigheter med stöd av EU:s dataskyddslagstiftning. Med beaktande av att inte bara Europarådets medlemsstater utan också stater utanför Europarådet kan ansluta sig till Europarådets dataskyddskonvention, har ratificeringen av ändringsprotokollet en stärkande inverkan på dataskyddet och skyddet för de grundläggande rättigheterna för registrerade enskilda personer. 

Mer enhetliga krav på dataskyddet i olika länders lagstiftning stärker också skyddet för de registrerade i stor utsträckning, förutsatt att parterna genomför kraven i den ändrade konventionen på behörigt sätt. Tillsynsmyndigheternas ändrade befogenheter förbättrar de registrerades möjligheter att utöva sina rättigheter i tredjeländer. Konventionskommitténs nya befogenheter att bedöma nivån på dataskyddet i de stater som ansluter sig till konventionen och effektiviteten hos parternas lagstiftningsåtgärder stöder syftet att säkerställa att parterna följer kraven i konventionen. Som part i protokollet förbinder sig även Finland internationellt till att se till att landets lagstiftning överensstämmer med protokollets bestämmelser. 

Handlingsalternativen och deras konsekvenser

Kraven på adekvat skyddsnivå är reglering som främst hör hemma i allmänna lagar, och de ingår i kapitel V i dataskyddsförordningen och i 7 kap. i dataskyddslagen avseende brottmål. Bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål gäller inte överföring av personuppgifter till tredjeländer och internationella organisationer när det är fråga om behandling av personuppgifter vid upprätthållande av den nationella säkerheten. Ett sådant undantag i en allmän lag motsvarar inte kraven i den ändrade dataskyddskonventionen. För att garantera att bestämmelserna i ändringsprotokollet genomförs har man granskat tre alternativa regleringslösningar i dataskyddslagen avseende brottmål. 

Det första alternativ som granskats är att undantaget från tillämpningen av 7 kap. i dataskyddslagen avseende brottmål stryks ur lagen och att de undantag som ingår i speciallagar samtidigt inskränks. I motsats till i nuläget skulle bestämmelserna i dataskyddslagen avseende brottmål då vara desamma för alla som tillämpar lagen, vilket också är normal praxis i fråga om allmänna lagar. Bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål tillämpas redan nu på förebyggande av brott oberoende av myndigheten och på utredning av brott i den omfattning myndigheterna har befogenheter. Det skulle dock fortfarande vara tillåtet enligt 2 § i dataskyddslagen avseende brottmål att i andra lagar avvika från lagens bestämmelser. Undantag från lagens 7 kap. ingår i polisens personuppgiftslag och i Försvarsmaktens personuppgiftslag. Det är möjligt att ändra de hänvisningar som gäller dessa undantag så att det med avvikelse från dataskyddslagen avseende brottmål tillämpas enstaka bestämmelser i 7 kap. eller görs avvikelser från enstaka bestämmelser. Samtidigt kan onödig överlappande reglering om beaktande av skyddsnivån strykas ur dessa speciallagar. Detta alternativ är lagstiftningstekniskt sett den tydligaste regleringslösningen. 

Det andra alternativet är att nuläget bibehålls, så att undantaget från tillämpningen av 7 kap. i dataskyddslagen avseende brottmål stryks ur lagen, men att motsvarande undantag i polisens personuppgiftslag och i Försvarsmaktens personuppgiftslag kvarstår oförändrade. Undantaget i den allmänna lagen är onödigt, eftersom motsvarande undantag ingår i speciallagarna i fråga. När man beaktar att den ändrade konventionens krav på adekvat skyddsnivå gäller all överföring av personuppgifter till tredjeländer som står utanför konventionen och till internationella organisationer och att inga avvikelser från detta tillåts, bör speciallagarnas krav på att beakta för Finland bindande internationella avtal anses innebära att bestämmelserna i den ändrade konventionen genom ikraftträdandelagen blir bindande för dem som tillämpar lagstiftningen. Det är dock osäkert om bestämmelserna i speciallagarna räcker för att uppfylla kraven i konventionen, eftersom speciallagarnas bestämmelser i fråga om adekvat skyddsnivå inte är lika noggranna och exakt avgränsade som bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål. Denna regleringslösning skulle även innebära att de avvikelser från en adekvat skyddsnivå som konventionen tillåter inte blir tillämpliga på behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten, eftersom konventionen förutsätter att det ska finnas uttryckliga bestämmelser om dem i lag. Visserligen finns inte heller i nuläget några bestämmelser i lag om sådana avvikelser i fråga om upprätthållandet av den nationella säkerheten, och denna regleringslösning skulle därför inte innebära någon förändring i tillämpningen av lagstiftningen. 

Det tredje alternativet är att man avviker från 7 kap. i dataskyddslagen avseende brottmål genom att det till lagen fogas sådana uttryckliga bestämmelser om adekvat skyddsnivå som tillämpas på upprätthållandet av den nationella säkerheten. Särskilda bestämmelser kan underlätta tillämpningen av lagen. Nackdelen med denna regleringslösning är ändå att den avviker från det sedvanliga sättet att skriva lag och att den skulle orsaka oklarhet både inom lagen och i förhållande till speciallagarna. Bestämmelser om saken finns redan i 7 kap., varvid nya bestämmelser med motsvarande innehåll i princip är onödiga. 

Remissvar

Denna regeringsproposition har beretts vid justitieministeriet. Utlåtanden om propositionen begärdes av utrikesministeriet, finansministeriet, inrikesministeriet, försvarsministeriet, skyddspolisen, Polisstyrelsen, Gränsbevakningsväsendet, Försvarsmaktens huvudstab, dataombudsmannen, underrättelsetillsynsombudsmannen, riksdagens justitieombudsman, justitiekanslern, Ålands landsskapsregering och Datainspektionen. Utlåtandena finns i statsrådets projektregister med identifieringskod OM018:00/2019. 

Remissinstanserna fäste särskild uppmärksamhet vid utkastets förslag till 44 a § i dataskyddslagen avseende brottmål och vid förhållandet mellan den föreslagna paragrafen och speciallagstiftningen. Försvarsministeriet hade inga kommentarer om paragrafen, men inrikesministeriet och Skyddspolisen föreslog ändringar i paragrafens innehåll. I ljuset av försvarsministeriets, inrikesministeriets, Skyddspolisens, justitiekanslersämbetets, riksdagens justitieombudsmans kanslis och underrättelsetillsynsombudsmannens utlåtanden bedömdes det under den fortsatta beredningen att det fanns orsak att ändra regleringslösningen. Tillsynsmyndigheterna ansåg att förhållandet mellan den allmänna lagen och speciallagen var otydligt. Försvarsministeriet framförde i sitt utlåtande att det är viktigt att det av lagen tydligare framgår hur den föreslagna paragrafen i dataskyddslagen avseende brottmål förhåller sig till speciallagstiftningen. I propositionen föreslås det att det undantag som gäller tillämpningen av 7 kap. i dataskyddslagen avseende brottmål stryks ur lagen. Speciallagstiftningen föreslås tillsvidare kvarstå oförändrad. Ändringarna i konventionen blir tillämpliga för skyddspolisen och Försvarsmakten genom en ikraftträdandelag. Även om bestämmelserna i polisens personuppgiftslag och i Försvarsmaktens personuppgiftslag inte är lika detaljerade och noggrant avgränsade som bestämmelserna i 7 kap. i dataskyddslagen avseende brottmål, ansåg inrikesministeriet och försvarsministeriet inte att deras lagstiftning utgjorde något hinder för ratificering. 

Ålands landskapsregering ansåg att ändringsprotokollet innehåller ett flertal bestämmelser som hör till landskapets lagstiftningsbehörighet i enlighet med självstyrelselagen för Åland (1144/1991), men att ikraftsättandet av ändringsprotokollet inte föranleder några ändringsbehov i landskapslagstiftningen. I ikraftträdandelagen bör dock även den tillsynsmyndigheten som det föreskrivs om i Ålands landskapslagstiftning beaktas. Utifrån Ålands landskapsregerings och Datainspektionens utlåtanden har lagförslag 1 i propositionen ändrats så att behörighetsfördelningen mellan de två tillsynsmyndigheterna framgår. Med anledning av justitiekanslersämbetets utlåtande har det till lagförslaget dessutom fogats en informativ bestämmelse för att lagförslaget inte ska ge intrycket att dataombudsmannens befogenheter utökas i förhållande till de högsta laglighetsövervakarna. 

Utifrån dataombudsmannens utlåtande har ett lagförslag om ändring av dataskyddslagen fogats till propositionen och lagförslaget om ändring av dataskyddslagen avseende brottmål kompletterats. I båda lagarna föreslås bestämmelser enligt vilka dataombudsmannen har rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de myndigheter i tredjeländer som kontrollerar att konventionen följs och rätt att lämna ut sekretessbelagda uppgifter under de förutsättningar som nämns i bestämmelserna. 

I lagförslag 1 har det under den fortsatta beredningen gjorts ändringar med beaktande av utrikesministeriets ståndpunkt, inklusive ändringar i ikraftträdandet av lagförslagen och lagstiftningstekniska ändringar. Vidare har det i propositionens motiveringstext gjorts vissa tekniska ändringar utifrån utrikesministeriets utlåtande. 

Bestämmelserna i protokollet och deras förhållande till lagstiftningen i Finland

Europeiska unionen har utövat sin lagstiftningsmakt i fråga om medlemsstaternas behandling av personuppgifter genom att utfärda bestämmelser om behandling av personuppgifter, vilka ingår i den allmänna dataskyddsförordningen och i dataskyddsdirektivet avseende brottmål. Bestämmelser om behandling av personuppgifter ingår också i annan EU-lagstiftning, av vilken en del gäller behandling av personuppgifter i medlemsstaterna. I enlighet med Europeiska unionens fördrag är befogenheten delad mellan Europeiska unionen och medlemsstaterna på tillämpningsområdet för dataskyddskonventionen och för protokollen till den. Befogenhetsfördelningen mellan unionen och medlemsstaterna förklaras mer ingående i avsnitt 12.1. 

Dataskyddskonventionens bestämmelser har ursprungligen genomförts i Finland genom personregisterlagen (471/1987) och senare personuppgiftslagen (523/1999), vars bestämmelser till största delen baserade sig på personuppgiftsdirektivet. I stället för genom den upphävda personuppgiftslagen genomförs dataskyddskonventionen genom den allmänna dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål. Dessutom ingår rikligt med bestämmelser om behandling av personuppgifter i speciallagstiftning som innehåller till exempel registerbestämmelser, närmare bestämmelser om behandlingen av särskilda kategorier av personuppgifter och undantag från den registrerades rättigheter. Konventionen innehåller allmänt tillämpliga krav och grundläggande principer för behandlingen av personuppgifter, som i alla avseenden har genomförts genom allmän lagstiftning i Finland. Sådana undantag i speciallagstiftning som gäller de grundläggande principerna ska emellertid uppfylla kraven i konventionen. 

Artikel 1. I konventionens ingress företas ändringar som betonar behovet av att trygga vars och ens människovärde, skyddet för de mänskliga rättigheterna och de grundläggande friheterna och vars och ens rätt att bestämma om de personuppgifter som gäller en själv och behandlingen av dem. I den ändrade inledningen betonas också dataskyddets samhälleliga och världsomspännande betydelse samt behovet av att samordna rätten till skydd för personuppgifter med övriga mänskliga rättigheter och grundläggande friheter, inklusive yttrandefriheten. I inledningen beaktas att konventionen gör det möjligt att beakta offentlighetsprincipen i fråga om myndigheternas handlingar, och erkänns behovet av att globalt främja respekten för privatlivet och skyddet för personuppgifter samt stärka det internationella samarbetet mellan parterna. Ordalydelsen i ingressen ändras också så att inte bara stater utan även internationella organisationer i fortsättningen kan bli parter i konventionen. 

Artikel 2. Ordalydelsen i artikel 1 i konventionen ändras så att konventionens ändamål är att skydda var och en, oavsett nationalitet eller hemvist, när det är fråga om behandling av personuppgifter som gäller honom eller henne, och på så vis främja respekten för hans eller hennes mänskliga rättigheter och grundläggande friheter, särskilt rätten till personlig integritet. 

Artikel 3. Definitionerna i artikel 2 i konventionen ändras. Definitionen av automatiserat register (led b) utgår. Begreppet automatisk databehandling ersätts med begreppet databehandling, som avser en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter, såsom insamling, registrering, lagring, ändring, framtagning, utlämning, tillhandahållande, radering eller förstöring eller utförande av logisk och/eller aritmetisk behandling av dessa uppgifter (det nya led b). Enligt det nya led c ska ”databehandling” dessutom, när uppgifter inte behandlas automatiskt, avse en åtgärd eller kombination av åtgärder beträffande personuppgifter som utgör en del av en strukturerad uppsättning av personuppgifter och som är tillgängliga eller kan tas fram enligt vissa kriterier. Definitionen avviker endast något från motsvarande definition i artikel 4.2 i dataskyddsförordningen och 3 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål, och de behandlingsåtgärder som nämns i definitionerna är exempel. Även definitionen av registeransvarig ändras (led d), och den svenska termen byts till personuppgiftsansvarig. Enligt den nya definitionen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, byrå, institution eller annat organ som ensam eller tillsammans med andra är behörig att besluta om databehandlingen. Till konventionen läggs definitioner av mottagare (led e) och personuppgiftsbiträde (led f). Definitioner av personuppgiftsansvarig, mottagare och personuppgiftsbiträde ingår också i artikel 4.7–4.9 i dataskyddsförordningen och i 3 § 1 mom. 6–8 punkten i dataskyddslagen avseende brottmål. 

Artikel 4.Artikel 3, som gäller konventionens tillämpningsområde, ändras. Enligt punkt 1 ska tillämpningsområdet, liksom enligt den gällande punkten, omfatta behandling av personuppgifter inom den offentliga och den privata sektorn. Enligt den gällande punkten omfattar tillämpningsområdet automatiserade personregister och automatisk databehandling av personuppgifter, men i och med ändringarna tillämpas konventionen på behandling av personuppgifter i vidare bemärkelse. Sådan behandling av personuppgifter som avses i definitionsbestämmelsen i artikel 2 b omfattar under vissa förutsättningar även andra personregister än register som förs med hjälp av automatisk databehandling. I den nya punkt 2 i den ändrade artikel 3 föreskrivs det att konventionen inte ska tillämpas på sådan databehandling som en enskild utför i verksamhet som är helt och hållet privat eller har samband med hans eller hennes hushåll. Avgränsningen motsvarar avgränsningen i artikel 2.2 c i dataskyddsförordningen. Ur artikel 3 i konventionen stryks bestämmelserna i punkterna 2–6, i enlighet med vilka parterna genom en förklaring kan utvidga eller begränsa konventionens tillämpningsområde för egen del.  

Dataskyddsförordningen och dataskyddsdirektivet avseende brottmål täcker konventionens tillämpningsområde med undantag av sådan behandling av personuppgifter som tillämpas i samband med verksamhet som inte faller inom tillämpningsområdet för unionslagstiftningen eller som medlemsstaterna utför när de genomför verksamhet som hör till tillämpningsområdet för avdelning V kapitel 2 i fördraget om Europeiska unionen. I Finland har dock tillämpningsområdet för dataskyddslagen och dataskyddslagen avseende brottmål utvidgats så att dataskyddslagen avseende brottmål med vissa undantag även tillämpas på behandling av personuppgifter vid upprätthållandet av den nationella säkerheten och försvaret, och genom utvidgningen av dataskyddslagens tillämpningsområde tillämpas dataskyddsförordningen och dataskyddslagen i Finland på annan behandling av personuppgifter som faller utanför EU:s dataskyddslagstiftning, med undantag av riksdagsarbetet, som nämns i 2 § 2 mom. i dataskyddslagen. 

Riksdagsarbetet uteslöts från dataskyddslagens tillämpningsområde i samband med riksdagsbehandlingen (FvUB 13/2018 rd, s. 7). Grundlagsutskottet påpekade i sitt utlåtande (GrUU 14/2018 rd) att representativ demokrati och riksdagens ställning som högsta statsorgan hör till grundvalen för Finlands statsskick. De här principerna är härledda ur 2 § 1 mom. i grundlagen, som föreskriver att statsmakten i Finland tillkommer folket, som företräds av riksdagen. Detta framgår också explicit av motiveringen till grundlagsreformen (RP 1/1998 rd, s. 74). Riksdagens verksamhet kan delas in i riksdagsarbete, som regleras i grundlagen och riksdagens arbetsordning, och förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk. Enligt grundlagsutskottet utlåtande innebär riksdagens konstitutionella ställning också att riksdagsarbetet inte kan övervakas av utomstående. Därför föreskriver grundlagen uttömmande om att laglighetskontrollen av riksdagens verksamhet ska handhas av riksdagens egna organ, talmannen och grundlagsutskottet (GrUU 14/2018 rd, s. 10). Utskottet såg i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (GrUU 14/2018 rd, s. 11; GrUU 30/1998 rd). Utskottet ansåg att riksdagens ställning som högsta statsorgan och unionsrättens avgränsade tillämpningsområde innebar att lagförslag 1 i propositionen måste ändras på så sätt att riksdagsarbetet utesluts från dataskyddslagens tillämpningsområde. Ändringen var en förutsättning för att lagförslag 1 skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 14/2018 rd, s. 11). 

I motiveringen till den gällande dataskyddskonventionen (Explanatory Report/ ETS 108) har det påpekats att konventionen har betydelse även för den offentliga sektorn, även om största delen av de gränsöverskridande dataflödena sker inom den privata sektorn. I konventionens andra bestämmelser görs ingen skillnad mellan den offentliga och den privata sektorn, eftersom dessa termer kan ha olika innebörd i olika stater. Enligt motiveringen kan en åtskillnad ändå vara av betydelse för de förklaringar som parterna avger i fråga om konventionens tillämpningsområde (punkt 33 i motiveringen). Motiveringen till artikel 3 i dataskyddskonventionen överlåter således innebörden av de giltiga texternas engelska term ”public sector” och franska term ”secteur public” åt respektive parts rättsordning. Offentliga myndigheter anses till exempel inom unionsrätten betyda statliga, regionala och lokala myndigheter samt andra sammanslutningar som lyder under offentlig rätt. Vilken lagstiftning som tillämpas på riksdagsarbetet kan variera inom parternas rättsordningar. I fråga om den gällande konventionen har ändå bara två stater (Liechtenstein och Schweiz) uttryckligen genom en förklaring uteslutit riksdagsarbetet från tillämpningsområdet. Finland har inte avgett någon förklaring om riksdagsarbetet beträffande den gällande dataskyddskonventionen. Konventionen är som sådan gällande rätt, och inte heller dess ikraftträdandeförfattning, den upphävda personuppgiftslagen, innehöll något sådant undantag beträffande riksdagsarbetet som skulle ha motsvarat 2 § 2 mom. i dataskyddslagen. 

Konventionens tillämpningsområde bör bedömas i ljuset av grundlagsutskottets ovannämnda riktlinjer. Avgränsningen av dataskyddslagen tillämpningsområde lämnar endast personuppgifter i anslutning till riksdagsarbetet och inte riksdagens ämbetsverks verksamhet utanför tillämpningsområdet, så de situationer där personuppgifter som står utanför dataskyddslagens tillämpningsområde behandlas kan bedömas vara begränsade. Även grundlagsutskottets riktlinjer beträffande tillämplig lagstiftning bör ges betydelse. Enligt utskottet kan de allmänna lagarna om förvaltningen inte tillämpas på riksdagsarbetet, även om de kan tillämpas på den förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk. Riksdagens ämbetsverk är enligt 2 § 2 mom. i lagen om riksdagens tjänstemän (1197/2003) riksdagens kansli och riksdagens justitieombudsmans kansli samt statens revisionsverk och forskningsinstitutet för internationella relationer och EU-frågor, som båda finns i anknytning till riksdagen. Till följd av detta blir även tillämpningsområdet för ett eventuellt undantag från konventionens tillämpningsområde snävt, om riksdagsarbetet anses vara en del av den offentliga sektorn. Den omnumrerade artikel 11 i konventionen tillåter undantag från bestämmelserna i konventionen bland annat med hänvisning till ett betydande allmänt intresse, men undantagen kan gälla endast vissa bestämmelser i konventionen, och artikel 3.1 om tillämpningsområde hör inte till dem. Begreppet ”public sector” torde dock i Finland kunna tolkas i ljuset av ovannämnda riktlinjer om tillämpligheten av allmänna förvaltningslagar. Med beaktande av att det förslås att konventionens innehåll ska genomföras genom en blankettbestämmelse i en blandad ikraftträdandelag, föreslås det samtidigt för att undvika oklarheter att det godkänns en förklaring om tolkningen av artikel 3.1 i konventionen där det preciseras hur begreppet den offentliga sektorn ska tolkas vid tillämpningen av konventionen i Finland. 

Förhållandet mellan de undantag som konventionen tillåter och lagstiftningen behandlas i övrigt i samband med artikel 14 i protokollet. 

Artikel 5. Rubriken för kapitel II i konventionen ändras till ”Grundläggande principer för skydd av personuppgifter”.  

Artikel 6. I artikel 4 ändras bestämmelserna om parternas lagstiftningsskyldigheter i punkterna 1 och 2. Enligt den ändrade punkt 1 ska varje part vidta de åtgärder i sin lagstiftning som behövs för att genomföra alla bestämmelser i konventionen och säkerställa att de faktiskt tillämpas. Den gällande punkten förutsätter endast att konventionens grundläggande principer för dataskydd ska genomföras. I praktiken utvidgar ändringen lagstiftningsskyldigheternas innehåll så att till exempel bestämmelserna om gränsöverskridande dataflöden börjar omfattas av den uttryckliga genomförandeskyldigheten. Enligt den gällande punkt 2 ska den lagstiftning som förutsätts för att genomföra konventionen träda i kraft senast vid den tidpunkt då konventionen träder i kraft för parten. Enligt den ändrade punkt 2 ska parterna vidta lagstiftningsåtgärderna innan de ratificerar konventionen eller ansluter sig till den. Detta är av betydelse särskilt för tillämpningen av genomförandebestämmelserna med sakinnehåll. Till artikeln läggs en ny punkt 3, enligt vilken varje part åtar sig att tillåta att den konventionskommitté som avses i kapitel VI bedömer effektiviteten av de åtgärder som parten har vidtagit i sin lagstiftning för att genomföra konventionens bestämmelser (led a). Parterna åtar sig också att medverka aktivt i bedömningsprocessen (led b). Med medverkan avses till exempel överlämnande av rapporter om tillämpningen av konventionen eller lämnande av upplysningar i någon annan form för bedömningsprocessen. Av den nya artikel 11.3 i konventionen följer emellertid att parterna inte förutsätts överlämna sekretessbelagda upplysningar till konventionskommittén. 

Artikel 7. Bestämmelserna i artikel 5 om vilken behandling av personuppgifter som är berättigad kompletteras, och rubriken för artikeln ändras till ”Databehandlingens legitimitet och uppgifternas beskaffenhet”.  

Till artikeln läggs en ny punkt 1, enligt vilken databehandlingen ska vara proportionell i förhållande till det legitima mål som eftersträvas och behandlingen i samtliga faser ska avspegla rättvis balans mellan å ena sidan alla allmänna och privata intressen som hänför sig till saken och å andra sidan de rättigheter och friheter som ska skyddas. Punkt 1 överlappar delvis den nya punkt 4 c, så att bägge gäller proportionalitetsprincipen. Motsvarande krav på proportionalitet i fråga om behandlingen ingår i artikel 5.1 c och artikel 6.3 och 6.4 i dataskyddsförordningen samt i 6 § 1 mom. i dataskyddslagen avseende brottmål.  

Till artikeln läggs en ny punkt 2, enligt vilken parterna ska säkerställa att uppgifter kan behandlas med den registrerades fria, uttryckliga, informerade och otvetydiga samtycke eller på någon annan legitim grund som fastställts i lag. I artikel 6.1 i dataskyddsförordningen föreskrivs det om grunderna för behandling av personuppgifter, av vilka den registrerades samtycke är en. Bestämmelser om villkoren för samtycke finns i artikel 7 i dataskyddsförordningen. I dataskyddslagen avseende brottmål anges inte samtycke som en förutsättning för behandling av personuppgifter, utan förutsättningen för behandling är enligt 4 § i den lagen i samtliga situationer att behandlingen behövs för att en behörig myndighet ska kunna utföra en i lag angiven uppgift som hör till lagens tillämpningsområde.  

Till artikeln läggs en ny punkt 3 och en ny punkt 4, som preciserar bestämmelserna om laglighetskravet och ändamålsbegränsningen i fråga om behandlingen av personuppgifter i leden a och b i den gällande artikeln. Personuppgifter som behandlas ska enligt punkt 3 behandlas på ett lagligt sätt.  

Enligt punkt 4 a ska personuppgifterna behandlas rättvist och öppet. Enligt punkt 4 b ska personuppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses vara förenlig med dessa ändamål, om lämpliga garantier iakttas. Bestämmelserna motsvarar artikel 5.1 a och b i dataskyddsförordningen och 5 § i dataskyddslagen avseende brottmål. I artikel 6.4 i dataskyddsförordningen finns närmare bestämmelser om kriterierna för ytterligare förenlig behandling. Innehållet i punkt 4.c–e motsvarar i sak leden c–e i den gällande artikeln. 

Artikel 8. Bestämmelserna om särskilda slags uppgifter i artikel 6 i konventionen ändras. Enligt den ändrade punkt 1 är det tillåtet att behandla de personuppgifter som räknas upp i bestämmelsen endast om lämpliga skyddsåtgärder, som kompletterar skyddsåtgärderna enligt konventionen, har fastställts i lag. Ett krav på bestämmelser om skyddsåtgärder ingår redan i den gällande artikeln, men de särskilda kategorierna av uppgifter kompletteras så att med fällande domar i brottmål jämställs uppgifter som hänför sig till brott och rättegångar i brottmål samt säkerhetsåtgärder, och till artikeln fogas biometriska uppgifter med vilkas hjälp det är möjligt att entydigt identifiera en person, genetiska uppgifter och personuppgifter som avslöjar medlemskap i fackföreningar. Enligt den nya punkt 2 ska de skyddsåtgärder som avses i artikeln skydda mot de risker som behandlingen av känsliga uppgifter kan medföra för den registrerades intressen, rättigheter och grundläggande friheter, särskilt mot risken för diskriminering. Bestämmelser som motsvarar den ändrade artikel 6 i konventionen ingår i artiklarna 9 och 10 i dataskyddsförordningen samt i 11 § i dataskyddslagen avseende brottmål. På grund av tillämpningsområdet för dataskyddslagen avseende brottmål jämställs i lagen inte de uppgifter som avses i artikel 10 i dataskyddsförordningen med särskilda kategorier av personuppgifter. 

Artikel 9.Artikel 7 i konventionen ändras. Innehållet i den ändrade punkt 1 motsvarar i huvudsak den gällande artikeln, där det föreskrivs om krav på säkerhetsåtgärder i anslutning till datasäkerheten. Enligt den ändrade punkten gäller kraven utöver den personuppgiftsansvarige i tillämpliga fall även personuppgiftsbiträdet. Motsvarande krav ingår i artikel 32 i dataskyddsförordningen och i 31 § i dataskyddslagen avseende brottmål.  

Till artikeln läggs en ny punkt 2, enligt vilken parterna ska säkerställa att den personuppgiftsansvarige utan dröjsmål anmäler åtminstone sådana personuppgiftsincidenter som allvarligt kan kränka de registrerades rättigheter och grundläggande friheter till den behöriga tillsynsmyndigheten enligt artikel 15 i konventionen. Ett motsvarande krav ingår i artikel 33 i dataskyddsförordningen och i 34 § i dataskyddslagen avseende brottmål. 

Artikel 10. Till konventionen läggs en ny artikel 8, som gäller öppenheten i databehandlingen. Artikeln innehåller skyldigheter i fråga om information till de registrerade. Artikel 8.1 innehåller huvudregeln, enligt vilken parterna ska säkerställa att den personuppgiftsansvarige är skyldig att lämna de registrerade den information som nämns i punkten samt de kompletterande uppgifter som behövs för att säkerställa en rättvis och öppen behandling. Kravet tillämpas inte om den registrerade redan förfogar över denna information (artikel 8.2). Artikel 8.3 tillåter undantag från den personuppgiftsansvariges skyldighet i fall där personuppgifterna inte samlas in direkt från den registrerade, om det föreskrivs uttryckligen om databehandlingen genom lag eller det visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning att tillhandahålla information. Reglering som motsvarar artikeln ingår till stor del i artiklarna 12–14 i dataskyddsförordningen och i 22 § i dataskyddslagen avseende brottmål, men i synnerhet dataskyddsförordningens reglering är mer detaljerad och innehåller strukturella skillnader jämfört med artikeln i konventionen. Artikel 11.1 i konventionen tillåter undantag från artikel 8.1 för att lätta på den personuppgiftsansvariges administrativa börda, förutsatt att undantaget inte ingriper i den registrerades grundläggande rätt att få tillgång till uppgifter som gäller honom eller henne själv och det föreskrivs om undantaget genom lag, de grundläggande rättigheterna och friheterna respekteras i väsentliga avseenden och undantaget är nödvändigt och proportionellt. 

Artikel 11. Den nuvarande artikel 8 omnumreras till artikel 9, och rubriken ändras till ”Den registrerades rättigheter”. Artikelns innehåll ersätts med ny text.  

En ny punkt 1 led a ersätter artikelns led a. Enligt det nya ledet har var och en rätt att inte bli föremål för ett sådant beslut som i betydande grad påverkar honom eller henne och som enbart grundas på automatisk databehandling utan att hänsyn tas till hans eller hennes synpunkter. Enligt punkt 2 tillämpas inte punkt 1 led a, om beslutet är tillåtet enligt den lagstiftning som ska tillämpas på den personuppgiftsansvarige och det i den lagstiftningen också föreskrivs om lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen. Bestämmelser som motsvarar den nya artikeln finns i artikel 22 i dataskyddsförordningen och i 13 § i dataskyddslagen avseende brottmål. Artikel 22 i dataskyddsförordningen möjliggör emellertid undantag även på andra grunder, till vilka hör att beslutet är nödvändigt för ingående av ett avtal mellan den registrerade och den personuppgiftsansvarige och att beslutet grundar sig på den registrerades uttryckliga samtycke. I 13 § i dataskyddslagen avseende brottmål ingår en möjlighet till undantag genom bestämmelser i lag. 

I punkt 1 led b föreskrivs det om vars och ens rätt att på begäran med rimliga mellanrum och utan oskäliga dröjsmål eller kostnader få bekräftelse på att personuppgifter som gäller honom eller henne behandlas, information i begriplig form om de behandlade personuppgifterna, all tillgänglig information om dessa uppgifters innehåll, varifrån de kommer och deras lagringstid samt övrig information som den personuppgiftsansvarige ska lämna för att säkerställa att databehandlingen är öppen i enlighet med artikel 8.1. Bestämmelserna i det nya ledet motsvarar huvudreglerna i det gällande led b, men är mer detaljerade. 

Enligt led c i den nya punkt 1 har var och en rätt att på begäran få kännedom om grunderna för behandlingen av personuppgifter, om resultaten av behandlingen tillämpas på honom eller henne. Ett motsvarande krav ingår i artiklarna 13–15 i dataskyddsförordningen och i 22 och 23 § i dataskyddslagen avseende brottmål. 

Enligt led d i den nya punkt 1 har var och en rätt att av skäl som hänför sig till hans eller hennes specifika situation när som helst göra invändningar mot behandling av personuppgifter som gäller honom eller henne, om inte den personuppgiftsansvarige påvisar berättigade skäl för behandlingen av personuppgifter som väger tyngre än hans eller hennes intressen eller rättigheter och grundläggande friheter. I artikel 21 i dataskyddsförordningen ingår en motsvarande bestämmelse, med stöd av vilken den registrerade i regel, av skäl som hänför sig till hans eller hennes specifika situation, har rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f i förordningen. Utöver undantaget enligt konventionen kan man med stöd av dataskyddsförordningen göra undantag från rätten också om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk. Rätt till invändningar föreligger ändå inte enligt dataskyddsförordningen till exempel när behandlingen i enlighet med artikel 6.1 c är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Den registrerade har dock med stöd av artikel 22 i dataskyddsförordningen alltid rätt att göra invändningar mot behandling för direktmarknadsföring och profilering i anslutning därtill. 

På grund av sitt tillämpningsområde innehåller dataskyddslagen avseende brottmål ingen rätt att göra invändningar mot behandlingen av personuppgifter. Med stöd av artikel 11.1 a i konventionen får undantag från den registrerades rätt att göra invändningar tillåtas bland annat när rätten behöver begränsas av skäl som hänför sig till den nationella säkerheten, försvaret, den allmänna säkerheten eller förebyggande, utredning eller lagförande av brott eller verkställigheten av straffrättsliga påföljder, förutsatt att det föreskrivs om sådant undantag genom lag, de grundläggande rättigheterna och friheterna respekteras i väsentliga avseenden och undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle. Med stöd av dataskyddslagen avseende brottmål har den registrerade dock tillgång till andra rättigheter, inklusive rätt att få oriktiga personuppgifter rättade eller olagligt behandlade personuppgifter utplånade, samt de rättsmedel som föreskrivs i 9 kap. Den omständighet att rätten att göra invändningar saknas i dataskyddslagen avseende brottmål kan betraktas som ett undantag enligt artikel 11.1 a i konventionen. 

Leden c och d i den gällande artikeln ersätts med nya led e och f, som i huvudsak motsvarar de gällande leden. Enligt det nya led e i punkt 1 har var och en rätt att på begäran och utan oskäligt dröjsmål i förekommande fall få de personuppgifter som gäller honom eller henne rättade och raderade, om de behandlas eller har behandlats i strid med bestämmelserna i konventionen. Motsvarande krav på rättelse eller radering av uppgifter ingår i artiklarna 16 och 17 i dataskyddsförordningen och i 25 § i dataskyddslagen avseende brottmål. I artikel 12.5 i dataskyddsförordningen föreskrivs det att bland annat åtgärder enligt artiklarna 16 och 17 är avgiftsfria. Också i 30 § 2 mom. i dataskyddslagen avseende brottmål föreskrivs det om avgiftsfri behandling av registrerades begäranden, vilken inte är begränsad till enbart begäranden om rättelse och utplåning av personuppgifter. Med stöd av såväl dataskyddsförordningen som dataskyddslagen avseende brottmål kan en avgifts tas ut, om begärandena upprepats eller av någon annan orsak är uppenbart orimliga eller ogrundade. Artikel 11.1 i konventionen tillåter proportionella undantag från kravet på avgiftsfrihet. 

Enligt det nya led f i punkt 1 har var och en rätt att använda ett rättsmedel enligt artikel 12, om hans eller hennes rättigheter enligt konventionen har kränkts. I kapitel VIII i dataskyddsförordningen föreskrivs det om rättsmedel som är tillämpliga på rättskränkningar, och rättsmedlen kompletteras av bestämmelserna om rättssäkerhet och påföljder i 4 kap. i dataskyddslagen. I dataskyddslagen avseende brottmål föreskrivs det om rättssäkerhet i 9 kap. och om skadestånd i 60 §.  

Enligt led g i punkt 1 har var och en rätt att oavsett nationalitet och hemvist få hjälp av den tillsynsmyndighet som avses i artikel 15 med att utöva sina rättigheter enligt konventionen. Enligt artikel 57.1 e i dataskyddsförordningen är den nationella tillsynsmyndigheten skyldig att på begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter. En motsvarande bestämmelse ingår i 46 § 1 mom. 3 punkten i dataskyddslagen avseende brottmål. Med stöd av artikel 58.2 c i dataskyddsförordningen och 51 § 5 punkten i dataskyddslagen avseende brottmål kan dataombudsmannen förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter. Om den registrerades rätt enligt artikel 15 i dataskyddsförordningen att bekanta sig med uppgifter som samlats in om honom eller henne har begränsats med stöd av 34 § i dataskyddslagen, ska uppgifterna lämnas till dataombudsmannen på begäran av den registrerade i enlighet med 4 mom. I 29 § i dataskyddslagen avseende brottmål föreskrivs det om utövande av rättigheter via dataombudsmannen. Dataombudsmannens befogenheter är inte bundna till den registrerades hemvist. Artikel 21.2 i Europeiska unionens stadga om de grundläggande rättigheterna och grundlagens 6 § 2 mom. förbjuder diskriminering på grund av nationalitet.  

Artikel 12. Till konventionen läggs en ny artikel 10, som gäller parternas övriga förpliktelser.  

Punkt 1 gäller personuppgiftsansvarigas och personuppgiftsbiträdens skyldighet att vidta alla lämpliga åtgärder för att uppfylla förpliktelserna i konventionen och kunna påvisa att förpliktelserna är uppfyllda. Bestämmelserna i punkten motsvarar artikel 24.1 och 24.2 och artikel 28.1 i dataskyddsförordningen samt 14 § och 17 § 1 mom. i dataskyddslagen avseende brottmål. 

I punkt 2 åläggs parterna skyldighet att säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden innan behandlingen inleds utreder vilka konsekvenserna den tänkta behandlingen av personuppgifter sannolikt har för de registrerades rättigheter och grundläggande friheter och planerar behandlingen av personuppgifter så att risken för att dessa rättigheter och grundläggande friheter kränks förhindras eller minimeras. Krav på konsekvensbedömning ingår i artikel 35 i dataskyddsförordningen och i 20 § i dataskyddslagen avseende brottmål.  

Enligt punkt 3 i artikeln ska parterna säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden genomför tekniska och organisatoriska åtgärder som tar hänsyn till hur rätten till skydd för personuppgifter påverkar samtliga databehandlingsfaser. Enligt motiveringen till protokollet ska principen om inbyggt dataskydd beaktas i en så tidig fas av behandlingen av personuppgifter som möjligt, det vill säga i mån av möjlighet redan när de tekniska och organisatoriska behandlingslösningarna planeras. När behandlingen av personuppgifter planeras bör man eftersträva lättanvända lösningar som främjar efterlevnaden av lagstiftningen. Bestämmelser om inbyggt dataskydd och dataskydd som standard ingår i artikel 25 i dataskyddsförordningen och 15 § i dataskyddslagen avseende brottmål.  

Enligt punkt 4 i artikeln får parterna i sin lagstiftning anpassa bestämmelserna i punkterna 1–3 så att de motsvarar de behandlade uppgifternas art och omfattning och databehandlingens art, omfattning och ändamål samt i förekommande fall den registeransvariges eller personuppgiftsbiträdets storlek. I artikel 25.1 i dataskyddsförordningen och i 15 § 1 mom. i dataskyddslagen avseende brottmål ingår skyldighet för den personuppgiftsansvarige att beakta behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter när skyddsåtgärder genomförs, men bestämmelserna innehåller ingen flexibilitet för den personuppgiftsansvarige eller behandlingen av personuppgifter. 

Artikel 13. Artiklarna 9–12 i konventionen omnumreras till artiklarna 11–14. 

Artikel 14. Enligt artikeln ersätts bestämmelserna i konventionens omnumrerade artikel 11 med nya. Artikeln gäller tillåtna undantag från konventionens tillämpningsområde. 

Enligt punkt 1 är undantag från konventionens artikel 5.4 (öppen behandling av personuppgifter samt principer), artikel 7.2 (anmälan av personuppgiftsincidenter till tillsynsmyndigheten), artikel 8.1 (skyldighet att informera den registrerade) och artikel 9 (den registrerades rättigheter) tillåtna, när det är fråga om att trygga den nationella säkerheten, försvaret, den allmänna säkerheten, statens viktiga ekonomiska eller finansiella intressen, rättsväsendets opartiskhet och oberoende eller förebyggande, utredning eller lagförande av brott eller verkställigheten av straffrättsliga påföljder eller andra viktiga mål som ligger i det allmänna intresset (led a). Undantag är också tillåtna när det är fråga om att skydda den registrerades eller andra personers grundläggande fri- och rättigheter, särskilt yttrandefriheten (led b). Av åtgärder som utgör undantag förutsätts att de medges i lag och att de är nödvändiga och proportionella i ett demokratiskt samhälle. Med nödvändighet avses att undantaget har ett berättigat mål som inte kan uppnås med metoder som utgör en mindre inskränkning av skyddet för privatlivet. Nödvändigheten av undantagen i artikel 11 i den ändrade konventionen ska bedömas från fall till fall och i enlighet med de viktiga mål som ligger i det allmänna intresset. (Punkterna 91 och 93 i motiveringen) 

Begreppet nationell säkerhet ska tolkas i enlighet med den Europeiska människorättsdomstolens rättspraxis i anslutning till saken (punkt 94 i motiveringen). Rättspraxis av betydelse för saken gäller i synnerhet skydd för statens säkerhet och demokratin mot spionage, terrorism samt stöd för terrorism och separatism. När det är fråga om undantag som hänför sig till den nationella säkerheten måste skyddsåtgärder mot maktmissbruk säkerställas. 

Europeiska unionens dataskyddslagstiftning tillämpas inte på behandling av personuppgifter i anslutning till den nationella säkerheten och försvaret. Tillämpningsområdet för Europarådets dataskyddskonvention är mer omfattande och täcker även sådan behandling av personuppgifter. Även eventuella undantag måste hållas inom de gränser som konventionen tillåter. 

I dataskyddsförordningen och dataskyddslagen avseende brottmål görs inga undantag från principerna för behandling av personuppgifter. Bestämmelser om behandling av personuppgifter som är förenlig med det ursprungliga ändamålet finns i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen samt i 5 § i dataskyddslagen avseende brottmål. Närmare bestämmelser om undantag från det ursprungliga ändamålet finns i speciallagstiftning. Den ovillkorliga skyldigheten att anmäla personuppgiftsincidenter till tillsynsmyndigheten är i artikel 33 i dataskyddsförordningen och i 34 § i dataskyddslagen avseende brottmål begränsad till att på samma sätt som artikel 7.2 i konventionen gälla situationer som skulle medföra en risk för den registrerades rättigheter. I artikel 23 i dataskyddsförordningen ingår grunder på vilka den registrerades rättigheter kan begränsas genom lagstiftningsåtgärder. Begränsningsgrunderna motsvarar i stor utsträckning grunderna för undantag enligt konventionen. I artikel 23 i dataskyddsförordningen föreskrivs det dessutom om förutsättningarna för lagstiftningsåtgärder. I 33 § i dataskyddslagen föreskrivs det om undantag från skyldigheten enligt artiklarna 13 och 14 i dataskyddsförordningen att tillhandahålla den registrerade information. I 34 § i dataskyddslagen föreskrivs det om begränsningar i den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. I 24 § i dataskyddslagen avseende brottmål föreskrivs det om inskränkningar i den registrerades rätt till insyn, och i 28 § i den lagen föreskrivs det mer allmänt som de grunder på vilka den registrerades rättigheter kan begränsas. I speciallagstiftningen ingår också begränsningar av och undantag från den registrerades rättigheter. 

Punkt 2 i den omnumrerade artikel 11 i konventionen möjliggör inskränkningar i tillämpningen för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, om det inte finns någon identifierbar risk för kränkning av den registrerades rättigheter och grundläggande friheter. Behandling av personuppgifter för sådana ändamål betraktas i enlighet med artikel 5.1 b i dataskyddsförordningen som behandling som är förenlig med den ursprungliga behandlingen av personuppgifterna. I artikel 89 i dataskyddförordningen föreskrivs det om skyddsåtgärder för sådan behandling och om undantag som kan föreskrivas i nationell rätt. Närmare bestämmelser om undantag och skyddsåtgärder ingår i 31 och 32 § i dataskyddslagen. I 5 § 3 mom. i dataskyddslagen avseende brottmål tillåts inom lagens tillämpningsområde behandling av personuppgifter för arkivändamål av allmänt intresse eller för vetenskapliga, statistiska eller historiska ändamål, om lämpliga skyddsåtgärder för de registrerades rättigheter har vidtagits. 

I punkt 3 konstateras det att när det är fråga om behandling av personuppgifter i anslutning till ändamål som avser den nationella säkerheten och försvaret får konventionsparterna i lag medge undantag även från artikel 4.3 (skyldighet att tillåta att effektiviteten av lagstiftningsåtgärder som gäller konventionen bedöms och skyldighet att aktivt medverka i bedömningen), artikel 14.5 och 14.6 (tillsynsmyndighetens rätt att få information om gränsöverskridande överföring av personuppgifter) samt artikel 15.2 a, b, c och d (vissa av tillsynsmyndighetens befogenheter). Undantag är dock tillåtna endast i den mån som undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle för att nå målet i fråga. Varje part ska i vilket fall som helst säkerställa att databehandlingsverksamhet i anslutning till den nationella säkerheten och försvarsändamål bedöms och övervakas oberoende och effektivt i enlighet med partens nationella lagstiftning. I enlighet med 45 § i dataskyddslagen avseende brottmål övervakar dataombudsmannen all behandling av personuppgifter vid upprätthållandet av den nationella säkerheten. 

I dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål föreskrivs det inte om några sådana begränsningar av den nationella tillsynsmyndighetens rätt till information och befogenheter som avses i artikel 14.5 och 14.6. Tillsynsmyndighetens behörighet enligt artikel 15.2 c i konventionen att besluta om administrativa påföljder har i viss mån begränsats i dataskyddslagen. En begränsning som gäller det aktuella ledet är tillåten, och den ändrade konventionen tillåter också alternativt ett annat slags påföljdssystem. Förhållandet mellan dessa begränsningar och bestämmelserna i konventionen förklaras i samband med artikel 15 i protokollet. 

Artikel 15. Konventionens artikel 10 (den nya artikel 12) preciseras så att parternas skyldighet att införa lämpliga sanktioner och rättsmedel som gäller sanktioner som bestäms och rättsmedel som tillämpas i både rättskipande och andra organ. Enligt motiveringen till den nya artikel 12 får parterna själva bestämma arten av de påföljder som tillämpas. Påföljderna kan vara civilrättsliga, administrativa eller straffrättsliga. Påföljderna ska emellertid vara effektiva, proportionella och förebyggande. Parterna får också bestämma de tillämpliga rättsmedlen, förutsatt att den registrerade har verklig möjlighet att använda rättsmedlen för att bestrida ett beslut eller en praxis. 

I artikel 83 i den allmänna dataskyddsförordningen föreskrivs det om administrativa sanktionsavgifter (nedan administrativ påföljdsavgift), som tillämpas inom den allmänna dataskyddsförordningens och dataskyddslagens tillämpningsområde. Administrativ påföljdsavgift får emellertid enligt 24 § 4 mom. i dataskyddslagen inte påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ. Administrativ påföljdsavgift får inte heller påföras inom tillämpningsområdet för dataskyddslagen avseende brottmål, vilket gäller enbart myndigheters verksamhet. I de situationer där påföljdsavgift inte kan påföras blir påföljder och rättsmedel enligt strafflagen, tjänstemannalagen och skadeståndslagen tillämpliga. Dataombudsmannen har dessutom med stöd av 22 § i dataskyddslagen och 52 § i dataskyddslagen avseende brottmål rätt att förena sina förelägganden enligt nämnda bestämmelser med vite. I 21 § i dataskyddslagen föreskrivs det om rätt att föra ett ärende som gäller brott mot lagstiftningen om behandling av personuppgifter till dataombudsmannen, och i 25 § i den lagen föreskrivs det om rätt att söka ändring i dataombudsmannens och biträdande dataombudsmannens beslut. Motsvarande bestämmelser ingår i 56 och 59 § i dataskyddslagen avseende brottmål. Bestämmelserna i dataskyddslagen och dataskyddslagen avseende brottmål motsvarar kraven i den ändrade artikel 12. 

Artikel 16. Rubriken för kapitel III i konventionen ändras till ”Gränsöverskridande överföring av personuppgifter”. 

Artikel 17. Rubriken för konventionens artikel 12 (den nya artikel 14) ändras till ”Gränsöverskridande överföring av personuppgifter”. Texten i artikeln ersätts med ny text. 

Enligt punkt 1 i den omnumrerade artikel 14 får en part inte, uteslutande i syfte att skydda personuppgifter, förbjuda överföring av sådana uppgifter till en mottagare som lyder under en annan parts jurisdiktion eller kräva särskilt tillstånd för överföringen. Denna bestämmelse motsvarar den gällande konventionens artikel 12.2. I motsats till nuläget får en part emellertid agera så, om det finns en faktisk och allvarlig risk för att överföring till en annan parts territorium eller från denna andra parts territorium till någon annan än en part skulle leda till kringgående av bestämmelserna i konventionen. En part får också agera så, om parten är bunden av harmoniserade dataskyddsregler som är gemensamma för stater som hör till en internationell organisation. Punkt 1 tillåter alltså EU:s medlemsstater att tillämpa bestämmelser i EU-rätten och dess genomförandelagstiftning i stället för kraven i konventionen. 

I punkt 2 i artikeln föreskrivs det att om mottagaren av personuppgifter lyder under en sådan stats eller internationell organisations jurisdiktion som inte är part i konventionen, får personuppgifter överföras endast som en lämplig skyddsnivå enligt bestämmelserna i konventionen säkerställs. Punkten motsvarar det gällande tilläggsprotokollets artikel 2.1. Enligt punkt 3 kan en lämplig skyddsnivå basera sig på nationell eller internationell lagstiftning, inklusive tillämpliga internationella överenskommelser (led a), eller på ad hoc- eller godkända standardiserade skyddsåtgärder som fastställs i en sådan rättsligt bindande och verkställbar handling som de personer som deltar i överföringen och den fortsatta behandlingen av personuppgifter godkänner och genomför (led b). Punkten är ny i förhållande till tilläggsprotokollet. Bestämmelser som motsvarar ledet finns i artiklarna 44–47 i dataskyddsförordningen och i 41–42 § i dataskyddslagen avseende brottmål.  

Enligt punkt 4 får en part dock trots bestämmelserna om skyddsnivå bestämma att personuppgifter får överföras med den registrerades samtycke, om den registrerades särskilda intressen förutsätter det i ett enskilt fall, med stöd av ett lagstadgat berättigat intresse eller ett viktigt allmänt intresse eller för att trygga yttrandefriheten. Punkten motsvarar delvis det gällande tilläggsprotokollets artikel 2.2, men avtalsklausuler (contractual clauses) utgör inte längre en grund för undantag. Dessutom har den grund som gäller ett berättigat intresse eller ett viktigt allmänt intresse skärpts. Till denna del krävs fortsättningsvis uttryckliga bestämmelser i lag, men dessutom förutsätts i fråga om lagbestämmelserna att nödvändigheten och proportionaliteten säkerställs. I artikel 49 i dataskyddsförordningen och i 43 § i dataskyddslagen avseende brottmål finns bestämmelser om överföring av uppgifter som baserar sig på enskilt eller allmänt intresse. Paragrafen i dataskyddslagen avseende brottmål gäller inte behandling av personuppgifter vid upprätthållandet av den nationella säkerheten. 

Punkterna 2 och 3 i artikeln tillåter inga undantag, utan kraven i dem ska tillämpas på all behandling av personuppgifter. EU:s dataskyddslagstiftning tillämpas inte som sådan på bland annat sådan behandling av personuppgifter som hänför sig till verksamhet som står utanför EU-rätten. Sådan behandling av personuppgifter är i synnerhet behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret och som i Finland till stor del har inkluderats i tillämpningsområdet för dataskyddslagen avseende brottmål, men lagens 7 kap. om överföring av personuppgifter till tredjeländer och internationella organisationer gäller inte sådan behandling av personuppgifter. I 51 § 4 mom. i polisens personuppgiftslag föreskrivs det om skyldigheten att ta hänsyn till bland annat de internationella fördrag som är bindande för Finland och nivån på dataskyddet i den stat som är mottagare av personuppgifterna. Motsvarande krav på hänsyn till skyddsnivån finns i 31 § 2 mom. och 32 § 1 mom. i Försvarsmaktens personuppgiftslag. I det sistnämnda momentet förutsätts också att hänsyn tas till internationella fördrag. Huvudregeln i punkt 2 i artikeln gäller dessutom redan nu dessa myndigheter i och med lagen om ikraftsättande av tilläggsprotokollet. Lagen om ikraftsättande av ändringsprotokollet sätter också i kraft bestämmelserna i punkt 3 om vad bedömningen av en tillräcklig skyddsnivå kan basera sig på. Genomförandet av punkt 4 förutsätter materiella bestämmelser, men det är fråga om en möjlighet för konventionsparterna, och det är inte nödvändigt att genomföra de gällande bestämmelserna i dataskyddslagen avseende brottmål i större omfattning. Punkternas förhållande till dataskyddslagen avseende brottmål bedöms mer ingående i detaljmotiveringen till lagförslag 3. 

Enligt punkt 5 ska parterna föreskriva en skyldighet att underrätta den behöriga myndigheten om överföringar som baserar sig på ad hoc- eller godkända standardiserade skyddsåtgärder samt på begäran om överföringar som baserar sig på ett särskilt intresse, ett berättigat intresse eller ett viktigt allmänt intresse. Motsvarande krav ingår i artikel 30 i dataskyddsförordningen och i 42–44 § i dataskyddslagen avseende brottmål. Punkten möjliggör undantag bland annat i fråga om behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret, men de ifrågavarande grunderna för överföring av personuppgifter gäller enligt den gällande lagstiftningen inte behandling av personuppgifter som hänför sig till upprätthållandet av den nationella säkerheten. Överföring av personuppgifter till tredjeländer och internationella organisationer i enlighet med 51 § i polisens personuppgiftslag och 31 och 32 § i Försvarsmaktens personuppgiftslag ska dock anmälas till tillsynsmyndigheterna i den utsträckning som förutsätts i 18 och 47 § i dataskyddslagen avseende brottmål. 

Enligt punkt 6 ska parterna föreskriva om rätt för tillsynsmyndigheten att begära att den person som överför personuppgifter visar att skyddsåtgärderna är effektiva eller att tvingande berättigade intressen föreligger samt säkerställa att tillsynsmyndigheten kan förbjuda, avbryta eller villkora sådana överföringar. Bestämmelser som i huvudsak motsvarar punkten ingår i artiklarna 44–49 och 58 i dataskyddsförordningen och i 41–44 och 51 § i dataskyddslagen avseende brottmål. Punkten möjliggör undantag bland annat i fråga om behandling av personuppgifter som hänför sig till den nationella säkerheten och försvaret, men tillsynsmyndighetens befogenheter enligt artikel 58 i dataskyddsförordningen och 51 § i dataskyddslagen avseende brottmål gäller all behandling av personuppgifter utan undantag. 

Enligt punkt 3 i artikel 17 i ändringsprotokollet innehåller artikeln de bestämmelser som för närvarande ingår i artikel 2 i tilläggsprotokollet. Enligt artikel 37.4 i ändringsprotokollet upphävs tilläggsprotokollet den dag då ändringsprotokollet träder i kraft. 

Artikel 18. Efter kapitel III i konventionen läggs ett nytt kapitel IV till med rubriken ”Tillsynsmyndigheter”. 

Artikel 19. Den nya artikel 15 innehåller bestämmelserna i artikel 1 i det gällande tilläggsprotokollet. 

Bestämmelserna om tillsynsmyndigheter utvidgas. Enligt punkt 1 ska parterna se till att en eller flera myndigheter kontrollerar att bestämmelserna i konventionen följs. Enligt 8 § i dataskyddslagen och 45 § i dataskyddslagen avseende brottmål är dataombudsmannen den myndighet som övervakar att de författningarna och dataskyddsförordningen efterlevs. Dataskyddslagen och dataskyddslagen avseende brottmål innehåller ingen hänvisning till dataskyddskonventionen. Inte heller den upphävda lagen om datasekretessnämnden och dataombudsmannen (389/1994) innehöll någon uttrycklig hänvisning. I praktiken har dock dataombudsmannen skött tillsynsuppgiften enligt konventionen med stöd av 38 § i den upphävda personuppgiftslagen, som innehöll en allmän hänvisning som behandling av personuppgifter med stöd också av annan lagstiftning. Dataombudsmannen övervakar direkt med stöd av dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål överföring av personuppgifter till länder utanför EU, bland annat till övriga parter i dataskyddskonventionen, trots att motsvarande uppgift inte har föreskrivits uttryckligt för dataombudsmannen i fråga om konventionen. Dataombudsmannen bör för tydlighetens skull särskilt anges också som den tillsynsmyndighet som avses i konventionen. 

Enligt punkt 2 ska myndigheterna för detta ändamål ha rätt att företa undersökningar och ingripanden (led a), ha uppgifter i anslutning till gränsöverskridande överföring av personuppgifter, särskilt godkännande av standardiserade skyddsåtgärder (led b) och ha behörighet att fatta beslut som gäller brott mot bestämmelserna i konventionen (led c). I denna behörighet kan enligt led c ingå i synnerhet behörighet att besluta om administrativa påföljder. Enligt motiveringen till konventionen kan bestämmelserna i punkt 2 också tillämpas så att påföljden påförs av en behörig domstol, om en parts rättsordning inte möjliggör administrativa påföljder (punkt 119 i motiveringen). Enligt punkt 2 ska tillsynsmyndigheten också ha behörighet att vara part i rättsliga förfaranden eller att för de behöriga rättsliga myndigheterna anmäla brott mot bestämmelserna i konventionen (led d) samt främja allmän kännedom om tillsynsmyndighetens uppgifter, behörighet och verksamhet, om de registrerades rättigheter och om personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter (led e).  

Konventionen ger parterna spelrum när det gäller hur de organiserar tillsynsmyndighetens uppgifter och behörighet. Tillsynsmyndighetens befogenhet att ålägga den personuppgiftsansvarige korrigerande åtgärder kan omfatta olika åtgärder, såsom rättelse, radering eller utplåning av felaktiga personuppgifter eller personuppgifter som behandlats i strid med lag. Tillsynsmyndigheten kan utöva sin behörighet på eget initiativ eller på den registrerades begäran, om denne inte själv kan utöva sina rättigheter (punkterna 119 och 121 i motiveringen). Bestämmelser som motsvarar de uppgifter och befogenheter som avses i punkt 2 i konventionen ingår i artiklarna 57 och 58 i dataskyddsförordningen, i 15, 18, 22 och 24 § i dataskyddslagen och i 46–48, 51 och 52 § i dataskyddslagen avseende brottmål. 

Enligt punkt 3 ska de behöriga tillsynsmyndigheterna höras om förslag till lagstiftningsåtgärder och administrativa åtgärder som möjliggör behandling av personuppgifter. Motsvarande bestämmelser ingår i artikel 52.3 b i dataskyddsförordningen och i 53 § 2 mom. i dataskyddslagen avseende brottmål. 

Enligt punkt 4 ska varje behörig tillsynsmyndighet behandla framställningar och klagomål som gäller registrerades dataskydd samt informera de registrerade om hur behandlingen framskrider. Motsvarande bestämmelser ingår i artikel 57.1 f i dataskyddsförordningen och i 29 § 2 mom. och 46 § 1 mom. 7 punkten i dataskyddslagen avseende brottmål. 

Enligt punkt 5 ska tillsynsmyndigheterna agera helt oberoende och opartiskt när de utför sina uppgifter och utövar sina befogenheter, och de får inte begära eller ta emot instruktioner. Motsvarande krav ingår i artikel 52.1–52.3 i dataskyddsförordningen och i 8 § 2 mom. i dataskyddslagen. 

Enligt punkt 6 ska parterna säkerställa att tillsynsmyndigheterna får de resurser de behöver för att utföra sina uppgifter effektivt och utöva sina befogenheter effektivt. Ett motsvarande krav ingår i artikel 52.4 i dataskyddsförordningen. I 9 § 1 mom. i dataskyddslagen föreskrivs om personalen vid dataombudsmannens byrå och i 12 § 1 mom. i den lagen om sakkunnignämnden. 

Enligt punkt 7 ska varje tillsynsmyndighet regelbundet upprätta och publicera en rapport om sin verksamhet. Ett motsvarande krav ingår i artikel 59 i dataskyddsförordningen och i 14 § 4 mom. i dataskyddslagen. 

Enligt punkt 8 ska tillsynsmyndigheternas medlemmar och personal hemlighålla information som de har eller har haft åtkomst till vid utförandet av sina uppgifter och utövandet av sina befogenheter. Bestämmelser om tystnadsplikt för dataombudsmannen, biträdande dataombudsmannen och anställda vid dataombudsmannens byrå finns i 17 § i statstjänstemannalagen (750/1994) och i 23 § i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). 

Enligt punkt 9 ska tillsynsmyndigheternas beslut kunna överklagas i domstol. Bestämmelser om ändringssökande finns i artikel 78 i dataskyddsförordningen, i 25 § i dataskyddslagen och i 59 § i dataskyddslagen avseende brottmål. 

Enligt punkt 10 har tillsynsmyndigheterna inte behörighet avseende databehandling som olika organ utför i sin dömande verksamhet. Enligt artikel 55.3 i dataskyddsförordningen ska tillsynsmyndigheterna inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. Enligt 45 § i dataskyddslagen avseende brottmål tillämpas bestämmelserna om tillsyn i lagen inte på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman. 

Den gällande punkt 5 i tilläggsprotokollet utgår. Punkten innehåller bestämmelser om tillsynsmyndigheternas samarbete, som tas in i den nya artikel 17. 

Artikel 20. Kapitlen IV–VII i konventionen omnumreras till kapitlen V–VIII (punkt 1). Rubriken för kapitel V i konventionen ersätts med rubriken ”Samarbete och ömsesidigt bistånd” (punkt 2). Till konventionen läggs en ny artikel 17, och artiklarna 13–27 omnumreras till artiklarna 16–31 (punkt 3). 

Artikel 21. Rubriken för artikel 13 (den nya artikel 16) i konventionen ersätts med rubriken ”Utseende av tillsynsmyndigheter”. Punkt 1 i den omnumrerade artikel 16 motsvarar innehållsmässigt den gällande biståndsskyldigheten mellan parterna vid genomförandet av konventionen, men dessutom tillfogas en uttrycklig samarbetsskyldighet. Sådana skyldigheter för parterna att utse och meddela myndigheter som motsvarar punkt 2 ingår i den gällande konventionen, och artikel 16 innehåller inga nya skyldigheter. Behovet av att utse en myndighet i den nationella lagstiftningen förklaras mer ingående i samband med artikel 15 samt i motiveringen till lagförslag 1. 

Artikel 22. Till konventionen läggs en ny artikel 17, som gäller tillsynsmyndigheternas samarbetsformer. Artikeln ersätter artikel 1.5 i tilläggsprotokollet, men bestämmelserna i den nya artikeln är mer detaljerade. Enligt punkt 1 samarbetar tillsynsmyndigheterna i den mån det behövs för att utföra deras uppgifter och utöva deras befogenheter, särskilt genom att bistå varandra genom att utbyta upplysningar (led a), samordna sina undersökningar eller ingripanden eller genomföra gemensamma operationer (led b) och lämna ut upplysningar och handlingar om sin lagstiftning och administrativa praxis som gäller dataskydd (led c). De upplysningar som lämnas ut får enligt punkt 2 inte innehålla personuppgifter som behandlas, om inte personuppgifterna är väsentliga för samarbetet eller om inte den registrerade har gett sitt samtycke till att personuppgifterna lämnas ut. Samtycket ska vara uttryckligt, specificerat, fritt och informerat. Enligt punkt 3 bildar tillsynsmyndigheterna ett nätverk för att organisera sitt samarbete och utföra sina uppgifter enligt artikeln. 

Bestämmelserna i artikeln påverkar inte samarbetet mellan EU:s dataskyddsmyndigheter, som bedrivs i enlighet med dataskyddsförordningen inom ramen för Europeiska dataskyddsstyrelsen. Tillsynsmyndigheternas samarbete enligt dataskyddsförordningen och dataskyddslagen avseende brottmål omfattar endast samarbete med myndigheter i EU:s medlemsstater. Dataombudsmannens befogenheter i fråga om tillsynssamarbetet enligt dataskyddskonventionen framgår därmed inte entydigt av lag. De konventionsbestämmelser som gäller tillsynsmyndigheternas samarbete är dock i kraft som sådana med stöd av 1 § i lagförslag 1, och de tillämpas på samarbete som bedrivs med myndigheter i andra stater än EU:s medlemsstater. På dataombudsmannens rätt att lämna ut sekretessbelagda uppgifter till utländska myndigheter tillämpas 30 § i offentlighetslagen. Uppgifterna ska få lämnas ut på samma villkor som de med stöd av 29 § får lämnas ut till finska myndigheter. Behovet av lagändringar bedöms närmare i motiveringen till lagförslag 2 och 3. 

Utöver riksdagsarbetet är dataombudsmannens befogenheter begränsade i den mån det är fråga om behandling av personuppgifter som utförs av domstolarna, statsrådets justitiekansler och riksdagens justitieombudsman. I dataskyddslagen avseende brottmål har dataombudsmannens övernationella befogenheter dessutom begränsats i den mån det är fråga om behandling av personuppgifter vid upprätthållandet av den nationella säkerheten. Bestämmelserna i 54 § i dataskyddslagen avseende brottmål tillämpas inte på sådan behandling av personuppgifter som avses i 1 § 2 mom. i den lagen. Begränsningar som gäller tillsyn kan påverka tillsynsmyndigheternas samarbete i den mån som den behandling av personuppgifter som omfattas av begränsningarna är förenad med gränsöverskridande överföring av personuppgifter. De begränsningar som hänför sig till upprätthållandet av den nationella säkerheten är till denna del dock förenliga med konventionen, med beaktande de tillämpliga bestämmelserna i 18 och 47 § i dataskyddslagen avseende brottmål. 

Artikel 23. Rubriken för artikel 14 (den nya artikel 18) i konventionen ersätts med rubriken ”Bistånd till registrerade personer”, och punkt 1 i artikeln ändras så att parterna ska bistå en registrerad, oberoende av hans eller hennes nationalitet eller hemvist, vid utövandet av sina rättigheter enligt konventionen. Även om det är fråga om en skyldighet som ålagts parterna, svarar tillsynsmyndigheterna för det praktiska biståndet. Den upphävda personuppgiftslagen begränsade inte dataombudsmannens befogenheter på basis av den registrerades hemvist eller nationalitet, utan gällde sådan behandling av personuppgifter där den registeransvariges verksamhetsställe var beläget inom finskt territorium eller i övrigt stod under finsk jurisdiktion. Inte heller dataskyddslagen begränsar dataombudsmannens befogenheter på basis av den registrerades hemvist eller nationalitet. Den gällande dataskyddskonventionen förutsätter redan att registrerade som är bosatta utomlands ska bistås. Ändringarna av punkt 1 innebär således inga innehållsmässiga utvidgningar i finsk lagstiftning. I de övriga punkterna i artikeln företas tekniska ändringar som motsvarar de ändrade definitionerna, men innehållet i punkterna förblir i övrigt oförändrat. Enligt motiveringen kan de registrerade utöva sina rättigheter antingen direkt eller via tillsynsmyndigheten. Registrerade som befinner sig utomlands kan också att möjlighet att utöva sina rättigheter via en diplomatisk beskickning eller ett konsulat (punkterna 145 och 146 i motiveringen). 

Artikel 24. Rubriken för artikel 15 (den nya artikel 19) ersätts med rubriken ”Skyddsåtgärder”. I artikeln begränsas utnyttjandet av uppgifter som tillsynsmyndigheten tagit emot till att gälla de uppgifter som nämns i framställningen (punkt 1) samt tillsynsmyndighetens framställning om bistånd åt en registrerad person till situationer där den registrerade har gett sitt samtycke till det (den omnumrerade punkt 2). Ordalydelsen i punkt 1 och punkt 3 (den nya punkt 2) i artikeln förenklas, men innehållet förändras inte. Den gällande punkt 2 i artikeln, som gäller sekretess för tillsynsmyndighetens anställda utgår. En motsvarande bestämmelse har tagits in i artikel 15.8. 

Artikel 25. I artikel 16 (den nya artikel 20) i konventionen företas tekniska justeringar i rubriken och i led a. Led b i artikeln förblir oförändrat. I led c görs en begreppsmässig precisering, enligt vilken tillsynsmyndigheten får vägra att efterkomma en framställning om samarbete enligt artikel 17, om det skulle strida mot den nationella säkerheten hos den part som har utsett tillsynsmyndigheten. Det begrepp som använts i det gällande ledet i konventionen är säkerhet. 

Artikel 26. I artikel 17 (den nya artikel 21) företas tekniska ändringar i rubriken och i punkterna 1 och 3. Innehållet i artikeln ändras inte, men utöver ömsesidigt bistånd nämns också samarbete mellan tillsynsmyndigheterna uttryckligen i ordalydelsen. 

Artikel 27.Rubriken för kapitel V (det nya kapitel VI) i konventionen ändras till ”Konventionskommitté”. 

Artikel 28. Termen ”rådgivande kommitté”, som används i punkt 1 i artikel 18 (den nya artikel 22) i konventionen, ersätts med termen ”konventionskommitté”. Motsvarande ändring företas i punkt 3. Punkt 3 i artikeln ändras dessutom så att konventionskommittén, med två tredjedelars majoritet av företrädarna för parterna, får bjuda in en observatör att låta sig företrädas på kommitténs möten. Enligt den gällande punkten förutsätts ett enhälligt beslut för att bjuda in en observatör.  

Till artikeln läggs en ny punkt 4, enligt vilken en part som inte är medlem i Europarådet deltar i finansieringen av konventionskommitténs verksamhet i enlighet med sådana detaljerade regler som ministerkommittén fastställer genom överenskommelse med den parten. 

Artikel 29. I det inledande stycket i artikel 19 (den nya artikel 23) i konventionen ersätts termerna ”den rådgivande kommittén” med termen ”konventionskommittén”. Innehållet i leden a–d förblir i huvudsak oförändrat. I led a ersätts kommitténs rätt att lägga fram förslag med rätt att lägga fram rekommendationer för att underlätta tillämpningen av konventionen. Enligt led d ska kommittén dessutom ha rätt att på eget initiativ yttra sig om tolkningen och tillämpningen av konventionen. Enligt det gällande ledet yttrar sig kommittén på begäran av en part, och det gäller endast tillämpning av konventionen. Enligt motiveringen har man genom ändringen beaktat att behandlingen av personuppgifter, som konventionen gäller, hela tiden utvecklas, varför det är möjligt att frågor väcks också om konventionens betydelse vid sidan av frågor om den praktiska tillämpningen (punkt 157). 

Till artikeln läggs nya led (e–i), genom vilka konventionskommittén ges nya uppgifter. Enligt det nya led e utarbetar kommittén före varje ny anslutning till konventionen för ministerkommittén ett yttrande om nivån på skyddet för personuppgifter i den kandidat som vill ansluta sig och rekommenderar vid behov åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen. I fråga om den gällande konventionen har man iakttagit en praxis där Europarådets ministerkommitté beslutar om en stat utanför Europarådet ska bjudas in att ansluta sig till konventionen och inhämtar rådgivande kommitténs yttrande före det. För utlåtandet har varje stat som är företrädd i kommittén särskilt ombetts att ge sin syn på om den stat som vill ansluta sig har genomfört de lagstiftningsåtgärder som behövs för att efterleva konventionen. Praxis motsvarar andra förfaranden enligt Europarådets konventioner, eftersom konventionen gör det möjligt för en stat utanför Europarådet att ansluta sig, men den nuvarande kommitténs roll är inte lika betydande som den blir när ändringarna i dataskyddskonventionen träder i kraft. Till skillnad från gällande praxis får kommittén i och med de nya befogenheterna en nyckelroll när det gäller att bedöma om en stat som vill ansluta sig uppfyller nivån på tillfredsställande dataskydd. 

Enligt det nya led f kan kommittén på begäran av en stat eller internationell organisation bedöma om den nivån på skyddet för personuppgifter som den erbjuder är förenlig med bestämmelserna i konventionen och kan vid behov rekommendera åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen.  

Enligt det nya led g kan kommittén utveckla eller godkänna modeller för standardiserade skyddsåtgärder enligt artikel 14.  

Enligt det nya led h bedömer kommittén hur parterna har genomfört konventionen och rekommenderar åtgärder i fall där en part inte följer konventionen. Förfarandet förklaras mera ingående i samband med artikel 30 i protokollet. 

Enligt det nya led i underlättar kommittén vid behov förlikning för att lösa alla problem i anslutning till tillämpningen av konventionen. Enligt motiveringen ska konventionskommittén vid tvister försöka hitta en lösning med hjälp av förhandlingar eller andra förlikningsförfaranden (punkt 165). 

Artikel 30. Texten i artikel 20 (den nya artikel 24) i konventionen ersätts med ny text. Led 1 i artikeln ändras så att konventionskommittén sammanträder minst en gång om året. Enligt den gällande punkten ska kommittén hålla möte åtminstone vartannat år. Den ändrade punkten torde emellertid inte medföra några ändringar i kommitténs nuvarande praxis, eftersom den på senare tid har hållit möte två gånger om året. Den gällande punkt 2 i artikeln utgår. Den gällande punkt 3 omnumreras till punkt 2, men utöver kommitténs namn ändras dess innehåll inte.  

Till artikeln läggs en ny punkt 3, enligt vilken konventionskommitténs omröstningsarrangemang fastställs i grunderna för arbetsordningen, som utgör bilaga till tilläggsprotokollet. När EU blir part i konventionen, överlämnar EU ett meddelande där befogenhetsfördelningen mellan unionens och medlemsstaternas preciseras i den mån det är fråga om sådan behandling av personuppgifter som hör till konventionens tillämpningsområde. EU ska också underrätta Europarådets generalsekreterare om ändringar i befogenhetsfördelningen (punkt 160 i motiveringen). 

Till artikeln läggs en ny punkt 4, enligt vilken konventionskommittén utarbetar övriga grunder för sin arbetsordning och i synnerhet fastställer de bedömningsförfaranden som avses i artikel 4.3 och artikel 23 e, f och h på objektiva kriterier. Dessa förfaranden gäller bedömning av om nivån på dataskyddet hos stater eller internationella organisationer som ansluter sig är tillfredsställande och bedömning av effektiviteten hos parternas lagstiftning för att genomföra konventionen. 

Kommitténs nya befogenheter att bedöma effektiviteten hos lagstiftningsåtgärderna i de stater och internationella organisationer som är parter innebär ett nytt slags bedömningsförfarande för att garantera att de dataskyddsprinciper som fastställts i konventionen genomförs och att parterna uppfyller kraven i den (punkt 162 i motiveringen). Uppföljningsförfarandet stärker samtidigt kommitténs befogenheter. Parterna å sin sida är i enlighet med den ändrade artikel 4.3 i konventionen skyldiga att aktivt medverka i bedömningsförfarandet. För EU:s medlemsstaters del riktar sig bedömningsförfarandet i praktiken mot både EU:s dataskyddslagstiftning och den nationella lagstiftning som kompletterar och genomför den. Bedömningen kan också gälla speciallagstiftning till exempel i den mån som man i speciallagstiftningen avviker från den registrerades rättigheter. Detta är av särskild betydelse för den lagstiftning som gäller behandling av personuppgifter vid upprätthållandet av den nationella säkerheten med beaktande av att den inte hör till tillämpningsområdet för EU:s dataskyddslagstiftning och att Europeiska kommissionen har inte befogenheter att bedöma den inom ramen för bedömningen av innehållet i den lagstiftning som genomför EU-rätten. 

Man har ännu inte fattat beslut om detaljerna i bedömnings- och uppföljningsförfarandet för konventionen. Konventionskommittén har befogenheter att besluta om dem när ändringsprotokollet har trätt i kraft. Kommittén ska dock direkt med stöd av bestämmelserna i protokollet ge rekommendationer om korrigering av bestämmelserna eller förfaranden som eventuellt strider mot konventionen. I ljuset av tillgängliga uppgifter torde kommittén fästa uppmärksamhet vid både lagstiftningen och dess tillämpningspraxis. Även om det är fråga om rekommendationer och inte rättsligt bindande bestämmelser, kan de särskilt genom inverkan på anseendet antas ha positiv inverkan på uppfyllandet av dataskyddskraven, och på så sätt torde bedömnings- och uppföljningsförfarandet inverka på konventionens allmänna syfte att säkerställa en enhetlig nivå på dataskyddet hos parterna. 

Artikel 31. I punkterna 1,3 och 4 i artikel 21 (den nya artikel 25) i konventionen ändras kommitténs namn. Dessutom ändras punkt 2 för att beakta att även internationella organisationer kan bli parter i konventionen vid sidan av stater. 

Till artikeln läggs en ny punkt 7, enligt vilken ministerkommittén, efter att ha hört konventionskommittén, kan besluta enhälligt att en enskild ändring i konventionen träder i kraft tre år från det att ändringen har öppnats för godkännande, om inte någon part underrättar Europarådets generalsekreterare om att parten motsätter sig ikraftträdandet av ändringen. I det fallet träder ändringen i kraft den första dagen i den månad som följer på den dag då den part som meddelat att den motsätter sig ändringen har deponerat sitt godkännandeinstrument. 

Artikel 32.Punkt 1 i artikel 22 (den nya artikel 26) i konventionen ändras för att beakta att konventionen är öppen för undertecknande samt ratifikation, godtagande eller godkännande för inte bara Europarådets medlemsstater utan också Europeiska unionen. I punkt 3 ersätts termen ”medlemsstat” därför med termen ”part”. 

Befogenhetsfördelningen mellan Europeiska unionen och dess medlemsstater behandlas mer ingående i avsnitt 10.1. 

Artikel 33. Rubriken för och texten i artikel 23 (den nya artikel 27) i konventionen ändras för att beakta att även internationella organisationer vid sidan av stater utanför Europarådet kan ansluta sig till konventionen. Dessutom ändras punkt 1 så att konventionsparternas och konventionskommitténs roll stärks i förfarandet där ministerkommittén kan bjuda in en stat eller internationell organisation att ansluta sig till konventionen. Europarådets ministerkommitté får, efter att ha hört parterna i konventionen och erhållit deras enhälliga samtycke samt med beaktande av ett yttrande som konventionskommitténs utarbetat i enlighet med artikel 23 e, bjuda in en stat, som inte är medlem av Europarådet, eller en internationell organisation att ansluta sig till konventionen genom ett beslut med sådan majoritet som föreskrivs i artikel 20 stycke d i Europarådets stadga och under förutsättning att samtliga företrädare för de fördragsslutande stater som är medlemmar i kommittén har röstat för beslutet. 

Artikel 34. Artikel 24 (den nya artikel 28) i konventionen gäller förklaringar rörande konventionens geografiska tillämpning. Punkterna 1 och 2 i konventionen ändras för att beakta att även Europeiska unionen och andra internationella organisationer kan vara parter i den ändrade konventionen. 

Artikel 35. I det inledande stycket i artikel 27 (den nya artikel 31) ersätts termen ”stat” med termen ”part”. I led c ersätts dessutom hänvisningen ”artiklarna 22, 23 och 24” med hänvisningen ”artiklarna 26, 27 och 28”. 

Artikel 36.Undertecknande, ratifikation och anslutning. Enligt artikeln är protokollet öppet för undertecknande av de fördragsslutande staterna i konventionen. Det ska ratificeras, godtas eller godkännas. Ratifikations-, godtagande- och godkännandeinstrumenten ska deponeras hos Europarådets generalsekreterare. Sedan protokollet har öppnats för undertecknande och innan det träder i kraft ger varje annan stat sitt samtycke till att vara bunden av protokollet genom att ansluta sig till det. En stat kan inte bli part i konventionen utan att samtidigt ansluta sig till ändringsprotokollet. 

Artikel 37.Ikraftträdande. Enligt punkt 1 träder protokollet i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter den dag då alla parter i konventionen har uttryckt sin vilja att vara bundna av protokollet i enlighet med bestämmelserna i artikel 36.1. 

I punkt 2 föreskrivs det att om protokollet inte har trätt i kraft i enlighet med punkt 1, ska det för de staters del som i enlighet med punkt 1 har uttryckt sin vilja att vara bundna av protokollet träda i kraft inom fem år efter det att det öppnades för undertecknande, förutsatt att protokollet har minst trettioåtta parter. Samtliga bestämmelser i den ändrade konventionen träder i kraft mellan parterna i protokollet genast när protokollet träder i kraft. 

Enligt punkt 3 kan en part i konventionen, innan protokollet träder i kraft, vid undertecknandet av protokollet eller när som helst senare avge en förklaring enligt vilken parten tillämpar bestämmelserna i protokollet temporärt, utan att detta påverkar bestämmelserna om ikraftträdande och anslutning för icke-medlemsstater eller internationella organisationer. I sådana fall tillämpas bestämmelserna i protokollet endast med avseende på andra sådana parter i konventionen som har avgett en förklaring med samma innehåll. En sådan förklaring träder i kraft den första dagen i den tredje månaden efter det att Europarådets generalsekreterare har tagit emot förklaringen. 

Enligt punkt 4 upphävs tilläggsprotokollet när ändringsprotokollet träder i kraft. Bestämmelserna i tilläggsprotokollet ingår i artiklarna 14 och 15 i den ändrade konventionen. 

Enligt punkt 5 förlorar de ändringar i dataskyddskonventionen som ministerkommittén antog i Strasbourg den 15 juni 1999 sin betydelse när ändringsprotokollet träder i kraft. 

Artikel 38.Förklaringar som hänför sig till konventionen. Enligt artikeln förfaller sådana gällande förklaringar om tillämpningsområdet som avgetts i enlighet med artikel 3 när ändringsprotokollet träder i kraft. 

Finland har i samband med deponeringen av sitt ratifikationsinstrument för tilläggsprotokollet avgett en förklaring enligt vilken Finland inte tillämpar konventionen på behandling av personuppgifter som en fysisk person utför uteslutande för personliga eller därmed jämförbara sedvanliga privata syften. Finland har dessutom avgett en förklaring enligt vilken Finland tillämpar konventionen inte bara på automatisk behandling av personuppgifter utan också på annan behandling av personuppgifter då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant. Det faktum att dessa förklaringar förfaller får ingen rättsverkan, eftersom bestämmelserna om konventionens tillämpningsområde i och med ikraftträdandet av ändringsprotokollet motsvarar innehållet i Finlands förklaringar. 

Den ändrade konventionen innehåller inga bestämmelser om förklaringar med undantag av bestämmelserna om geografiska förklaringar enligt artikel 28. Om en part deponerar en förklaring i samband med undertecknandet, ratifikationen, godtagandet eller godkännandet är det alltså fråga om en tolkningsförklaring som inte grundar sig på bestämmelserna i konventionen. En tolkningsförklaring får inte utgöra en reservation. 

Artikel 39.Reservationer. Enligt artikeln får inga reservationer mot bestämmelserna i protokollet göras. Inte heller den gällande konventionen eller den ändrade konventionen tillåter reservationer. 

Artikel 40.Underrättelser. Enligt artikeln ska Europarådets generalsekreterare underrätta Europarådets medlemsstater och varje annan part i konventionen om varje undertecknande (led a), deponering av varje instrument rörande ratifikation, godtagande, godkännande eller anslutning (led b), dagen för ikraftträdande av protokollet enligt artikel 37 (led c) och varje annan handling och underrättelse och varje annat meddelande som hänför sig till protokollet (led d). 

Bilaga till protokollet.Grunder för konventionskommitténs arbetsordning. Ändringsprotokollet innehåller en bilaga. Bilagans rättsliga ställning framgår inte uttryckligen av texten i protokollet, men artikel 30.3 och 30.4 i protokollet antyder att bilagan är en oskiljaktig del av protokollet, för enligt artikel 30.3 fastställs omröstningsarrangemangen i de grunder för arbetsordningen, som utgör bilaga, och enligt artikel 30.4 utarbetar konventionskommittén övriga grunder för sin arbetsordning. Bilagan har således samma rättsverkan som protokollets övriga bestämmelser. Bilagan innehåller detaljerade bestämmelser om omröstning. Detta omfattar bestämmelser om situationer där organisationer för regional integration, såsom Europeiska unionen, utövar rösträtt i ärenden som faller inom deras befogenhet. Europeiska unionen kan utöva sin rösträtt i fall där medlemsstaterna inte utövar sin egen rösträtt. 

Specialmotivering till lagförslaget

8.1  Lagen om protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter

1 §. I paragrafen ingår en sedvanlig blankettlagsbestämmelse, enligt vilken de bestämmelser i ändringsprotokollet som hör till området för lagstiftningen ska gälla som lag, sådana som Finland har förbundit sig till dem. Bestämmelserna i ändringsprotokollet motsvarar till största delen innehållet i den lagstiftning som ska tillämpas på behandlingen av personuppgifter, på det sätt som förklaras mer ingående i motiveringen till artiklarna i protokollet. Ändringsprotokollets förhållande till grundlagen förklaras i det avsnitt som gäller behovet av riksdagens samtycke samt behandlingsordning. 

2 §. I paragrafen föreslås en materiell bestämmelse, där dataombudsmannen och den åländska Datainspektionen anges som de i artikel 15.1 i konventionen avsedda myndigheter som kontrollerar att bestämmelserna i konventionen följs. Den uttryckliga bestämmelsen är ny, men motsvarar nuvarande praxis. Bestämmelsen behövs, eftersom dataombudsmannen, som inrättats genom 8 § i dataskyddslagen, i enlighet med den lagens 8 § 1 mom. är behörig att övervaka tillämpningen av den allmänna dataskyddsförordningen. Enligt 14 § 1 mom. i dataskyddslagen har dataombudsmannen också andra uppgifter och befogenheter som anges annanstans i lag. I gällande lagstiftning finns inga bestämmelser om den tillsynsuppgift som föreskrivs i konventionen. I 38 § 3 mom. i den upphävda personuppgiftslagen ingick en allmän bestämmelse med stöd av vilken datasekretessnämnden och dataombudsmannen har kunnat utöva tillsyn också när personuppgiftslagen inte har tillämpats på behandlingen av personuppgifter. Med beaktande av ändringarna i lagstiftningen bör det finnas uttryckliga bestämmelser om den tillsynsuppgift som baserar sig på konventionen. Även den åländska myndighetens uppgift bör på motsvarande sätt framgå av lagen, med beaktande av fördelningen av lagstiftningsbehörigheten enligt självstyrelselagen för Åland. 

Dessutom föreslås i paragrafen en bestämmelse enligt vilken det i fråga om uppgifter och befogenheter för de myndigheter som kontrollerar att konventionen följs tillämpas vad som föreskrivs särskilt om dem. Detta innebär att de bestämmelser om befogenheter som redan nu finns i dataskyddslagen och i Ålands landskapslagstiftning tillämpas på kontrollen enligt konventionen och att konventionen inte medför någon utvidgning av behörigheten. Detta är av betydelse bland annat när det gäller att säkerställa att dataombudsmannen inte heller med stöd av konventionen har befogenhet att utöva tillsyn över riksdagsarbetet, domstolarna, riksdagens justitieombudsman och justitiekanslern. 

3 §. Enligt paragrafen upphävs lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i tilläggsprotokollet till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (408/2012). Bestämmelserna i tilläggsprotokollet till konventionen har inkluderats i ändringsprotokollet, enligt vilket tilläggsprotokollet upphävs när ändringsprotokollet träder i kraft. 

4 §. Paragrafen innehåller en bestämmelse enligt vilken de bestämmelser i protokollet som inte hör till området för lagstiftningen sätts i kraft genom förordning av statsrådet. Tidpunkten för ikraftträdandet föreslås avvika från tidpunkten för ikraftträdandet av lagförslag 2 och 3, vilken enligt ändringsprotokollet ska vara senast densamma som tidpunkten för godtagande, godkännande eller ratifikation av protokollet. 

5 §. Paragrafen innehåller en sedvanlig ikraftträdandebestämmelse enligt vilken bestämmelser om ikraftträdandet av lagen utfärdas genom förordning av statsrådet. Lagen avses träda i kraft senast vid samma tidpunkt som protokollet träder i kraft för Finlands del. 

8.2  Dataskyddslagen

18 a §.Samarbete med tillsynsmyndigheter i tredjeländer. Det föreslås att det till dataskyddslagen fogas en ny paragraf, som gäller samarbete med i dataskyddskonventionen avsedda tillsynsmyndigheter i länder utanför EU. På samarbetet mellan dataskyddsmyndigheterna i EU:s medlemsstater är bestämmelserna i dataskyddsförordningen direkt tillämpliga. Utöver vad som i artikel 61 i dataskyddsförordningen föreskrivs om ömsesidigt bistånd mellan tillsynsmyndigheterna i EU:s medlemsstater ska dataombudsmannen ha rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen ska ha rätt att trots sekretessbestämmelserna lämna dessa tillsynsmyndigheter personuppgifter och andra uppgifter, om de behövs för tillsynen samt om de är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 

Bestämmelserna i konventionens artikel 17, som ändrats genom ändringsprotokollets artikel 22, är mer detaljerade än det upphävda tilläggsprotokollets artikel 1.5. Tillsynsmyndigheterna ska i synnerhet ha rätt att utbyta upplysningar som gäller tillsynen och att genomföra gemensamma operationer. De uppgifter som lämnas ut innehåller inte nödvändigtvis i alla situationer personuppgifter, men tillsynsmyndigheterna kan behöva lämna ut dem, om personuppgifterna är väsentliga för samarbetet eller om den registrerade har gett till samtycke till att personuppgifterna lämnas ut. I ljuset av bestämmelserna i dataskyddsförordningen, dataskyddslagen och dataskyddslagen avseende brottmål samt bestämmelserna i offentlighetslagen blir det i viss mån oklart om dataombudsmannen skulle ha rätt att i alla situationer lämna ut uppgifter för samarbete med tillsynsmyndigheter i tredjeländer, i synnerhet om de omfattas av någon sekretessgrund. Tillsynsmyndigheterna kommer även att bilda ett nätverk för att sköta sitt samarbete och sina uppgifter enligt den ändrade konventionens artikel 17. Dataskyddsförordningen och dataskyddslagen avseende brottmål innehåller uttryckliga bestämmelser bara om samarbetet mellan tillsynsmyndigheterna i EU:s medlemsstater. Dataskyddslagen behöver till denna del preciseras för att beakta kraven i grundlagen. Lagen behöver ändras också för att man ska kunna säkerställa att tillsynsmyndigheter i tredjeländer får de uppgifter de behöver för att sköta sina uppgifter och utöva sina befogenheter enligt konventionen och för att man ska kunna garantera att dataombudsmannen effektivt kan samarbeta också med dessa tillsynsmyndigheter i enlighet med vad dataskyddskonventionen förutsätter. 

På dataombudsmannens rätt att lämna ut sekretessbelagda uppgifter till utländska myndigheter ska i övrigt tillämpas 30 § i offentlighetslagen. Uppgifterna ska få lämnas ut på samma villkor som uppgifterna med stöd av 29 § får lämnas ut till finska myndigheter. Bestämmelserna i offentlighetslagen blir tillämpliga utan någon särskild hänvisning. I fråga om lämnandet av personuppgifter till tredjeländer ska dessutom bestämmelserna i kapitel V i dataskyddsförordningen tillämpas och de övriga kraven i dataskyddsförordningen iakttas. 

8.3  Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten

1 §.Tillämpningsområde. Det föreslås att paragrafens 3 mom. ändras så att lagens 10 § 2 mom. och 7 kap. tillämpas på sådan behandling av personuppgifter som avses i 1 § 2 mom. 

Genom den föreslagna ändringen genomförs i fråga om behandling av personuppgifter i samband med den nationella säkerheten och försvaret (upprätthållandet av den nationella säkerheten) den omnumrerade artikel 14.2–14.4 i dataskyddskonventionen, från vilken undantag inte är möjliga med stöd av den omnumrerade artikel 11. Däremot är det möjligt att föreskriva om undantag från artikel 14.5 och 14.6 bland annat med hänvisning till den nationella säkerheten och försvaret. I dataskyddslagen avseende brottmål har dataombudsmannens befogenheter ändå inte begränsats till den del det är fråga om befogenheter enligt artikel 14.5 och 14.6. 

Artikel 14.2–14.4 gäller överföring av personuppgifter till länder utanför konventionen. Med avvikelse från konventionen föreslås det att kraven fortsättningsvis ska gälla alla tredjeländer utanför Europeiska unionen samt internationella organisationer. Bestämmelserna i artikel 14.1 möjliggör en sådan lösning. Med stöd av bestämmelserna tillämpas i Europeiska unionens medlemsstater i stället för artikel 1 harmoniserade bestämmelser som är bindande för medlemsstaterna och med stöd av vilka stater utanför EU inte kan jämställas med medlemsstaterna när det gäller adekvat skyddsnivå. De bestämmelser i den upphävda personuppgiftslagen som gällde överföring av personuppgifter utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet hade också med avvikelse från personuppgiftsdirektivets tillämpningsområde utvidgats till att i Finland gälla alla personuppgiftsansvariga och personuppgiftsbiträden, och har således berört även de myndigheter som svarar för upprätthållandet av den nationella säkerheten. Kraven i ändringsprotokollet till konventionen är emellertid inte lika detaljerade som de gällande bestämmelserna i dataskyddslagen avseende brottmål, genom vilka kraven i dataskyddsdirektivet avseende brottmål genomförs. 

En utvidgning av de gällande bestämmelserna understöds av det faktum att även kraven i det upphävda personuppgiftsdirektivet gällde all behandling av personuppgifter i Finland. Alternativet att delvis utvidga bestämmelserna skulle lagstiftningstekniskt vara besvärligt, och eventuella undantag föreslås därför fortsättningsvis ingå i speciallagstiftningen. Dessutom är det onödigt att föreskriva om undantag i den allmänna lagen, eftersom det i 46 § 2 mom. i polisens personuppgiftslag och i 2 § i Försvarsmaktens personuppgiftslag, som trädde i kraft efter ikraftträdandet av dataskyddslagen avseende brottmål, har föreskrivits om motsvarande undantag i fråga om tillämpningen av 7 kap. I speciallagstiftningen ska det fortsättningsvis vara möjligt att i enlighet med 2 § i dataskyddslagen avseende brottmål ta in bestämmelser som avviker från den föreslagna paragrafen, förutsatt att de uppfyller kraven i ändringsprotokollet.  

Samtidigt stryks ur 3 mom. hänvisningen till 10 § 2 mom. i dataskyddslagen avseende brottmål, som överlappat motsvarande hänvisningar i 46 § 2 mom. i polisens personuppgiftslag och 2 § i Försvarsmaktens personuppgiftslag. Hänvisningen till 54 § föreslås däremot kvarstå. Paragrafen berör dataombudsmannens befogenheter, som det i första hand ska föreskrivas om i allmän lag. Lagstiftningstekniskt är det tydligare att undantaget i fråga om tillsynsmyndighetens befogenheter ingår i samma lag som den paragraf med stöd av vilken de befogenheter som gäller ömsesidigt bistånd utövas. 

54 §.Ömsesidigt bistånd. Det föreslås att det till paragrafen fogas ett nytt 3 mom. med motsvarande innehåll som den nya 18 a § som enligt förslaget fogas till dataskyddslagen. Enligt momentet har dataombudsmannen rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen ska ha rätt att trots sekretessbestämmelserna lämna dessa tillsynsmyndigheter personuppgifter och andra uppgifter, om de behövs för tillsynen samt om de är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. De föreslagna bestämmelserna behövs också i dataskyddslagen avseende brottmål, eftersom lagens bestämmelser om ömsesidigt bistånd gäller bara tillsynsmyndigheterna i EU:s medlemsstater. 

I enlighet med förslaget är det möjligt att lämna ut personuppgifter för samarbete som sker med stöd av dataskyddslagen avseende brottmål på samma villkor som för samarbete med stöd av dataskyddslagen. Dessutom tillämpas offentlighetslagen samt dataskyddslagens krav i fråga om överföring av personuppgifter till tredjeländer och till internationella organisationer. 

Ikraftträdande

Ändringsprotokollet är öppet för undertecknande av parterna i konventionen, och det förutsätter dessutom ratifikation, godtagande eller godkännande. Efter det att protokollet har öppnats för undertecknande och innan protokollet träder i kraft kan stater utanför konventionen blir parter i protokollet genom att ansluta sig till det. En stat som står utanför konventionen kan inte bli part i konventionen utan att samtidigt ansluta sig till protokollet. 

Ändringsprotokollet träder i kraft internationellt den första dagen i den månad som följer efter utgången av en tid om tre månader efter det att alla parter i konventionen har uttryckt sin vilja att vara bundna av protokollet genom att antingen ratificera, godta eller godkänna det. Om protokollet inte har trätt i kraft inom fem år efter det att det öppnades för undertecknande, träder protokollet i kraft när minst 38 parter har uttryckt sin vilja att vara bundna av det. Bestämmelserna i den ändrade konventionen har direkt rättsverkan mellan parterna i protokollet från och med ikraftträdandet. 

Ändringsprotokollet gör det möjligt för Europeiska unionen att bli part i den ändrade dataskyddskonventionen efter det att protokollet har trätt i kraft. Till följd av Europeiska unionens och medlemsstaternas delade befogenhet (se närmare avsnitt 13.1) bemyndigade Europeiska unionens råd genom sitt beslut av den 9 april 2019 medlemsstaterna att ratificera ändringsprotokollet i unionens intresse i den mån konventionens bestämmelser omfattas av unionens exklusiva befogenhet. Regeringens mål är en så snabb ratificering som möjligt under år 2020 efter det att riksdagen har godkänt ändringsprotokollet i den mån det omfattas av Finlands behörighet samt de lagförslag som ingår i propositionen. Lagförslag 2 och 3 avses träda i kraft senast samtidigt som Finland deponerar sitt ratifikationsinstrument hos Europarådets generalsekreterare. Lagförslag 1 avses träda i kraft samtidigt som protokollet träder i kraft för Finlands del, vid en tidpunkt som föreskrivs genom förordning av statsrådet. 

10  Bifall av Ålands lagting

Bestämmelser om landskapet Ålands lagstiftningsbehörighet finns i 18 § i självstyrelselagen för Åland. Bestämmelser om rikets lagstiftningsbehörighet finns i 27 § i den lagen. Största delen av den lagstiftning som varit föremål för bedömning i samband med beredningen av denna proposition hör till rikets lagstiftningsbehörighet och tillämpas som sådan på Åland. Åland har dock lagstiftningsbehörighet i synnerhet i fråga om näringsverksamhet med beaktade av vad som föreskrivs i 11 §, 27 § 2, 4, 9, 12–15, 17–19, 26, 27, 29–34, 37 och 40 punkten samt 29 § 1 mom. 3–5 punkten, dock så att även lagtinget har behörighet att vidta åtgärder för främjande av sådan näringsverksamhet som avses i de nämnda punkterna, för beläggande med straff och storleken av straff inom rättsområden som hör till landskapets lagstiftningsbehörighet samt för utsättande och utdömande av vite och användning av andra tvångsmedel inom rättsområden som hör till landskapets lagstiftningsbehörighet. 

Skyddet för personuppgifter som innehas av landskapet Åland och kommunerna har inom den lagstiftningskontroll över landskapslagarna som det föreskrivs om i 19 § i självstyrelselagen för Åland ansetts höra till landskapets lagstiftningsbehörighet med stöd av 18 § 1 och 4 punkten i självstyrelselagen. Den allmänna dataskyddsförordningen gäller frågor som hör till landskapets Ålands lagstiftningsbehörighet i den mån som det skydd för personuppgifter som avses i förordningen hänför sig till frågor och verksamhetsområden som nämns i 18 § 1 och 4 punkten i självstyrelselagen. På motsvarande sätt har man i fråga om Ålands polismyndighets behandling av personuppgifter ansett att lagstiftningsbehörigheten är delad så att Åland har lagstiftningsbehörighet när det gäller upprätthållandet av allmän ordning och säkerhet. 

Lagtinget har den 21 november 2018 antagit nya landskapslagar som kompletterar EU:s allmänna dataskyddsförordning i landskapet. Republikens president stadfäste landskapslagarna den 15 mars 2019, inklusive en ny lag om dataskydd inom Ålands landskaps- och kommunalförvaltning (Landskapslag om dataskydd inom landskaps- och kommunalförvaltningen), med undantag av vissa bestämmelser. Ålands lagting har den 10 april 2019 antagit nya landskapslagar, genom vilka de landskapslagar som gäller polisen upphävs (landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter; landskapslagen (1999:49) om polisens grundregister) och genom vilka dataskyddslagen avseende brottmål och polisens personuppgiftslag sätts i kraft på Åland. Republikens president stadfäste dessa landskapslagar den 9 augusti 2019. Lagtinget har tidigare gett sitt bifall till att konventionen och tilläggsprotokollet träder i kraft i landskapet till den del de innehåller bestämmelser som hör till landskapets lagstiftningsbehörighet. 

Ändringsprotokollet innehåller till stor del bestämmelser som hör till området för landskapet Ålands lagstiftning och således faller inom landskapets behörighetsområde. Dessa bestämmelser träder i enlighet med 59 § 1 mom. i självstyrelselagen i kraft i landskapet endast om lagtinget ger sitt bifall till den författning genom vilken protokollet sätts i kraft. 

11  Verkställighet och uppföljning

När ändringsprotokollet träder i kraft, kommer effektiviteten av konventionsparternas lagstiftningsåtgärder att bedömas i enlighet med ett av konventionskommittén särskilt fastställt förfarande. Avsikten är att denna internationella bedömning ska omfatta såväl EU:s dataskyddslagstiftning som den nationella lagstiftningen om behandling av personuppgifter, inklusive speciallagstiftning. Finland är i egenskap av part skyldigt att aktivt medverka vid bedömningsförfarandet. Detta innebär i praktiken åtminstone att lämna uppgifter om lagstiftning och tillämpningspraxis till kommittén eller dess arbetsgrupp för bedömning. Det är ännu inte känt när det är troligt att den första bedömningen av Finlands lagstiftning kommer att göras. Efter att ändringsprotokollet trätt i kraft kommer kommittén att ha befogenheter att rekommendera åtgärder, om den anser att en parts lagstiftning inte är förenlig med kraven i konventionen. 

Avsikten är att efter att ändringsprotokollet trätt i kraft nationellt följa upp dess konsekvenser i synnerhet för dataombudsmannens verksamhet och resurser. 

12  Behovet av riksdagens samtycke samt behandlingsordning

12.1  Behovet av riksdagens samtycke

Med blandade avtal avses avtal där såväl Europeiska unionen som en eller flera medlemsstater är part. Med blandade avtal jämställs även sådana avtal där unionen inte kan vara part, men där de medlemsstater som är part handlar på unionens vägnar (GrUU 16/2004 rd). Riksdagen godkänner av hävd sådana blandade avtal bara till den del de hör till Finlands behörighet (GrUU 16/2004 rd, GrUU 6/2005 rd, GrUU 56/2010 rd och GrUU 62/2010 rd). 

Grundlagsutskottet har ansett det viktigt att propositioner om fördrag som involverar delad befogenhet mellan unionen och medlemsstaterna bereds med tillbörlig hänsyn till befogenhetsfördelningen. Av propositionerna ska det framgå till vilka delar fördragen hör till Finlands behörighet (GrUU 6/2001 rd, GrUU 6/2005 rd och GrUU 62/2010 rd). 

Bestämmelser om unionens interna befogenhet i ärenden som gäller skydd av personuppgifter finns i artikel 16 i fördraget om Europeiska unionens funktionssätt, nedan FEUF. Enligt artikel 16.2 ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. 

Avdelning V kapitel 2 artikel 39 i fördraget om Europeiska unionen, nedan FEU, gäller skyddet av personuppgifter inom området för den gemensamma utrikes- och säkerhetspolitiken. Artikeln utgör en rättslig grund för beslut där rådet i enlighet med artikel 16 i FEUF och med avvikelse från punkt 2 i den artikeln fastslår bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter i medlemsstaternas myndigheter, när dessa utövar verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken, samt bestämmelser om den fria rörligheten för sådana uppgifter. 

Enligt artikel 4.1 i FEUF ska unionen ha delad befogenhet med medlemsstaterna, om den genom fördragen tilldelas en befogenhet som inte omfattas av de områden som avses i artikel 3, där unionen har exklusiv befogenhet, och artikel 6, där unionen har befogenhet att vidta åtgärder för att stödja, samordna eller komplettera medlemsstaternas åtgärder. Av de ovan presenterade bestämmelserna i fördragen följer att Europeiska unionen och medlemsstaterna har delad befogenhet på det område som ändringsprotokollet täcker. 

Unionen har använt sin interna befogenhet med stöd av artikel 16 i FEUF i fråga om behandling av personuppgifter som utförts hos unionens institutioner, organ och byråer och i medlemsstaterna. Den allmänna dataskyddsförordningen och dataskyddsdirektivet avseende brottmål trädde i kraft den 5 maj 2016. Europaparlamentets och rådets förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter trädde i kraft den 11 december 2018. Bestämmelser om behandling av personuppgifter ingår också i EU:s speciallagstiftning om myndigheter och datasystem. 

Enligt artikel 2 i den allmänna dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EUF, eller som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Den allmänna dataskyddsförordningen är inte tillämplig på behandling av personuppgifter i den mån den hör till tillämpningsområdet för dataskyddsdirektivet avseende brottmål, och inte heller på lagstiftning som är tillämplig på den behandling av personuppgifter som sker i EU:s institutioner, organ och byråer. 

Dataskyddsdirektivet avseende brottmål är inte heller tillämpligt på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte hör till tillämpningsområdet för unionsrätten, eller som sker i EU:s institutioner, organ och byråer. 

Rådet har tills vidare inte fattat några beslut enligt avdelning V kapitel 2 artikel 39 i FEU om skydd för personuppgifter inom området för den gemensamma utrikes- och säkerhetspolitiken. 

Unionen har med stöd av det som beskrivs ovan befogenhet att godkänna de bestämmelser i ändringsprotokollet som avser ärenden där unionen har använt sin interna befogenhet. I övrigt faller bestämmelserna i ändringsprotokollet inom Finlands behörighet. 

Unionen kan inte underteckna eller ratificera ändringsprotokollet, eftersom det i dataskyddskonventionen föreskrivs att endast stater är parter i den. Europeiska unionens råd har den 9 april 2019 bemyndigat medlemsstaterna att ratificera ändringsprotokollet i unionens intresse i den mån konventionens bestämmelser faller inom unionens exklusiva befogenhet. 

Enligt 94 § 1 mom. i grundlagen krävs riksdagens godkännande för fördrag och andra internationella förpliktelser som innehåller sådana bestämmelser som hör till området för lagstiftningen eller annars har avsevärd betydelse, eller som enligt grundlagen av någon annan anledning kräver riksdagens godkännande. Enligt 95 § 1 mom. i grundlagen sätts de bestämmelser i fördrag och andra internationella förpliktelser som hör till området för lagstiftningen i kraft genom lag. I övrigt sätts internationella förpliktelser i kraft genom förordning. 

En bestämmelse i ett fördrag eller i en annan internationell förpliktelse ska anses höra till området för lagstiftningen, om bestämmelsen gäller utövande eller inskränkning av en grundläggande fri- eller rättighet som är tryggad i grundlagen, om bestämmelsen i övrigt gäller grunderna för individens rättigheter eller skyldigheter, om det enligt grundlagen ska föreskrivas i lag om den sak som bestämmelsen avser, om det finns gällande bestämmelser i lag om den sak som bestämmelsen avser eller om det enligt rådande uppfattning i Finland ska föreskrivas om saken i lag. Frågan påverkas inte av om bestämmelsen står i strid med eller harmonierar med en bestämmelse som utfärdats genom lag i Finland (GrUU 11/2000 rd, GrUU 12/2000 rd och GrUU 19/2010 rd). 

Bestämmelserna i ändringsprotokollet till dataskyddskonventionen gäller skyddet för personuppgifter, som det enligt 10 § 1 mom. utfärdas närmare bestämmelser om genom lag. Grundlagsutskottet har i den konstitutionella bedömningen av behandlingen av personuppgifter ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. Genom protokollet ändras den gällande dataskyddskonventionens bestämmelser i stor utsträckning. Ändringarna gäller bestämmelser som handlar om konventionens syfte (artikel 1), definitioner (artikel 2), tillämpningsområde (artikel 3), grundläggande principer för behandlingen av personuppgifter (kapitel II) inklusive den registrerades rättigheter, gränsöverskridande överföring av personuppgifter (kapitel III) och tillsynsmyndigheter (kapitel IV), samarbete mellan parterna (kapitel V) och konventionskommittén (kapitel VI), och dessutom har det företagits ändringar i bestämmelserna om ändring av konventionen (kapitel VII) och i slutbestämmelserna (kapitel VIII). Det finns gällande bestämmelser i lag om skydd för personuppgifter och myndigheternas befogenheter, som det föreskrivs om i konventionens ändrade artikel 1–3 och kapitel I–IV. Dessa hör även med anledning av sakens natur till området för lagstiftningen. Till området för lagstiftningen hör också vissa sådana bestämmelser i det ändrade kapitel V som gäller myndigheters utövande av gränsöverskridande befogenheter. I övrigt gäller bestämmelserna skyldigheter som åläggs konventionsparterna, bland annat internationellt kommittésamarbete. 

Grundlagsutskottet brukar också utgå från att riksdagen genom sitt explicita beslut ger sitt samtycke till reservationer, uttalanden och förklaringar som gäller sådana konventionsbestämmelser som hör till området för lagstiftningen, när reservationerna, uttalandena och förklaringarna påverkar innehållet i en för Finland bindande internationell förpliktelse eller förpliktelsens omfattning i relation till själva konventionerna (GrUU 16/2005 rd, GrUB 2/2008 rd, GrUU 19/2010 rd och GrUU 29/2010 rd). 

Den ändrade konventionen tillåter inga reservationer. Däremot kan med stöd av artikel 28 i konventionen en stat, Europeiska unionen eller en annan internationell organisation vid undertecknandet av konventionen eller vid deponeringen av instrument rörande ratifikation, godtagande, godkännande eller anslutning närmare ange det eller de områden beträffande vilka konventionen ska tillämpas. 

Ändringsprotokollet innehåller inga andra bestämmelser om förklaringar. I samband med ratificeringen av protokollet är det i enlighet med allmän fördragsrätt emellertid möjligt att avge en tolkningsförklaring som inte grundar sig på bestämmelser i konventionen, förutsatt att förklaringen inte utgör en sådan reservation som förbjuds i konventionen eller innebär att konventionens rättsverkan upphör eller ändras. Det föreslås att det i samband med ratificeringen av ändringsprotokollet avges en förklaring som gäller artikel 3.1 i konventionen, i vilken det preciserar på vilket sätt begreppet den offentliga sektorn ska tolkas i Finland vid tillämpningen av konventionen. 

12.2  Behandlingsordning

De föreslagna lagändringarna är av betydelse med avseende på skyddet för privatlivet, som tryggas i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Med tanke på skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad. (GrUU 14/2018 rd, s. 2–3, GrUU 1/2018 rd, s. 2 och GrUU 14/1998 rd, s. 2) 

Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) samt av respekten för privatlivet i artikel 7 och skyddet av personuppgifter i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I artikel 52.3 i stadgan om de grundläggande rättigheterna sägs att i den mån som stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som i konventionen. EU-domstolens domar bestämmer det centrala innehållet i skyddet för privatlivet och personuppgifter i dessa avseenden. Likaså har artikel 8 i Europakonventionen ansetts täcka även skyddet för personuppgifter i Europadomstolens rättspraxis. 

Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell bedömning av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). Grundlagsutskottet understryker vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (se GrUU 14/2018 rd, s. 8). Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). 

Grundlagsutskottet menar att bestämmelserna om behandling av personuppgifter, i synnerhet när det gäller känsliga personuppgifter, fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext där det finns ett känsligt samband med de grundläggande fri- och rättigheterna. Utskottet har dock också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se GrUU 14/2018 rd, s. 6 samt t.ex. GrUU 31/2017 rd, s. 4 och GrUU 71/2014 rd, s. 3). Utskottet har därför påmint om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar uppfylls genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (GrUU 14/2018 rd, s. 6–7; se även GrUU 31/2017 rd, s. 3–4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4). Utskottet anser att för att lagstiftningen om personuppgifter ska vara tydlig får speciallagstiftningen inte kompletteras med bestämmelser som tillräckligt exakt och noggrant finns inskrivna i den nya lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. (GrUU 14/2018 rd, s. 6–7) 

Innehållsmässigt motsvarar bestämmelserna i den ändrade konventionen i huvudsak den allmänna dataskyddsförordningens bestämmelser samt bestämmelserna i dataskyddslagen och dataskyddslagen avseende brottmål, som båda godkänts med grundlagsutskottets medverkan. Bestämmelserna i den ändrade konventionen genomförs fortfarande i första hand genom allmän lagstiftning, trots att det också är möjligt att föreskriva om till exempel inskränkningarna av den registrerades rättigheter genom speciallagstiftning. 

De gällande bestämmelser i dataskyddslagen avseende brottmål som gäller överföring av personuppgifter till tredjeländer och internationella organisationer uppfyller inte konventionens krav på adekvat nivå på dataskyddet när det gäller behandling av personuppgifter vid upprätthållandet av den nationella säkerheten. I dataskyddslagen avseende brottmål föreslås en ändring genom vilken tillämpningen av lagens 7 kap. utvidgas till all behandling av personuppgifter som omfattas av lagens tillämpningsområde. Utöver den nya paragrafen i dataskyddslagen avseende brottmål föreslås inga ändringar i speciallagstiftningen. De bestämmelser i polisens personuppgiftslag och i Försvarsmaktens personuppgiftslag med stöd av vilka skyddspolisen och Försvarsmakten kan lämna ut personuppgifter till tredjeländer och internationella organisationer ska tillämpas i stället för 7 kap. i dataskyddslagen avseende brottmål. Dessa bestämmelser i speciallagstiftningen innebär att den ändrade dataskyddskonventionens huvudregler om adekvat skyddsnivå som sådana gäller skyddspolisen och Försvarsmakten. De kan därför inte tillämpa de grunder för undantag från adekvat skyddsnivå som föreskrivs i den nya artikel 14.4. Detta motsvarar ändå de gällande specialbestämmelserna om utlämnande av personuppgifter, som har antagits med grundlagsutskottets medverkan. Dessutom ska det fortsättningsvis med stöd av polisens personuppgiftslag och Försvarsmaktens personuppgiftslag vara förbjudet att lämna ut uppgifter, om den registrerade på grund av utlämnandet av uppgifter riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång. Grundlagsutskottet har ansett att ett sådant uttryckligt förbud är en förutsättning för att ett lagförslag ska kunna behandlas i vanlig lagstiftningsordning (GrUU 51/2018 rd, s. 15, GrUU 52/2018 rd, s. 10). 

Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att ”informationen är nödvändig” för ett visst syfte (se t.ex. GrUU 58/2018 rd, s. 12, samt GrUU 17/2016 rd, s. 2–3 och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 58/2018 rd, s. 2, och GrUU 15/2018 rd, s. 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). 

Grundlagsutskottet har i den konstitutionella bedömningen av behandlingen av personuppgifter ansett att det också är av betydelse om syftet med behandlingen är att möjliggöra utövning av offentlig makt mot individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För bestämmelser i lag gäller i sin tur det generella kravet att lagen ska vara exakt och noga avgränsad. Regleringen av befogenheter är enligt grundlagsutskottets uppfattning vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2). I och med att ändringsprotokollet träder i kraft utvidgas befogenheterna för tillsynsmyndigheterna enligt konventionen, vilket kan bedömas ha betydelse för skyddet för de registrerades grundläggande fri- och rättigheter. Till denna del kan som särskilt betydelsefulla konventionsbestämmelser betraktas de bestämmelser i den ändrade konventionens artikel 17 som gäller tillsynsmyndigheternas informationsutbyte och gemensamma tillsynsåtgärder. Enligt artikeln får de upplysningar som utbyts innehålla personuppgifter, om de är väsentliga för samarbetet eller om den registrerade har gett sitt uttryckliga samtycke till att de lämnas ut. Med anledning av de utvidgade befogenheterna i fråga om gränsöverskridande samarbete föreslås det att det i lagförslag 1 preciseras vilka myndigheter som svarar för kontrollen i enlighet med konventionen. Vidare föreslås det att dataskyddslagen och dataskyddslagen avseende brottmål kompletteras med uttryckliga bestämmelser med stöd av vilka dataombudsmannen trots sekretessbestämmelserna får lämna personuppgifter och andra uppgifter till andra motsvarande myndigheter för en enskild tillsynsåtgärd, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. I avgränsningen av bestämmelsen beaktas i enlighet med den vedertagna tolkningen av grundlagen behovet att säkerställa att personuppgifter lämnas ut bara i den omfattning som är nödvändig för tillsynssamarbetet i enlighet med konventionen. I bestämmelsen beaktas särskilt det att syftet med tillsynen är att trygga tillgodoseendet av de registrerades rättigheter. 

Grundlagsutskottet har ansett att riksdagens konstitutionella ställning innebär bland annat att riksdagsarbetet inte kan övervakas av utomstående. Därför föreskriver grundlagen uttömmande om att laglighetskontrollen av riksdagens verksamhet ska handhas av riksdagens egna organ, talmannen och grundlagsutskottet (GrUU 14/2018 rd, s. 10). Grundlagsutskottet ser dock i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (GrUU 14/2018 rd, s. 11, GrUU 30/1998 rd). I samband med behandlingen av regeringens proposition som gällde dataskyddslagen ansåg grundlagsutskottet att riksdagsarbetet måste uteslutas från dataskyddslagens tillämpningsområde för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 14/2018 rd, s. 11). I propositionen föreslås inga materiella ändringar som avviker från denna princip. Det föreslås att den bestämmelse i dataskyddskonventionen som gäller konventionens tillämpningsområde ska tolkas så att den offentliga sektorn inte omfattar riksdagsarbetet. 

Grundlagsutskottet ansåg i samband med behandlingen av förslaget till dataskyddslag att de högsta laglighetsövervakarnas konstitutionella roll och uppgifter och den samlade konstitutionella laglighetskontrollen gör det omöjligt att dataombudsmannen, som är lägre i instansordningen, skulle utöva tillsyn över de högsta laglighetsövervakarna. Den här avgränsningen måste också explicit framgå av dataskyddslagen (GrUU 14/2018 rd, s. 12). Följaktligen måste förslaget till dataskyddslag ändras på så sätt att den tillsynsmyndighet som avses i dataskyddslagen inte är behörig att övervaka den laglighetskontroll som utförs av de högsta laglighetsövervakarna. Ändringen var en förutsättning för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 14/2018 rd, s. 14–15). Motsvarande avgränsning har gjorts i 45 § 2 mom. dataskyddslagen avseende brottmål, enligt vilket lagens bestämmelser om tillsyn inte tillämpas på domstolarna, justitiekanslern i statsrådet och riksdagens justitieombudsman. I enlighet med vad som föreskrivs i 108 och 109 § i grundlagen övervakar justitiekanslern och justitieombudsmannen lagligheten i domstolarnas verksamhet. De övervakar också att domstolarna i all sin verksamhet iakttar lagstiftningen om skydd för personuppgifter. Med beaktande av de högsta laglighetsövervakarnas konstitutionella roll föreslås det att det genom lagförslag 1 garanteras att de heller inte blir föremål för kontroll enligt dataskyddskonventionen. 

Ändringsprotokollet och den föreslagna förklaringen till den innehåller inga skyldigheter som gäller grundlagen i den mening som avses i 94 § 2 mom. eller 95 § 2 mom. i grundlagen. Ändringsprotokollet och förklaringen kan enligt regeringens uppfattning godkännas med enkel majoritet och förslaget till lag om sättande i kraft av ändringsprotokollet godkännas i vanlig lagstiftningsordning. 

Kläm 

Kläm 1 

Med stöd av vad som anförts ovan och i enlighet med 94 § i grundlagen föreslås det  

att riksdagen godkänner det i Strasbourg den 10 oktober 2018 upprättade protokollet om ändring av konventionen om skydd för enskilda vid behandling av personuppgifter till den del det hör till Finlands behörighet 

och att riksdagen godkänner att följande förklaring avges: 

Finland förklarar att vid tillämpningen av artikel 3.1 i konventionen anses behandling av personuppgifter inom den offentliga sektorn omfatta behandling av personuppgifter som utförs av statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga inrättningar, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ. 

Kläm 2 

Eftersom ändringsprotokollet innehåller bestämmelser som hör till området för lagstiftningen, föreläggs riksdagen samtidigt följande lagförslag: 

Lagförslag

1. Lag om protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter 

I enlighet med riksdagens beslut föreskrivs: 
1 § 
De bestämmelser som hör till området för lagstiftningen i det i Strasbourg den 10 oktober 2018 upprättade protokollet om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter ska gälla som lag, sådana som Finland har förbundit sig till dem. 
2 § 
De i artikel 15.1 i konventionen avsedda myndigheter som kontrollerar att bestämmelserna i konventionen följs är dataombudsmannen som avses i dataskyddslagen (1050/2018) och Datainspektionen som avses i Ålands landskapslagstiftning. I fråga om uppgifter och befogenheter för de myndigheter som kontrollerar att konventionen följs tillämpas vad som föreskrivs särskilt om dem. 
3 § 
Genom denna lag upphävs lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i tilläggsprotokollet till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (408/2012). 
4 § 
Bestämmelser om sättande i kraft av de bestämmelser i protokollet som inte hör till området för lagstiftningen utfärdas genom förordning av statsrådet. 
5 § 
Bestämmelser om ikraftträdandet av denna lag utfärdas genom förordning av statsrådet. 
 Slut på lagförslaget 

2. Lag om ändring av dataskyddslagen 

I enlighet med riksdagens beslut 
fogas till dataskyddslagen (1050/2018) en ny 18 a § som följer: 
18 a § 
Samarbete med tillsynsmyndigheter i tredjeländer 
Dataombudsmannen har, utöver vad som i artikel 61 i dataskyddsförordningen föreskrivs om ömsesidigt bistånd mellan tillsynsmyndigheterna i Europeiska unionens medlemsstater, rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen har trots sekretessbestämmelserna rätt att till dessa tillsynsmyndigheter lämna ut personuppgifter och andra uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av 1 och 54 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 

I enlighet med riksdagens beslut 
ändras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) 1 § 3 mom. och 
fogas till 54 § ett nytt 3 mom. som följer: 
1 § 
Tillämpningsområde 
 En icke ändrad del av lagtexten har utelämnats 
På sådan behandling av personuppgifter som avses i 2 mom. tillämpas dock inte bestämmelserna i 54 § om ömsesidigt bistånd i fråga om andra medlemsstater i Europeiska unionen. 
 En icke ändrad del av lagtexten har utelämnats 
54 § 
Ömsesidigt bistånd 
 En icke ändrad del av lagtexten har utelämnats 
Dataombudsmannen har, utöver vad som föreskrivs i 1 mom., rätt att vidta behövliga åtgärder för att säkerställa ett effektivt samarbete med de tillsynsmyndigheter som kontrollerar att bestämmelserna i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter följs. Dataombudsmannen har trots sekretessbestämmelserna rätt att till dessa tillsynsmyndigheter lämna ut personuppgifter och andra uppgifter för utförande av tillsynsuppdrag, om uppgifterna är nödvändiga för att trygga den registrerades rättigheter eller om den registrerade har gett sitt uttryckliga samtycke till att personuppgifterna lämnas ut. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 2 april 2020  
StatsministerSannaMarin
JustitieministerAnna-MajaHenriksson
Fördragstext

PROTOKOLL OM ÄNDRING AV KONVENTIONEN OM SKYDD FÖR ENSKILDA VID AUTOMATISK DATABEHANDLING AV PERSONUPPGIFTER 

PROTOCOL AMENDING THE CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA 

Ingress 

Medlemsstaterna i Europarådet och övriga parter i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 108), som öppnades för undertecknande i Strasbourg den 28 januari 1981 (nedan ”konventionen”), 

som beaktar resolution nr 3 om dataskydd och integritet under det tredje årtusendet, som antogs av Europarådets 30:e justitieministermöte (Istanbul, Turkiet den 24–26 november 2010), 

som beaktar Europarådets parlamentariska församlings resolution 1843 (2011) om skydd av privatlivet och personuppgifter på internet och online-medier samt resolution 1986 (2014) om bättre användarskydd och säkerhet i cyberrymden,  

som beaktar yttrande 296 (2017), som gällde utkastet till protokoll om ändring av konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 108) och den förklarande promemorian till det och som den ständiga kommittén antog på Europarådets parlamentariska församlings vägnar den 24 november 2017, 

som anser att det har framkommit nya utmaningar för skyddet för enskilda vid behandling av personuppgifter efter antagandet av konventionen, 

som beaktar behovet av att säkerställa att konventionen fortsätter att spela en central roll för att skydda enskilda vid behandlingen av personuppgifter samt på ett mera allmänt plan för att skydda de mänskliga rättigheterna och de grundläggande friheterna,  

har kommit överens om följande:  

Preamble 

The member States of the Council of Europe and the other Parties to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), opened for signature in Strasbourg on 28 January 1981 (hereinafter referred to as “the Convention”),  

Having regard to Resolution No. 3 on data protection and privacy in the third millennium adopted at the 30th Council of Europe Conference of Ministers of Justice (Istanbul, Turkey, 24-26 November 2010);  

Having regard to the Parliamentary Assembly of the Council of Europe’s Resolution 1843 (2011) on the protection of privacy and personal data on the Internet and online media and Resolution 1986 (2014) on improving user protection and security in cyberspace;  

Having regard to Opinion 296 (2017) on the draft protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) and its explanatory memorandum, adopted by the Standing Committee on behalf of the Parliamentary Assembly of the Council of Europe on 24 November 2017;  

Considering that new challenges to the protection of individuals with regard to the processing of personal data have emerged since the Convention was adopted;  

Considering the need to ensure that the Convention continues to play its pre-eminent role in protecting individuals with regard to the processing of personal data, and more generally in protecting human rights and fundamental freedoms,  

Have agreed as follows:  

Artikel 1 

1. Det första skälet i konventionens ingress ska ersättas med följande:  

“Medlemsstaterna i Europarådet och övriga som har undertecknat denna konvention och”.  

2. Det tredje skälet i konventionens ingress ska ersättas med följande:  

“som anser att det är nödvändigt att trygga vars och ens människovärde samt skyddet för de mänskliga rättigheterna och de grundläggande friheterna och, eftersom databehandlingen och överföringen av personuppgifter differentieras, effektiviseras och globaliseras, även den personliga självbestämmanderätten som grundar sig på vars och ens rätt att bestämma över de personuppgifter som gäller honom eller henne och behandlingen av dem,”. 

3. Det fjärde skälet i konventionens ingress ska ersättas med följande:  

”som erinrar om att rätten till skydd för personuppgifter bör granskas med avseende på dess samhälleliga betydelse och att denna rätt bör samordnas med övriga mänskliga rättigheter och grundläggande friheter, inklusive yttrandefriheten,”. 

4. I konventionens ingress ska följande skäl läggas till efter det fjärde skälet:  

“som anser att denna konvention, när de regler som fastställts i konventionen genomförs, gör det möjligt att beakta offentlighetsprincipen i fråga om myndigheternas handlingar,”.  

5. Det femte skälet i konventionens ingress ska utgå. Till ingressen ska läggas nya femte och sjätte skäl, som följer: 

”som är medvetna om att det är nödvändigt att globalt främja de grundläggande värdena i fråga om respekt för privatlivet och skydd för personuppgifter och på så vis främja det fria informationsflödet mellan människor,”; 

”som är medvetna om att det är till fördel att stärka det internationella samarbetet mellan parterna i konventionen,”. 

Article 1  

1. The first recital of the preamble of the Convention shall be replaced by the following:  

“The member States of the Council of Europe, and the other signatories hereto,”  

2. The third recital of the preamble of the Convention shall be replaced by the following:  

“Considering that it is necessary to secure the human dignity and protection of the human rights and fundamental freedoms of every individual and, given the diversification, intensification and globalisation of data processing and personal data flows, personal autonomy based on a person’s right to control his or her personal data and the processing of such data;” 

3. The fourth recital of the preamble of the Convention shall be replaced by the following:  

“Recalling that the right to protection of personal data is to be considered in respect of its role in society and that it has to be reconciled with other human rights and fundamental freedoms, including freedom of expression;”  

4. The following recital shall be added after the fourth recital of the preamble of the Convention:  

“Considering that this Convention permits account to be taken, in the implementation of the rules laid down therein, of the principle of the right of access to official documents;”  

5. The fifth recital of the preamble of the Convention shall be deleted. New fifth and sixth recitals shall be added, which read as follows:  

“Recognising that it is necessary to promote at the global level the fundamental values of respect for privacy and protection of personal data, thereby contributing to the free flow of information between people;”  

“Recognising the interest of a reinforcement of international co-operation between the Parties to the Convention,” 

Artikel 2 

Texten i artikel 1 i konventionen ska ersättas med följande:  

“Denna konventions ändamål är att skydda var och en, oavsett nationalitet eller hemvist, när det är fråga om behandling av personuppgifter som gäller honom eller henne, och på så vis främja respekten för hans eller hennes mänskliga rättigheter och grundläggande friheter, särskilt rätten till personlig integritet.”  

Article 2  

The text of Article 1 of the Convention shall be replaced by the following:  

“The purpose of this Convention is to protect every individual, whatever his or her nationality or residence, with regard to the processing of their personal data, thereby contributing to respect for his or her human rights and fundamental freedoms, and in particular the right to privacy.” 

Artikel 3 

1. Artikel 2 b i konventionen ska ersättas med följande:  

“b. “databehandling” en åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter, såsom insamling, registrering, lagring, ändring, framtagning, utlämning, tillhandahållande, radering eller förstöring eller utförande av logisk och/eller aritmetisk behandling av dessa uppgifter,”. 

2. Artikel 2 c i konventionen ska ersättas med följande:  

“c. när uppgifter inte behandlas automatiskt avses med “databehandling” en åtgärd eller kombination av åtgärder beträffande personuppgifter som utgör en del av en strukturerad uppsättning av personuppgifter och som är tillgängliga eller kan tas fram enligt vissa kriterier,”.  

3. Artikel 2 led d i konventionen ska ersättas med följande:  

“d. "personuppgiftsansvarig" en fysisk eller juridisk person, offentlig myndighet, byrå, institution eller annat organ som ensam eller tillsammans med andra är behörig att besluta om databehandlingen,”. 

4. Efter artikel 2 d i konventionen ska nya led läggas till som följer: 

“e. “mottagare” en fysisk eller juridisk person, offentlig myndighet, byrå, institution eller annat organ till vilket uppgifterna lämnas ut eller för vilket de görs tillgängliga, 

f. “personuppgiftsbiträde” en fysisk eller juridisk person, offentlig myndighet, byrå, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.”. 

Article 3  

1. Littera b of Article 2 of the Convention shall be replaced by the following:  

“b) ‘data processing’ means any operation or set of operations performed on personal data, such as the collection, storage, preservation, alteration, retrieval, disclosure, making available, erasure, or destruction of, or the carrying out of logical and/or arithmetical operations on such data;”  

2. Littera c of Article 2 of the Convention shall be replaced by the following:  

“c) where automated processing is not used, ‘data processing’ means an operation or set of operations performed upon personal data within a structured set of such data which are accessible or retrievable according to specific criteria;”  

3. Littera d of Article 2 of the Convention shall be replaced by the following:  

“d) ‘controller’ means the natural or legal person, public authority, service, agency or any other body which, alone or jointly with others, has decision-making power with respect to data processing;” 

4. The following new litterae shall be added after littera d of Article 2 of the Convention:  

“e) ‘recipient’ means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available;  

f) ‘processor’ means a natural or legal person, public authority, service, agency or any other body which processes personal data on behalf of the controller.” 

Artikel 4 

1. Artikel 3.1 i konventionen ska ersättas med följande:  

“1. ”Parterna åtar sig att tillämpa denna konvention på databehandling som faller inom deras jurisdiktion inom den offentliga och den privata sektorn, och på så vis trygga vars och ens rätt till skydd för personuppgifter som gäller honom eller henne.” 

2. Artikel 3.2 i konventionen ska ersättas med följande:  

“2. Denna konvention ska inte tillämpas på sådan databehandling som en enskild utför i verksamhet som är helt och hållet privat eller har samband med hans eller hennes hushåll.” 

3. Artikel 3.3–6 i konventionen ska utgå.  

Article 4  

1. Paragraph 1 of Article 3 of the Convention shall be replaced by the following:  

“1. Each Party undertakes to apply this Convention to data processing subject to its jurisdiction in the public and private sectors, thereby securing every individual’s right to protection of his or her personal data.”  

2. Paragraph 2 of Article 3 of the Convention shall be replaced by the following:  

“2. This Convention shall not apply to data processing carried out by an individual in the course of purely personal or household activities.”  

3. Paragraphs 3 to 6 of Article 3 of the Convention shall be deleted. 

Artikel 5 

Rubriken för kapitel II i konventionen ska ersättas med följande:  

“Kapitel II – Grundläggande principer för skydd av personuppgifter”. 

Article 5  

The title of Chapter II of the Convention shall be replaced by the following: 

“Chapter II – Basic principles for the protection of personal data”. 

Artikel 6 

1. Artikel 4.1 i konventionen ska ersättas med följande:  

“1. Varje part ska vidta de åtgärder i sin lagstiftning som behövs för att genomföra bestämmelserna i denna konvention och säkerställa att de tillämpas effektivt.” 

2. Artikel 4.2 i konventionen ska ersättas med följande:  

“2. Varje part ska ha vidtagit dessa åtgärder och åtgärderna ska ha trätt i kraft innan parten ratificerar konventionen eller ansluter sig till den.” 

3. Efter artikel 4.2 i konventionen ska en ny punkt läggas till som följer:  

3. “Varje part åtar sig att 

a. tillåta att den konventionskommitté som avses i kapitel VI bedömer effektiviteten av de åtgärder som parten har vidtagit i sin lagstiftning för att genomföra konventionens bestämmelser, och  

b. medverka aktivt i denna bedömningsprocess.”  

Article 6  

1. Paragraph 1 of Article 4 of the Convention shall be replaced by the following:  

“1. Each Party shall take the necessary measures in its law to give effect to the provisions of this Convention and secure their effective application.”  

2. Paragraph 2 of Article 4 of the Convention shall be replaced by the following:  

“2. These measures shall be taken by each Party and shall have come into force by the time of ratification or of accession to this Convention.” 

3. A new paragraph shall be added after paragraph 2 of Article 4 of the Convention:  

“3. Each Party undertakes:  

a) to allow the Convention Committee provided for in Chapter VI to evaluate the effectiveness of the measures it has taken in its law to give effect to the provisions of this Convention; and  

b) to contribute actively to this evaluation process.” 

Artikel 7 

1. Rubriken för artikel 5 ska ersättas med följande:  

“Artikel 5 – Databehandlingens legitimitet och uppgifternas beskaffenhet”. 

2. Texten i artikel 5 i konventionen ska ersättas med följande:  

“1. Databehandlingen ska vara proportionell i förhållande till det legitima mål som eftersträvas, och den ska i samtliga faser avspegla rättvis balans mellan å ena sidan alla allmänna och privata intressen som hänför sig till saken och å andra sidan de rättigheter och friheter som ska skyddas. 

2. Varje part ska säkerställa att databehandling kan utföras med den registrerades fria, uttryckliga, informerade och otvetydiga samtycke eller på någon annan legitim grund som fastställts i lag. 

3. Personuppgifter som behandlas ska behandlas på ett lagligt sätt. 

4. Personuppgifter som behandlas ska 

a. behandlas rättvist och öppet, 

b. samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses vara förenlig med dessa ändamål, om lämpliga skyddsåtgärder iakttas, 

c. vara ändamålsenliga och relevanta och inte onödiga för de ändamål för vilka de behandlas,  

d. vara riktiga och, vid behov, hållas aktuella,  

e. bevaras på sådant sätt att de registrerade personerna inte kan identifieras under längre tid än vad som behövs med hänsyn till det ändamål för vilket dessa personuppgifter behandlas.”  

Article 7  

1. The title of Article 5 shall be replaced by the following:  

“Article 5 – Legitimacy of data processing and quality of data”.  

2. The text of Article 5 of the Convention shall be replaced by the following:  

“1. Data processing shall be proportionate in relation to the legitimate purpose pursued and reflect at all stages of the processing a fair balance between all interests concerned, whether public or private, and the rights and freedoms at stake.  

2. Each Party shall provide that data processing can be carried out on the basis of the free, specific, informed and unambiguous consent of the data subject or of some other legitimate basis laid down by law. 

3. Personal data undergoing processing shall be processed lawfully.  

4. Personal data undergoing processing shall be:  

a) processed fairly and in a transparent manner;  

b) collected for explicit, specified and legitimate purposes and not processed in a way incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is, subject to appropriate safeguards, compatible with those purposes;  

c) adequate, relevant and not excessive in relation to the purposes for which they are processed;  

d) accurate and, where necessary, kept up to date;  

e) preserved in a form which permits identification of the data subjects for no longer than is necessary for the purposes for which those data are processed.” 

Artikel 8 

Texten i artikel 6 i konventionen ska ersättas med följande:  

“1. Det ska vara tillåtet att behandla följande personuppgifter endast om lämpliga skyddsåtgärder, som kompletterar skyddsåtgärderna enligt konventionen, har fastställts i lag: 

- genetiska uppgifter, 

- personuppgifter som hänför sig till brott, rättegångar i brottmål och fällande domar i brottmål samt därmed sammanhängande säkerhetsåtgärder, 

- biometriska uppgifter med vilkas hjälp det är möjligt att entydigt identifiera en person, 

- personuppgifter som avslöjar ras eller etniskt ursprung, politiska uppfattningar, medlemskap i fackföreningar, religion eller övertygelse, hälsa eller sexualliv. 

2. Sådana skyddsåtgärder ska skydda mot de risker som behandlingen av känsliga uppgifter kan medföra för den registrerades intressen, rättigheter och grundläggande friheter, särskilt mot risken för diskriminering.”  

Article 8  

The text of Article 6 of the Convention shall be replaced by the following:  

“1. The processing of:  

– genetic data;  

– personal data relating to offences, criminal proceedings and convictions, and related security measures;  

– biometric data uniquely identifying a person;  

– personal data for the information they reveal relating to racial or ethnic origin, political opinions, trade-union membership, religious or other beliefs, health or sexual life,  

shall only be allowed where appropriate safeguards are enshrined in law, complementing those of this Convention. 

2. Such safeguards shall guard against the risks that the processing of sensitive data may present for the interests, rights and fundamental freedoms of the data subject, notably a risk of discrimination.” 

Artikel 9 

Texten i artikel 7 i konventionen ska ersättas med följande:  

“1. Varje part ska säkerställa att den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet vidtar lämpliga skyddsåtgärder mot sådana risker som oavsiktlig eller obehörig åtkomst till personuppgifter eller oavsiktlig eller obehörig förstöring, förlust, användning, ändring eller utlämning av personuppgifter. 

2. Varje part ska säkerställa att den personuppgiftsansvarige utan dröjsmål anmäler åtminstone sådana personuppgiftsincidenter som allvarligt kan kränka de registrerades rättigheter och grundläggande friheter till den behöriga tillsynsmyndigheten enligt artikel 15 i konventionen.” 

Article 9  

The text of Article 7 of the Convention shall be replaced by the following: 

“1. Each Party shall provide that the controller, and where applicable the processor, takes appropriate security measures against risks such as accidental or unauthorised access to, destruction, loss, use, modification or disclosure of personal data. 

2. Each Party shall provide that the controller notifies, without delay, at least the competent supervisory authority within the meaning of Article 15 of this Convention, of those data breaches which may seriously interfere with the rights and fundamental freedoms of data subjects.” 

Artikel 10 

Efter artikel 7 konventionen ska en ny artikel läggas till som följer:  

”Artikel 8 – Öppen databehandling 

1. Varje part ska säkerställa att den personuppgiftsansvarige informerar de registrerade om 

a. den personuppgiftsansvariges identitet och hemvist eller verksamhetsställe, 

b. den rättsliga grunden för och ändamålen med den tänkta behandlingen av personuppgifter, 

c. de kategorier av personuppgifter som behandlingen gäller, 

d. mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall, och 

e. sätt att utöva rättigheterna enligt artikel 9,  

samt de kompletterande uppgifter som behövs för att säkerställa en rättvis och öppen behandling av personuppgifter. 

2. Punkt 1 ska inte tillämpas om den registrerade redan förfogar över denna information. 

3. Om personuppgifterna inte samlas in direkt från den registrerade, förutsätts inte att den personuppgiftsansvarige lämnar ovannämnda information, om det föreskrivs uttryckligen om databehandlingen genom lag eller tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning.” 

Article 10  

A new Article 8 shall be added after Article 7 of the Convention as follows:  

“Article 8 – Transparency of processing  

1. Each Party shall provide that the controller informs the data subjects of:  

a) his or her identity and habitual residence or establishment;  

b) the legal basis and the purposes of the intended processing;  

c) the categories of personal data processed;  

d) the recipients or categories of recipients of the personal data, if any; and  

e) the means of exercising the rights set out in Article 9,  

as well as any necessary additional information in order to ensure fair and transparent processing of the personal data.  

2. Paragraph 1 shall not apply where the data subject already has the relevant information.  

3. Where the personal data are not collected from the data subjects, the controller shall not be required to provide such information where the processing is expressly prescribed by law or this proves to be impossible or involves disproportionate efforts.” 

Artikel 11 

1. Den tidigare artikel 8 i konventionen ska omnumreras till artikel 9 och rubriken ersättas med följande:  

“Artikel 9 – Den registrerades rättigheter”.  

2. Texten i artikel 8 (den nya artikel 9) i konventionen ska ersättas med följande:  

“1. Var och en ska ha rätt att 

a. inte bli föremål för ett sådant beslut som i betydande grad påverkar honom eller henne och som enbart grundas på automatisk databehandling utan att hänsyn tas till hans eller hennes synpunkter, 

b. på begäran med rimliga mellanrum och utan oskäliga dröjsmål eller kostnader få bekräftelse på att personuppgifter som gäller honom eller henne behandlas, information i begriplig form om de behandlade personuppgifterna, all tillgänglig information om varifrån dessa personuppgifter kommer och deras lagringstid samt övrig information som den personuppgiftsansvarige ska lämna för att säkerställa att databehandlingen är öppen i enlighet med artikel 8.1, 

c. på begäran få kännedom om grunderna för behandlingen av personuppgifter, om resultaten av behandlingen tillämpas på honom eller henne, 

d. av skäl som hänför sig till hans eller hennes specifika situation när som helst göra invändningar mot behandling av personuppgifter som gäller honom eller henne, om inte den personuppgiftsansvarige påvisar berättigade skäl för behandlingen av personuppgifter som väger tyngre än hans eller hennes intressen eller rättigheter och grundläggande friheter, 

e. på begäran och utan oskäligt dröjsmål i förekommande fall få de personuppgifter som gäller honom eller henne rättade eller raderade, om de behandlas eller har behandlats i strid med bestämmelserna i konventionen, 

f. använda ett rättsmedel som avses i artikel 12, om hans eller hennes rättigheter enligt konventionen har kränkts, 

g. oavsett nationalitet och hemvist få hjälp av den tillsynsmyndighet som avses i artikel 15 med att utöva sina rättigheter enligt konventionen. 

2. Punkt 1 led a i denna artikel tillämpas inte, om beslutet är tillåtet enligt den lagstiftning som ska tillämpas på den personuppgiftsansvarige och det i den lagstiftningen också föreskrivs om lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen.”  

Article 11  

1. The former Article 8 of the Convention shall be renumbered Article 9 and the title shall be replaced by the following:  

“Article 9 – Rights of the data subject”.  

2. The text of Article 8 of the Convention (new Article 9) shall be replaced by the following: 

“1. Every individual shall have a right:  

a) not to be subject to a decision significantly affecting him or her based solely on an automated processing of data without having his or her views taken into consideration;  

b) to obtain, on request, at reasonable intervals and without excessive delay or expense, confirmation of the processing of personal data relating to him or her, the communication in an intelligible form of the data processed, all available information on their origin, on the preservation period as well as any other information that the controller is required to provide in order to ensure the transparency of processing in accordance with Article 8, paragraph 1;  

c) to obtain, on request, knowledge of the reasoning underlying data processing where the results of such processing are applied to him or her;  

d) to object at any time, on grounds relating to his or her situation, to the processing of personal data concerning him or her unless the controller demonstrates legitimate grounds for the processing which override his or her interests or rights and fundamental freedoms; 

e) to obtain, on request, free of charge and without excessive delay, rectification or erasure, as the case may be, of such data if these are being, or have been, processed contrary to the provisions of this Convention;  

f) to have a remedy under Article 12 where his or her rights under this Convention have been violated;  

g) to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority within the meaning of Article 15, in exercising his or her rights under this Convention.  

2. Paragraph 1.a shall not apply if the decision is authorised by a law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights, freedoms and legitimate interests.” 

Artikel 12 

Efter artikel 9 i konventionen ska en ny artikel 10 läggas till som följer:  

”Artikel 10 – Övriga förpliktelser  

1. Varje part ska säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden vidtar alla lämpliga åtgärder för att uppfylla förpliktelserna i konventionen och, med beaktande av nationell lagstiftning som antagits i enlighet med artikel 11.3, kan påvisa särskilt för den behöriga tillsynsmyndigheten enligt artikel 15 att bestämmelserna i konventionen följs vid sådan databehandling som de ansvarar för.  

2. Varje part ska säkerställa att personuppgiftsansvariga och i förekommande fall personuppgiftsbiträden innan databehandlingen inleds utreder de sannolika konsekvenserna av den tänkta behandlingen av personuppgifter för de registrerades rättigheter och grundläggande friheter och planerar behandlingen av personuppgifter så att risken för kränkning av dessa rättigheter och grundläggande friheter förhindras eller minimeras.  

3. Varje part ska säkerställa att personuppgiftsansvariga och i förkommande fall personuppgiftsbiträden genomför tekniska och organisatoriska åtgärder som tar hänsyn till hur rätten till skydd för personuppgifter inverkar i samtliga databehandlingsfaser.  

4. Med beaktande av riskerna för de registrerades intressen, rättigheter och grundläggande friheter får varje part anpassa tillämpningen av bestämmelserna i punkterna 1, 2 och 3 i lagstiftningen för genomförande av konventionen i överensstämmelse med uppgifternas art och omfattning och databehandlingens art, omfattning och ändamål samt i förekommande fall den registeransvariges eller personuppgiftsbiträdets storlek.” 

Article 12  

A new Article 10 shall be added after the new Article 9 of the Convention as follows:  

“Article 10 – Additional obligations 

1. Each Party shall provide that controllers and, where applicable, processors, take all appropriate measures to comply with the obligations of this Convention and be able to demonstrate, subject to the domestic legislation adopted in accordance with Article 11, paragraph 3, in particular to the competent supervisory authority provided for in Article 15, that the data processing under their control is in compliance with the provisions of this Convention.  

2. Each Party shall provide that controllers and, where applicable, processors, examine the likely impact of intended data processing on the rights and fundamental freedoms of data subjects prior to the commencement of such processing, and shall design the data processing in such a manner as to prevent or minimise the risk of interference with those rights and fundamental freedoms. 

3. Each Party shall provide that controllers, and, where applicable, processors, implement technical and organisational measures which take into account the implications of the right to the protection of personal data at all stages of the data processing.  

4. Each Party may, having regard to the risks arising for the interests, rights and fundamental freedoms of the data subjects, adapt the application of the provisions of paragraphs 1, 2 and 3 in the law giving effect to the provisions of this Convention, according to the nature and volume of the data, the nature, scope and purpose of the processing and, where appropriate, the size of the controller or processor.” 

Artikel 13  

De tidigare artiklarna 9–12 i konventionen ska bli artiklarna 11–14.  

Article 13  

The former Articles 9 to 12 of the Convention shall become Articles 11 to 14 of the Convention. 

Artikel 14 

Texten i artikel 9 (den nya artikel 11) i konventionen ska ersättas med följande:  

“1. Inga undantag från bestämmelserna i detta kapitel ska tillåtas, med undantag av artikel 5.4, artikel 7.2, artikel 8.1 och artikel 9, förutsatt att ett sådant undantag medges i lag, att de grundläggande rättigheterna och friheterna respekteras i väsentliga avseenden och att undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle  

a. för att trygga den nationella säkerheten, försvaret, den allmänna säkerheten, statens viktiga ekonomiska eller finansiella intressen eller rättsväsendets opartiskhet och oberoende, förebyggande, utredning eller lagförande av brott eller verkställigheten av straffrättsliga påföljder eller andra viktiga mål som ligger i det allmänna intresset, 

b. för att skydda den registrerades intressen eller andra personers rättigheter och grundläggande friheter, särskilt yttrandefriheten. 

2. Inskränkningar i tillämpningen av artiklarna 8 och 9 får medges i lag, om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål och om det inte finns någon identifierbar risk för kränkning av de registrerades rättigheter och grundläggande friheter. 

3. När det är fråga om behandling av personuppgifter i anslutning till ändamål som avser den nationella säkerheten och försvaret får varje part, utöver de undantag som tillåts i punkt 1, i lag medge undantag från artikel 4.3, artikel 14.5 och 14.6 samt artikel 15.2 a, b, c och d endast i den mån som undantaget är nödvändigt och proportionellt i ett demokratiskt samhälle för att nå målet i fråga.  

Det ovanstående inverkar inte på kravet att sådan behandling av personuppgifter i anslutning till ändamål som avser den nationella säkerheten och försvaret ska bedömas och övervakas oberoende och effektivt i enlighet med partens nationella lagstiftning.” 

Article 14  

The text of Article 9 of the Convention (new Article 11) shall be replaced by the following: 

“1. No exception to the provisions set out in this chapter shall be allowed except to the provisions of Article 5, paragraph 4, Article 7, paragraph 2, Article 8, paragraph 1, and Article 9, when such an exception is provided for by law, respects the essence of the fundamental rights and freedoms and constitutes a necessary and proportionate measure in a democratic society for:  

a) the protection of national security, defence, public safety, important economic and financial interests of the State, the impartiality and independence of the judiciary or the prevention, investigation and prosecution of criminal offences and the execution of criminal penalties, and other essential objectives of general public interest; 

b) the protection of the data subject or the rights and fundamental freedoms of others, notably freedom of expression.  

2. Restrictions on the exercise of the provisions specified in Articles 8 and 9 may be provided for by law with respect to data processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes when there is no recognisable risk of infringement of the rights and fundamental freedoms of data subjects.  

3. In addition to the exceptions allowed for in paragraph 1 of this article, with reference to processing activities for national security and defence purposes, each Party may provide, by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfil such an aim, exceptions to Article 4, paragraph 3, Article 14, paragraphs 5 and 6, and Article 15, paragraph 2, litterae a, b, c and d.  

This is without prejudice to the requirement that processing activities for national security and defence purposes are subject to independent and effective review and supervision under the domestic legislation of the respective Party.” 

Artikel 15 

Texten i artikel 10 (den nya artikel 12) i konventionen ska ersättas med följande:  

“Varje part åtar sig att införa lämpliga sanktioner som bestäms och rättsmedel som tillämpas i rättskipande och andra organ för överträdelser av bestämmelserna i konventionen.”  

Article 15  

The text of Article 10 of the Convention (new Article 12) shall be replaced by the following: 

“Each Party undertakes to establish appropriate judicial and non-judicial sanctions and remedies for violations of the provisions of this Convention.” 

Artikel 16  

Rubriken för kapitel III ska ersättas med följande:  

“Kapitel III – Gränsöverskridande överföring av personuppgifter”.  

Article 16  

The title of Chapter III shall be replaced by the following:  

“Chapter III – Transborder flows of personal data”. 

Artikel 17 

1. Rubriken för artikel 12 (den nya artikel 14) i konventionen ska ersättas med följande:  

“Artikel 14 – Gränsöverskridande överföring av personuppgifter”. 

2. Texten i artikel 12 (den nya artikel 14) i konventionen ska ersättas med följande:  

”1. En part får inte, uteslutande i syfte att skydda personuppgifter, förbjuda överföring av sådana uppgifter till en mottagare som lyder under en annan parts jurisdiktion eller kräva särskilt tillstånd för överföringen. En part får emellertid agera så, om det finns en faktisk och allvarlig risk för att överföring till en annan parts territorium eller från denna andra parts territorium till någon annan än en part skulle leda till kringgående av bestämmelserna i konventionen. En part får också agera så, om parten är bunden av harmoniserade dataskyddsregler som är gemensamma för stater som hör till en internationell organisation. 

2. Om mottagaren av personuppgifter lyder under en sådan stats eller internationell organisations jurisdiktion som inte är part i konventionen, får personuppgifter överföras endast om en lämplig skyddsnivå enligt bestämmelserna i konventionen säkerställs. 

3. En lämplig skyddsnivå kan säkerställas 

a. genom den berörda statens eller internationella organisationens lagstiftning, inklusive tillämpliga internationella överenskommelser, eller 

b. genom ad hoc- eller godkända standardiserade skyddsåtgärder som fastställs i en sådan rättsligt bindande och genomförbar handling som de personer som deltar i överföringen och den fortsatta behandlingen av personuppgifter godkänner och genomför. 

4. Trots bestämmelserna i de föregående punkterna kan varje part bestämma att personuppgifter får överföras om 

a. den registrerade har gett sitt uttryckliga, specifika och fria samtycke efter att ha informerats om de risker som avsaknaden av lämpliga skyddsåtgärder medför, eller 

b. den registrerades särskilda intressen förutsätter det i ett enskilt fall, eller  

c. det har föreskrivits genom lag om tvingande berättigade intressen, i synnerhet viktiga allmänna intressen, och överföringen är nödvändig och proportionell i ett demokratiskt samhälle, eller 

d. det är en nödvändig och proportionell åtgärd för att trygga yttrandefriheten i ett demokratiskt samhälle. 

5. Varje part ska säkerställa att den behöriga tillsynsmyndigheten enligt artikel 15 i konventionen ges all behövlig information om överföringar av personuppgifter enligt artikel 15.3 b samt på begäran om överföringar av personuppgifter enligt artikel 15.4 b och c. 

6. Varje part ska också säkerställa att tillsynsmyndigheten har rätt att begära att den person som överför personuppgifter visar att skyddsåtgärderna är effektiva eller att tvingande berättigade intressen föreligger samt säkerställa att tillsynsmyndigheten kan förbjuda, avbryta eller villkora sådana överföringar för att skydda de registrerades rättigheter och grundläggande friheter.”  

3. Texten i artikel 12 (den nya artikel 14) i konventionen innehåller bestämmelserna i artikel 2 om gränsöverskridande flöden av personuppgifter till en mottagare som inte lyder under en konventionsparts jurisdiktion i det år 2001 upprättade tilläggsprotokollet om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (ETS 181). 

Article 17  

1. The title of Article 12 of the Convention (new Article 14) shall be replaced by the following:  

“Article 14 – Transborder flows of personal data”.  

2. The text of Article 12 of the Convention (new Article 14) shall be replaced by the following:  

“1. A Party shall not, for the sole purpose of the protection of personal data, prohibit or subject to special authorisation the transfer of such data to a recipient who is subject to the jurisdiction of another Party to the Convention. Such a Party may, however, do so if there is a real and serious risk that the transfer to another Party, or from that other Party to a non-Party, would lead to circumventing the provisions of the Convention. A Party may also do so if bound by harmonised rules of protection shared by States belonging to a regional international organisation.  

2. When the recipient is subject to the jurisdiction of a State or international organisation which is not Party to this Convention, the transfer of personal data may only take place where an appropriate level of protection based on the provisions of this Convention is secured.  

3. An appropriate level of protection can be secured by:  

a) the law of that State or international organisation, including the applicable international treaties or agreements; or  

b) ad hoc or approved standardised safeguards provided by legally-binding and enforceable instruments adopted and implemented by the persons involved in the transfer and further processing. 

4. Notwithstanding the provisions of the previous paragraphs, each Party may provide that the transfer of personal data may take place if:  

a) the data subject has given explicit, specific and free consent, after being informed of risks arising in the absence of appropriate safeguards; or 

b) the specific interests of the data subject require it in the particular case; or  

c) prevailing legitimate interests, in particular important public interests, are provided for by law and such transfer constitutes a necessary and proportionate measure in a democratic society; or  

d) it constitutes a necessary and proportionate measure in a democratic society for freedom of expression.  

5. Each Party shall provide that the competent supervisory authority, within the meaning of Article 15 of this Convention, is provided with all relevant information concerning the transfers of data referred to in paragraph 3, littera b and, upon request, paragraph 4, litterae b and c. 

6. Each Party shall also provide that the supervisory authority is entitled to request that the person who transfers data demonstrates the effectiveness of the safeguards or the existence of prevailing legitimate interests and that the supervisory authority may, in order to protect the rights and fundamental freedoms of data subjects, prohibit such transfers, suspend them or subject them to conditions.”  

3. The text of Article 12 of the Convention (new Article 14) includes the provisions of Article 2 of the Additional Protocol of 2001 regarding supervisory authorities and transborder data flows (ETS No. 181) on transborder flows of personal data to a recipient which is not subject to the jurisdiction of a Party to the Convention. 

Artikel 18 

Efter kapitel III i konventionen ska ett nytt kapitel IV läggas till som följer:  

“Kapitel IV – Tillsynsmyndigheter”.  

Article 18  

A new Chapter IV shall be added after Chapter III of the Convention, as follows:  

“Chapter IV – Supervisory authorities”. 

Artikel 19  

Den nya artikel 15 innehåller bestämmelserna i artikel 1 i 2001 års tilläggsprotokoll (ETS 181) och lyder som följer: 

“Artikel 15 – Tillsynsmyndigheter 

1. Varje part ska se till att en eller flera myndigheter ansvarar för att kontrollera att bestämmelserna i konventionen följs.  

2. För detta ändamål ska myndigheterna 

a. ha rätt att företa undersökningar och ingripanden, 

b. utföra de uppgifter i anslutning till överföring av personuppgifter som avses i artikel 14, särskilt godkännande av standardiserade skyddsåtgärder, 

c. ha behörighet att fatta beslut som gäller brott mot bestämmelserna i konventionen, och i synnerhet behörighet att besluta om administrativa påföljder, 

d. ha behörighet att vara part i rättsliga förfaranden eller att för de behöriga rättsliga myndigheterna anmäla brott mot bestämmelserna i konventionen, 

e. främja 

i. allmän kännedom om deras uppgifter, behörighet och verksamhet, 

ii. allmän kännedom om registrerades rättigheter och utövning av dessa rättigheter, 

iii. personuppgiftsansvarigas och personuppgiftsbiträdens kännedom om sina skyldigheter enligt konventionen,  

särskild uppmärksamhet ska fästas vid rätten till dataskydd för barn och andra som befinner sig i en sårbar ställning.  

3. De behöriga tillsynsmyndigheterna ska höras om förslag till lagstiftningsåtgärder eller administrativa åtgärder som möjliggör behandling av personuppgifter. 

4. Varje behörig tillsynsmyndighet ska behandla framställningar och klagomål som gäller registrerades rätt till dataskydd samt informera de registrerade om hur behandlingen framskrider. 

5. Tillsynsmyndigheterna ska agera helt oberoende och opartiskt när de utför sina uppgifter och utövar sina befogenheter, och de får inte begära eller ta emot instruktioner. 

6. Varje part ska säkerställa att tillsynsmyndigheterna får de resurser de behöver för att utföra sina uppgifter effektivt och utöva sina befogenheter effektivt. 

7. Varje tillsynsmyndighet ska regelbundet upprätta och publicera en rapport om sin verksamhet. 

8. Tillsynsmyndigheternas medlemmar och personal ska hemlighålla information som de har eller har haft åtkomst till vid utförandet av sina uppgifter och utövandet av sina befogenheter. 

9. Tillsynsmyndigheternas beslut ska kunna överklagas i domstol. 

10. Tillsynsmyndigheterna ska inte vara behöriga att utöva tillsyn över sådana domstolar som behandlar personuppgifter i sin dömande verksamhet.”  

Article 19  

A new Article 15 includes the provisions of Article 1 of the Additional Protocol of 2001 (ETS No.181) and reads as follows:  

“Article 15 – Supervisory authorities  

1. Each Party shall provide for one or more authorities to be responsible for ensuring compliance with the provisions of this Convention.  

2. To this end, such authorities:  

a) shall have powers of investigation and intervention;  

b) shall perform the functions relating to transfers of data provided for under Article 14, notably the approval of standardised safeguards;  

c) shall have powers to issue decisions with respect to violations of the provisions of this Convention and may, in particular, impose administrative sanctions;  

d) shall have the power to engage in legal proceedings or to bring to the attention of the competent judicial authorities violations of the provisions of this Convention;  

e) shall promote:  

i. public awareness of their functions and powers, as well as their activities;  

ii. public awareness of the rights of data subjects and the exercise of such rights;  

iii. awareness of controllers and processors of their responsibilities under this Convention;  

specific attention shall be given to the data protection rights of children and other vulnerable individuals.  

3. The competent supervisory authorities shall be consulted on proposals for any legislative or administrative measures which provide for the processing of personal data. 

4. Each competent supervisory authority shall deal with requests and complaints lodged by data subjects concerning their data protection rights and shall keep data subjects informed of progress.  

5. The supervisory authorities shall act with complete independence and impartiality in performing their duties and exercising their powers and in doing so shall neither seek nor accept instructions.  

6. Each Party shall ensure that the supervisory authorities are provided with the resources necessary for the effective performance of their functions and exercise of their powers.  

7. Each supervisory authority shall prepare and publish a periodical report outlining its activities.  

8. Members and staff of the supervisory authorities shall be bound by obligations of confidentiality with regard to confidential information to which they have access, or have had access to, in the performance of their duties and exercise of their powers.  

9. Decisions of the supervisory authorities may be subject to appeal through the courts.  

10. The supervisory authorities shall not be competent with respect to processing carried out by bodies when acting in their judicial capacity.” 

Artikel 20  

1. Kapitlen IV–VII i konventionen ska omnumreras till kapitlen V–VIII i konventionen.  

2. Rubriken för kapitel V ska ersättas med rubriken “Kapitel V – Samarbete och ömsesidigt bistånd”.  

3. En ny artikel 17 ska läggas till, och de tidigare artiklarna 13–27 i konventionen ska bli artiklarna 16–31 i konventionen.  

Article 20  

1. Chapters IV to VII of the Convention shall be renumbered to Chapters V to VIII of the Convention. 

2. The title of Chapter V shall be replaced by “Chapter V – Co-operation and mutual assistance”.  

3. A new Article 17 shall be added, and former Articles 13 to 27 of the Convention shall become Articles 16 to 31 of the Convention. 

Artikel 21 

1. Rubriken för artikel 13 (den nya artikel 16) i konventionen ska ersättas med följande:  

“Artikel 16 – Utseende av tillsynsmyndigheter”. 

2. Artikel 13.1 (den nya artikel 16.1) i konventionen ska ersättas med följande: 

”1. Parterna är ense om att samarbeta och lämna varandra ömsesidigt bistånd för att genomföra denna konvention.” 

3. Artikel 13.2 (den nya artikel 16.2) i konventionen ska ersättas med följande: 

”2. För detta ändamål ska 

a. varje part utse en eller flera tillsynsmyndigheter enligt artikel 15 i denna konvention, vars namn och adress den ska meddela Europarådets generalsekreterare, 

b. varje part som har utsett mer än en tillsynsmyndighet ange varje myndighets behörighet i det meddelande som avses i föregående punkt.” 

4. Artikel 13.3 (den nya artikel 16.3) i konventionen ska utgå.  

Article 21  

1. The title of Article 13 of the Convention (new Article 16) shall be replaced by the following:  

“Article 16 – Designation of supervisory authorities”.  

2. Paragraph 1 of Article 13 of the Convention (new Article 16) shall be replaced by the following:  

“1 The Parties agree to co-operate and render each other mutual assistance in order to implement this Convention.”  

3. Paragraph 2 of Article 13 of the Convention (new Article 16) shall be replaced by the following:  

“2. For that purpose:  

a) each Party shall designate one or more supervisory authorities within the meaning of Article 15 of this Convention, the name and address of each of which it shall communicate to the Secretary General of the Council of Europe; 

b) each Party which has designated more than one supervisory authority shall specify the competence of each authority in its communication referred to in the previous littera.”  

4 Paragraph 3 of Article 13 of the Convention (new Article 16) shall be deleted. 

Artikel 22 

Efter den nya artikel 16 i konventionen ska en ny artikel 17 läggas till som följer:  

“Artikel 17 – Samarbetsformer 

1. Tillsynsmyndigheterna ska samarbeta med varandra i den mån det behövs för att utföra deras uppgifter och utöva deras befogenheter, särskilt genom att 

a. bistå varandra genom att sinsemellan utbyta behövliga och nyttiga upplysningar samt samarbeta förutsatt att alla regler och skyddsåtgärder enligt denna konvention respekteras med avseende på skyddet för personuppgifter, 

b. samordna sina undersökningar eller ingripanden eller genom att genomföra gemensamma operationer, 

c. lämna ut upplysningar och handlingar om sin lagstiftning och administrativa praxis som gäller dataskydd. 

2. De upplysningar som avses i punkt 1 får inte innehålla personuppgifter som behandlas, om inte personuppgifterna är väsentliga för samarbetet eller om inte den registrerade har gett sitt uttryckliga, specificerade, fria och informerade samtycke till att sådana personuppgifter lämnas ut. 

3. För att organisera sitt samarbete och utföra de uppgifter som anges i de föregående punkterna bildar parternas tillsynsmyndigheter ett nätverk.”  

Article 22  

A new Article 17 shall be added after the new Article 16 of the Convention as follows: 

“Article 17 – Forms of co-operation  

1. The supervisory authorities shall co-operate with one another to the extent necessary for the performance of their duties and exercise of their powers, in particular by:  

a) providing mutual assistance by exchanging relevant and useful information and co-operating with each other under the condition that, as regards the protection of personal data, all the rules and safeguards of this Convention are complied with;  

b) co-ordinating their investigations or interventions, or conducting joint actions; 

c) providing information and documentation on their law and administrative practice relating to data protection.  

2. The information referred to in paragraph 1 shall not include personal data undergoing processing unless such data are essential for co-operation, or where the data subject concerned has given explicit, specific, free and informed consent to its provision.  

3. In order to organise their co-operation and to perform the duties set out in the preceding paragraphs, the supervisory authorities of the Parties shall form a network.” 

Artikel 23 

1. Rubriken för artikel 14 (den nya artikel 18) i konventionen ska ersättas med följande: 

“Artikel 18 – Bistånd till registrerade personer”.  

2. Texten i artikel 14 (den nya artikel 18) i konventionen ska ersättas med följande: 

”1. Varje part ska bistå en registrerad, oavsett hans eller hennes nationalitet eller hemvist, vid utövandet av sina rättigheter enligt artikel 9 i konventionen. 

2. När en registrerad vistas inom en annan parts territorium, ska han eller hon ha möjlighet att göra sin framställning genom förmedling av den tillsynsmyndighet som har utsetts av den parten. 

3. Framställningen om bistånd ska innehålla alla behövliga uppgifter, såsom 

a. namn, adress och andra uppgifter som behövs för att identifiera den registrerade som gör framställningen, 

b. den databehandling som framställningen avser eller den personuppgiftsansvarige, 

c. ändamålet med framställningen.”  

Article 23  

1. The title of Article 14 of the Convention (new Article 18) shall be replaced by the following:  

“Article 18 – Assistance to data subjects”. 

2. The text of Article 14 of the Convention (new Article 18) shall be replaced by the following:  

“1. Each Party shall assist any data subject, whatever his or her nationality or residence, to exercise his or her rights under Article 9 of this Convention.  

2. Where a data subject resides on the territory of another Party, he or she shall be given the option of submitting the request through the intermediary of the supervisory authority designated by that Party.  

3. The request for assistance shall contain all the necessary particulars, relating inter alia to:  

a) the name, address and any other relevant particulars identifying the data subject making the request;  

b) the processing to which the request pertains, or its controller;  

c) the purpose of the request.” 

Artikel 24 

1. Rubriken för artikel 15 (den nya artikel 19) i konventionen ska ersättas med följande:  

“Artikel 19 – Skyddsåtgärder”. 

2. Texten i artikel 15 (den nya artikel 19) i konventionen ska ersättas med följande: 

“1. En tillsynsmyndighet som har erhållit upplysningar från en annan tillsynsmyndighet antingen i anslutning till en framställning eller som svar på en egen framställning får inte använda dessa upplysningar för andra ändamål än de som anges i framställningen. 

2. En tillsynsmyndighet får inte i något fall på eget initiativ göra en framställning åt en registrerad person utan dennes uttryckliga medgivande.”  

Article 24  

1. The title of Article 15 of the Convention (new Article 19) shall be replaced by the following:  

“Article 19 – Safeguards”.  

2. The text of Article 15 of the Convention (new Article 19) shall be replaced by the following:  

“1. A supervisory authority which has received information from another supervisory authority, either accompanying a request or in reply to its own request, shall not use that information for purposes other than those specified in the request.  

2. In no case may a supervisory authority be allowed to make a request on behalf of a data subject of its own accord and without the express approval of the data subject concerned.” 

Artikel 25 

1. Rubriken för artikel 16 (den nya artikel 20) i konventionen ska ersättas med följande:  

“Artikel 20 – Avslag på framställningar”. 

2. Det inledande stycket i artikel 16 (den nya artikel 20) i konventionen ska ersättas med följande:  

“En tillsynsmyndighet som har tagit emot en framställning i enlighet med artikel 17 i denna konvention får inte vägra att efterkomma framställningen, om inte” 

3. Artikel 16 a (den nya artikel 20 a) i konventionen ska ersättas med följande:  

“a. framställningen faller utanför dess behörighet,”. 

4. Artikel 16 c (den nya artikel 20 c) i konventionen ska ersättas med följande: 

“c. bifall till framställningen skulle strida mot suveräniteten, den nationella säkerheten eller den allmänna ordningen hos den part som har utsett tillsynsmyndigheten, eller mot rättigheter och grundläggande friheter för enskilda under den partens jurisdiktion.”  

Article 25  

1. The title of Article 16 of the Convention (new Article 20) shall be replaced by the following:  

“Article 20 – Refusal of requests”.  

2. The recital of Article 16 of the Convention (new Article 20) shall be replaced by the following:  

“A supervisory authority to which a request is addressed under Article 17 of this Convention may not refuse to comply with it unless:”  

3. Littera a of Article 16 of the Convention (new Article 20) shall be replaced by the following:  

“a) the request is not compatible with its powers.”  

4 Littera c of Article 16 of the Convention (new Article 20) shall be replaced by the following:  

“c) compliance with the request would be incompatible with the sovereignty, national security or public order of the Party by which it was designated, or with the rights and fundamental freedoms of individuals under the jurisdiction of that Party.” 

Artikel 26 

1. Rubriken för artikel 17 (den nya artikel 21) i konventionen ska ersättas med följande:  

“Artikel 21 – Kostnader och förfaranden”. 

2. Artikel 17.1 (den nya artikel 21.1) i konventionen ska ersättas med följande:  

“1. Samarbete och ömsesidigt bistånd som parter lämnar varandra i enlighet med artikel 17 och bistånd som de i enlighet med artiklarna 9 och 18 lämnar till registrerade personer ska inte medföra betalningsskyldighet för andra kostnader eller avgifter än sådana som uppkommit vid anlitande av experter och tolkar. Dessa kostnader eller avgifter ska bäras av den part som har gjort framställningen.” 

3. Orden ”hans eller hennes” ska ersätta ordet ”hans” i artikel 17.2 (den nya artikel 21.2) i konventionen. 

Article 26  

1. The title of Article 17 of the Convention (new Article 21) shall be replaced by the following:  

“Article 21 – Costs and procedures”. 

2. Paragraph 1 of Article 17 of the Convention (new Article 21) shall be replaced by the following:  

“1. Co-operation and mutual assistance which the Parties render each other under Article 17 and assistance they render to data subjects under Articles 9 and 18 shall not give rise to the payment of any costs or fees other than those incurred for experts and interpreters. The latter costs or fees shall be borne by the Party making the request.”  

3. The terms “his or her” shall replace “his” in paragraph 2 of Article 17 of the Convention (new Article 21). 

Artikel 27 

Rubriken för kapitel V (det nya kapitel VI) ska ersättas med följande: 

“Kapitel VI – Konventionskommitté”.  

Article 27  

The title of Chapter V of the Convention (new Chapter VI) shall be replaced by the following:  

“Chapter VI – Convention Committee”. 

Artikel 28 

1. Termerna ”rådgivande kommitté” i 18.1 (den nya artikel 22.1) i konventionen ska ersättas med termen “konventionskommitté”.  

2. Artikel 18.3 (den nya artikel 22.3) i konventionen ska ersättas med följande:  

“3. Konventionskommittén får, genom ett beslut fattat med två tredjedelars majoritet av företrädarna för parterna, bjuda in en observatör att låta sig företrädas på kommitténs möten.”  

3. Efter artikel 18.3 (den nya artikel 22.3) i konventionen ska en ny punkt 4 läggas till som följer:  

“4. En part som inte är medlem i Europarådet ska delta i finansieringen av konventionskommitténs verksamhet i enlighet med sådana detaljerade regler som ministerkommittén fastställer genom överenskommelse med den parten.”  

Article 28  

1. The terms “Consultative Committee” in paragraph 1 of Article 18 of the Convention (new Article 22) shall be replaced by “Convention Committee”.  

2. Paragraph 3 of Article 18 of the Convention (new Article 22) shall be replaced by the following:  

“3. The Convention Committee may, by a decision taken by a majority of two-thirds of the representatives of the Parties, invite an observer to be represented at its meetings.”  

3. A new paragraph 4 shall be added after paragraph 3 of Article 18 of the Convention (new Article 22):  

“4. Any Party which is not a member of the Council of Europe shall contribute to the funding of the activities of the Convention Committee according to the modalities established by the Committee of Ministers in agreement with that Party.” 

Artikel 29 

1. Termerna ”den rådgivande kommittén” i det inledande stycket i artikel 19 (den nya artikel 23) i konventionen ska ersättas med termen “konventionskommittén”. 

2. Termen ”förslag” i artikel 19 a (den nya artikel 23 a) i konventionen ska ersättas med termen “rekommendationer”.  

3. Hänvisningarna till ”artikel 21” i led b och hänvisningarna till ”artikel 21 stycke 3” i led c i artikel 19 (den nya artikel 23) i konventionen ska ersättas med hänvisningar till “artikel 25” respektive “artikel 25.3”.  

4. Artikel 19 d (den nya artikel 23 d) i konventionen ska ersättas med följande: 

“d. kan yttra sig över varje fråga som rör tolkning eller tillämpning av konventionen,”.  

5. Efter artikel 19 d (den nya artikel 23 d) i konventionen ska nya led läggas till som följer:  

“e. ska före varje ny anslutning till konventionen för ministerkommittén utarbeta ett yttrande om nivån på skyddet för personuppgifter i den kandidat som vill ansluta sig och, i förekommande fall, rekommendera åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen, 

f. kan på begäran av en stat eller en internationell organisation bedöma om den nivå på skyddet för personuppgifter som den erbjuder är förenlig med bestämmelserna i konventionen, och kan vid behov rekommendera åtgärder för att uppnå överensstämmelse med bestämmelserna i konventionen, 

g. kan utveckla eller godkänna modeller för standardiserade skyddsåtgärder enligt artikel 14, 

h. ska bedöma hur parterna har genomfört konventionen och rekommendera åtgärder i fall där en part inte följer konventionen, 

i. ska vid behov underlätta förlikning för att lösa alla problem i anslutning till tillämpningen av konventionen.”  

Article 29  

1. The terms “Consultative Committee” in the recital of Article 19 of the Convention (new Article 23) shall be replaced by “Convention Committee”.  

2. The term “proposals” in littera a of Article 19 of the Convention (new Article 23) shall be replaced with the term “recommendations”. 

3. References to “Article 21” in littera b and “Article 21 paragraph 3” in littera c of Article 19 of the Convention (new Article 23) shall be replaced respectively by references to “Article 25” and “Article 25, paragraph 3”.  

4. Littera d of Article 19 of the Convention (new Article 23) shall be replaced by the following:  

“d) may express an opinion on any question concerning the interpretation or application of this Convention;”.  

5. The following additional litterae shall be added following littera d of Article 19 of the Convention (new Article 23):  

“e) shall prepare, before any new accession to the Convention, an opinion for the Committee of Ministers relating to the level of personal data protection of the candidate for accession and, where necessary, recommend measures to take to reach compliance with the provisions of this Convention;  

f) may, at the request of a State or an international organisation, evaluate whether the level of personal data protection the former provides is in compliance with the provisions of this Convention and, where necessary, recommend measures to be taken in order to reach such compliance;  

g) may develop or approve models of standardised safeguards referred to in Article 14; 

h) shall review the implementation of this Convention by the Parties and recommend measures to be taken in the case where a Party is not in compliance with this Convention;  

i) shall facilitate, where necessary, the friendly settlement of all difficulties related to the application of this Convention.” 

Artikel 30 

Texten i artikel 20 (den nya artikel 24) i konventionen ska ersättas med följande:  

“1. Konventionskommittén ska sammankallas av Europarådets generalsekreterare. Dess första möte ska hållas inom tolv månader efter det att denna konvention har trätt i kraft. Den ska därefter hålla möte åtminstone varje år och alltid när en tredjedel av företrädarna för parterna begär att den ska sammankallas. 

2. Efter varje möte ska konventionskommittén avge en rapport till Europarådets ministerkommitté om sitt arbete och om hur konventionen fungerar. 

3. Konventionskommitténs omröstningsarrangemang fastställs i grunderna för arbetsordningen, som utgör bilaga till protokoll ETS 223. 

4. Konventionskommittén ska utarbeta övriga grunder för sin arbetsordning och i synnerhet fastställa de bedömningsförfaranden som avses i artikel 4.3 och artikel 23 e, f och h och som grundar sig på objektiva kriterier.”  

Article 30  

The text of Article 20 of the Convention (new Article 24) shall be replaced by the following: 

“1. The Convention Committee shall be convened by the Secretary General of the Council of Europe. Its first meeting shall be held within twelve months of the entry into force of this Convention. It shall subsequently meet at least once a year, and in any case when one-third of the representatives of the Parties request its convocation.  

2. After each of its meetings, the Convention Committee shall submit to the Committee of Ministers of the Council of Europe a report on its work and on the functioning of this Convention. 

3. The voting arrangements in the Convention Committee are laid down in the elements for the rules of procedure appended to Protocol CETS No. 223. 

4. The Convention Committee shall draw up the other elements of its rules of procedure and establish, in particular, the procedures for evaluation and review referred to in Article 4, paragraph 3, and Article 23, litterae e, f and h on the basis of objective criteria.” 

Artikel 31 

1. Punkterna 1–4 i artikel 21 (den nya artikel 25) i konventionen ska ersättas med följande:  

“1. Ändringar i denna konvention får föreslås av en part, av Europarådets ministerkommitté eller av konventionskommittén. 

2. Varje ändringsförslag ska av Europarådets generalsekreterare sändas till parterna i konventionen, till Europarådets andra medlemsstater, till Europeiska unionen och till varje icke-medlemsstat och internationell organisation som har bjudits in att ansluta sig till denna konvention i enlighet med bestämmelserna i artikel 27. 

3. Vidare ska varje ändringsförslag som har lagts fram av en part eller av ministerkommittén sändas till konventionskommittén, som ska avge yttrande till ministerkommittén om den föreslagna ändringen. 

4. Ministerkommittén ska överväga den föreslagna ändringen och det yttrande som har avgetts av konventionskommittén och kan godkänna ändringen.”  

2. Efter artikel 21.6 (den nya artikel 25.6) i konventionen ska en ny punkt 7 läggas till som följer: 

“7. Vidare kan ministerkommittén, efter att ha hört konventionskommittén, besluta enhälligt att en enskild ändring träder i kraft tre år från det att ändringen har öppnats för godkännande, om inte en part underrättar Europarådets generalsekreterare om att parten motsätter sig ikraftträdandet av ändringen. Om en underrättelse om motsättande erhålls, träder ändringen i kraft den första dagen i den månad som följer på den dag då den part i konventionen som meddelat att den motsätter sig ändringen har deponerat sitt godkännandeinstrument hos Europarådets generalsekreterare.”  

Article 31  

1. Paragraphs 1 to 4 of Article 21 of the Convention (new Article 25) shall be replaced by the following:  

“1. Amendments to this Convention may be proposed by a Party, the Committee of Ministers of the Council of Europe or the Convention Committee.  

2. Any proposal for amendment shall be communicated by the Secretary General of the Council of Europe to the Parties to this Convention, to the other member States of the Council of Europe, to the European Union and to every non-member State or international organisation which has been invited to accede to this Convention in accordance with the provisions of Article 27.  

3. Moreover, any amendment proposed by a Party or the Committee of Ministers shall be communicated to the Convention Committee, which shall submit to the Committee of Ministers its opinion on that proposed amendment.  

4. The Committee of Ministers shall consider the proposed amendment and any opinion submitted by the Convention Committee, and may approve the amendment.” 

2. An additional paragraph 7 shall be added after paragraph 6 of Article 21 of the Convention (new Article 25) as follows:  

“7. Moreover, the Committee of Ministers may, after consulting the Convention Committee, unanimously decide that a particular amendment shall enter into force at the expiration of a period of three years from the date on which it has been opened to acceptance, unless a Party notifies the Secretary General of the Council of Europe of an objection to its entry into force. If such an objection is notified, the amendment shall enter into force on the first day of the month following the date on which the Party to this Convention which has notified the objection has deposited its instrument of acceptance with the Secretary General of the Council of Europe.” 

Artikel 32 

1. Artikel 22.1 (den nya artikel 26.1) ska ersättas med följande: 

“1. Denna konvention är öppen för undertecknande av Europarådets medlemsstater och Europeiska unionen. Den förutsätter ratifikation, godtagande eller godkännande. Instrument rörande ratifikation, godtagande eller godkännande ska deponeras hos Europarådets generalsekreterare.”  

2. I artikel 22.3 (den nya artikel 26.3) i konventionen ska termen “medlemsstat” ersättas med termen “part”.  

Article 32  

1. Paragraph 1 of Article 22 of the Convention (new Article 26) shall be replaced by the following:  

“1 This Convention shall be open for signature by the member States of the Council of Europe and by the European Union. It is subject to ratification, acceptance or approval. Instruments of ratification, acceptance or approval shall be deposited with the Secretary General of the Council of Europe.”  

2. The terms “member State” in paragraph 3 of Article 22 of the Convention (new Article 26) shall be replaced by “Party”. 

Artikel 33  

Rubriken för och texten i artikel 23 (den nya artikel 27) i konventionen ska ersättas med följande:  

“Artikel 27 – Anslutning av icke-medlemsstater och internationella organisationer  

1. Sedan denna konvention har trätt i kraft får Europarådets ministerkommitté, efter att ha hört parterna i konventionen och erhållit deras enhälliga samtycke samt med beaktande av ett yttrande som konventionskommittén utarbetat i enlighet med artikel 23 e, bjuda in en stat, som inte är medlem av rådet, eller en internationell organisation att ansluta sig till konventionen genom ett beslut med sådan majoritet som föreskrivs i artikel 20 stycke d i Europarådets stadga och under förutsättning att samtliga företrädare för de fördragsslutande stater som är medlemmar i kommittén har röstat för beslutet. 

2. I förhållande till varje stat eller internationell organisation som ansluter sig till denna konvention i enlighet med punkt 1 ska konventionen träda i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att anslutningsinstrumentet har deponerats hos Europarådets generalsekreterare.”  

Article 33  

The title and the text of Article 23 of the Convention (new Article 27) shall be replaced as follows:  

“Article 27 – Accession by non-member States or international organisations 

1. After the entry into force of this Convention, the Committee of Ministers of the Council of Europe may, after consulting the Parties to this Convention and obtaining their unanimous agreement, and in light of the opinion prepared by the Convention Committee in accordance with Article 23.e, invite any State not a member of the Council of Europe or an international organisation to accede to this Convention by a decision taken by the majority provided for in Article 20.d of the Statute of the Council of Europe and by the unanimous vote of the representatives of the Contracting States entitled to sit on the Committee of Ministers.  

2. In respect of any State or international organisation acceding to this Convention according to paragraph 1 above, the Convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of deposit of the instrument of accession with the Secretary General of the Council of Europe.” 

Artikel 34 

Artikel 24.1 och 24.2 (den nya artikel 28.1 och 28.2) i konventionen ska ersättas med följande: 

“1. En stat, Europeiska unionen eller en annan internationell organisation kan vid undertecknandet eller vid deponeringen av instrument rörande ratifikation, godtagande, godkännande eller anslutning närmare ange det eller de områden beträffande vilka konventionen ska tillämpas. 

2. En stat, Europeiska unionen eller en annan internationell organisation kan vid vilken som helst senare tidpunkt genom en förklaring till Europarådets generalsekreterare utsträcka tillämpningen av denna konvention till andra områden som anges i förklaringen. I förhållande till sådana områden ska konventionen träda i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter det att generalsekreteraren har mottagit en sådan förklaring.”  

Article 34  

Paragraphs 1 and 2 of Article 24 of the Convention (new Article 28) shall be replaced by the following:  

“1. Any State, the European Union or other international organisation may, at the time of signature or when depositing its instrument of ratification, acceptance, approval or accession, specify the territory or territories to which this Convention shall apply. 

2. Any State, the European Union or other international organisation may, at any later date, by a declaration addressed to the Secretary General of the Council of Europe, extend the application of this Convention to any other territory specified in the declaration. In respect of such territory the Convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of receipt of such declaration by the Secretary General.” 

Artikel 35 

1. I det inledande stycket i artikel 27 (den nya artikel 31) i konventionen ska termen ”stat” ersättas med termen “part”.  

2. I led c ska hänvisningen ”artiklarna 22, 23 och 24” ersättas med hänvisningen “artiklarna 26, 27 och 28”.  

Article 35  

1. The term “State” in the recital of Article 27 of the Convention (new Article 31) shall be replaced by “Party”.  

2. References to “Articles 22, 23 and 24” in littera c shall be replaced by references to “Articles 26, 27 and 28”. 

Artikel 36 – Undertecknande, ratifikation och anslutning 

1. Detta protokoll är öppet för undertecknande av de fördragsslutande staterna till konventionen. Det ska ratificeras, godtas eller godkännas. Ratifikations-, godtagande- och godkännandeinstrumenten ska deponeras hos Europarådets generalsekreterare. 

2. Sedan detta protokoll har öppnats för undertecknande och innan det träder i kraft ska varje annan stat ge sitt samtycke till att bli bunden av detta protokoll genom att ansluta sig till det. En stat kan inte bli part i konventionen utan att samtidigt ansluta sig till detta protokoll. 

Article 36 – Signature, ratification and accession  

1. This Protocol shall be open for signature by Contracting States to the Convention. It shall be subject to ratification, acceptance or approval. Instruments of ratification, acceptance or approval shall be deposited with the Secretary General of the Council of Europe.  

2. After the opening for signature of this Protocol and before its entry into force, any other State shall express its consent to be bound by this Protocol by accession. It may not become a Party to the Convention without acceding simultaneously to this Protocol. 

Artikel 37 – Ikraftträdande 

1. Detta protokoll träder i kraft den första dagen i den månad som följer på utgången av en period om tre månader efter den dag då alla partier i konventionen har uttryckt sin vilja att vara bundna av protokollet i enlighet med bestämmelserna i artikel 36.1. 

2. Om detta protokoll inte har trätt i kraft i enlighet med punkt 1, ska det för de staters del som i enlighet med punkt 1 har uttryckt sin vilja att vara bundna av protokollet träda i kraft inom fem år efter det att det öppnades för undertecknande, förutsatt att protokollet har minst trettioåtta parter. Samtliga bestämmelser i den ändrade konventionen träder i kraft mellan parterna i protokollet genast när protokollet träder i kraft.  

3. Innan detta protokoll träder i kraft kan en part i konventionen vid undertecknandet av protokollet eller när som helst senare avge en förklaring enligt vilken parten tillämpar bestämmelserna i detta protokoll temporärt, utan att detta påverkar bestämmelserna om ikraftträdande och anslutning för icke-medlemsstater eller internationella organisationer. I sådana fall tillämpas bestämmelserna i detta protokoll endast med avseende på andra sådana parter i konventionen som har avgett en förklaring med samma innehåll. En sådan förklaring träder i kraft den första dagen i den tredje månaden efter det att Europarådets generalsekreterare har tagit emot förklaringen.  

4. Tilläggsprotokollet om tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter till konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 181) ska upphävas när detta protokoll träder i kraft.  

5. De ändringar i konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter som ministerkommittén antog i Strasbourg den 15 juni 1999 förlorar sin betydelse när detta protokoll träder i kraft.  

Article 37 – Entry into force  

1. This Protocol shall enter into force on the first day of the month following the expiration of a period of three months after the date on which all Parties to the Convention have expressed their consent to be bound by the Protocol, in accordance with the provisions of paragraph 1 of Article 36.  

2. In the event this Protocol has not entered into force in accordance with paragraph 1, following the expiry of a period of five years after the date on which it has been opened for signature, the Protocol shall enter into force in respect of those States which have expressed their consent to be bound by it in accordance with paragraph 1, provided that the Protocol has at least thirty-eight Parties. As between the Parties to the Protocol, all provisions of the amended Convention shall have effect immediately upon entry into force. 

3. Pending the entry into force of this Protocol and without prejudice to the provisions regarding the entry into force and the accession by non-member States or international organisations, a Party to the Convention may, at the time of signature of this Protocol or at any later moment, declare that it will apply the provisions of this Protocol on a provisional basis. In such cases, the provisions of this Protocol shall apply only with respect to the other Parties to the Convention which have made a declaration to the same effect. Such a declaration shall take effect on the first day of the third month following the date of its receipt by the Secretary General of the Council of Europe.  

4. From the date of entry into force of this Protocol, the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows (ETS No. 181) shall be repealed.  

5. From the date of the entry into force of this Protocol, the amendments to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, approved by the Committee of Ministers, in Strasbourg, on 15 June 1999, have lost their purpose. 

Artikel 38 – Förklaringar som hänför sig till konventionen  

Om en part har avgett en eller flera förklaringar i enlighet med artikel 3 i konventionen, förfaller de när detta protokoll träder i kraft.  

Article 38 – Declarations related to the Convention  

From the date of entry into force of this Protocol, with respect to a Party having entered one or more declarations in pursuance of Article 3 of the Convention, such declaration(s) will lapse. 

Artikel 39 – Reservationer 

Reservationer mot bestämmelserna i detta protokoll får inte göras. 

Article 39 – Reservations  

No reservation may be made to the provisions of this Protocol. 

Artikel 40 – Underrättelser 

Europarådets generalsekreterare ska underrätta Europarådets medlemsstater och varje annan part i konventionen om 

a) varje undertecknande, 

b) deponering av varje instrument rörande ratifikation, godtagande, godkännande eller anslutning, 

c) dagen för ikraftträdande av detta protokoll enligt artikel 37, 

d) varje annan handling och underrättelse och varje annat meddelande som hänför sig till detta protokoll. 

Article 40 – Notifications  

The Secretary General of the Council of Europe shall notify the member States of the Council of Europe and any other Party to the Convention of:  

a) any signature;  

b) the deposit of any instrument of ratification, acceptance, approval or accession;  

c) the date of entry into force of this Protocol in accordance with Article 37;  

d) any other act, notification or communication relating to this Protocol. 

Till bekräftelse härav har undertecknade, därtill vederbörligen bemyndigade, undertecknat detta protokoll. 

Som skedde i Strasbourg den 10 oktober 2018, på engelska och franska, vilka båda texter har samma giltighet, i ett enda exemplar som ska förvaras i Europarådets arkiv. Europarådets generalsekreterare ska översända en bestyrkt avskrift därav till Europarådets medlemsstater, till andra parter i konventionen och till alla stater som har bjudits in att ansluta sig till konventionen. 

In witness whereof the undersigned, being duly authorised thereto, have signed this Protocol. 

Done at Strasbourg, this 10th day of October 2018, in English and in French, both texts being equally authentic, in a single copy which shall be deposited in the archives of the Council of Europe. The Secretary General of the Council of Europe shall transmit certified copies to each member State of the Council of Europe, to other Parties to the Convention and any State invited to accede to the Convention.