Senast publicerat 03-11-2021 13:58

Regeringens proposition RP 98/2018 rd Regeringens proposition till riksdagen med förslag till ändring av lagstiftningen om behandling av personuppgifter inom arbets- och näringsministeriets förvaltningsområde

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om inkvarterings- och förplägnadsverksamhet, lagen om leverantörer av kombinerade resetjänster, lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor, lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven, lagen om mätinstrument, revisionslagen och lagen om kundinformationssystemet för företagstjänster ändras. I de nämnda lagarna föreslås sådana nödvändiga ändringar som följer av Europeiska unionens allmänna dataskyddsförordning och av ändringar i den nationella lagstiftningen om skydd för personuppgifter. Ändringarna är huvudsakligen av teknisk natur och gäller till stor del hänvisningarna till lagstiftningen om skydd för personuppgifter. 

I propositionen föreslås det dessutom att lagen om Konkurrens- och konsumentverket ändras så att det i lagen tas in bestämmelser om undantag från dataskyddsförordningen till den del det är fråga om den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. 

Lagarna avses träda i kraft så snart som möjligt. 

ALLMÄN MOTIVERING

Inledning

Europaparlamentet och rådet antog våren 2016 Europeiska unionens dataskyddspaket som inbegriper Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Genom dataskyddsförordningen upphävdes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, som i Finland genomförts genom personuppgiftslagen (523/1999). Dataskyddsförordningen började tillämpas den 25 maj 2018. 

Avsikten med dataskyddsförordningen är å ena sidan att säkerställa skyddet för fysiska personer i samband med behandling av personuppgifter, å andra sidan att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden. Dataskyddsförordningen är betydligt mer detaljerad än personuppgiftsdirektivet. Lagstiftningsinstrumentet är också annorlunda till sin karaktär. Dataskyddsförordningen är direkt tillämplig och förpliktande lagstiftning i medlemsstaterna. 

Fastän dataskyddsförordningen är en rättsakt som är direkt tillämplig nationellt, harmoniserar den inte till alla delar med lagstiftningen om skydd för personuppgifter i EU:s medlemsstater, utan lämnar nationellt handlingsutrymme för medlemsstaterna i likhet med direktiv. Med nationellt handlingsutrymme avses den prövningsmarginal som dataskyddsförordningen lämnar. Inom ramen för handlingsutrymmet kan lagstiftarna i medlemsstaterna utfärda eller behålla nationell lagstiftning. Genom sådan lagstiftning kompletteras eller preciseras förordningens bestämmelser, som utgör en grundläggande stomme för regelverket för behandling av personuppgifter. Sådan preciserande eller kompletterande nationell lagstiftning ska således alltid läsas tillsammans med dataskyddsförordningen. Nationell rätt kan komplettera eller precisera dataskyddsförordningen endast när det uttryckligen tillåts enligt dataskyddsförordningen. Det nationella handlingsutrymmet förpliktar inte direkt till alla delar medlemsstaterna att utfärda nationella bestämmelser som kompletterar eller preciserar dataskyddsförordningen, utan det är fråga om en möjlighet. Detta förutsätter också i Finland en reform av såväl den nationella allmänna lagen, dvs. personuppgiftslagen, som speciallagstiftningen. 

Regeringen lämnade den 1 mars 2018 till riksdagen en proposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd), nedan propositionenom dataskyddslagen

Inom arbets- och näringsministeriets förvaltningsområde finns flera lagar som innehåller bestämmelser om behandling av personuppgifter vars förenlighet med den nya dataskyddslagstiftningen behöver kontrolleras. Bestämmelserna i dessa lagar kompletterar det som föreskrivs i de allmänna lagarna, dvs. lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, och personuppgiftslagen. 

Nuläge

2.1  Dataskyddsförordningen

Genom dataskyddsförordningen fastställs reglerna för skydd för fysiska personer vid behandling av personuppgifter samt de regler som gäller det fria flödet av personuppgifter. Förordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Förordningen tillämpas inte på sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Förordningens mål och principer motsvarar i stor utsträckning målen och principerna i personuppgiftsdirektivet. 

Dataskyddsförordningens syfte och tillämpningsområde samt de begrepp som används i förordningen definieras i kapitel I i förordningen. I artikel 2 i förordningen föreskrivs om förordningens materiella tillämpningsområde. Förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 

Definitionerna av centrala begrepp i dataskyddsförordningen (artikel 4) motsvarar i stor utsträckning personuppgiftsdirektivet. Med personuppgifter avses i förordningen varje upplysning som avser en identifierad eller identifierbar fysisk person, dvs. registrerad, (artikel 4.1). Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt, (artikel 4.7). Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning (artikel 4.8). I förordningen finns också nya begrepp och definitioner. 

I artikel 5 i dataskyddsförordningen anges allmänna principer för behandling av personuppgifter, som är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Den personuppgiftsansvarige ska ansvara för och kunna visa att principerna iakttagits (ansvarsskyldighet). 

I artikel 6 i dataskyddsförordningen finns bestämmelser om laglig behandling av personuppgifter. I artikel 6.1 i förordningen anges villkor som ska vara uppfyllda för att behandlingen ska vara laglig. De villkor som anges i förteckningen motsvarar huvudsakligen det som nämns i 8 § 1 mom. i personuppgiftslagen. En viktig behandlingsgrund med tanke på denna proposition är i synnerhet den grund som anges i artikel 6.1. c, att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I artikel 6.2. i dataskyddsförordningen ges medlemsstaterna möjlighet att behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i denna förordning med hänsyn till behandling för att efterleva punkt 1 c och e genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.  

Den av justitieministeriet tillsatta arbetsgruppen med uppdrag att utreda behovet av nationella lagstiftningsåtgärder till följd av dataskyddsförordningen (TATTI-arbetsgruppen) har utgått från att myndigheters behandling av personuppgifter i första hand ska grunda sig på artikel 6.1 c i förordningen, dvs. den personuppgiftsansvariges lagstadgade förpliktelse. Enligt 2 § 3 mom. i grundlagen (731/1999) ska all utövning av offentlig makt bygga på lag. I all offentlig verksamhet ska lag noggrant iakttas. Redan av detta konstitutionella krav följer att behandling av personuppgifter som genomförs av nationella myndigheter och organ inom den offentliga förvaltningen i nuläget till största delen kan grunda sig på artikel 6.1 c i dataskyddsförordningen. Emellertid kan också allmänt intresse som avses i led e i samma punkt komma att tillämpas som behandlingsgrund i myndighetsverksamhet i vissa fall. Sådana situationer kan uppstå när myndigheternas uppgifter utvecklas och blir mångsidigare. Enligt skäl 45 i dataskyddsförordningen bör behandlingen i båda fall ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Detta innebär att en myndighets uppdrag och behörighet ska beskrivas på ett sådant sätt i lagstiftningen att rättsgrunden och ändamålet med behandlingen av personuppgifter på ett motiverat sätt kan härledas från lagstiftningen med hänsyn till verksamhetens mål. (JM:s betänkanden och utlåtanden 8/2018.)  

Enligt artikel 6.3 i den allmänna dataskyddsförordningen ska grunden för behandlingen fastställas antingen i enlighet med unionsrätten eller med en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av om behandlingen behövs (i förordningens svenska version används ordet nödvändig) för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och om behandlingen behövs för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Ändamålet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Lagstiftningen kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Sådana särskilda bestämmelser kan gälla bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Lagstiftningen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

I artikel 9 i dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Begreppet behandling av särskilda kategorier av personuppgifter framgår av artikel 9.1 där följande föreskrivs: ”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.” Undantag från behandlingsförbudet finns i artikel 9.2. i förordningen.  

I artikel 10 i dataskyddsförordningen föreskrivs om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser och därmed sammanhängande säkerhetsåtgärder. Enligt bestämmelsen får behandling av sådana personuppgifter endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. 

I kapitel III i dataskyddsförordningen föreskrivs om den registrerades rättigheter. I kapitlet om den registrerades rättigheter finns bestämmelser om bland annat 

informering av den registrerade (artiklarna 12—14), 

den registrerades rätt till tillgång (artikel 15), 

rätt till rättelse (artikel 16), 

rätt till radering (artikel 17), 

rätt till begränsning av behandling (artikel 18), 

rätt till dataportabilitet (artikel 20) och 

rätt att göra invändningar (artikel 21). 

I artikel 23.1 i dataskyddsförordningen ges medlemsstaterna rätt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12—22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa viktiga intressen. I artikel 23.2 föreskrivs om sådana omständigheter som sådan lagstiftning ska innehålla specifika bestämmelser om, när så är relevant. 

I kapitel IV i dataskyddsförordningen finns bestämmelser om den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter. Kapitel V i dataskyddsförordningen gäller överföring av personuppgifter till tredjeländer eller internationella organisationer, kapitel VI gäller tillsynsmyndigheter, kapitel VII samarbete och mekanismen för enhetlighet och kapitel VIII rättsmedel, ansvar och sanktioner.  

I kapitel IX i förordningen finns bestämmelser om särskilda behandlingssituationer, till exempel följande situationer: behandling och allmänhetens tillgång till allmänna artiklar (artikel 86), behandling av nationella identifikationsnummer (artikel 87), arkivändamål eller vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 89). Enligt artikel 86 i dataskyddsförordningen får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning. 

2.2  Nationell lagstiftning

2.2.1  Grundlagen

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. 

Offentlighetsprincipen enligt 12 § 2 i grundlagen framhäver offentlighet som en utgångspunkt för myndighetsverksamhet. Enligt det momentet i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. 

2.2.2  Dataskyddslag

I propositionen om dataskyddslagen föreslås det att det stiftas en dataskyddslag. I propositionen föreslås det samtidigt att personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen upphävs (389/1994). Den föreslagna lagen är en allmän lag som ska tillämpas på behandling av personuppgifter. I och med att den kompletterar och preciserar dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med förordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för den prövningsmarginal som den nationella lagstiftaren ges i den allmänna dataskyddsförordningen. 

Genom dataskyddslagen ska tillämpningsområdet för dataskyddsförordningen utvidgas även till sådan behandling som inte omfattas av unionsrätten. Den föreslagna lagen innehåller bestämmelser om den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om särskilda behandlingssituationer. 

I 6 § i den föreslagna dataskyddslagen föreskrivs om behandling av särskilda kategorier av personuppgifter. Enligt 1 mom. 2 punkten i paragrafen ska artikel 9.1 bland annat inte tillämpas på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. I 2 mom. föreskrivs om lämpliga och särskilda åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet ska vidta när de behandlar personuppgifter i sådana situationer som avses i paragrafens 1 mom. 

I 7 § i dataskyddslagen ska det finnas bestämmelser om behandling av personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser. Enligt 1 mom. 2 punkten i paragrafen får sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen behandlas bland annat, om behandling av uppgifter regleras i lag eller följer direkt av den personuppgiftsansvariges lagstadgade uppdrag. Det som i 6 § 2 mom. föreskrivs om åtgärder för att skydda den registrerades rättigheter tillämpas också vid behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. 

I propositionen om dataskyddslagen föreslås dessutom ändringar i strafflagen (39/1889) och i lagen om verkställighet av böter (672/2002). Strafflagens bestämmelse om personregisterbrott föreslås bli ersatt med en straffbestämmelse om dataskyddsbrott. 

2.2.3  Offentlighetslagen

Genom offentlighetslagen preciseras den offentlighetsprincip som anges i 12 § 2 mom. i grundlagen. Den utgångspunkt som uttrycks i 1 § i offentlighetslagen är att myndigheternas handlingar är offentliga, om inte något annat föreskrivs särskilt i denna lag eller i någon annan lag. I offentlighetslagen finns bestämmelser om rätten att ta del av myndigheternas offentliga handlingar, om handlingssekretess samt andra för skyddande av allmänna och enskilda intressen nödvändiga begränsningar av rätten att ta del av en handling.  

I 28 § i den föreslagna dataskyddslagen ingår en hänvisningsbestämmelse som motsvarar personuppgiftslagen enligt vilken det på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet för myndighetshandlingar. 

Vid beredningen av regeringspropositionen fanns det inte tillgång till eventuella ändringsbehov i offentlighetslagen som följer av dataskyddsförordningen. 

2.3  Bedömning av nuläget

Inom arbets- och näringsministeriets förvaltningsområde finns flera lagar som innehåller bestämmelser om behandling av personuppgifter vars förenlighet med den nya dataskyddslagstiftningen behöver kontrolleras. En stor del av regleringen gäller myndigheters behandling av personuppgifter och lagstadgade register som myndigheter för. 

I denna proposition utvärderas lagstiftningen inom förvaltningsområdet endast i fråga om de författningar för vilkas del det har identifierats nödvändiga ändringsbehov och för vilka det inte är motiverat att göra bedömningen i annat sammanhang. Förhållandet mellan lagstiftningen inom förvaltningsområdet och dataskyddsförordningen har också granskats i samband med vissa andra projekt (Regeringens proposition till riksdagen med förslag till lagstiftning om ordnande av offentlig arbetskrafts- och företagsservice RP 62/2018 rd, betänkande från arbetsgruppen som utreder förhållandet mellan dataskyddslagstiftningen för arbetslivet och den allmänna dataskyddsförordningen TEM050:00/2017 och betänkande från arbetsgruppen som utreder ändringsbehoven i civiltjänstlagen TEM074:00/2017). Detaljerna i det nationella handlingsutrymme som ingår i dataskyddsförordningen lämnar utrymme för tolkning och det finns inte ännu praxis om tillämpningen av förordningen. Lagstiftningen om behandling av personuppgifter inom arbets- och näringsministeriets förvaltningsområde kommer att granskas till behövliga delar när den i övrigt ändras och när det fås nationella riktlinjer och EU-riktlinjer om ändringsbehov i lagstiftningen. 

Bestämmelser om Konkurrens- och konsumentverket finns i lagen om Konkurrens- och konsumentverket (661/2012). I 1 § i lagen föreskrivs att för att genomföra konkurrens- och konsumentpolitiken, säkerställa att marknaden fungerar, verkställa konkurrenslagen (948/2011), genomföra Europeiska unionens konkurrensregler, övervaka att lagen om offentlig upphandling och koncession (1397/2016), nedan upphandlingslagen, och lagen om upphandling och koncession inom sektorerna vatten, energi, transporter och posttjänster (1398/2016), nedan försörjningslagen, iakttas samt för att trygga konsumenternas ekonomiska och rättsliga ställning finns Konkurrens- och konsumentverket. I 2 § i lagen anges att Konkurrens- och konsumentverket bland annat lägger fram förslag och tar initiativ till samt yttrar sig om främjande av konkurrensen, avveckling av konkurrensbegränsande bestämmelser och föreskrifter, främjande av öppna och icke-diskriminerande offentliga upphandlingar, sköter de uppgifter som verket har enligt konkurrenslagen och utövar tillsyn över att de beslut som fattats med stöd av konkurrenslagen iakttas, sköter de uppgifter som verket har enligt upphandlingslagen och försörjningslagen samt sköter andra uppgifter som det föreskrivs att verket ska sköta eller som ålagts verket. 

I lagen om Konkurrens- och konsumentverket eller i annan lagstiftning som styr verkets verksamhet finns inte särskilda bestämmelser om behandlingen av personuppgifter vid verket och således inte heller ändringsbehov som följer av dataskyddsförordningen. Verkets uppgifter är lagstadgade. Verket behandlar personuppgifter huvudsakligen för att utföra sina lagstadgade uppgifter. I fråga om verkets lagstadgade uppgifter är rättsgrunden för behandlingen av personuppgifter artikel 6.1 c i dataskyddsförordningen. 

Konkurrens- och konsumentverkets behandling av personuppgifter som ingår i de särskilda kategorierna av personuppgifter vilken behövs för att sköta verkets lagstadgade uppgifter skulle kunna grunda sig på artikel 9.2 g i dataskyddsförordningen och på 6 § 1 mom. 2 punkten i dataskyddslagen. Verkets behandling av personuppgifter som rör fällande domar i brottmål, överträdelser eller därmed sammanhängande säkerhetsåtgärder skulle i sin tur kunna grunda sig på artikel 10 i dataskyddsförordningen och på 7 § 1 mom. 2 punkten i dataskyddslagen. Enligt artikel 9.2 g kan avvikelse göras från behandlingsförbudet om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt de nämnda bestämmelserna i dataskyddslagen är sådan behandling av uppgifter tillåten som regleras i lag eller följer direkt av den personuppgiftsansvariges lagstadgade uppdrag. 

För att säkerställa effektiviteten i Konkurrens- och konsumentverkets tillsynsuppgifter förutsätts att det entydigt i lagstiftningen avgörs hur den registrerades rätt till tillgång till uppgifter som samlats in om honom eller henne enligt artikel 15 i dataskyddsförordningen förhåller sig till sekretessbelagda personuppgifter enligt 24 § 1 mom. 15 punkten i offentlighetslagen. Enligt ovannämnda punkt i offentlighetslagen är sådana handlingar sekretessbelagda som innehåller uppgifter om inspektion som ankommer på en myndighet eller någon annan omständighet som har samband med en övervakningsåtgärd, om utlämnandet av uppgifter ur en sådan handling skulle äventyra övervakningen eller dess syfte eller utan vägande skäl skulle vara ägnat att åsamka den som har del i saken skada. Den registrerades rätt enligt artikel 15 äventyrar Konkurrens- och konsumentverkets lagstadgade tillsyn eller uppnåendet av dess syfte, om rätten gäller personuppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen. 

Lagen om inkvarterings- och förplägnadsverksamhet (308/2006), lagen om leverantörer av kombinerade resetjänster (921/2017), lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005), lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005), lagen om mätinstrument (707/2011), revisionslagen (1141/2015) och lagen om kundinformationssystemet för företagstjänster (293/2017) innehåller hänvisningsbestämmelser till personuppgiftslagen. Hänvisningarna ska antingen strykas som onödiga eller ändras så att de motsvarar dataskyddsförordningen och dataskyddslagen. I lagen om inkvarterings- och förplägnadsverksamhet finns också en hänvisning till en bestämmelse om personregisterbrott i strafflagen. Den hänvisningen måste ändras till en hänvisning till dataskyddsbrott. 

I ovannämnda lagar är den rättsliga grunden för behandlingen av personuppgifter artikel 6.1 c i dataskyddsförordningen. Lagarnas bestämmelser om behandling av personuppgifter kan anses falla inom ramen för handlingsutrymmet enligt artikel 6 i dataskyddsförordningen. Bestämmelserna om tillgång till och utlämnande av information kan också anses vara förenliga med handlingsutrymmet enligt artikel 86. De personuppgiftsansvariga anges i lag. Revisionslagens bestämmelse om utläggning av uppdraget att föra klientregister är otydlig i fråga om ansvarsområdet för den personuppgiftsansvarige. Det är motiverat att upphäva bestämmelsen, med beaktande av dataskyddsförordningens direkt tillämpliga bestämmelser. Dessutom behöver lagen om kundinformationssystemet för företagstjänster preciseras, för att ansvarsfördelningen mellan den personuppgiftsansvarige och personuppgiftsbiträdet tydligare ska framgå av bestämmelserna. 

Med stöd av revisionslagen behandlas också uppgifter som ingår i de särskilda kategorierna av personuppgifter enligt artikel 9 i dataskyddsförordningen och uppgifter som rör fällande domar i brottmål och överträdelser enligt artikel 10. Behandlingen av personuppgifter skulle till dessa delar kunna grundas förutom på revisionslagen också på artiklarna 9.2 g och 10 i dataskyddsförordningen samt på 6 § 1 mom. 2 punkten och 7 § 1 mom. 2 punkten i den föreslagna dataskyddslagen. I 8 kap. 6 § och 9 kap. 1 § 2 mom. i revisionslagen ingår bestämmelser om behandling av känsliga personuppgifter. Känsliga personuppgifter definieras i 11 § i personuppgiftslagen. För att bevara nuläget måste bestämmelserna ändras så att de gäller personuppgifter som avses i artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. Personuppgifter som gäller en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit ingår inte i de särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. 

Bemyndigandet att utfärda förordning i 6 kap. 9 § 6 mom. i revisionslagen kan inte anses vara förenligt med handlingsutrymmet enligt dataskyddsförordningen till den del som bemyndigandet gäller bestämmelserna om förande av register, så bemyndigandet behöver preciseras. 

I revisionslagen finns bestämmelser om begränsning av den registrerades rätt till tillgång. Rätten att granska uppgifter motsvarar den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen. Begränsningen enligt den gällande lagen kan behållas med stöd av det handlingsutrymme som ges i artikel 23.1 g i dataskyddsförordningen. Ordalydelsen i bestämmelsen om begränsning av rätten att granska uppgifter bör dock ändras så att den motsvarar dataskyddsförordningen och dataskyddslagen. 

Målsättning och de viktigaste förslagen

Propositionen syftar till att i vissa lagar inom arbets- och näringsministeriets förvaltningsområde som gäller behandling av personuppgifter göra sådana nödvändiga ändringar som följer av dataskyddsförordningen och av ändringarna i den nationella lagstiftningen om skydd för personuppgifter i de fall då lagändringarna inte görs i något annat sammanhang.  

De föreslagna ändringarna är huvudsakligen av teknisk natur och gäller hänvisningar till personuppgiftslagen eller till bestämmelser om personregisterbrott i strafflagen. I denna proposition föreslås det också en ändring som preciserar ansvarsfördelningen mellan den personuppgiftsansvarige och personuppgiftsbiträdet i lagen om kundinformationssystemet för företagstjänster. I revisionslagen föreslås också vissa innehållsmässiga ändringar på grund av dataskyddsförordningen. I propositionen föreslås det dessutom att lagen om Konkurrens- och konsumentverket ändras så att det i lagen tas in bestämmelser om undantag från dataskyddsförordningen till den del det är fråga om den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. 

Propositionens konsekvenser

Dataskyddsförordningen och även dataskyddslagen medför relativt betydande konsekvenser för samhället, myndigheterna och företagen samt kostnader för dem som behandlar personuppgifter. Konsekvenserna och kostnaderna kan dock inte anses följa av denna proposition och därför behöver de inte behandlas desto mer i detta sammanhang. Dataskyddsförordningens och dataskyddslagens konsekvenser har redogjorts för i propositionen om dataskyddslagen. Konsekvenserna följer, på det sätt som beskrivs i propositionen om dataskyddslagen, huvudsakligen av dataskyddsförordningen. 

Begränsningen av den registrerades rätt till tillgång i enlighet med artikel 15 i dataskyddsförordningen har konsekvenser för den registrerades ställning. För närvarande har rätten att granska uppgifter i enlighet med personuppgiftslagen i fråga om personuppgifter som samlats in i samband med skötseln av tillsynsuppgifter inom ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket inte begränsats, så förslaget ändrar nuläget. Det avgränsade undantaget i den registrerades rätt bedöms inte ha några betydande konsekvenser för den registrerades ställning, när även de föreslagna säkerhetsåtgärderna beaktas. 

I övrigt är de ändringar som föreslås i propositionen främst tekniska preciseringar och ändringar av hänvisningsbestämmelser och har inte några särskilda konsekvenser. 

Beredningen av propositionen

Propositionen har beretts vid arbets- och näringsministeriet. Propositionsutkastet var på skriftligt remissförfarande 16.4–28.5.2018. Utlåtande begärdes av justitieministeriet, Regionförvaltningsverket i Södra Finland, Konkurrens- och konsumentverket, Revisionstillsynen, dataombudsmannens byrå, Säkerhets- och kemikalieverket Tukes, Kuluttajaliitto – Konsumentförbundet ry, Suomen Matkatoimistoalan Liitto (SMAL) och Turism- och Restaurangförbundet MaRa rf. 

Utlåtande lämnades av justitieministeriet, Konkurrens- och konsumentverket, Patent- och registerstyrelsen och Turism- och Restaurangförbundet MaRa rf. Säkerhets- och kemikalieverket Tukes meddelande att verket inte har något att yttra om utkastet till proposition. 

Begäran om utlåtande och de inkomna utlåtandena har publicerats på arbets- och näringsministeriets webbplats: (http://tem.fi/hankesivu?tunnus=TEM007:00/2018). 

Justitieministeriet konstaterade i sitt utlåtande att den rättsliga grunden för behandlingen ska bedömas utifrån arten av myndighetens verksamhet eller uppdrag. Justitieministeriet ansåg dock att den rättsgrund som valts i utkastet till proposition var ändamålsenlig i fråga om de ingående lagförslagen. Enligt justitieministeriet lämpar sig artikel 6.1 c i dataskyddsförordningen också som grund för behandling av personuppgifter som genomförs av företag. I propositionsutkastet föreslogs det inte att de informativa hänvisningarna till personuppgiftslagen ersätts med hänvisningar till dataskyddsförordningen och dataskyddslagen. Justitieministeriet konstaterade i sitt utlåtande att grundlagsutskottet i sin tidigare praxis ansett att det inte behöver hänvisas till allmänna författningar i speciallagstiftningen, om inte hänvisningen behövs för att undvika oklarheter. I den fortsatta beredningen har det ansetts behövligt att i informativt syfte lägga till en hänvisning till dataskyddsförordningen och dataskyddslagen, när det i bestämmelsen också hänvisas till offentlighetslagen. 

Justitieministeriet bedömde att den i lagen om Konkurrens- och konsumentverket föreslagna begränsningen av den registrerades rätt till tillgång är förenlig med handlingsutrymmet enligt artikel 23.1 e och h i dataskyddsförordningen. Justitieministeriet ansåg att det finns skäl att i den fortsatta beredningen precisera paragrafen om begränsning av rätten att granska uppgifter åtminstone i fråga om kategorier av registrerade eller personuppgifter som registreras samt den personuppgiftsansvarige. 

I fråga om revisionslagen konstaterade justitieministeriet att ministeriet anser det vara viktigt att lämpliga åtgärder för att skydda de registrerades rätt beaktas i den bestämmelse som gäller begränsning av rätten att granska uppgifter till exempel genom den föreslagna hänvisningsbestämmelsen till 34 § 2–4 mom. i dataskyddslagen. 

Justitieministeriet fäste i sitt utlåtande också vikt vid vissa andra bestämmelser i revisionslagen, som inte ingick i utkastet till lagförslag. Justitieministeriet ansåg att det vore bra att se över ordalydelsen i 4 kap. 9 § 2 mom. i revisionslagen för att förtydliga bestämmelsen, så att ansvarsfördelningen mellan den personuppgiftsansvarige och personuppgiftsbiträdet ska framgå tydligt. Enligt justitieministeriet är bemyndigandet att utfärda förordning av statsrådet i 6 kap. 9 § 6 mom. i revisionslagen i fråga om förande av register inte förenligt med det nationella handlingsutrymme som dataskyddförordningen medger. Justitieministeriet föreslog dessutom att 9 kap. 3 § 2 mom. 4 punkten i lagen ersätts med en informativ hänvisning till dataskyddsförordningen. 

Justitieministeriet ansåg i sitt utlåtande att det i den fortsatta beredningen finns skäl att även bedöma 6 och 9 § i lagen om kundinformationssystemet för företagstjänster. Enligt justitieministeriets syn lämnar 6 § i lagen en viss grad av otydlighet i ansvarsfördelningen mellan olika personuppgiftsansvariga, särskilt till den del som det är fråga om det använda begreppet ”teknisk administratör”. Justitieministeriet ansåg att det vore bra att förtydliga ordalydelsen i 6 § genom att använda dataskyddslagens terminologi. Justitieministeriet ansåg att 9 § 2 mom. i lagen är delvis överlappande med dataskyddsförordningen och ifrågasatte att en teknisk administratör har rätt att avföra klientuppgifter i en situation som kanske ska höra till den personuppgiftsansvariges ansvar. 

Justitieministeriet framförde också vissa andra detaljerade synpunkter på lagförslagen. 

Strävan har varit att i propositionen beakta de synpunkter som justitieministeriet framförde. Det ansågs dock att det inte var motiverat att ersätta 9 kap. 3 § 2 mom. 4 punkten i revisionslagen med en informativ hänvisning. 

Patent- och registerstyrelsen hade inte något att anmärka på förslagen. 

Konkurrens- och konsumentverket ansåg att den bestämmelse om begränsning av den registrerades rätt som föreslagits i lagen om Konkurrens- och konsumentverket samt dess motivering kunde understödas. Enligt verket är bestämmelsen förutom en motiverad även en nödvändig och proportionell åtgärd med tanke på en effektiv konkurrensövervakning. Om den registrerades rätt till tillgång gällde personuppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen, skulle fullföljandet av verkets lagstadgade tillsynsuppgifter äventyras. Verket ansåg att en lagstadgad konkurrensövervakning och dess effektiva genomförande är just sådana viktiga mål av generellt allmänt intresse som avses i artikel 23.1 e och h i dataskyddsförordningen. 

Turism- och Restaurangförbundet MaRa rf framförde i sitt utlåtande att bestämmelserna om förvaringstid i lagen om inkvarterings- och förplägnadsverksamhet ska ändras för att minska den administrativa bördan och kostnaderna och att motiveringen till 7 § ska preciseras i fråga om de upplysningar som används för kundservice och direktmarknadsföring. Enligt utlåtandet ska dataskyddslagen, som riksdagen är under behandling i riksdagen, fogas till paragrafen om lagens tillämpningsområde. Med anledning av utlåtandet preciserades motiveringen till 7 § i ändringsförslaget. En ändring av bestämmelserna om förvaringstider för uppgifter om resande på det sätt som föreslogs kunde inte bedömas i tillräcklig mån i detta sammanhang. 

DETALJMOTIVERING

Lagförslag

1.1  Lagen om Konkurrens- och konsumentverket

1 kap. Bestämmelser om Konkurrens- och konsumentverket

7 a §.Begränsning av den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Det föreslås att till lagen fogas en ny 7 a § där det föreskrivs om undantag från den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen har den registrerade inte rätt till tillgång till sådana uppgifter i Konkurrens- och konsumentverkets register som samlats in om honom eller henne och som verket behandlar vid skötseln av tillsynsuppgifter enligt konkurrenslagen, upphandlingslagen eller försörjningslagen, om det med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen, för att säkerställa genomförandet av tillsynen eller uppnåendet av dess syfte, är nödvändigt att uppgifterna inte lämnas ut. 

Ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket behandlar personuppgifter vid skötseln av sina lagstadgade tillsynsuppgifter. Personuppgifter behandlas i samband med såväl konkurrensövervakning, tillsyn över offentlig upphandling, övervakning av företagsförvärv som neutralitetskontroll. Enligt artikel 15 i dataskyddsförordningen behöver den registrerades rätt begränsas för att säkerställa de allmänna förutsättningarna för tillsynen och att enskilda tillsynsåtgärder lyckas. 

I 34 § 1 mom. i den föreslagna dataskyddslagen finns bestämmelser om de situationer där den registrerade inte har sådan rätt som avses i artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. I 2—4 mom. föreskrivs om särskilda åtgärder som förutsätts i artikel 23.2 i dataskyddsförordningen när den registrerades rättigheter begränsas i situationer som avses i 1 punkten. Enligt 34 § 1 mom. 2 punkten i dataskyddslagen har den registrerade inte sådan rätt som avses i artikel 15 i dataskyddsförordningen att bekanta sig med sina uppgifter, om informationen kan medföra allvarlig fara för någon annans rättigheter. Punkten lämpar sig för tillsynsuppgifter som ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket sköter bland annat i en situation där begränsningen av den registrerades rätt baserar sig på behovet av att säkerställa angivarens anonymitet. 

Vidare enligt 34 § 1 mom. 3 punkten i den föreslagna dataskyddslagen har den registrerade inte den rätt som avses i artikel 15 i dataskyddsförordningen att bekanta sig med sina uppgifter, om personuppgifterna i registrets används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller EU. Konkurrens- och konsumentverkets lagstadgade tillsynsuppgifter kan inte helt entydigt tolkas vara omfattade av 34 § 1 mom. 3 punkten i dataskyddslagen. Därför är det nödvändigt att använda det nationella handlingsutrymmet i större omfattning. Begränsningen av den registrerades rätt till enbart det som föreskrivs i 34 § 1 mom. 2 punkten i dataskyddslagen är inte tillräcklig för att säkerställa tillsynen eller uppnåendet av dess fullständiga syfte. 

För att säkerställa effektiviteten i tillsynsuppgifterna inom ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket är det nödvändigt att det i lagstiftningen entydigt har avgjorts hur den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen förhåller sig till sekretessbelagda personuppgifter enligt 24 § 1 mom. 15 punkten i offentlighetslagen. Enligt ovannämnda punkt i offentlighetslagen är sådana handlingar sekretessbelagda som innehåller uppgifter om inspektion som ankommer på en myndighet eller någon annan omständighet som har samband med en övervakningsåtgärd, om utlämnandet av uppgifter ur en sådan handling skulle äventyra övervakningen eller dess syfte eller utan vägande skäl skulle vara ägnat att åsamka den som har del i saken skada. 

Skötseln av de lagstadgade tillsynsuppgifterna för ansvarsområdet för konkurrensfrågor vid verket förutsätter en mer omfattande begränsning av den registrerades rätt än det som föreskrivs i 34 § i dataskyddslagen. Den registrerades rätt enligt artikel 15 i dataskyddsförordningen äventyrar Konkurrens- och konsumentverkets lagstadgade tillsyn eller uppnåendet av dess syfte, om den registrerades rätt gäller personuppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen. Som exempel kan nämnas beredningen av överraskningsinspektioner. Om en sådan arbetstagare hos den näringsidkare som är föremål för utredningen som har en central roll i verksamhet som är förbjuden enligt konkurrenslagen i detta skede kan utöva sin rätt enligt artikel 15 i dataskyddsförordningen, omintetgörs den utredningsro som fastställs i 24 § 1 mom. 15 punkten i offentlighetslagen och i vedertagen rättspraxis och möjligheten att lyckas med utredningen äventyras på ett ohållbart sätt. Möjligheten att utöva rätten i detta skede skulle avslöja verkets intresse för ett förbjudet förfarande för dem som är föremål för utredningen och medföra att verkets fortsatta åtgärder inte har verkan. Genomförandet av tillsynen och uppnåendet av dess syfte förutsätter att den registrerades rätt inte äventyrar sekretessgrunderna för utredningsro, utredningstekniska skäl och anonymitet som tillförsäkras i 24 § 1 mom. 15 punkten i offentlighetslagen. 

24 § 1 mom. 15 punkten i offentlighetslagen tillförsäkrar tillsyns- och kontrollverksamhetens effektivitet. Bestämmelsen syftar till att både trygga de generella förutsättningarna för utövande av tillsyn och även möjliggöra att enskilda tillsynsåtgärder lyckas. Den föreslagna begränsningen av den registrerades rätt motsvarar tillämpningsområdet för 24 § 1 mom. 15 punkten i offentlighetslagen. Begränsningen är inte bestående, utan upphör att gälla, när det inte längre finns en sekretessgrund med stöd av ovannämnda punkt i offentlighetslagen. För att säkerställa bestämmelsens proportionalitet föreslås att det till bestämmelsen fogas en hänvisning till 24 § 1 mom. 15 punkten i offentlighetslagen. 

I mest typiska fall riktar sig begränsningen till personuppgifter om företrädare för eller arbetstagare hos de aktörer som är föremål för tillsynsåtgärderna, såsom namn, kontaktuppgifter och utbildning samt uppgifter om arbetsgivare, arbetsuppgifter, arbetshistoria och ställning. Avgränsningen omfattar både rätten att få bekräftelse samt tillgång till personuppgifter som avses i artikel 15 i dataskyddsförordningen. 

Den föreslagna begränsningen grundar sig på artikel 23.1 e och h i dataskyddsförordningen. Tillämpningsområdet för den registrerades rätt kan med stöd av artikel 23.1 e och h begränsas, för att viktiga mål som anknyter till medlemsstatens generella allmänna intresse kan säkerställas. I de lagstadgade tillsynsuppgifterna för ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket och i säkerställandet av ett effektivt genomförande av EU:s konkurrensregler är det fråga om ett viktigt mål för att säkerställa ett sådant generellt allmänt intresse som avses i artikel 23 i dataskyddsförordningen. Om det inte fanns möjlighet att begränsa den registrerades rätt i dessa situationer, skulle Konkurrens- och konsumentverkets verksamhetsförutsättningar och möjligheter att fullt ut och effektivt sköta sina lagstadgade uppgifter äventyras på ett väsentligt sätt. 

Enligt artikel 23.2 i dataskyddsförordningen ska lagstiftningsåtgärder som begränsar registrerades rättigheter innehålla specifika bestämmelser åtminstone, när så är relevant. Som säkerhetsåtgärder som förutsätts i artikel 23.2 i dataskyddsförordningen tillämpas de säkerhetsåtgärder som anges i 34 § 2–4 mom. i dataskyddslagen. I bestämmelsen om begränsning fastställs ändamålet med behandlingen, den personuppgiftsansvarige och tillämpningsområdet för begränsningen. Grunderna för och innehållet i begränsningen delges den registrerade i samband med sådant tillhandahållande av information som förutsätts i artiklarna 13 och 14 i dataskyddsförordningen. 

1.2  Lagen om inkvarterings- och förplägnadsverksamhet

1 §.Tillämpningsområde och definitioner. Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 5 mom. stryks. Till momentet föreslås bli fogad en informativ hänvisning till dataskyddsförordningen och dataskyddslagen. 

7 §.Resanderegister. Det föreslås att bestämmelsen i 2 mom. i paragrafen, där det föreskrivs att en utövare av inkvarteringsverksamhet får använda uppgifter om resande och resanderegister för kundservice och direktmarknadsföring, om den resande inte utnyttjat sin förbudsrätt enligt 30 § i personuppgiftslagen, ändras så att hänvisningen till 30 § i personuppgiftslagen stryks. Det föreslås att till momentet för tydlighetens skull fogas en hänvisning till den registrerades rätt att invända mot behandling av personuppgifter. Bestämmelsen kan anses stämma överens med handlingsutrymmet enligt artikel 6 i dataskyddsförordningen. 

När behandlingen av personuppgifter för kundservice grundar sig på den personuppgiftsansvariges berättigade intressen, har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne, inbegripet profilering. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. 

I artikel 21.2 i dataskyddsförordningen föreskrivs att om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring. I artikel 21.3 anges att om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål. 

I artikel 21.4 anges att senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information. 

8 §.Utlämnande av uppgifter om resande till polisen samt förvaring och utplåning av resandeanmälningar och uppgifter om resande. Enligt paragrafens 3 mom. ska utövaren av inkvarteringsverksamhet förvara resandeanmälningarna och uppgifterna om resande i ett års tid från den dag då resandeanmälningarna undertecknades. Efter det ska de förstöras. I resanderegistret ska uppgifterna om resande förvaras i ett års tid från det att de infördes. Efter det ska de utplånas. I fråga om utplåning av uppgifter som används för kundservice och direktmarknadsföring tillämpas dock 29 § i personuppgiftslagen. I den nämnda paragrafen föreskrivs om rättelse av uppgift så att den registeransvarige utan obefogat dröjsmål på eget initiativ eller på yrkande av den registrerade ska rätta, utplåna eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad. 

Den bestämmelse där det föreskrivs att i fråga om utplåning av uppgifter som används för kundservice och direktmarknadsföring tillämpas dock 29 § i personuppgiftslagen fogades till lagen i samband med riksdagsbehandlingen (EkUB 1/2006 rd). Eftersom det för dem som bedriver inkvarteringsverksamhet kan vara viktigt att föra ett kundregister, kompletterade ekonomiutskottet bestämmelsen i 3 mom. så att det på utplåning av uppgifter som används för kundservice och direktmarknadsföring inte tillämpas en tidsfrist på ett år, utan på utplåning av sådana uppgifter tillämpas 29 § i personuppgiftslagen. 

Till följd av att personuppgiftslagen upphävs, ändras hänvisningen till personuppgiftslagen i den sista meningen i 3 mom. till en hänvisning till dataskyddsförordningen. Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). I artikel 25.2 i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Bestämmelser om den registrerades rätt till radering finns i artikel 17 i dataskyddsförordningen. 

13 §.Straffbestämmelser. Hänvisningen till personregisterbrott i 3 mom. i paragrafen ändras till en hänvisning till dataskyddsbrott, på motsvarande sätt som i den föreslagna ändringen av strafflagen och hänvisningen till personregisterförseelse enligt personuppgiftslagen föreslås bli struken. 

1.3  Lagen om leverantörer av kombinerade resetjänster

16 §.Utlämnande av uppgifter ur registret. Paragrafens hänvisning till 13 § i personuppgiftslagen om behandling av personuppgifter föreslås bli ändrad till en hänvisning till 29 § i dataskyddslagen med samma innehåll. 

1.4  Lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor

130 §. Register. De informativa hänvisningarna till personuppgiftslagen och offentlighetslagen i paragrafens 4 mom. föreslås bli strukna. I artikel 5.1 c och d i dataskyddsförordningen föreskrivs om kraven på uppgiftsminimering och korrekthet och i artikel 25.2 om den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Bestämmelsen i den sista meningen i momentet, att uppgifterna i registret ska kontrolleras och onödiga uppgifter utplånas i samband med kontrollen, är således till den del den gäller behandling av personuppgifter överlappande med direkt tillämpliga bestämmelser i dataskyddsförordningen. För att undanröja överlappningen, föreslås det att bestämmelsen ändras så att den gäller andra uppgifter än personuppgifter. Dessutom föreslås att det till momentet för tydlighetens skull fogas en informativ bestämmelse där det anges att det föreskrivs särskilt om personuppgiftsansvariges skyldigheter vid behandlingen av personuppgifter. 

Innehållet i paragrafen motsvarar i övrigt den gällande lagen. 

1.5  Lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven

11 §.Register. Paragrafens 2 mom., som innehåller informativa hänvisningar till personuppgiftslagen och offentlighetslagen föreslås bli upphävt. 

1.6  Lagen om mätinstrument

53 §. Register. Paragrafens 2 mom., som innehåller informativa hänvisningar till personuppgiftslagen och offentlighetslagen föreslås bli upphävt. 

1.7  Revisionslagen

4 kap. Övriga bestämmelser om revisorer

9 §.Klientregister. Enligt 9 § 1 mom. ska revisorer föra klientregister. Enligt 2 mom. i paragrafen om revisors klientregister kan en revisor lägga ut uppdraget att föra klientregister på en annan revisor. Ansvaret för att klientregistret är korrekt bärs dock alltid av klientens revisor. Momentet föreslås bli upphävt. Den gällande bestämmelsen är otydlig i fråga om räckvidden för den personuppgiftsansvariges ansvar i enlighet med dataskyddsförordningen. Det är inte möjligt att lägga ut den personuppgiftsansvariges ansvar med stöd av dataskyddsförordningen. 

Enligt förarbetena till den gällande paragrafen (RP 70/2016 rd) kan möjligheten att lägga ut klientregistret vara befogad exempelvis om en revisor som arbetar i en revisionssammanslutning vid sidan av revisionssammanslutningens uppdrag utför även andra revisioner, för vilka revisorn personligen har valts till revisor. Enligt förarbetena är det inte befogat att en revisor ska förutsättas investera i ett klientregister, om saken kan skötas effektivt genom att registerföringen läggs ut på en revisionssammanslutning. Trots att momentet upphävs, kan revisorer fortfarande lägga ut uppdraget att föra register. Det är inte ändamålsenligt att på ett detaljerat sätt föreskriva om olika situationer i lag, utan situationerna ska i fråga om ansvar vid behandlingen av personuppgifter bedömas med stöd av dataskyddsförordningen. På förande av register tillämpas dataskyddsförordningens direkt tillämpliga bestämmelser, inbegripet bestämmelserna om den personuppgiftsansvarige, den personuppgiftsansvariges ansvar, förandet av gemensamt register och personuppgiftsbiträdet. 

Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. 

I dataskyddsförordningen möjliggörs också ett för flera organ gemensamt register. I artikel 26 i dataskyddsförordningen föreskrivs att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang. 

Det är också direkt med stöd av dataskyddsförordningen möjligt att lägga ut uppgifter som hänför sig till behandling av personuppgifter till ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning. I sådana situationer ska artikel 28 i dataskyddsförordningen iakttas. 

13 §.Anmälan om misstankar. I 1 mom. i paragrafen föreskrivs att en revisor ska tillhandahålla sina anställda ett internt förfarande som säkerställer att de anonymt kan anmäla sina misstankar om brott mot bestämmelserna om revision. 

Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 2 mom. stryks. 

I gällande 4 mom. i paragrafen finns bestämmelser om den registrerades rätt att granska uppgifter i fråga om förfarande för anmälan om misstänkta förseelser. I bestämmelsen anges att, utöver vad som föreskrivs i personuppgiftslagen, har den som är föremål för en anmälan enligt 1 mom. inte rätt att granska de uppgifter som avses i 1 och 2 mom., om utlämnande av uppgifterna till honom eller henne kan störa utredningen av misstänkta förseelser. I personuppgiftslagen föreskrivs om rättigheterna för den som är föremål för en anmälan. 

I 34 § i dataskyddslagen föreskrivs om de förutsättningar under vilka den registrerades rätt att få tillgång till uppgifter som samlats in om honom eller henne kan begränsas. Bestämmelser om motsvarande begränsningar av den registrerades rätt att granska uppgifter finns i 27 § i personuppgiftslagen. 

Enligt artikel 23 i dataskyddsförordningen kan medlemsstaterna genom lagstiftningsåtgärder begränsa bland annat den registrerades rätt enligt artikel 15 att bekanta sig med de uppgifter som samlats in om honom eller henne, om det är nödvändigt och proportionellt för att säkerställa de omständigheter som nämns i 1 punkten. Begränsningen enligt den gällande lagen kan behållas med stöd av det handlingsutrymme som ges i artikel 23.1 g i dataskyddsförordningen. I artikel 23.2 i dataskyddsförordningen föreskrivs om de saker som det enligt behov ska föreskrivas om vid begränsning av den registrerades rättigheter. 

Ordalydelsen i den första meningen i paragrafens 4 mom. föreslås bli ändrad så att den motsvarar dataskyddsförordningen och dataskyddslagen. Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen har den som är föremål för en anmälan inte den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen i fråga om sådana om honom eller henne insamlade uppgifter som avses i 1 och 2 mom., om utlämnandet av uppgifterna till den registrerade kan störa utredningen av misstänkta förseelser. När den registrerades rätt begränsas ska 35 § 2—4 mom. i dataskyddslagen iakttas, vilket motsvarar artikel 23.2 i dataskyddsförordningen. 

Den sista meningen i 4 mom. i paragrafen föreslås bli struken. Bestämmelser om den registrerades rättigheter finns i dataskyddsförordningen. 

Ändringarna är huvudsakligen av teknisk natur och avsikten är inte att ändra rättsläget, med undantag för hänvisningen till säkerhetsåtgärder enligt dataskyddslagen när den registrerades rätt begränsas, som det i nuläget inte föreskrivs om. 

6 kap. Godkännande och registrering

9 §.Revisorsregistret. Paragrafens 6 mom. föreslås bli ändrat så att där, i stället för närmare bestämmelser om registerföringen, får utfärdas närmare bestämmelser om registeranmälningar och registeranteckningar genom förordning av statsrådet. Ordalydelsen i bemyndigandet att utfärda förordning är i fråga om bestämmelserna om förande av register inte förenlig med det nationella handlingsutrymme som ingår i dataskyddsförordningen. Ändringen är av teknisk natur. Genom övergångsbestämmelse ska det föreskrivas att statsrådets förordning om revision (1377/2015), som delvis utfärdats med stöd av lagrummet, förblir i kraft även till den del som den utfärdats med stöd av den punkt som ska ändras. 

8 kap. Tillsynsbefogenheter 

6 §. Erhållande av uppgifter av andra myndigheter. I syfte att bevara nuläget föreslås det att bestämmelsen om känsliga uppgifter i den sista meningen i paragrafen ändras så att den gäller personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 

9 kap. Utlämnande av uppgifter samt myndighetssamarbete

1 §. Rätt att lämna ut uppgifter. I syfte att bevara nuläget föreslås det att bestämmelsen om känsliga uppgifter i paragrafens 2 mom. ändras så att den gäller personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 

3 §. Internationellt tillsynssamarbete. Hänvisningen till personuppgiftslagen i 2 mom. 4 punkten i paragrafen föreslås bli ersatt med en hänvisning till dataskyddsförordningen. 

1.8  Lagen om kundinformationssystemet för företagstjänster

2 §.Lagens tillämpningsområde. Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 2 mom. stryks. Till momentet föreslås bli fogad en informativ hänvisning till dataskyddsförordningen och dataskyddslagen. 

6 §.Teknisk administratör för kundinformationssystemet samt personuppgiftsansvariga. I den gällande paragrafen finns bestämmelser om en teknisk administratör för kundinformationssystemet samt om registeransvariga och deras ansvarsområden. Arbets- och näringsministeriet har fastställts som teknisk administratör. Det föreslås att paragrafen preciseras så att där framgår arbets- och näringsministeriets ställning som personuppgiftsbiträde. En teknisk administratör har inte definierats i dataskyddsförordningen. De uppgifter som i paragrafens 1 mom. föreskrivs för den tekniska administratören är enligt dataskyddsförordningen delvis uppgifter som ankommer på den personuppgiftsansvarige. Således framgår av bestämmelsens ordalydelse inte tydligt den tekniska administratörens ställning som ett i dataskyddsförordningen avsett personuppgiftsbiträde. 

Det är inte motiverat att ange arbets- och näringsministeriet som personuppgiftsansvarig, eftersom ministeriet endast ansvarar för en liten del av den personuppgiftsansvariges uppgifter. I dataombudsmannens anvisning om lagstiftningsutlåtanden (16.10.2017, s. 9, på finska) poängteras det att den personuppgiftsansvariges ansvar ska utgöra en del av det operativa ansvaret. När det föreskrivs om den personuppgiftsansvarige i lag, ska man vara särskilt uppmärksam på definieringen och försäkra sig om att ansvaret avser rätt aktör. Enligt anvisningen är risken med definieringen av den personuppgiftsansvarige att denne endast har definierats formellt, utan att aktörens faktiska roll vid behandlingen av personuppgifter på praktisk nivå har identifierats. Till personuppgiftsansvarig ska enligt anvisningen utses en aktör som de facto använder den personuppgiftsansvariges bestämmanderätt och som kan fullgöra den personuppgiftsansvariges skyldigheter. 

Ordalydelsen i paragrafens 2 mom. föreslås bli preciserad så att den personuppgiftsansvariges ansvar samt rätt att lämna ut uppgifter gäller sådana uppgifter som den personuppgiftsansvarige registrerat. 

Den personuppgiftsansvariges ansvar bestäms i enlighet med dataskyddsförordningen. 

Ändringen är terminologisk och har ingen innehållsmässig verkan på ansvarsfördelningen enligt den gällande lagen mellan den tekniska administratören och de aktörer som avses i 4 § 1 mom. 

Innehållet i paragrafen motsvarar i övrigt den gällande lagen. 

9 §.Avförande av uppgifter. Enligt gällande 2 mom. har den tekniska administratören rätt att avföra kunduppgifter, om de är föråldrade eller om avförandet är nödvändigt för att säkerställa den tekniska funktionen hos kundinformationssystemet. Momentet föreslås bli upphävt. Momentet är delvis överlappande med kravet på korrekthet enligt artikel 5.1 d i dataskyddsförordningen, där det förutsätts att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Raderingen av uppgifter ska höra till den personuppgiftsansvarige. 

Ikraftträdande

Lagarna avses träda i kraft så snart som möjligt.  

Genom den övergångsbestämmelse som ingår i lagförslag 7 förtydligas att statsrådets förordning om revision förblir i kraft även till den del som den utfärdats med stöd av 6 kap. 9 § 6 mom., som föreslås bli ändrat. Preciseringen av bestämmelsen om bemyndigande är endast avsedd som en teknisk ändring, så ändringen påverkar inte giltigheten för bestämmelserna i förordningen, även om dessa bestämmelser delvis utfärdats med stöd av bestämmelsen om bemyndigande, som föreslås bli ändrad. 

Förhållande till grundlagen samt lagstiftningsordning

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt lagrummet utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. 

Grundlagsutskottet har i samband med dataskyddsförordningen ansett att det är angeläget att inom statsrådet inventera frågor som anknyter till behovet av speciallagstiftning och till sektorn över lag (GrUU 38/2016 rd). 

Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 14/2018 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet.  

Med anledning av den förestående tillämpningen av dataskyddsförordningen har grundlagsutskottet (GrUU 14/2018 rd) sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen.  

I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen (GrUU 14/2018 rd). Enligt utskottets uppfattning gör de detaljerade bestämmelserna i förordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger.  

Utskottet (GrUU 14/2018 rd) ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter.  

I artikel 23 i dataskyddsförordningen ges medlemsstater nationellt handlingsutrymme vad gäller tillämpningsområdet för de registrerades rättigheter. I medlemsstaternas lagstiftning kan man genom lagstiftningsåtgärder begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22, 34 och 5, om man i begränsningen iakttar de grundläggande fri- och rättigheterna till centrala delar och begränsningen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle så att det rättsgoda som avses i artikel 23 kan garanteras. En av grunderna för begränsning är enligt artikel 23.1 e att en medlemsstats viktiga mål av generellt allmänt intresse kan säkerställas. Ett sådant mål är bland annat en medlemsstats viktiga ekonomiska eller finansiella intresse. I artikel 23.1 h nämns som en möjlig grund för begränsning en tillsyns-, inspektions eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a—e och g. 

I denna proposition föreslås en bestämmelse som begränsar den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till personuppgifter som Konkurrens- och konsumentverket samlat in om honom eller henne i samband med tillsynsuppgifter. Begränsningen ska betraktas som en nödvändig och proportionell åtgärd för att säkerställa skötseln av verkets tillsynsuppgifter. En noggrant avgränsad begränsning på lagnivå inskränker inte den registrerades rätt mer än nödvändigt. Dessutom ska nödvändiga säkerhetsåtgärder för att trygga den registrerades rättigheter tillämpas. Begränsningen kan således anses vara förenlig med proportionalitetsprincipen. Begränsningen ingriper inte i kärnområdet i skyddet för personuppgifter om den registrerade. Det föreslås att säkerhetsåtgärderna föreskrivs genom att det hänvisas till de säkerhetsåtgärder som ingår i bestämmelsen om begränsning av den registrerades rättigheter i dataskyddslagen. 

I denna proposition föreslås det att bemyndigandet att utfärda förordning i 6 kap. 9 § 6 mom. i revisionslagen preciseras. Ändringen av bemyndigandet är av teknisk karaktär. Med stöd av bemyndigandet får det utfärdas närmare bestämmelser om registeranmälningar och registeranteckningar samt om andra uppgifter än personuppgifter som ska antecknas i registret. Bestämmelserna gäller inte individernas rättigheter eller skyldigheter på ett sådant sätt att de behöver utfärdas genom lag. Bemyndigandet är mer noggrant och exakt avgränsat än bemyndigandet i den gällande lagen. Bemyndigandet att utfärda förordning anses uppfylla kraven enligt 80 § i grundlagen. 

I övrigt är ändringarna huvudsakligen preciseringar av gällande lagstiftning och tekniska ändringar av hänvisningsbestämmelser och har således inte någon särskild betydelse med tanke på skyddet för personuppgifter. 

Med stöd av vad som anförts ovan kan lagarna behandlas i vanlig lagstiftningsordning. 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om ändring av lagen om Konkurrens- och konsumentverket 

I enlighet med riksdagens beslut 
fogas till lagen om Konkurrens- och konsumentverket (661/2012) en ny 7 a § som följer: 
1 kap. 
Bestämmelser om Konkurrens- och konsumentverket 
7 a §  Begränsning av den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne 
Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen ( / ) har den registrerade inte i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd rätt till tillgång till sådana uppgifter i Konkurrens- och konsumentverkets register som samlats in om honom eller henne och som verket behandlar vid skötseln av tillsynsuppgifter enligt konkurrenslagen, upphandlingslagen eller försörjningslagen, om det med stöd av 24 § 1 mom. 15 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999), för att säkerställa tillsynen eller uppnåendet av syftet med tillsynen, är nödvändigt att uppgifterna inte lämnas ut. 
När den registrerades rätt begränsas enligt 1 mom. ska 34 § 2—4 mom. i dataskyddslagen iakttas. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av lagen om inkvarterings- och förplägnadsverksamhet 

I enlighet med riksdagens beslut 
ändras i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) 1 § 5 mom., 7 § 2 mom., 8 § 3 mom. och 13 § 3 mom., 
av dem 13 § 3 mom. sådant det lyder i lag 1103/2017, som följer: 
1 § Tillämpningsområde och definitioner 
Kläm 
I fråga om hemlighållande och utlämnande av personuppgifter tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999), om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
Kläm 
7 § Resanderegister 
Kläm 
En utövare av inkvarteringsverksamhet får använda uppgifter om resande och resanderegister för kundservice och direktmarknadsföring. Bestämmelser om den registrerades rätt att invända mot behandling av personuppgifter finns i dataskyddsförordningen. 
8 § Utlämnande av uppgifter om resande till polisen samt förvaring och utplåning av resandeanmälningar och uppgifter om resande 
Kläm 
Utövaren av inkvarteringsverksamhet ska förvara resandeanmälningarna och uppgifterna om resande i ett års tid från den dag då resandeanmälningarna undertecknades. Efter det ska de förstöras. I resanderegistret ska uppgifterna om resande förvaras i ett års tid från det att de infördes. Efter det ska de utplånas. I fråga om radering av sådana uppgifter i registret som används för kundservice och direktmarknadsföring tillämpas dock dataskyddsförordningen. 
13 § Straffbestämmelser 
Kläm 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

3. Lag om ändring av 16 § i lagen om leverantörer av kombinerade resetjänster 

I enlighet med riksdagens beslut 
ändras i lagen om leverantörer av kombinerade resetjänster (921/2017) 16 § som följer: 
16 § Utlämnande av uppgifter ur registret 
Trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får personuppgifter lämnas ut ur registret i form av en utskrift eller göras allmänt tillgängliga via ett elektroniskt datanät eller annars lämnas ut i elektronisk form. Uppgift om en personbeteckning får dock lämnas ut enligt denna lag endast om uppgiften lämnas ut i form av en utskrift eller en teknisk upptagning och om den som får uppgiften har rätt att behandla personbeteckningen med stöd av 29 § i dataskyddslagen ( / ) eller med stöd av någon annan lag. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

4. Lag om ändring av 130 § i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor 

I enlighet med riksdagens beslut 
ändras i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005) 130 § 4 mom., sådant det lyder i lag 358/2015, som följer: 
130 § Register 
Kläm 
På utlämnande av uppgifter tillämpas vad som föreskrivs om detta någon annanstans i lag. De registeruppgifter som inte är personuppgifter ska kontrolleras och onödiga uppgifter utplånas i samband med kontrollen. I fråga om den personuppgiftsansvariges skyldigheter vid behandlingen av personuppgifter föreskrivs särskilt. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

5. Lag om upphävande av 11 § 2 mom. i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven 

I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 11 § 2 mom. i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). 
2 § 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

6. Lag om upphävande av 53 § 2 mom. i lagen om mätinstrument 

I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 53 § 2 mom. i lagen om mätinstrument (707/2011). 
2 § 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

7. Lag om ändring av revisionslagen 

I enlighet med riksdagens beslut 
upphävs i revisionslagen (1141/2015) 4 kap. 9 § 2 mom., sådant det lyder i lag 622/2016, samt 
ändras 4 kap. 13 § 2 och 4 mom., 6 kap. 9 § 6 mom., 8 kap. 6 § och 9 kap. 1 § 2 mom. och 3 § 2 mom. 4 punkten, 
av dem 4 kap. 13 § 2 och 4 mom., 6 kap. 9 § 6 mom. och 9 kap. 3 § 2 mom. 4 punkten sådana de lyder i lag 622/2016, som följer: 
4 kap. 
Övriga bestämmelser om revisorer 
13 § Anmälan om misstankar 
Kläm 
Anmälningsförfarandet ska omfatta åtgärder som skyddar den som gjort en anmälan och tryggar skyddet för personuppgifter för den som gjort en anmälan och den som är föremål för anmälan. Anmälningsförfarandet ska även innehålla anvisningar för skyddande av anmälarens identitet, om det inte föreskrivs annat i lag för att utreda en förseelse eller för att tillgodose myndigheternas rätt till uppgifter. 
Kläm 
Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen ( / ), har den som är föremål för en anmälan enligt 1 mom. inte den registrerades rätt till tillgång enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, i fråga om sådana om den registrerade insamlade uppgifter som avses i 1 och 2 mom., om utlämnande av uppgifterna till honom eller henne kan störa utredningen av misstänkta förseelser. När den registrerades rätt begränsas ska 34 § 2—4 mom. i dataskyddslagen iakttas. 
Kläm 
6 kap. 
Godkännande och registrering 
9 § Revisorsregistret 
Kläm 
Närmare bestämmelser om registeranmälningar och registeranteckningar samt om andra uppgifter än personuppgifter som ska antecknas i registret får utfärdas genom förordning av statsrådet. 
8 kap. 
Tillsynsbefogenheter 
6 § Erhållande av uppgifter av andra myndigheter 
Revisionstillsynen har trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att av myndigheter och andra som sköter offentliga uppdrag, på begäran få de uppgifter som är nödvändiga för tillsynen enligt denna lag. Uppgifterna får hämtas genom en teknisk anslutning utan samtycke av den vars intressen sekretessen är avsedd att skydda. Vad som föreskrivs ovan gäller dock inte personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 
9 kap. 
Utlämnande av uppgifter samt myndighetssamarbete 
1 §  Rätt att lämna ut uppgifter 
Kläm 
Vad som föreskrivs 1 mom. gäller dock inte personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 
3 § Internationellt tillsynssamarbete 
Kläm 
Vad som föreskrivs i 1 mom. gäller också när handlingar som behövs med tanke på tillsynen överlämnas till tillsynsorganet i en annan stat än en EES-stat som med stöd av lag sköter motsvarande uppgifter i sin hemstat, om 
Kläm 
4) dataskyddsförordningen iakttas vid informationsutbyte. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
Statsrådets förordning om revision (1377/2015) förblir i kraft även till den del förordningen utfärdats med stöd av den bestämmelse i 6 kap. 9 § 6 mom. som har ändrats genom denna lag. 
 Slut på lagförslaget 

8. Lag om ändring av lagen om kundinformationssystemet för företagstjänster  

I enlighet med riksdagens beslut  
upphävs i lagen om kundinformationssystemet för företagstjänster (293/2017) 9 § 2 mom. och 
ändras 2 § 2 mom. och 6 § som följer: 
2 § Lagens tillämpningsområde 
Kläm 
Om inte något annat föreskrivs i lag tillämpas på kundinformationssystemet för företagstjänster och på offentligheten för de uppgifter som registrerats i systemet lagen om offentlighet i myndigheternas verksamhet (621/1999) och 5 och 6 § i lagen om statens specialfinansieringsbolag (443/1998). Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i dataskyddslagen ( / ). 
Kläm 
6 § Teknisk administratör för kundinformationssystemet samt personuppgiftsansvariga 
I egenskap av teknisk administratör och personuppgiftsbiträde svarar arbets- och näringsministeriet för kundinformationssystemets allmänna funktion och för den tekniska anslutningen för registrering, samkörning, utlämnande och annan behandling av uppgifterna. Den tekniska administratören svarar för datasystemets användbarhet samt för integriteten, skyddet och bevarandet av de uppgifter som ingår i datasystemet. Den tekniska administratören har inte rätt att bestämma över de uppgifter som registrerats i datasystemet eller att lämna ut dem, om inte något annat föreskrivs i lag. 
De i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet fungerar som personuppgiftsansvariga i fråga om de uppgifter som de själva registrerat i systemet samt beslutar om utlämnande via kundinformationssystemet av de uppgifter de själva registrerat. Den aktör som registrerat uppgifter i kundinformationssystemet svarar för att uppgifterna är korrekta och uppdaterade. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 13 juli 2018 
Statsminister Juha Sipilä 
Arbetsminister Jari Lindström