1
Lagförslag
1.1
Lagen om Konkurrens- och konsumentverket
1 kap. Bestämmelser om Konkurrens- och konsumentverket
7 a §.Begränsning av den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Det föreslås att till lagen fogas en ny 7 a § där det föreskrivs om undantag från den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen har den registrerade inte rätt till tillgång till sådana uppgifter i Konkurrens- och konsumentverkets register som samlats in om honom eller henne och som verket behandlar vid skötseln av tillsynsuppgifter enligt konkurrenslagen, upphandlingslagen eller försörjningslagen, om det med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen, för att säkerställa genomförandet av tillsynen eller uppnåendet av dess syfte, är nödvändigt att uppgifterna inte lämnas ut.
Ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket behandlar personuppgifter vid skötseln av sina lagstadgade tillsynsuppgifter. Personuppgifter behandlas i samband med såväl konkurrensövervakning, tillsyn över offentlig upphandling, övervakning av företagsförvärv som neutralitetskontroll. Enligt artikel 15 i dataskyddsförordningen behöver den registrerades rätt begränsas för att säkerställa de allmänna förutsättningarna för tillsynen och att enskilda tillsynsåtgärder lyckas.
I 34 § 1 mom. i den föreslagna dataskyddslagen finns bestämmelser om de situationer där den registrerade inte har sådan rätt som avses i artikel 15 i dataskyddsförordningen att få tillgång till uppgifter som samlats in om honom eller henne. I 2—4 mom. föreskrivs om särskilda åtgärder som förutsätts i artikel 23.2 i dataskyddsförordningen när den registrerades rättigheter begränsas i situationer som avses i 1 punkten. Enligt 34 § 1 mom. 2 punkten i dataskyddslagen har den registrerade inte sådan rätt som avses i artikel 15 i dataskyddsförordningen att bekanta sig med sina uppgifter, om informationen kan medföra allvarlig fara för någon annans rättigheter. Punkten lämpar sig för tillsynsuppgifter som ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket sköter bland annat i en situation där begränsningen av den registrerades rätt baserar sig på behovet av att säkerställa angivarens anonymitet.
Vidare enligt 34 § 1 mom. 3 punkten i den föreslagna dataskyddslagen har den registrerade inte den rätt som avses i artikel 15 i dataskyddsförordningen att bekanta sig med sina uppgifter, om personuppgifterna i registrets används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller EU. Konkurrens- och konsumentverkets lagstadgade tillsynsuppgifter kan inte helt entydigt tolkas vara omfattade av 34 § 1 mom. 3 punkten i dataskyddslagen. Därför är det nödvändigt att använda det nationella handlingsutrymmet i större omfattning. Begränsningen av den registrerades rätt till enbart det som föreskrivs i 34 § 1 mom. 2 punkten i dataskyddslagen är inte tillräcklig för att säkerställa tillsynen eller uppnåendet av dess fullständiga syfte.
För att säkerställa effektiviteten i tillsynsuppgifterna inom ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket är det nödvändigt att det i lagstiftningen entydigt har avgjorts hur den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen förhåller sig till sekretessbelagda personuppgifter enligt 24 § 1 mom. 15 punkten i offentlighetslagen. Enligt ovannämnda punkt i offentlighetslagen är sådana handlingar sekretessbelagda som innehåller uppgifter om inspektion som ankommer på en myndighet eller någon annan omständighet som har samband med en övervakningsåtgärd, om utlämnandet av uppgifter ur en sådan handling skulle äventyra övervakningen eller dess syfte eller utan vägande skäl skulle vara ägnat att åsamka den som har del i saken skada.
Skötseln av de lagstadgade tillsynsuppgifterna för ansvarsområdet för konkurrensfrågor vid verket förutsätter en mer omfattande begränsning av den registrerades rätt än det som föreskrivs i 34 § i dataskyddslagen. Den registrerades rätt enligt artikel 15 i dataskyddsförordningen äventyrar Konkurrens- och konsumentverkets lagstadgade tillsyn eller uppnåendet av dess syfte, om den registrerades rätt gäller personuppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 15 punkten i offentlighetslagen. Som exempel kan nämnas beredningen av överraskningsinspektioner. Om en sådan arbetstagare hos den näringsidkare som är föremål för utredningen som har en central roll i verksamhet som är förbjuden enligt konkurrenslagen i detta skede kan utöva sin rätt enligt artikel 15 i dataskyddsförordningen, omintetgörs den utredningsro som fastställs i 24 § 1 mom. 15 punkten i offentlighetslagen och i vedertagen rättspraxis och möjligheten att lyckas med utredningen äventyras på ett ohållbart sätt. Möjligheten att utöva rätten i detta skede skulle avslöja verkets intresse för ett förbjudet förfarande för dem som är föremål för utredningen och medföra att verkets fortsatta åtgärder inte har verkan. Genomförandet av tillsynen och uppnåendet av dess syfte förutsätter att den registrerades rätt inte äventyrar sekretessgrunderna för utredningsro, utredningstekniska skäl och anonymitet som tillförsäkras i 24 § 1 mom. 15 punkten i offentlighetslagen.
24 § 1 mom. 15 punkten i offentlighetslagen tillförsäkrar tillsyns- och kontrollverksamhetens effektivitet. Bestämmelsen syftar till att både trygga de generella förutsättningarna för utövande av tillsyn och även möjliggöra att enskilda tillsynsåtgärder lyckas. Den föreslagna begränsningen av den registrerades rätt motsvarar tillämpningsområdet för 24 § 1 mom. 15 punkten i offentlighetslagen. Begränsningen är inte bestående, utan upphör att gälla, när det inte längre finns en sekretessgrund med stöd av ovannämnda punkt i offentlighetslagen. För att säkerställa bestämmelsens proportionalitet föreslås att det till bestämmelsen fogas en hänvisning till 24 § 1 mom. 15 punkten i offentlighetslagen.
I mest typiska fall riktar sig begränsningen till personuppgifter om företrädare för eller arbetstagare hos de aktörer som är föremål för tillsynsåtgärderna, såsom namn, kontaktuppgifter och utbildning samt uppgifter om arbetsgivare, arbetsuppgifter, arbetshistoria och ställning. Avgränsningen omfattar både rätten att få bekräftelse samt tillgång till personuppgifter som avses i artikel 15 i dataskyddsförordningen.
Den föreslagna begränsningen grundar sig på artikel 23.1 e och h i dataskyddsförordningen. Tillämpningsområdet för den registrerades rätt kan med stöd av artikel 23.1 e och h begränsas, för att viktiga mål som anknyter till medlemsstatens generella allmänna intresse kan säkerställas. I de lagstadgade tillsynsuppgifterna för ansvarsområdet för konkurrensfrågor vid Konkurrens- och konsumentverket och i säkerställandet av ett effektivt genomförande av EU:s konkurrensregler är det fråga om ett viktigt mål för att säkerställa ett sådant generellt allmänt intresse som avses i artikel 23 i dataskyddsförordningen. Om det inte fanns möjlighet att begränsa den registrerades rätt i dessa situationer, skulle Konkurrens- och konsumentverkets verksamhetsförutsättningar och möjligheter att fullt ut och effektivt sköta sina lagstadgade uppgifter äventyras på ett väsentligt sätt.
Enligt artikel 23.2 i dataskyddsförordningen ska lagstiftningsåtgärder som begränsar registrerades rättigheter innehålla specifika bestämmelser åtminstone, när så är relevant. Som säkerhetsåtgärder som förutsätts i artikel 23.2 i dataskyddsförordningen tillämpas de säkerhetsåtgärder som anges i 34 § 2–4 mom. i dataskyddslagen. I bestämmelsen om begränsning fastställs ändamålet med behandlingen, den personuppgiftsansvarige och tillämpningsområdet för begränsningen. Grunderna för och innehållet i begränsningen delges den registrerade i samband med sådant tillhandahållande av information som förutsätts i artiklarna 13 och 14 i dataskyddsförordningen.
1.2
Lagen om inkvarterings- och förplägnadsverksamhet
1 §.Tillämpningsområde och definitioner. Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 5 mom. stryks. Till momentet föreslås bli fogad en informativ hänvisning till dataskyddsförordningen och dataskyddslagen.
7 §.Resanderegister. Det föreslås att bestämmelsen i 2 mom. i paragrafen, där det föreskrivs att en utövare av inkvarteringsverksamhet får använda uppgifter om resande och resanderegister för kundservice och direktmarknadsföring, om den resande inte utnyttjat sin förbudsrätt enligt 30 § i personuppgiftslagen, ändras så att hänvisningen till 30 § i personuppgiftslagen stryks. Det föreslås att till momentet för tydlighetens skull fogas en hänvisning till den registrerades rätt att invända mot behandling av personuppgifter. Bestämmelsen kan anses stämma överens med handlingsutrymmet enligt artikel 6 i dataskyddsförordningen.
När behandlingen av personuppgifter för kundservice grundar sig på den personuppgiftsansvariges berättigade intressen, har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne, inbegripet profilering. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
I artikel 21.2 i dataskyddsförordningen föreskrivs att om personuppgifterna behandlas för direkt marknadsföring ska den registrerade ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring. I artikel 21.3 anges att om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.
I artikel 21.4 anges att senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkterna 1 och 2 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.
8 §.Utlämnande av uppgifter om resande till polisen samt förvaring och utplåning av resandeanmälningar och uppgifter om resande. Enligt paragrafens 3 mom. ska utövaren av inkvarteringsverksamhet förvara resandeanmälningarna och uppgifterna om resande i ett års tid från den dag då resandeanmälningarna undertecknades. Efter det ska de förstöras. I resanderegistret ska uppgifterna om resande förvaras i ett års tid från det att de infördes. Efter det ska de utplånas. I fråga om utplåning av uppgifter som används för kundservice och direktmarknadsföring tillämpas dock 29 § i personuppgiftslagen. I den nämnda paragrafen föreskrivs om rättelse av uppgift så att den registeransvarige utan obefogat dröjsmål på eget initiativ eller på yrkande av den registrerade ska rätta, utplåna eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad.
Den bestämmelse där det föreskrivs att i fråga om utplåning av uppgifter som används för kundservice och direktmarknadsföring tillämpas dock 29 § i personuppgiftslagen fogades till lagen i samband med riksdagsbehandlingen (EkUB 1/2006 rd). Eftersom det för dem som bedriver inkvarteringsverksamhet kan vara viktigt att föra ett kundregister, kompletterade ekonomiutskottet bestämmelsen i 3 mom. så att det på utplåning av uppgifter som används för kundservice och direktmarknadsföring inte tillämpas en tidsfrist på ett år, utan på utplåning av sådana uppgifter tillämpas 29 § i personuppgiftslagen.
Till följd av att personuppgiftslagen upphävs, ändras hänvisningen till personuppgiftslagen i den sista meningen i 3 mom. till en hänvisning till dataskyddsförordningen. Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). I artikel 25.2 i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Bestämmelser om den registrerades rätt till radering finns i artikel 17 i dataskyddsförordningen.
13 §.Straffbestämmelser. Hänvisningen till personregisterbrott i 3 mom. i paragrafen ändras till en hänvisning till dataskyddsbrott, på motsvarande sätt som i den föreslagna ändringen av strafflagen och hänvisningen till personregisterförseelse enligt personuppgiftslagen föreslås bli struken.
1.3
Lagen om leverantörer av kombinerade resetjänster
16 §.Utlämnande av uppgifter ur registret. Paragrafens hänvisning till 13 § i personuppgiftslagen om behandling av personuppgifter föreslås bli ändrad till en hänvisning till 29 § i dataskyddslagen med samma innehåll.
1.4
Lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor
130 §. Register. De informativa hänvisningarna till personuppgiftslagen och offentlighetslagen i paragrafens 4 mom. föreslås bli strukna. I artikel 5.1 c och d i dataskyddsförordningen föreskrivs om kraven på uppgiftsminimering och korrekthet och i artikel 25.2 om den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Bestämmelsen i den sista meningen i momentet, att uppgifterna i registret ska kontrolleras och onödiga uppgifter utplånas i samband med kontrollen, är således till den del den gäller behandling av personuppgifter överlappande med direkt tillämpliga bestämmelser i dataskyddsförordningen. För att undanröja överlappningen, föreslås det att bestämmelsen ändras så att den gäller andra uppgifter än personuppgifter. Dessutom föreslås att det till momentet för tydlighetens skull fogas en informativ bestämmelse där det anges att det föreskrivs särskilt om personuppgiftsansvariges skyldigheter vid behandlingen av personuppgifter.
Innehållet i paragrafen motsvarar i övrigt den gällande lagen.
1.5
Lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven
11 §.Register. Paragrafens 2 mom., som innehåller informativa hänvisningar till personuppgiftslagen och offentlighetslagen föreslås bli upphävt.
1.6
Lagen om mätinstrument
53 §. Register. Paragrafens 2 mom., som innehåller informativa hänvisningar till personuppgiftslagen och offentlighetslagen föreslås bli upphävt.
1.7
Revisionslagen
4 kap. Övriga bestämmelser om revisorer
9 §.Klientregister. Enligt 9 § 1 mom. ska revisorer föra klientregister. Enligt 2 mom. i paragrafen om revisors klientregister kan en revisor lägga ut uppdraget att föra klientregister på en annan revisor. Ansvaret för att klientregistret är korrekt bärs dock alltid av klientens revisor. Momentet föreslås bli upphävt. Den gällande bestämmelsen är otydlig i fråga om räckvidden för den personuppgiftsansvariges ansvar i enlighet med dataskyddsförordningen. Det är inte möjligt att lägga ut den personuppgiftsansvariges ansvar med stöd av dataskyddsförordningen.
Enligt förarbetena till den gällande paragrafen (RP 70/2016 rd) kan möjligheten att lägga ut klientregistret vara befogad exempelvis om en revisor som arbetar i en revisionssammanslutning vid sidan av revisionssammanslutningens uppdrag utför även andra revisioner, för vilka revisorn personligen har valts till revisor. Enligt förarbetena är det inte befogat att en revisor ska förutsättas investera i ett klientregister, om saken kan skötas effektivt genom att registerföringen läggs ut på en revisionssammanslutning. Trots att momentet upphävs, kan revisorer fortfarande lägga ut uppdraget att föra register. Det är inte ändamålsenligt att på ett detaljerat sätt föreskriva om olika situationer i lag, utan situationerna ska i fråga om ansvar vid behandlingen av personuppgifter bedömas med stöd av dataskyddsförordningen. På förande av register tillämpas dataskyddsförordningens direkt tillämpliga bestämmelser, inbegripet bestämmelserna om den personuppgiftsansvarige, den personuppgiftsansvariges ansvar, förandet av gemensamt register och personuppgiftsbiträdet.
Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
I dataskyddsförordningen möjliggörs också ett för flera organ gemensamt register. I artikel 26 i dataskyddsförordningen föreskrivs att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang.
Det är också direkt med stöd av dataskyddsförordningen möjligt att lägga ut uppgifter som hänför sig till behandling av personuppgifter till ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning. I sådana situationer ska artikel 28 i dataskyddsförordningen iakttas.
13 §.Anmälan om misstankar. I 1 mom. i paragrafen föreskrivs att en revisor ska tillhandahålla sina anställda ett internt förfarande som säkerställer att de anonymt kan anmäla sina misstankar om brott mot bestämmelserna om revision.
Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 2 mom. stryks.
I gällande 4 mom. i paragrafen finns bestämmelser om den registrerades rätt att granska uppgifter i fråga om förfarande för anmälan om misstänkta förseelser. I bestämmelsen anges att, utöver vad som föreskrivs i personuppgiftslagen, har den som är föremål för en anmälan enligt 1 mom. inte rätt att granska de uppgifter som avses i 1 och 2 mom., om utlämnande av uppgifterna till honom eller henne kan störa utredningen av misstänkta förseelser. I personuppgiftslagen föreskrivs om rättigheterna för den som är föremål för en anmälan.
I 34 § i dataskyddslagen föreskrivs om de förutsättningar under vilka den registrerades rätt att få tillgång till uppgifter som samlats in om honom eller henne kan begränsas. Bestämmelser om motsvarande begränsningar av den registrerades rätt att granska uppgifter finns i 27 § i personuppgiftslagen.
Enligt artikel 23 i dataskyddsförordningen kan medlemsstaterna genom lagstiftningsåtgärder begränsa bland annat den registrerades rätt enligt artikel 15 att bekanta sig med de uppgifter som samlats in om honom eller henne, om det är nödvändigt och proportionellt för att säkerställa de omständigheter som nämns i 1 punkten. Begränsningen enligt den gällande lagen kan behållas med stöd av det handlingsutrymme som ges i artikel 23.1 g i dataskyddsförordningen. I artikel 23.2 i dataskyddsförordningen föreskrivs om de saker som det enligt behov ska föreskrivas om vid begränsning av den registrerades rättigheter.
Ordalydelsen i den första meningen i paragrafens 4 mom. föreslås bli ändrad så att den motsvarar dataskyddsförordningen och dataskyddslagen. Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen har den som är föremål för en anmälan inte den registrerades rätt till tillgång enligt artikel 15 i dataskyddsförordningen i fråga om sådana om honom eller henne insamlade uppgifter som avses i 1 och 2 mom., om utlämnandet av uppgifterna till den registrerade kan störa utredningen av misstänkta förseelser. När den registrerades rätt begränsas ska 35 § 2—4 mom. i dataskyddslagen iakttas, vilket motsvarar artikel 23.2 i dataskyddsförordningen.
Den sista meningen i 4 mom. i paragrafen föreslås bli struken. Bestämmelser om den registrerades rättigheter finns i dataskyddsförordningen.
Ändringarna är huvudsakligen av teknisk natur och avsikten är inte att ändra rättsläget, med undantag för hänvisningen till säkerhetsåtgärder enligt dataskyddslagen när den registrerades rätt begränsas, som det i nuläget inte föreskrivs om.
6 kap. Godkännande och registrering
9 §.Revisorsregistret. Paragrafens 6 mom. föreslås bli ändrat så att där, i stället för närmare bestämmelser om registerföringen, får utfärdas närmare bestämmelser om registeranmälningar och registeranteckningar genom förordning av statsrådet. Ordalydelsen i bemyndigandet att utfärda förordning är i fråga om bestämmelserna om förande av register inte förenlig med det nationella handlingsutrymme som ingår i dataskyddsförordningen. Ändringen är av teknisk natur. Genom övergångsbestämmelse ska det föreskrivas att statsrådets förordning om revision (1377/2015), som delvis utfärdats med stöd av lagrummet, förblir i kraft även till den del som den utfärdats med stöd av den punkt som ska ändras.
8 kap. Tillsynsbefogenheter
6 §. Erhållande av uppgifter av andra myndigheter. I syfte att bevara nuläget föreslås det att bestämmelsen om känsliga uppgifter i den sista meningen i paragrafen ändras så att den gäller personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.
9 kap. Utlämnande av uppgifter samt myndighetssamarbete
1 §. Rätt att lämna ut uppgifter. I syfte att bevara nuläget föreslås det att bestämmelsen om känsliga uppgifter i paragrafens 2 mom. ändras så att den gäller personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.
3 §. Internationellt tillsynssamarbete. Hänvisningen till personuppgiftslagen i 2 mom. 4 punkten i paragrafen föreslås bli ersatt med en hänvisning till dataskyddsförordningen.
1.8
Lagen om kundinformationssystemet för företagstjänster
2 §.Lagens tillämpningsområde. Det föreslås att hänvisningen till personuppgiftslagen i paragrafens 2 mom. stryks. Till momentet föreslås bli fogad en informativ hänvisning till dataskyddsförordningen och dataskyddslagen.
6 §.Teknisk administratör för kundinformationssystemet samt personuppgiftsansvariga. I den gällande paragrafen finns bestämmelser om en teknisk administratör för kundinformationssystemet samt om registeransvariga och deras ansvarsområden. Arbets- och näringsministeriet har fastställts som teknisk administratör. Det föreslås att paragrafen preciseras så att där framgår arbets- och näringsministeriets ställning som personuppgiftsbiträde. En teknisk administratör har inte definierats i dataskyddsförordningen. De uppgifter som i paragrafens 1 mom. föreskrivs för den tekniska administratören är enligt dataskyddsförordningen delvis uppgifter som ankommer på den personuppgiftsansvarige. Således framgår av bestämmelsens ordalydelse inte tydligt den tekniska administratörens ställning som ett i dataskyddsförordningen avsett personuppgiftsbiträde.
Det är inte motiverat att ange arbets- och näringsministeriet som personuppgiftsansvarig, eftersom ministeriet endast ansvarar för en liten del av den personuppgiftsansvariges uppgifter. I dataombudsmannens anvisning om lagstiftningsutlåtanden (16.10.2017, s. 9, på finska) poängteras det att den personuppgiftsansvariges ansvar ska utgöra en del av det operativa ansvaret. När det föreskrivs om den personuppgiftsansvarige i lag, ska man vara särskilt uppmärksam på definieringen och försäkra sig om att ansvaret avser rätt aktör. Enligt anvisningen är risken med definieringen av den personuppgiftsansvarige att denne endast har definierats formellt, utan att aktörens faktiska roll vid behandlingen av personuppgifter på praktisk nivå har identifierats. Till personuppgiftsansvarig ska enligt anvisningen utses en aktör som de facto använder den personuppgiftsansvariges bestämmanderätt och som kan fullgöra den personuppgiftsansvariges skyldigheter.
Ordalydelsen i paragrafens 2 mom. föreslås bli preciserad så att den personuppgiftsansvariges ansvar samt rätt att lämna ut uppgifter gäller sådana uppgifter som den personuppgiftsansvarige registrerat.
Den personuppgiftsansvariges ansvar bestäms i enlighet med dataskyddsförordningen.
Ändringen är terminologisk och har ingen innehållsmässig verkan på ansvarsfördelningen enligt den gällande lagen mellan den tekniska administratören och de aktörer som avses i 4 § 1 mom.
Innehållet i paragrafen motsvarar i övrigt den gällande lagen.
9 §.Avförande av uppgifter. Enligt gällande 2 mom. har den tekniska administratören rätt att avföra kunduppgifter, om de är föråldrade eller om avförandet är nödvändigt för att säkerställa den tekniska funktionen hos kundinformationssystemet. Momentet föreslås bli upphävt. Momentet är delvis överlappande med kravet på korrekthet enligt artikel 5.1 d i dataskyddsförordningen, där det förutsätts att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Raderingen av uppgifter ska höra till den personuppgiftsansvarige.
3
Förhållande till grundlagen samt lagstiftningsordning
Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt lagrummet utfärdas närmare bestämmelser om skydd för personuppgifter genom lag.
Grundlagsutskottet har i samband med dataskyddsförordningen ansett att det är angeläget att inom statsrådet inventera frågor som anknyter till behovet av speciallagstiftning och till sektorn över lag (GrUU 38/2016 rd).
Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 14/2018 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet.
Med anledning av den förestående tillämpningen av dataskyddsförordningen har grundlagsutskottet (GrUU 14/2018 rd) sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen.
I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen (GrUU 14/2018 rd). Enligt utskottets uppfattning gör de detaljerade bestämmelserna i förordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger.
Utskottet (GrUU 14/2018 rd) ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter.
I artikel 23 i dataskyddsförordningen ges medlemsstater nationellt handlingsutrymme vad gäller tillämpningsområdet för de registrerades rättigheter. I medlemsstaternas lagstiftning kan man genom lagstiftningsåtgärder begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12—22, 34 och 5, om man i begränsningen iakttar de grundläggande fri- och rättigheterna till centrala delar och begränsningen utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle så att det rättsgoda som avses i artikel 23 kan garanteras. En av grunderna för begränsning är enligt artikel 23.1 e att en medlemsstats viktiga mål av generellt allmänt intresse kan säkerställas. Ett sådant mål är bland annat en medlemsstats viktiga ekonomiska eller finansiella intresse. I artikel 23.1 h nämns som en möjlig grund för begränsning en tillsyns-, inspektions eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a—e och g.
I denna proposition föreslås en bestämmelse som begränsar den registrerades rätt enligt artikel 15 i dataskyddsförordningen att få tillgång till personuppgifter som Konkurrens- och konsumentverket samlat in om honom eller henne i samband med tillsynsuppgifter. Begränsningen ska betraktas som en nödvändig och proportionell åtgärd för att säkerställa skötseln av verkets tillsynsuppgifter. En noggrant avgränsad begränsning på lagnivå inskränker inte den registrerades rätt mer än nödvändigt. Dessutom ska nödvändiga säkerhetsåtgärder för att trygga den registrerades rättigheter tillämpas. Begränsningen kan således anses vara förenlig med proportionalitetsprincipen. Begränsningen ingriper inte i kärnområdet i skyddet för personuppgifter om den registrerade. Det föreslås att säkerhetsåtgärderna föreskrivs genom att det hänvisas till de säkerhetsåtgärder som ingår i bestämmelsen om begränsning av den registrerades rättigheter i dataskyddslagen.
I denna proposition föreslås det att bemyndigandet att utfärda förordning i 6 kap. 9 § 6 mom. i revisionslagen preciseras. Ändringen av bemyndigandet är av teknisk karaktär. Med stöd av bemyndigandet får det utfärdas närmare bestämmelser om registeranmälningar och registeranteckningar samt om andra uppgifter än personuppgifter som ska antecknas i registret. Bestämmelserna gäller inte individernas rättigheter eller skyldigheter på ett sådant sätt att de behöver utfärdas genom lag. Bemyndigandet är mer noggrant och exakt avgränsat än bemyndigandet i den gällande lagen. Bemyndigandet att utfärda förordning anses uppfylla kraven enligt 80 § i grundlagen.
I övrigt är ändringarna huvudsakligen preciseringar av gällande lagstiftning och tekniska ändringar av hänvisningsbestämmelser och har således inte någon särskild betydelse med tanke på skyddet för personuppgifter.
Med stöd av vad som anförts ovan kan lagarna behandlas i vanlig lagstiftningsordning.