Betänkande
EkUB
15
2018 rd
Ekonomiutskottet
Regeringens proposition till riksdagen med förslag till ändring av lagstiftningen om behandling av personuppgifter inom arbets- och näringsministeriets förvaltningsområde
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till ändring av lagstiftningen om behandling av personuppgifter inom arbets- och näringsministeriets förvaltningsområde (RP 98/2018 rd): Ärendet har remitterats till ekonomiutskottet för betänkande 
Sakkunniga
Utskottet har hört 
specialsakkunnig
Johanna
Ylitepsa
arbets- och näringsministeriet
specialsakkunnig
Virpi
Koivu
justitieministeriet
chefsjurist
Johanna
Nyländen
Konkurrens- och konsumentverket
jurist
Kai
Massa
Turism- och Restaurangförbundet rf.
PROPOSITIONEN
Regeringen föreslår ändringar i lagen om inkvarterings- och förplägnadsverksamhet, lagen om leverantörer av kombinerade resetjänster, lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor, lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven, lagen om mätinstrument, revisionslagen och lagen om kundinformationssystemet för företagstjänster. Det rör sig om nödvändiga ändringar som följer av Europeiska unionens allmänna dataskyddsförordning och av ändringar i den nationella lagstiftningen om skydd för personuppgifter. Ändringarna är huvudsakligen av teknisk natur och gäller till stor del hänvisningarna till lagstiftningen om skydd för personuppgifter. 
Dessutom föreslås lagen om Konkurrens- och konsumentverket få bestämmelser om undantag från dataskyddsförordningen till den del det är fråga om den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. 
Lagarna avses träda i kraft så snart som möjligt. 
UTSKOTTETS ÖVERVÄGANDEN
Den föreslagna lagstiftningens huvudsakliga innehåll.
Syftet med propositionen är att göra de nödvändiga ändringar i en del lagar på arbets- och näringsministeriets förvaltningsområde som följer av Europeiska unionens allmänna dataskyddsförordning och av ändringar i den nationella lagstiftningen om skydd för personuppgifter. Dataskyddsförordningen är till alla delar förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. De föreslagna ändringarna är därför i huvudsak av teknisk natur och gäller till största delen hänvisningar till personuppgiftslagen. 
Ekonomiutskottet tillstyrker propositionen med smärre tekniska ändringar, på det sätt som anges närmare i detaljmotiveringen. 
Samband med den nationella dataskyddslagstiftningen.
Det är inte helt enkelt att bedöma den föreslagna lagstiftningen eftersom man ännu inte vet hur innehållet i den nationella dataskyddslagen kommer att utformas. Av grundlagsutskottets utlåtande (GrUU 14/2018 rdRP 9/2018 rd) framgår att det är uppenbart att dataskyddslagstiftningen inte kommer att träda i kraft i den form som regeringen föreslagit, utan den kommer att ändras på vissa punkter. Grundlagsutskottet påpekar i sitt utlåtande att det finns skäl att undvika nationell speciallagstiftning, som bör reserveras för situationer då sådan är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen av personuppgifter, desto mer motiverat är det med mer detaljerade bestämmelser. Detta har aktualiserats särskilt vid bedömningen av bestämmelserna i lagförslag 7 (revisionslagen). I ljuset av grundlagsutskottets utlåtande anser ekonomiutskottet att förslaget i propositionen är motiverat. 
Den registrerades rättigheter.
Enligt den nya regleringen har den registrerade inte rätt att ur Konkurrens- och konsumentverkets register få tillgång till sådana uppgifter om sig själv som verket behandlar när det sköter sina tillsynsuppgifter, om det med stöd av 24 § 1 mom. 15 punkten i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen), för att säkerställa tillsynen eller uppnåendet av syftet med tillsynen, är nödvändigt att uppgifterna inte lämnas ut. Bestämmelsen behövs för att säkerställa att Konkurrens- och konsumentverkets tillsynsuppgifter sköts effektivt samt för att klargöra förhållandet mellan den registrerades rätt enligt artikel 15 i dataskyddsförordningen och sekretessen enligt offentlighetslagen. Den registrerades rätt enligt artikel 15 äventyrar Konkurrens- och konsumentverkets lagstadgade tillsyn eller uppnåendet av dess syfte, om rätten gäller de personuppgifter som är sekretessbelagda med stöd av den ovannämnda punkten i offentlighetslagen. Också flera andra författningar som gäller myndigheternas befogenheter kommer att få en motsvarande bestämmelse med anledning av dataskyddsförordningen. Ekonomiutskottet anser att den föreslagna begränsningen av den registrerades rätt är motiverad och proportionerlig. 
Informationsgången mellan myndigheterna.
Enligt ekonomiutskottet är det viktigt att lagstiftningen tillåter att relevanta gemensamma kunduppgifter utnyttjas och utväxlas mellan aktörerna. När man föreskriver om informationssystem och deras användning måste man ta hänsyn till vilka roller och behov de berörda parterna har. I detta sammanhang måste det säkerställas att informationen fungerar mellan aktörerna, det vill säga att kunddata finns tillgängliga för alla som behöver dem, och på ett ändamålsenligt och säkert sätt. Ekonomiutskottet anser att den föreslagna regleringen gör det möjligt att införa en systematisk verksamhetsmodell för dataskyddet som säkerställer samordnad åtkomsträtt och kontroll för sekretessbelagd information. 
Utskottet anser att den förslagna lagstiftningen behövs och att förslagen är lämpliga med tanke på den nationella lagstiftningens förenlighet med EU-lagstiftningen. Men utskottet uttrycker en viss oro för bristande kontinuitet om bestämmelserna träder i kraft vid olika tidpunkter inom olika områden med en nära anknytning till varandra. 
DETALJMOTIVERING
8. Lag om ändring av lagen om kundinformationssystemet för företagstjänster
2 §. Lagens tillämpningsområde.
På grund av de föreslagna ändringar i lagens 6 § som behandlas nedan bör den andra meningen i 2 § 2 mom. ange ett kortnamn för dataskyddsförordningen som följer: 
”Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ).” 
6 §. Teknisk administratör för kundinformationssystemet samt personuppgiftsansvariga.
Ekonomiutskottet anser att paragrafen behöver ändras så att det sägs att arbets- och näringsministeriet och de aktörer som registrerar uppgifter i kundinformationssystemet är gemensamt personuppgiftsansvariga i fråga om kundinformationssystemet. 
Artikel 26 i dataskyddsförordningen föreskriver att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Artikeln medger att de gemensamt personuppgiftsansvarigas ansvar fördelas i lagstiftningen. 
Ekonomiutskottet anser att det är motiverat att hålla kvar ansvarsfördelningen enligt den gällande lagen mellan arbets- och näringsministeriet och de i lagens 4 § 1 mom. nämnda aktörer som registrerar uppgifter i kundinformationssystemet. Enligt den gällande lagen svarar arbets- och näringsministeriet i egenskap av teknisk administratör för kundinformationssystemets allmänna funktion och för den tekniska anslutningen för registrering, samkörning, utlämnande och annan behandling av uppgifterna. Den tekniska administratören svarar för datasystemets användbarhet samt för integriteten, skyddet och bevarandet av de uppgifter som ingår i datasystemet. Enligt förarbetena till bestämmelsen (RP 18/2017 rd) har användbarhet, skydd och integritet här samma innehåll som i 18 § i lagen om offentlighet i myndigheternas verksamhet (621/1999). Den paragrafen handlar om god informationshantering, och där sägs det att en myndighet för att genomföra en god informationshantering ska se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna och i detta syfte särskilt iaktta de skyldigheter som anges närmare i paragrafen. Enligt förarbetena ska arbets- och näringsministeriet med stöd av 1 mom. också svara för utveckling av kundinformationssystemet, inbegripet ansvaret för det allmänna utvecklandet av datasäkerheten inom systemet, såsom användningen av sådana förfaranden som vid informationsutbytet tryggar uppgifternas integritet, dvs. skyddet av dem mot olaglig ändring. Arbets- och näringsministeriet ska också se till att systemet tekniskt och funktionellt är sådant att de personuppgiftsansvariga kan fullgöra sina skyldigheter. 
De som är personuppgiftsansvariga enligt 4 § 1 mom. i den gällande lagen ska sköta alla andra uppgifter som följer av de skyldigheter som i personuppgiftslagen (523/1999) ålagts en personuppgiftsansvarig. Till dem hör i fråga om de egna registren allmän aktsamhetsplikt när det gäller databehandlingens laglighet och uppgifternas kvalitet samt styrning av och rådgivning om registerföringen i samband med det. De personuppgiftsansvariga ansvarar för utlämnande av uppgifter ur registren, för radering av uppgifter ur registren och för uppgifter som gäller databehandlingens lagenlighet. På de personuppgiftsansvariga ankommer dessutom en informationsskyldighet enligt 24 § i personuppgiftslagen. 
Ekonomiutskottet föreslår att det i 6 § 1 mom. ska föreskrivas om gemensamt personuppgiftsansvariga för kundinformationssystemet. Deras ansvar ska inom ramen för artikel 26 i dataskyddsförordningen bestämmas i 6 § 2 och 3 mom. De gemensamt personuppgiftsansvariga föreslås vara arbets- och näringsministeriet och de aktörer som anges i 4 § 1 mom., dvs. de myndigheter som tillhandahåller företagstjänster, statens specialfinansieringsbolag, Business Finland Ab och de förmedlande organ som avses i 2 § 13 punkten i lagen om finansiering av regionutveckling och strukturfondsprojekt (8/2014). 
Ministeriets ansvar bör i 6 § 2 mom. definieras så att det i huvudsak motsvarar dess ansvar enligt den gällande lagen. Uppgifterna som teknisk administratör enligt 6 § i den gällande lagen hänför sig till att svara för datasystemets användbarhet samt för integriteten, skyddet och bevarandet av de uppgifter som ingår i systemet. De uppgifter som registreras i kundinformationssystemet gäller huvudsakligen företag och inte enskilda. Kunduppgifterna innehåller ändå delvis också personuppgifter. 
Bestämmelser om ansvaret för de i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet föreslås ingå i 6 § 3 mom. I momentet bör det nämnas att de aktörer som nämns i 4 § 1 mom. svarar för övriga uppgifter som hör till den personuppgiftsansvarige. De svarar således fortfarande också för att de registrerades rättigheter tillgodoses. Likaså svarar de för säkerheten vid behandlingen av personuppgifter i den egna verksamheten. 
På de grunder som anges ovan ändras 6 § och paragrafens rubrik som följer: 
”Personuppgiftsansvariga för kundinformationssystemet 
Arbets- och näringsministeriet och de i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet är gemensamt personuppgiftsansvariga i fråga om kundinformationssystemet. 
Arbets- och näringsministeriet svarar för kundinformationssystemets allmänna funktion och för den tekniska anslutningen för registrering, samkörning, utlämnande och annan behandling av uppgifterna. Arbets- och näringsministeriet svarar för datasystemets användbarhet samt för integriteten, skyddet och bevarandet av de uppgifter som ingår i datasystemet. Arbets- och näringsministeriet svarar i fråga om behandlingen av personuppgifter i kundinformationssystemet för inbyggt dataskydd och dataskydd som standard enligt artikel 25, säkerhet i samband med behandlingen enligt artikel 32, konsekvensbedömning avseende dataskydd enligt artikel 35 och förhandssamråd enligt artikel 36 i dataskyddsförordningen samt för andra sådana i dataskyddsförordningen föreskrivna skyldigheter för den personuppgiftsansvarige som gäller informationssäkerheten i datasystemet. Arbets- och näringsministeriet har inte rätt att bestämma över de uppgifter som registrerats i datasystemet eller att lämna ut dem, om inte något annat föreskrivs i lag. 
De i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet fungerar som personuppgiftsansvariga i fråga om de uppgifter som de själva registrerat i systemet, svarar för andra skyldigheter för den personuppgiftsansvarige än de som avses i 2 mom. samt beslutar om utlämnande via kundinformationssystemet av de uppgifter de själva registrerat. Den aktör som registrerat uppgifter i kundinformationssystemet svarar för att uppgifterna är korrekta och uppdaterade.” 
FÖRSLAG TILL BESLUT
Ekonomiutskottets förslag till beslut:
Riksdagen godkänner lagförslag 1—7 i proposition RP 98/2018 rd utan ändringar. 
Riksdagen godkänner lagförslag 8 i proposition RP 98/2018 rd med ändringar. (Utskottets ändringsförslag) 
Utskottets ändringsförslag
1. 
Lag 
om ändring av lagen om Konkurrens- och konsumentverket 
I enlighet med riksdagens beslut 
fogas till lagen om Konkurrens- och konsumentverket (661/2012) en ny 7 a § som följer: 
1 kap. 
Bestämmelser om Konkurrens- och konsumentverket 
7 a § 
Begränsning av den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne 
Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen ( / ) har den registrerade inte i artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) avsedd rätt till tillgång till sådana uppgifter i Konkurrens- och konsumentverkets register som samlats in om honom eller henne och som verket behandlar vid skötseln av tillsynsuppgifter enligt konkurrenslagen, upphandlingslagen eller försörjningslagen, om det med stöd av 24 § 1 mom. 15 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999), för att säkerställa tillsynen eller uppnåendet av syftet med tillsynen, är nödvändigt att uppgifterna inte lämnas ut. 
När den registrerades rätt begränsas enligt 1 mom. ska 34 § 2—4 mom. i dataskyddslagen iakttas. 
Denna lag träder i kraft den 20 . 
2. 
Lag 
om ändring av lagen om inkvarterings- och förplägnadsverksamhet 
I enlighet med riksdagens beslut 
ändras i lagen om inkvarterings- och förplägnadsverksamhet (308/2006) 1 § 5 mom., 7 § 2 mom., 8 § 3 mom. och 13 § 3 mom., 
av dem 13 § 3 mom. sådant det lyder i lag 1103/2017, som följer: 
1 § 
Tillämpningsområde och definitioner 
I fråga om hemlighållande och utlämnande av personuppgifter tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999), om inte något annat föreskrivs i denna lag. Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
7 § 
Resanderegister 
En utövare av inkvarteringsverksamhet får använda uppgifter om resande och resanderegister för kundservice och direktmarknadsföring. Bestämmelser om den registrerades rätt att invända mot behandling av personuppgifter finns i dataskyddsförordningen. 
8 § 
Utlämnande av uppgifter om resande till polisen samt förvaring och utplåning av resandeanmälningar och uppgifter om resande 
Utövaren av inkvarteringsverksamhet ska förvara resandeanmälningarna och uppgifterna om resande i ett års tid från den dag då resandeanmälningarna undertecknades. Efter det ska de förstöras. I resanderegistret ska uppgifterna om resande förvaras i ett års tid från det att de infördes. Efter det ska de utplånas. I fråga om radering av sådana uppgifter i registret som används för kundservice och direktmarknadsföring tillämpas dock dataskyddsförordningen. 
13 § 
Straffbestämmelser 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. 
Denna lag träder i kraft den 20 . 
3. 
Lag 
om ändring av 16 § i lagen om leverantörer av kombinerade resetjänster 
I enlighet med riksdagens beslut 
ändras i lagen om leverantörer av kombinerade resetjänster (921/2017) 16 § som följer: 
16 § 
Utlämnande av uppgifter ur registret 
Trots bestämmelserna i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet (621/1999) får personuppgifter lämnas ut ur registret i form av en utskrift eller göras allmänt tillgängliga via ett elektroniskt datanät eller annars lämnas ut i elektronisk form. Uppgift om en personbeteckning får dock lämnas ut enligt denna lag endast om uppgiften lämnas ut i form av en utskrift eller en teknisk upptagning och om den som får uppgiften har rätt att behandla personbeteckningen med stöd av 29 § i dataskyddslagen ( / ) eller med stöd av någon annan lag. 
Denna lag träder i kraft den 20 . 
4. 
Lag 
om ändring av 130 § i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor 
I enlighet med riksdagens beslut 
ändras i lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005) 130 § 4 mom., sådant det lyder i lag 358/2015, som följer: 
130 § 
Register 
På utlämnande av uppgifter tillämpas vad som föreskrivs om detta någon annanstans i lag. De registeruppgifter som inte är personuppgifter ska kontrolleras och onödiga uppgifter utplånas i samband med kontrollen. I fråga om den personuppgiftsansvariges skyldigheter vid behandlingen av personuppgifter föreskrivs särskilt. 
Denna lag träder i kraft den 20 . 
5. 
Lag 
om upphävande av 11 § 2 mom. i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 11 § 2 mom. i lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005). 
2 § 
Denna lag träder i kraft den 20 . 
6. 
Lag 
om upphävande av 53 § 2 mom. i lagen om mätinstrument 
I enlighet med riksdagens beslut föreskrivs: 
1 § 
Genom denna lag upphävs 53 § 2 mom. i lagen om mätinstrument (707/2011). 
2 § 
Denna lag träder i kraft den 20 . 
7. 
Lag 
om ändring av revisionslagen 
I enlighet med riksdagens beslut 
upphävs i revisionslagen (1141/2015) 4 kap. 9 § 2 mom., sådant det lyder i lag 622/2016, samt 
ändras 4 kap. 13 § 2 och 4 mom., 6 kap. 9 § 6 mom., 8 kap. 6 § och 9 kap. 1 § 2 mom. och 3 § 2 mom. 4 punkten, 
av dem 4 kap. 13 § 2 och 4 mom., 6 kap. 9 § 6 mom. och 9 kap. 3 § 2 mom. 4 punkten sådana de lyder i lag 622/2016, som följer: 
4 kap. 
Övriga bestämmelser om revisorer 
13 § 
Anmälan om misstankar 
Anmälningsförfarandet ska omfatta åtgärder som skyddar den som gjort en anmälan och tryggar skyddet för personuppgifter för den som gjort en anmälan och den som är föremål för anmälan. Anmälningsförfarandet ska även innehålla anvisningar för skyddande av anmälarens identitet, om det inte föreskrivs annat i lag för att utreda en förseelse eller för att tillgodose myndigheternas rätt till uppgifter. 
Utöver vad som föreskrivs i 34 § 1 mom. i dataskyddslagen ( / ), har den som är föremål för en anmälan enligt 1 mom. inte den registrerades rätt till tillgång enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, i fråga om sådana om den registrerade insamlade uppgifter som avses i 1 och 2 mom., om utlämnande av uppgifterna till honom eller henne kan störa utredningen av misstänkta förseelser. När den registrerades rätt begränsas ska 34 § 2—4 mom. i dataskyddslagen iakttas. 
6 kap. 
Godkännande och registrering 
9 § 
Revisorsregistret 
Närmare bestämmelser om registeranmälningar och registeranteckningar samt om andra uppgifter än personuppgifter som ska antecknas i registret får utfärdas genom förordning av statsrådet. 
8 kap. 
Tillsynsbefogenheter 
6 § 
Erhållande av uppgifter av andra myndigheter 
Revisionstillsynen har trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter rätt att av myndigheter och andra som sköter offentliga uppdrag, på begäran få de uppgifter som är nödvändiga för tillsynen enligt denna lag. Uppgifterna får hämtas genom en teknisk anslutning utan samtycke av den vars intressen sekretessen är avsedd att skydda. Vad som föreskrivs ovan gäller dock inte personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 
9 kap. 
Utlämnande av uppgifter samt myndighetssamarbete 
1 § 
Rätt att lämna ut uppgifter 
Vad som föreskrivs 1 mom. gäller dock inte personuppgifter som hör till de särskilda kategorierna av personuppgifter enligt artikel 9.1 i dataskyddsförordningen och personuppgifter som rör en brottslig gärning, ett straff eller någon annan påföljd för ett brott samt någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. 
3 § 
Internationellt tillsynssamarbete 
Vad som föreskrivs i 1 mom. gäller också när handlingar som behövs med tanke på tillsynen överlämnas till tillsynsorganet i en annan stat än en EES-stat som med stöd av lag sköter motsvarande uppgifter i sin hemstat, om 
4) dataskyddsförordningen iakttas vid informationsutbyte. 
Denna lag träder i kraft den 20 . 
Statsrådets förordning om revision (1377/2015) förblir i kraft även till den del förordningen utfärdats med stöd av den bestämmelse i 6 kap. 9 § 6 mom. som har ändrats genom denna lag. 
8. 
Lag 
om ändring av lagen om kundinformationssystemet för företagstjänster 
I enlighet med riksdagens beslut 
upphävs i lagen om kundinformationssystemet för företagstjänster (293/2017) 9 § 2 mom. och 
ändras 2 § 2 mom. och 6 § som följer: 
2 § 
Lagens tillämpningsområde 
Om inte något annat föreskrivs i lag tillämpas på kundinformationssystemet för företagstjänster och på offentligheten för de uppgifter som registrerats i systemet lagen om offentlighet i myndigheternas verksamhet (621/1999) och 5 och 6 § i lagen om statens specialfinansieringsbolag (443/1998). Bestämmelser om behandling av personuppgifter finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och i dataskyddslagen ( / ). 
6 § 
Teknisk administratörPersonuppgiftsansvariga för kundinformationssystemet samt personuppgiftsansvariga 
Arbets- och näringsministeriet och de i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet är gemensamt personuppgiftsansvariga i fråga om kundinformationssystemet. (Nytt) 
I egenskap av teknisk administratör och personuppgiftsbiträde svararArbets- och näringsministeriet svarar för kundinformationssystemets allmänna funktion och för den tekniska anslutningen för registrering, samkörning, utlämnande och annan behandling av uppgifterna. Arbets- och näringsministeriet svarar för datasystemets användbarhet samt för integriteten, skyddet och bevarandet av de uppgifter som ingår i datasystemet. Arbets- och näringsministeriet svarar i fråga om behandlingen av personuppgifter i kundinformationssystemet för inbyggt dataskydd och dataskydd som standard enligt artikel 25, säkerhet i samband med behandlingen enligt artikel 32, konsekvensbedömning avseende dataskydd enligt artikel 35 och förhandssamråd enligt artikel 36 i dataskyddsförordningen samt för andra sådana i dataskyddsförordningen föreskrivna skyldigheter för den personuppgiftsansvarige som gäller informationssäkerheten i datasystemet. Arbets- och näringsministeriet har inte rätt att bestämma över de uppgifter som registrerats i datasystemet eller att lämna ut dem, om inte något annat föreskrivs i lag. 
De i 4 § 1 mom. avsedda aktörer som registrerar uppgifter i kundinformationssystemet fungerar som personuppgiftsansvariga i fråga om de uppgifter som de själva registrerat i systemet, svarar för andra skyldigheter för den personuppgiftsansvarige än de som avses i 2 mom. samt beslutar om utlämnande via kundinformationssystemet av de uppgifter de själva registrerat. Den aktör som registrerat uppgifter i kundinformationssystemet svarar för att uppgifterna är korrekta och uppdaterade. 
Denna lag träder i kraft den 20 . 
Helsingfors 16.10.2018 
I den avgörande behandlingen deltog
ordförande
Martti
Mölsä
blå
medlem
Harry
Harkimo
liik
medlem
Petri
Honkonen
cent
medlem
Hannu
Hoskonen
cent
medlem
Laura
Huhtasaari
saf
medlem
Lauri
Ihalainen
sd
medlem
Katri
Kulmuni
cent
medlem
Eero
Lehti
saml
medlem
Lea
Mäkipää
blå
medlem
Johanna
Ojala-Niemelä
sd
medlem
Arto
Pirttilahti
cent
medlem
Hanna
Sarkkinen
vänst
medlem
Ville
Skinnari
sd
medlem
Joakim
Strand
sv
medlem
Antero
Vartia
gröna.
Sekreterare var
utskottsråd
Teija
Miller.
Senast publicerat 6.11.2018 12:33