7.1
Dataskyddslagen
4 §. Laglig behandling av personuppgifter. Det föreslås att paragrafens struktur ändras så att paragrafen i fortsättningen innehåller två moment. Den gällande paragrafen blir det nya 1 mom. och paragrafens 1–4 punkt blir 1 mom. 1–4 punkten. Till paragrafen fogas också ett nytt 2 mom. I den föreslagna paragrafens nya 1 mom. 1, 3 och 4 punkten föreslås inga innehållsmässiga ändringar. Det är till denna del fråga om en teknisk ändring.
Den gällande paragrafens 2 punkt föreslås bli preciserad så att det av den nya 1 mom. 2 punkten tydligt framgår hurudan myndighetsbehandling av personuppgifter punkten skapar rättslig grund för. Enligt den gällande lagen skapar punkten en i artikel 6.1 e i dataskyddsförordningen avsedd rättslig grund för myndigheten att behandla personuppgifter när behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse. Syftet med bestämmelsen har varit att säkerställa att myndigheterna ska kunna behandla personuppgifter för att fullgöra också andra uppgifter än de lagstadgade skyldigheterna. Det är alltså fråga om sådan myndighetsverksamhet där rätten till behandling av personuppgifter inte direkt kan härledas från en uppgifts- och behörighetsbestämmelse som gäller myndigheten eller från eventuella mer detaljerade specialbestämmelser. Tillämpningsområdet för bestämmelsen har dock till vissa delar blivit oklart.
Enligt artikel 6.1 e i dataskyddsförordningen är behandling av personuppgifter laglig när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (motsvaras i dataskyddslagen av begreppet utövning av offentlig makt). Även om man i artikel 6.1 e gör skillnad mellan utförande av en uppgift av allmänt intresse och myndighetsutövning, går det ofta inte att göra någon faktisk skillnad mellan myndighetsutövning och utförande av en uppgift av allmänt intresse inom myndighetsverksamheten. Det allmänna målet med den offentliga förvaltningens verksamhet är att tillgodose allmänna intressen, vilket också utsträcker sig till verksamhet där myndigheterna utövar offentlig makt. Vid utövning av offentlig makt kan det de facto också anses vara fråga om utförande av en uppgift av allmänt intresse. Däremot innebär utförandet av en uppgift av allmänt intresse inte alltid utövning av offentlig makt, utan är till sitt innehåll mer omfattande. Även om man inte kategoriskt kan göra skillnad mellan utövning av offentlig makt och utförande av en uppgift av allmänt intresse, är det inte med stöd av den gällande bestämmelsen i lagen klart om bestämmelsen skapar en rättslig grund för myndigheter för behandlingen också när det är fråga om utövning av offentlig makt.
Det föreslås att 2 punkten i den gällande paragrafen preciseras och utvidgas till denna del så att det i den nya 1 mom. 2 punkten i förslaget föreskrivs att myndighetens rätt att behandla personuppgifter gäller både för utförande av en uppgift av allmänt intresse och för utövning av offentlig makt till den del behandlingen behövs och är proportionell. Vid sådan behandling av personuppgifter som baserar sig på utförandet av en uppgift av allmänt intresse eller utövning av offentlig makt är det vanligen fråga om situationer där myndigheten ålagts en uppgift som gäller offentlig makt eller allmänt intresse, men där det inte föreskrivits om en uttrycklig lagstadgad skyldighet för myndigheten att behandla personuppgifter för detta ändamål. En uppgift av allmänt intresse eller utövning av offentlig makt kan till exempel gälla kommunens uppgifter att sörja för utbildning eller ordnande av biblioteks- och idrottstjänster (se även den rättspraxis och de exempel som anges i avsnitt 2.4.2). Såsom det konstateras i förarbetena till dataskyddslagen (RP 9/2018 rd, s. 82) kan sådana uppgifter som avses i bestämmelsen också vara myndigheternas planerings- och utredningsuppgifter. På motsvarande sätt kan också utveckling av en myndighets tjänster vara en uppgift av allmänt intresse.
Den gällande punkten förutsätter att myndighetens behandling av personuppgifter behövs och är proportionell, och till denna del föreslås ingen ändring i bestämmelsens innehåll. Myndigheten ska alltid göra en bedömning av behovet och proportionaliteten i varje enskilt fall. Kravet på bedömning från fall till fall gäller både behandling av uppgifter som gäller utförande av en uppgift av allmänt intresse och som gäller utövning av offentlig makt. Behovet och proportionaliteten i fråga om en myndighets behandling av personuppgifter samt bedömningen från fall till fall har behandlats närmare i förarbetena till dataskyddslagen (RP 9/2018 rd, s. 81–82).
Bestämmelsen medför inte rätt att behandla personuppgifter för så kallad sekundär användning, det vill säga sådan senare användning som står i strid med de ursprungliga ändamålen med behandlingen av personuppgifterna. Vad detta innebär framgår av förarbetena till dataskyddslagen och det behandlas närmare i avsnittet om bedömning av nuläget i denna proposition (se avsnitt 2.4.2 och RP 9/2018 rd, s. 82). Bestämmelsen medför inte heller någon rättslig grund för behandling av personuppgifter enligt artikel 9 (särskilda kategorier av personuppgifter) eller artikel 10 (personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott) i dataskyddsförordningen. Särskilda bestämmelser om behandling av uppgifterna i fråga finns i 6 och 7 § i dataskyddslagen samt i annan nationell speciallagstiftning. Bestämmelsen utgör inte heller någon rättslig grund för behandling av andra i konstitutionellt hänseende känsliga personuppgifter, om vars behandling det i enlighet med grundlagsutskottets utlåtandepraxis ska föreskrivas uttryckligen och noggrant avgränsat till vad som är nödvändigt (se GrUU 14/2018 rd, s. 5). Med i konstitutionellt hänseende känsliga personuppgifter avses utöver uppgifter enligt artiklarna 9 och 10 i dataskyddsförordningen till exempel betalkortsuppgifter, kontouppgifter och klientuppgifter inom socialvården. I propositionen föreslås inga ändringar i fråga om det som nämnts ovan.
Bestämmelsen baserar sig på det handlingsutrymme som ingår i artikel 6.2 och 6.3 i dataskyddsförordningen (se RP 9/2018 rd). De preciseringar och utvidgningar som föreslås i bestämmelsen innebär också användning av det handlingsutrymme som ingår i artikel 6.2 och 6.3 i förordningen. De föreslagna ändringarna bedöms förtydliga och precisera bestämmelsens tillämpningsområde och dess förhållande till artikel 6.1 e i dataskyddsförordningen. De föreslagna ändringarna bedöms uppfylla kraven i artikel 6.3 i dataskyddsförordningen på att regleringen ska vara förenlig med det allmänna intresset och proportionell, eftersom de föreslagna bestämmelserna gör det möjligt för myndigheter att behandla personuppgifter för att utföra en uppgift som gäller ett allmänt intresse och för att utöva offentlig makt, binder behandlingen av personuppgifter till ett krav på behövlighet och proportionalitet samt förutsätter en bedömning från fall till fall av myndigheten.
Det föreslås att det till paragrafen fogas ett nytt 2 mom., där det föreskrivs om andra än myndigheters rätt att behandla personuppgifter när de sköter offentliga förvaltningsuppgifter som har anförtrotts dem genom lag eller med stöd av lag. Den behandling som avses i momentet är sådan behandling som avses i artikel 6.1 e i dataskyddsförordningen. Enligt det föreslagna momentet gäller vad som föreskrivs i nya 1 mom. 2 punkten i paragrafen också sammanslutningar, stiftelser och enskilda personer när de sköter offentliga förvaltningsuppgifter som har anförtrotts dem genom lag eller med stöd av lag där det är fråga om att utföra en uppgift av allmänt intresse eller utöva offentlig makt.
Enligt förslaget är behandlingen av personuppgifter bunden till motsvarande krav som den föreslagna nya 1 mom. 2 punkten som gäller myndigheter. Enligt bestämmelsen i fråga ska myndighetens behandling av personuppgifter vara behövlig och proportionell, vilket alltid förutsätter prövning från fall till fall. Enligt det nya 2 mom. gäller dessa motsvarande förutsättningar också andra än myndigheter när de sköter offentliga förvaltningsuppgifter. Kravet på bedömning från fall till fall gäller både behandling av uppgifter som gäller utförande av en uppgift av allmänt intresse och som gäller utövning av offentlig makt. Behovet och proportionaliteten i fråga om en myndighets behandling av personuppgifter samt bedömningen från fall till fall har behandlats närmare i förarbetena till dataskyddslagen (RP 9/2018 rd, s. 81–82).
Den rättsliga grund för behandlingen som avses i 2 punkten i den gällande paragrafen gäller endast myndigheters behandling av personuppgifter. I förarbetena till dataskyddslagen (RP 9/2018 rd, s.82) konstateras det att när privaträttsliga samfund sköter offentliga förvaltningsuppgifter ska antingen artikel 6.1 c (personuppgifter får behandlas för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige) eller 6.1 f (personuppgifter får behandlas för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen) i dataskyddsförordningen tillämpas. På motsvarande sätt som i myndigheternas verksamhet och med beaktande av det relativt omfattande innehållet i begreppet offentlig förvaltningsuppgift, kan det vid skötseln av en offentlig förvaltningsuppgift också vara fråga om utförande av en uppgift av allmänt intresse eller myndighetsutövning enligt artikel 6.1 e i dataskyddsförordningen. Det är därför nödvändigt att i lagen föreskriva om en rättslig grund för behandling av personuppgifter för andra än myndigheter också för skötseln av sådana förvaltningsuppgifter där det är fråga om behandling som avses i artikel 6.1 e i dataskyddsförordningen.
Det finns ingen entydig etablerad definition av en offentlig förvaltningsuppgift, utan dess innehåll bestäms utifrån de bestämmelser i den lag där det föreskrivs om uppgiften i fråga. Begreppet offentliga förvaltningsuppgifter används i en relativt vidsträckt bemärkelse där det åsyftar verksamhet som sammanhänger med att något allmänt intresse tillgodoses eller som på något annat sätt har sådana drag som är karakteristiska för ordnandet av offentlig service. Det är viktigt att offentliga förvaltningsuppgifter grundar sig på ett offentligt uppdrag genom eller med stöd av lag. En offentlig förvaltningsuppgift kan också innebära utövning av offentlig makt. I fråga om vissa uppgifter kan en offentlig förvaltningsuppgift även i sin helhet innebära utövning av offentlig makt (se närmare information i avsnittet 2.4 Bedömning av nuläget).
Dataskyddsförordningen förutsätter inte att det föreskrivs om behandling av personuppgifter för utförande av en uppgift av allmänt intresse eller utövning av offentlig makt särskilt för varje fall av behandling. Medlemsstaterna ska dock se till att det föreskrivs om behandlingen i enlighet med dataskyddsförordningen och inom ramen för det handlingsutrymme den medger. Det handlingsutrymme som hänför sig till artikel 6.1 e i dataskyddsförordningen ingår i artikel 6.2 och 6.3, vilka möjliggör reglering som preciserar dataskyddsförordningen. Artikel 6.3 i förordningen förutsätter uttryckligen att grunden för behandlingen av personuppgifter enligt artikel 6.1 e ska fastställas i enlighet med en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av där det säkerställs att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för den personuppgiftsansvariges myndighetsutövning. I skäl 45 i förordningen preciseras det att medlemsstaternas nationella rätt bör reglera frågan huruvida en personuppgiftsansvarig som utför en uppgift av allmänt intresse eller som ett led i myndighetsutövning ska vara en offentlig myndighet eller någon annan fysisk eller juridisk person som omfattas av offentligrättslig lagstiftning, om detta motiveras av allmänintresset.
Enligt grundlagsutskottet bör skyddet för personuppgifter i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen. (GrUU 14/2018 rd, s. 4–5). På motsvarande sätt som i fråga om myndighetsverksamhet bedöms de nationella allmänna bestämmelserna vara tillräckliga också i situationer där någon annan än en myndighet utför en uppgift av allmänt intresse eller utövar offentlig makt.
Den grund för behandlingen som det föreskrivs om i det föreslagna nya momentet sträcker sig inte till de avsedda privata aktörernas övriga verksamhet, utan tillämpningsområdet begränsas endast till sådana offentliga förvaltningsuppgifter som hänför sig till utförande av en uppgift av allmänt intresse eller utövning av offentlig makt. Syftet med den föreslagna bestämmelsen är alltså inte att skapa en rättslig grund för sådan behandling där det är fråga om iakttagande av en lagstadgad skyldighet som ålagts en sammanslutning, stiftelse eller enskild person (dvs. behandling som baserar sig på artikel 6.1 c i förordningen). Den behandling av personuppgifter som avses i momentet gäller bland annat sådan behandling som hänför sig till utvecklings-, planerings- och utredningsuppgifter som anförtrotts den privata aktören genom lag eller med stöd av lag.
Eftersom bestämmelsen förutsätter att behandlingen behövs när den privata aktören sköter en offentlig förvaltningsuppgift, möjliggör bestämmelsen endast sådan behandling av personuppgifter som är väl motiverad med avseende på de offentliga förvaltningsuppgifter som anförtrotts dem genom lag eller med stöd av lag. Förutsättningen motsvarar vad som även förutsätts av en myndighet när det är fråga om behandling av personuppgifter för utförande av en uppgift av allmänt intresse eller utövning av offentlig makt. I den föreslagna punkten förutsätts det dessutom att den behandling av personuppgifter som den privata aktören utför ska vara proportionell när det gäller skötseln av offentliga förvaltningsuppgifter. Detta förtydligar det att en privat aktör alltid från fall till fall ska bedöma om behandlingen av personuppgifter kan anses vara proportionell med beaktande av behandlingens syften. Såsom vid all behandling av personuppgifter ska man också vid denna bedömning beakta principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen, såsom principen för uppgiftsminimering enligt vilken de personuppgifter som samlas in ska vara adekvata och relevanta och behandlingen begränsad till vad som behövs för de ändamål för vilka uppgifterna behandlas. Den personuppgiftsansvarige ska också bedöma behandlingens proportionalitet i förhållande till den registrerades intressen och grundläggande fri- och rättigheter.
På motsvarande sätt som i den föreslagna nya 1 mom. 2 punkten, skapar det nya 2 mom. ingen rätt för den privata aktören att behandla personuppgifter för sekundär användning. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Det föreslagna nya 2 mom. skapar inte heller någon rättslig grund för behandling av sådana personuppgifter som avses i artikel 9 (särskilda kategorier av personuppgifter) eller artikel 10 (personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott) eller andra i konstitutionellt hänseende känsliga personuppgifter, om vars behandling det i enlighet med grundlagsutskottets utlåtandepraxis bör finnas uttryckliga och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se GrUU 14/2018 rd, s. 5).
Det föreslagna nya 2 mom. baserar sig på det handlingsutrymme som ingår i artikel 6.2 och 6.3 i dataskyddsförordningen. Med beaktande av att den föreslagna rättsliga grunden för behandlingen av personuppgifter för den som sköter offentliga förvaltningsuppgifter föreslås vara begränsad uttryckligen till sådan skötsel av en uppgift av allmänt intresse och utövning av offentlig makt som behövs och är proportionell, bedöms den föreslagna regleringen vara proportionell och förenlig med allmänt intresse på det sätt som förutsätts i artikel 6.3 i förordningen. Kravet på proportionalitet och ett mål av allmänt intresse betonas ytterligare också av att den offentliga förvaltningsuppgiften ska anförtros den privata aktören genom lag eller med stöd av lag (se avsnitt 2.4.2 om bedömning av nuläget).
6 §. Behandling av särskilda kategorier av personuppgifter. I paragrafen föreskrivs det om behandling av uppgifter som hör till särskilda kategorier av personuppgifter enligt artikel 9.1 i dataskyddsförordningen. Utgångspunkten är enligt förordningen att behandling av sådana personuppgifter är förbjuden. Behandlingen är dock tillåten om något av de krav på behandlingen som avses i artikel 6 i dataskyddsförordningen uppfylls och dessutom också någon av de särskilda grunder för behandling som anges i artikel 9.2 uppfylls.
Det föreslås att 1 mom. 1 punkten i paragrafen preciseras så att det av punkten tydligt framgår att försäkringsanstalten har rätt att behandla uppgifter om hälsotillståndet hos såväl försäkrade och försäkringssökande som hos de personer som försäkringsskydd söks för. Enligt den föreslagna punkten tillämpas artikel 9.1 i dataskyddsförordningen inte när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om hälsotillståndet, sjukdom eller funktionsnedsättning hos en försäkrad, en ersättningssökande, en försäkringssökande eller den som försäkringsskydd söks för, eller sådana uppgifter om de vårdåtgärder eller andra därmed jämförbara åtgärder som avser personen i fråga och som är nödvändiga för att bedöma eller utreda anstaltens ansvar. Med försäkringssökande avses en person som ansöker om försäkring för sig själv, men personen betraktas ännu inte som försäkrad innan försäkringsavtal ingås. Med en person som försäkringsskydd söks för avses en person till vars förmån avsikten är att teckna en försäkring och som ännu inte betraktas som försäkrad innan försäkringsavtalet ingåtts. I sådana här fall ansöker personen i fråga inte själv om försäkring, men försäkringen söks dock för sjukdom, olycksfall, död eller annan skada i fråga om den personen. En sådan situation kan till exempel vara när föräldrar ansöker om olycksfallsförsäkring för sitt barn för eventuella genom olycksfall förorsakade skador eller dödsfall. Genom propositionen skapas inte en mer omfattande rätt att behandla uppgifter om andra personers hälsotillstånd, utan försäkringsanstaltens rätt att behandla uppgifter om hälsotillstånd begränsas innan försäkring har beviljats till uppgifter om hälsotillståndet hos den försäkringssökande eller den person som försäkringsskydd söks för. Försäkringsanstalten har sålunda inte heller i fortsättningen rätt att behandla uppgifter om hälsotillståndet hos andra personer, till exempel hos en förälder som ansöker om och är förmånstagare för olycksfallsförsäkringen (det vill säga mottagaren av försäkringsersättningen), om det är fråga om en försäkring som söks för olycksfall som kan inträffa för ett barn. Försäkringsanstalten ska bedöma behandlingen av uppgifter om hälsotillstånd också enligt försäkringsgrenar, med beaktande av att det i fråga om vissa försäkringar inte alls finns något behov av att behandla uppgifter om hälsotillstånd.
Det föreslås att 1 punkten i momentet dessutom preciseras på det sättet att rätten att behandla uppgifter som gäller hälsotillståndet begränsas till uppgifter som är nödvändiga för att bedöma eller utreda försäkringsanstaltens ansvar. För närvarande har rätten att behandla uppgifter som avses i punkten begränsats till kravet att uppgifterna behövs. Den föreslagna ändringen motsvarar grundlagsutskottets (GrUU 14/2018 rd) utlåtandepraxis enligt vilken behandlingen av känsliga personuppgifter ska begränsas till vad som är nödvändigt med tanke på ändamålet med behandlingen och säkerställer för sin del också att inskränkningarna i skyddet för personuppgifter är nödvändiga och proportionella på det sätt som förutsätts i artikel 52.1 i stadgan. Den föreslagna ändringen ändrar i princip inte hur uppgifter om hälsotillstånd behandlas, eftersom uppgifter om hälsotillstånd redan nu betraktas som känsliga och behandlingen av sådana således ska begränsas till vad som är absolut nödvändigt med tanke på unionsrätten och de konstitutionella ramvillkoren.
Med beaktande av tolkningsoklarheterna när det gäller huruvida bestämmelsen skapar en rättslig grund för att behandla uppgifter som gäller hälsotillståndet också innan en försäkring beviljas och för bedömning av försäkringsanstaltens ansvar föreslås en precisering också i fråga om användningsändamålet. I propositionen föreslås det till denna del att 1 mom. 1 punkten preciseras så att det i bestämmelsen utöver utredning av försäkringsanstaltens ansvar också nämns bedömning av ansvaret. Försäkringsanstalten har de facto ett nödvändigt behov att behandla i punkten avsedda uppgifter om hälsotillstånd för att bedöma sitt ansvar redan innan en försäkring beviljas. Det är nödvändigt för försäkringsanstalten att bedöma sitt ansvar också efter att försäkring tecknats för att avgöra ett försäkringsärende. Försäkringsanstalten ska när den bedömer om behandlingen av uppgifterna är nödvändig beakta både den helhet som lagen om försäkringsavtal bildar och de specialvillkor som ställs i dataskyddsförordningen.
Enligt 22 § i lagen om försäkringsavtal är den försäkringssökandes upplysningsplikt begränsad till uppgifter som kan vara av betydelse för bedömningen av försäkringsgivarens ansvar. Försäkringstagaren och den försäkrade ska dessutom under försäkringsperioden utan obefogat dröjsmål rätta upplysningar som han gett försäkringsgivaren och därefter konstaterat vara oriktiga eller bristfälliga. I förarbetena till lagen om försäkringsavtal har det preciserats att försäkringstagarens upplysningsplikt endast gäller uppgifter som kan vara av betydelse för bedömningen av försäkringsgivarens ansvar. I rättslitteraturen har det konstaterats att de uppgifter som ett försäkringsbolag ska ta reda på erfarenhetsmässigt ska höra nära samman med försäkringsgivarens riskbedömning. I samma sammanhang har det konstaterats att sådana uppgifter som inte separat är av betydelse tillsammans kan bilda en betydelsefull helhet med tanke på riskbedömningen. Sålunda ska till exempel obetydliga sjukdomar uppges om det frågas om sådana, även om den uppgiftsskyldige anser att uppgifterna saknar betydelse med tanke på försäkringsgivarens ansvar. På motsvarande sätt ska man i samband med ansökan om ersättning i enlighet med 69 § i lagen om försäkringsavtal uppge uppgifter som behövs för utredning av försäkringsgivarens ansvar. När det gäller ansökan om ersättning har det i förarbetena till lagen om försäkringsavtal preciserats att handlingar och uppgifter som behövs för utredning av ansvaret till exempel är sådana med hjälp av vilka det kan konstateras om ett försäkringsfall har inträffat och hur stor skada som uppstått. Ersättningssökandenas utredningsskyldighet gäller också omständigheter som är ofördelaktiga för dem. En ersättningssökande får till exempel inte låta bli att lämna ett behövligt läkarintyg när det gäller en personförsäkring, även om försummelse av upplysningsplikten framgår av det.
Enligt artikel 5.1 c i dataskyddsförordningen ska de personuppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). Den personuppgiftsansvarige ska sålunda påvisa att de uppgifter som behandlas är relevanta och behövliga i fråga om varje grupp av personuppgifter. Enligt artikel 5.1 a ska personuppgifter dessutom behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (principen om laglighet, korrekthet och öppenhet). Enligt artikel 5.2 i förordningen ska den personuppgiftsansvarige ansvara för och kunna visa att de allmänna principer för behandling av personuppgifter som avses i artikel 5.1 efterlevs. Enligt artikel 25.2 ska den personuppgiftsansvarige dessutom genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den personuppgiftsansvarige ska dessutom se till att den registrerades alla rättigheter enligt dataskyddsförordningen iakttas. Enligt artikel 12.1 i dataskyddsförordningen ska den personuppgiftsansvarige vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Den personuppgiftsansvarige ska lämna information om behandlingen av uppgifter till den registrerade bland annat när personuppgifter samlas in direkt från den registrerade (artikel 13) och när personuppgifterna har erhållits från någon annan än den registrerade (artikel 14).
Det föreslagna nödvändighetskravet i 1 mom. 1 punkten är samtidigt också en skyddsåtgärd som förutsätts i artikel 9.2 g i dataskyddsförordningen. Enligt den gällande paragrafens 2 mom. ska försäkringsanstalter vidta lämpliga och särskilda åtgärder enligt 2 mom. för att skydda den registrerades rättigheter. Med beaktande av de risker som behandlingen medför föreslås i propositionen också andra kompletterande skyddsåtgärder, om vilka det föreskrivs i det nya 3 mom.
Paragrafens gällande 1 mom. 1 punkten (RP 9/2018 rd s. 87) och de ändringar som nu föreslås i punkten baserar sig på det handlingsutrymme som ingår i artikel 9.2 g i dataskyddsförordningen. Genom de preciseringar som föreslås i propositionen säkerställer man att punkten uppfyller de krav på allmänt intresse och på proportionalitet som ingår i dataskyddsförordningen samt innehåller lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.
Det föreslås att 1 mom. 2 punkten ändras så att formuleringen i bestämmelsen motsvarar ordalydelsen i dataskyddsförordningen. Bestämmelsen grundar sig på artikel 9.2 g i dataskyddsförordningen, enligt vilken förbudet i artikel 9.1 inte ska tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt. Bestämmelsen ska tillämpas på behandling av personuppgifter som utförs såväl av myndigheter som av privata aktörer, om det föreskrivs om behandlingen i lag eller behandlingen föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Det föreslås att paragrafens 1 mom. 2 punkt preciseras så att det i punkten föreskrivs att förbudet mot behandling av personuppgifter enligt artikel 9.1 i dataskyddsförordningen inte ska tillämpas på behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter som regleras i lag eller på sådana uppgifter som är nödvändiga för utförandet av en uppgift av allmänt intresse och som direkt har ålagts den personuppgiftsansvarige i lag.
I den gällande bestämmelsen föreskrivs det om behandling av uppgifter som hör till särskilda kategorier av personuppgifter i två situationer. Enligt bestämmelsen får uppgifter som hör till särskilda kategorier av personuppgifter behandlas för det första i en situation där det är fråga om sådan behandling av personuppgifter som uttryckligen regleras i lag. Till denna del föreslås ingen ändring i bestämmelsen. Den gällande bestämmelsen möjliggör dessutom behandling av personuppgifter som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Vad gäller sådana situationer har det inte uttryckligen och på ett noga avgränsat sätt föreskrivits om behandling av särskilda personuppgifter, men fullgörandet av de lagstadgade skyldigheterna kan ändå nödvändigtvis kräva behandling av särskilda personuppgifter. Syftet med de föreslagna ändringarna är att säkerställa att den personuppgiftsansvarige också i fortsättningen ska kunna behandla uppgifter som hör till särskilda kategorier av personuppgifter med stöd av bestämmelsen när behandlingen föranleds av iakttagande av en skyldighet som direkt har ålagts den personuppgiftsansvarige. Med beaktande av de oklarheter som är förenade med den nuvarande formuleringen och begreppen i ordalydelsen i artikel 9.2 g i dataskyddsförordningen behöver det klargöras i bestämmelsen att det vid iakttagande av en skyldighet som föreskrivits för den personuppgiftsansvarige är fråga om utförande av en uppgift av allmänt intresse som ålagts den personuppgiftsansvarige genom lag. Det föreslås således att det i 6 § 1 mom. 2 punkten i dataskyddslagen i fortsättningen föreskrivs om den personuppgiftsansvariges utförande av en uppgift av allmänt intresse och som ålagts den personuppgiftsansvarige genom lag. Uppgifter som gäller allmänna intressen beskrivs närmare i avsnitt 2.4.2.
Det föreslås att 1 mom. 2 punkten dessutom preciseras så att den behandling som avses i punkten avgränsas till vad som är nödvändigt. Den gällande bestämmelsen har inte bundits till vad som är behövligt eller nödvändigt. Därför ger bestämmelsen den personuppgiftsansvarige relativt stor prövningsmarginal när det gäller att bedöma i hur stor omfattning och vilka uppgifter som hör till särskilda kategorier av personuppgifter den personuppgiftsansvarige får behandla. Syftet med förslaget är i princip inte att ändra nuläget, utan att i bestämmelsen klargöra de specialvillkor som följer av grundlagsutskottets utlåtandepraxis och unionsrätten, enligt vilka behandlingen av sådana uppgifter som avses i paragrafen ska begränsas till vad som är nödvändigt.
Artikel 9.2 g i dataskyddsförordningen förutsätter att behandling enligt led g är nödvändig av hänsyn till ett viktigt allmänt intresse, och att medlemsstatens nationella rätt står i proportion till det eftersträvade syftet. Led g förutsätter vidare att lagstiftningen är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt grundlagsutskottets utlåtandepraxis (GrUU 14/2018 rd) ska lagstiftningen om behandling av känsliga personuppgifter vara avgränsad till nödvändiga bestämmelser. Även EU-domstolen har i fråga om nödvändighetsvillkoret förutsatt att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt. (se mål C-13/16, punkt 30 och där angiven rättspraxis samt avsnitt 2.4.2).
Det är motiverat att binda behandlingen till vad som är nödvändigt också av den anledningen att regleringen fortfarande ska ge den personuppgiftsansvarige en prövningsmarginal för att bedöma vilka särskilda kategorier av personuppgifter det är nödvändigt att behandla och i hurudan omfattning för att utföra en uppgift som gäller ett allmänt intresse. Det föreslagna nödvändighetskravet är samtidigt också en skyddsåtgärd som förutsätts i artikel 9.2 g i dataskyddsförordningen. Eftersom det inte är möjligt att på ett uttömmande sätt specificera vilka uppgifter som kommer att behandlas med stöd av bestämmelsen, ska det för att säkerställa att de föreslagna bestämmelserna är proportionella och nödvändiga föreskrivas om ett krav på nödvändighet. Förutsättningen bidrar också till att säkerställa att förslaget kan betraktas som förenligt med artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna. Den personuppgiftsansvarige ska utöver den skyddsåtgärd som gäller nödvändighetskravet fortfarande iaktta också vad som i 2 mom. föreskrivs om de lämpliga och särskilda skyddsåtgärder som förutsätts i förordningen (RP 9/2918 rd).
Bestämmelserna i punkten och de ändringar som nu föreslås i den baserar sig på det handlingsutrymme som ingår i artikel 9.2 g i dataskyddsförordningen. Genom de preciseringar som föreslås i punkten säkerställer man att punkten uppfyller de krav på allmänt intresse och på proportionalitet som ingår i dataskyddsförordningen och innehåller lämpliga och särskilda åtgärder för att skydda den registrerades grundläggande fri- och rättigheter och intressen.
Med beaktande av den ovannämnda regleringen i lagen om försäkringsavtal och dataskyddsförordningen samt känsligheten i fråga om de uppgifter som ska behandlas ska försäkringsanstalten behandla uppgifter om hälsotillstånd som avses i punkten endast till den del och i den omfattning som är nödvändig för att bedöma eller utreda försäkringsanstaltens ansvar. Det föreslås att ett nytt 3 mom. fogas till paragrafen, där det föreskrivs om kompletterande lämpliga och särskilda skyddsåtgärder som ska tillämpas på försäkringsanstalters behandling av uppgifter om hälsotillstånd enligt 1 mom. 1 punkten. Det föreslagna nya momentet grundar sig på artikel 9.2 g i dataskyddsförordningen, där det förutsätts att medlemsstaternas lagstiftning innehåller bestämmelser om lämpliga och särskilda skyddsåtgärder. De skyddsåtgärder som föreslås i det nya 3 mom. kompletterar vad som i det gällande 2 mom. föreskrivs om sådana lämpliga och särskilda skyddsåtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet ska vidta när de behandlar personuppgifter i situationer som avses i 1 mom. Försäkringsanstalter ska sålunda också i fortsättningen vidta de skyddsåtgärder som det föreskrivs om i paragrafens 2 mom.
Enligt den första meningen i det föreslagna nya 3 mom. ska försäkringsanstalten i första hand samla in de uppgifter som avses i 1 mom. 1 punkten av personen själv när det gäller personer som avses i den punkten och från fall till fall bedöma huruvida det är nödvändigt att samla in dessa uppgifter från annat håll. Den föreslagna bestämmelsen hindrar således inte försäkringsanstalterna från att samla in uppgifter av någon annan än personen själv när det gäller personer som avses i den punkten, men förutsätter då prövning från fall till fall och att nödvändighetskravet uppfylls. Bestämmelsen påverkar inte den övriga lagstiftningen, till exempel vad gäller försäkringsanstalters rätt att få information, utan det är fråga om en separat skyddsåtgärd som säkerställer att de allmänna behandlingsprinciperna i dataskyddsförordningen iakttas. För att principen om uppgiftsminimering, transparens och skälighet ska förverkligas är det dock nödvändigt att säkerställa att försäkringsanstalter i varje enskilt fall separat bedömer huruvida det är nödvändigt att även samla in uppgifter om hälsotillståndet för sådana personer som avses i 1 mom. 1 punkten från något annat håll än av personen själv för att bedöma eller utreda försäkringsanstaltens ansvar. Bedömning av nödvändigheten ska göras separat innan försäkringen beviljas och efter att den beviljats.
Det att uppgifter i första hand samlas in av personen själv motsvarar försäkringsanstalternas nuvarande praxis, eftersom den etablerade praxisen till exempel i samband med ansökningar om försäkring är att begära uppgifter om hälsotillstånd direkt av personen själv genom en hälsoutredning. I hälsoutredningen frågas det bland annat om sjukdomar, symtom, mediciner, skador och levnadsvanor hos försäkringssökanden eller hos den som försäkringsskydd söks för. I utredningen fastställs ofta också den tidsperiod som begäran om uppgifter gäller. En försäkringsanstalt kan med hjälp av en hälsoutredning bedöma om det är nödvändigt för den att få uppgifter om hälsotillstånd i större utsträckning för att bedöma eller utreda sitt ansvar. Till denna del ska den till exempel bedöma om uppgifterna kan fås direkt av den som ansöker om försäkringsskydd genom en mer omfattande hälsoutredning eller någon annan utredning eller om det är nödvändigt att samla in uppgifterna också från annat håll. Motsvarande bedömningar ska göras också efter att försäkringen har beviljats, till exempel i samband med avgörandet av enskilda ersättningsärenden. Också till denna del är praxis den att den försäkrade eller den ersättningssökande lämnar in en anmälan och redogörelse i fråga om försäkringsfallet och relevanta uppgifter om hälsotillstånd. Försäkringsanstalten ska utifrån denna redogörelse bedöma om det är nödvändigt att samla in uppgifter om hälsotillstånd från någon annan än den ersättningssökande eller den försäkrade själv. Insamlingen av uppgifter ska genomföras så att begärandena specificeras och avgränsas till att gälla endast det aktuella ärendet och endast till uppgifter som har faktisk betydelse för bedömningen eller utredningen av försäkringsanstaltens ansvar.
Förslaget motsvarar också dataombudsmannens samt förvaltningsdomstolens och högsta förvaltningsdomstolens avgörandepraxis. Dataombudsmannen har i sin avgörandepraxis (dataombudsmannens beslut 8.6.2022, diarienummer 7285/183/18) ägnat uppmärksamhet åt hur den personuppgiftsansvarige ska specificera och avgränsa sina begäranden om hälsouppgifter när uppgifter samlas in någon annanstans än hos den registrerade. När det bedöms vara nödvändigt att samla in uppgifter om hälsotillståndet annanstans än från den registrerade själv ska försäkringsanstalten specificera och avgränsa begäran om information att gälla ett visst ärende, ett visst fall, en viss sjukdom eller ett visst symptom som har faktisk betydelse för bedömningen av den personuppgiftsansvariges ansvar. Försäkringsanstalten ska också bedöma för vilken tidsperiod begäran om uppgifter om den registrerades hälsotillstånd från en hälso- och sjukvårdsenhet är nödvändig för bedömning eller utredning av den personuppgiftsansvariges ansvar samt utifrån det avgränsa för vilken tidsperiod uppgifter om den registrerades hälsotillstånd ska begäras av hälso- och sjukvårdsenheten. Försäkringsanstalten ska kunna bevisa att den av hälso- och sjukvårdsenheten bara begär sådana uppgifter om den registrerades hälsotillstånd som är nödvändiga för en bedömning eller utredning av anstaltens ansvar. När personuppgifter behandlas med stöd av den föreslagna bestämmelsen ska också den registrerades rättigheter enligt dataskyddsförordningen tillämpas på behandlingen. Helsingfors förvaltningsdomstol (beslut 117/2024, diarienummer 3457/03.04.04.04.01/2022 samt beslut 116/2024, diarienummer 3463/03.04.04.04.01/2022) har liksom dataombudsmannen ansett att den personuppgiftsansvarige med stöd av bestämmelserna i lagen om försäkringsavtal och dataskyddsförordningen ska göra en bedömning i fråga om den berörda tidsperioden samt specificera sin begäran till hälso- och sjukvårdsenheten så att den gäller ett visst ärende, ett visst fall, en viss sjukdom eller ett visst symtom som har faktisk betydelse för bedömningen av den personuppgiftsansvariges ansvar.
Även högsta förvaltningsdomstolen har bedömt nödvändighetskravet för begäranden om information och behovet av att specificera begäranden för avgörande av ett ersättningsärende som gäller trafikförsäkringar (KHO:2025:23). I fallet bedömdes försäkringsbolagets rätt att få uppgifter enligt 82 § i trafikförsäkringslagen (460/2016), även med beaktande av de allmänna principerna för behandling av personuppgifter i dataskyddsförordningen. Enligt högsta förvaltningsdomstolen ska både när patientuppgifter begärs och utlämnas både dataskyddsförordningens principer för behandling av personuppgifter och trafikförsäkringslagens krav på att uppgifterna ska vara nödvändiga iakttas. Detta förutsätter enligt förarbetena till trafikförsäkringslagen, EU-domstolens rättspraxis och grundlagsutskottets utlåtandepraxis att begäran om information ska motiveras och vara så avgränsad och tydlig som möjligt, så att också den som lämnar ut uppgifterna kan bedöma om förutsättningarna för utlämnande av uppgifter enligt dataskyddsförordningen och trafikförsäkringslagen uppfylls.
I den andra meningen i det föreslagna nya 3 mom. föreskrivs det om utplånande av de uppgifter som avses i 1 mom. 1 punkten. Uppgifterna i fråga ska utplånas omedelbart efter att de inte längre behövs för bedömning eller utredning av försäkringsanstaltens ansvar. I artikel 5.1 e i förordningen föreskrivs det om principen om lagringsminimering, enligt vilken personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt grundlagsutskottet bör bestämmelserna om behandling av känsliga uppgifter fortfarande analyseras också utifrån praxis för tidigare bestämmelser på lagnivå (GrUU 14/2018 rd och GrUU 15/2018 rd). Grundlagsutskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 15/2018 rd). Grundlagsutskottet har i fråga om informationsresursen inom småbarnspedagogiken i sitt utlåtande GrUU 17/2018 rd förutsatt att bestämmelserna om behandling av uppgifter om hälsotillstånd och andra känsliga personuppgifter är detaljerade och heltäckande, inom den ram som dataskyddsförordningen tillåter. Med beaktande av försäkringsverksamhetens natur är det inte med tanke på bedömningen och utredningen av en försäkringsanstalts ansvar möjligt att föreskriva om en uttrycklig lagrings- eller raderingstid. Med beaktande av principen om lagringsminimering i dataskyddsförordningen och grundlagsutskottets utlåtandepraxis behöver man dock föreskriva uttryckligen om radering av uppgifter och avgränsa lagringen till vad som är nödvändigt.
Enligt den tredje meningen i det föreslagna nya 3 mom. får uppgifter om hälsotillstånd som avses i 1 mom. 1 punkten inte behandlas för något annat ändamål än det som avses i punkten, om inte annat föreskrivs någon annanstans. Syftet med bestämmelsen är att säkerställa att den behandling som avses i 1 mom. 1 punkten avgränsas att gälla endast bedömning eller utredning av försäkringsanstaltens ansvar. Om försäkringsanstalten behandlar uppgifter om hälsotillståndet som avses i 1 mom. 1 punkten för andra ändamål, är behandlingen möjlig endast om det föreskrivs om den någon annanstans i lag.
Den föreslagna bestämmelsen behövs för att säkerställa att de bestämmelser i dataskyddslagen som gäller försäkringsanstalter överensstämmer med dataskyddsförordningen, med beaktande av förutom specialvillkoren i artikel 9 i dataskyddsförordningen i synnerhet principen om ändamålsbegränsning i artikel 5.1 b i förordningen. Enligt den principen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den föreslagna regleringen hindrar dock inte att försäkringsanstalter kan behandla sådana uppgifter om hälsotillstånd som avses i artikel 9.1 i dataskyddsförordningen också för andra ändamål, om det har föreskrivits om sådan behandling någon annanstans i lag i enlighet med specialvillkoren i dataskyddsförordningen.
Enligt den fjärde meningen i det nya 3 mom. ska försäkringsanstalter dessutom informera en försäkrad, en ersättningssökande, en försäkringssökande eller den som försäkringsskydd söks för om användningen av uppgifterna, ifall avslag på en försäkringsansökan, förvägran av försäkringsersättning eller ett annat negativt beslut beror på behandlingen av uppgifter som avses i artikel 9 i förordningen. Syftet med bestämmelsen är att säkerställa att den registrerade känner till det, om den behandling som avses i 1 mom. 1 punkten kan ha negativa konsekvenser för den försäkrade, ersättningssökanden, försäkringssökanden eller den som försäkringsskydd söks för.
När det gäller informationen till registrerade tillämpas dessutom vad som föreskrivs i artiklarna 13 och 14 i dataskyddsförordningen. Den personuppgiftsansvarige ska bland annat i enlighet med artikel 14.2 f i dataskyddsförordningen informera den registrerade om varifrån den registrerades personuppgifter kommer. Till exempel när uppgifter samlas in från någon annan än en person som avses i 6 § 1 mom. 1 punkten ska försäkringsanstalten underrätta personen om av vilka hälso- och sjukvårdsenheter försäkringsanstalten har fått uppgifterna i varje enskilt fall.
Tillsammans med den övriga försäkringslagstiftningen bedöms det nödvändighetskrav som föreslås i 1 mom. 1 punkten, den gällande paragrafens 2 mom. samt de skyddsåtgärder som föreslås i det nya 3 mom. bilda de lämpliga och särskilda skyddsåtgärder som förutsätts i artikel 9.2 g i dataskyddsförordningen. De särskilda skyddsåtgärder som gäller nödvändighet, insamling av uppgifter, utplånande av uppgifter, informerande av personen och användningsändamålen för uppgifterna anses också säkerställa att inskränkningar av principen om skydd för personuppgifter inte går utöver vad som är strikt nödvändigt och att det i dataskyddslagen på det sätt som EU-domstolen förutsätter föreskrivs tillräckligt exakt om begränsningar i skyddet för personuppgifter (se till exempel C-439/19, punkt 110 och där angiven rättspraxis). Förslaget bedöms till denna del uppfylla kraven i dataskyddsförordningen på att regleringen ska uppfylla ett mål av allmänt intresse och proportionalitet samt kraven i artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna på att begränsningarna ska vara proportionella och nödvändiga.
7 §. Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. I paragrafen föreskrivs det om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott eller skyddsåtgärder som hänför sig till dem. Regleringen i paragrafen grundar sig på det nationella handlingsutrymme som artikel 10 i dataskyddsförordningen medger. Behandling av de uppgifter som avses i artikeln kan tillåtas enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. En sådan behandling ska ha en rättslig grund enligt artikel 6.1.
I den gällande paragrafen föreskrivs det om rätten att behandla uppgifter som avses i artikel 10 om behandlingen behövs för fastställande, utövande, försvar eller avgörande av rättsliga anspråk. I paragrafen föreskrivs det också om rätten att behandla de uppgifter som avses i paragrafen för syften som anges i 6 § 1 mom. 1, 2 eller 7 punkten.
Det föreslås att 1 mom. i paragrafen ändras så att hänvisningarna till 6 § 1 mom. 1, 2 och 7 punkten stryks och det till paragrafens 1 mom. fogas egna särskilda punkter för respektive fall av behandling av uppgifter. Det är till denna del fråga om en teknisk ändring.
Det föreslås att 1 mom. 2 punkten ändras så att det i punkten föreskrivs om försäkringsanstaltens rätt att behandla uppgifter som avses i artikel 10 i dataskyddsförordningen, om behandlingen är nödvändig när en försäkringsanstalt behandlar uppgifter som anstalten i försäkringsverksamheten fått om en försäkrad, en ersättningssökande, en försäkringssökande eller den som försäkringsskydd söks för, i syfte att bedöma eller utreda försäkringsanstaltens ansvar. Det föreslås alltså att det görs motsvarande ändringar i bestämmelsen som i 6 § 1 mom. 1 punkten i lagen. I propositionen utvidgas försäkringsanstaltens rätt att behandla personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott i fråga om inte bara den försäkrade och den som söker ersättning, utan också i fråga om den som ansöker om försäkring och den för vilken försäkringsskydd söks.
På motsvarande sätt som i fråga om uppgifter om hälsotillstånd har försäkringsanstalten behov att behandla uppgifter som avses i artikel 10 i dataskyddsförordningen innan och efter ett försäkringsavtal ingås i syfte att bedöma eller utreda anstaltens ansvar. Behovet gäller både lagstadgade och frivilliga försäkringar. När det gäller lagstadgade försäkringar gäller behovet bland annat trafikförsäkringar och arbetsolycksfalls- och yrkesförsäkringar. Till exempel i samband med behandling av ersättning för trafikskador ska försäkringsbolaget med stöd av trafikförsäkringslagen vid krockskador avgöra från vilket fordons försäkring skadorna ska betalas, det vill säga vilken förares oaktsamhet har föranlett skadan. I samband med behandling av ersättning för trafikskador får försäkringsbolaget därför uppgifter om trafikbrott. På motsvarande sätt får man i samband med behandlingen av ersättning uppgifter om brott inom också andra försäkringsgrenar. När det gäller frivilliga försäkringar kan försäkringsanstalterna behöva behandla uppgifterna i fråga bland annat för beviljande av brandförsäkringar, hemförsäkringar, företagsförsäkringar, fastighetsförsäkringar, gårdsförsäkringar, brottsförsäkringar och rättsskyddsförsäkringar eller för utredning av ersättningsfrågor som gäller dem. I fråga om frivilliga försäkringar hänför sig behovet av uppgifter enligt artikel 10 vanligen till ansökningar om ersättning, men behovet att behandla sådana uppgifter kan från fall till fall också förekomma redan när försäkring eller försäkringsskydd söks. Till exempel brottsförsäkringar har tecknats uttryckligen mot brott. Om skadan i sådana här fall föranleds av ett brott för vilket försäkringen har tecknats är det nödvändigt att behandla den information som avses i paragrafen för att bedöma eller utreda försäkringsanstaltens ansvar. I fråga om skador som omfattas av en ansvarsförsäkring hänför sig behovet att behandla uppgifter enligt artikel 10 i förordningen bland annat till fall av försummelse av arbetarskyddsbestämmelser. I alla dessa situationer utgör behandlingen av uppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott en vanlig del av försäkringsbolagens ersättningsverksamhet. Uppgifter om brott samlas i varje skadefalls bakgrundsinformation, dvs. som en del av ersättningsverksamhetens register.
Det föreslås att det i bestämmelsen preciseras att behandlingen ska avgränsas till vad som är nödvändigt för bedömning eller utredning av försäkringsanstaltens ansvar. Nödvändighetskravet grundar sig på grundlagsutskottets utlåtandepraxis (GrUU 14/2018 rd) och på EU-domstolens rättspraxis (se närmare information i avsnitt 4.2.4). Nödvändighetskravet är dessutom en sådan skyddsåtgärd som förutsätts i artikel 10 i dataskyddsförordningen. Genom nödvändighetskravet säkerställer man dessutom att den nationella regleringen står i proportion till det eftersträvade syftet på det sätt som förutsätts i dataskyddsförordningen. Enligt den gällande paragrafens 2 mom. ska försäkringsanstalter vidta lämpliga och särskilda åtgärder enligt 2 mom. för att skydda den registrerades rättigheter. I det momentet finns en bestämmelse som hänvisar till 6 § 2 mom. i lagen. Med beaktande av de risker som behandlingen av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott medför föreslås i propositionen också andra kompletterande skyddsåtgärder, om vilka det föreskrivs i det föreslagna nya 3 mom.
Det föreslås att det till 1 mom. i paragrafen fogas en ny 3 punkt, enligt vilken de uppgifter som avses i paragrafen får behandlas, om behandlingen regleras i lag eller är nödvändig för utförandet av en uppgift som har ålagts den personuppgiftsansvarige i lag. Bestämmelsen motsvarar i hög grad den gällande 1 mom. 2 punkten, där det finns en hänvisning till 6 § 1 mom. 2 punkten i lagen.
På motsvarande sätt som i 6 § 1 mom. 2 punkten tillåter den gällande 7 § 1 mom. 2 punkten behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott när det särskilt föreskrivs om det i lag. Till denna del föreslås inga ändringar i denna proposition. Den gällande bestämmelsen tillåter dessutom behandling av personuppgifter också i situationer där behandlingen av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott föranleds av en uppgift som direkt i lag ålagts den personuppgiftsansvarige i lag. Det föreslås att den gällande bestämmelsen preciseras på motsvarande sätt som i 6 § 1 mom. 2 punkten, med beaktande av de oklarheter som är förenade med den nuvarande formuleringen och begreppen i ordalydelsen i artikel 9.2 g i dataskyddsförordningen. Enligt den föreslagna nya 3 punkten får personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott i fortsättningen behandlas, om behandlingen uttryckligen regleras i lag eller om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift som gäller ett allmänt intresse och som direkt har ålagts den personuppgiftsansvarige i lag. Uppgifter som gäller allmänna intressen beskrivs närmare i avsnitt 2.4.2.
På motsvarande sätt som i 6 § 1 mom. 2 punkten föreslås det att också behandlingen av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott i den nya 3 punkten ska bindas till ett nödvändighetskrav. Det är motiverat att binda bestämmelsen till nödvändighetskravet framför allt av den orsaken att den behandling som avses i den gällande bestämmelsen ger den personuppgiftsansvarige en rimlig prövningsmarginal för att bedöma vilka i paragrafen avsedda uppgifter som får behandlas (och i vilken omfattning) för utförande av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Enligt grundlagsutskottets utlåtandepraxis är de uppgifter som avses i paragrafen till sin natur också känsliga. Den föreslagna avgränsningen till vad som är nödvändigt baserar sig sålunda också på grundlagsutskottets ovan nämnda utlåtandepraxis i fråga om behandling av känsliga personuppgifter (GrUU 14/2018 rd) och på EU-domstolens rättspraxis (se närmare information i avsnitt 4.2.4). Bedömningen av nödvändighetskravet förutsätter att den personuppgiftsansvarige gör en bedömning i varje enskilt fall för att försäkra sig om att de uppgifter som avses i paragrafen behandlas bara till de delar och i den omfattning som är nödvändigt i respektive enskilda behandlingssituation.
Nödvändighetskravet är samtidigt också en skyddsåtgärd som förutsätts i artikel 10 i dataskyddsförordningen och bidrar också till att säkerställa att bestämmelserna i dataskyddslagen är proportionella på det sätt som förutsätts i förordningen. Den personuppgiftsansvarige ska i fortsättningen utöver det nödvändighetskrav som föreslås i bestämmelsen också iaktta de skyddsåtgärder som det föreskrivs om i 2 mom. i paragrafen. När personuppgifter behandlas med stöd av den föreslagna bestämmelsen ska också den registrerades rättigheter enligt dataskyddsförordningen tillämpas på behandlingen.
Det föreslås att det till 1 mom. i paragrafen fogas en ny 4 punkt, enligt vilken uppgifter som avses i paragrafen får behandlas om behandlingen behövs för behandling av uppgifter för vetenskaplig eller historisk forskning eller för statistikföring. Bestämmelsen motsvarar den hänvisning till 6 § 1 mom. 7 punkten som ingår i 1 mom. 2 punkten i den gällande paragrafen. I bestämmelsen preciseras det dock att behandlingen ska behövas för vetenskaplig eller historisk forskning eller för statistikföring. Den föreslagna preciseringen behövs för att säkerställa att bestämmelsen motsvarar de allmänna principer för behandlingen som avses i artikel 5.1 i dataskyddsförordningen. Vid sådan behandling av personuppgifter som avses i bestämmelsen ska lämpliga och särskilda skyddsåtgärder enligt 2 mom. i paragrafen iakttas.
Det föreslås dessutom att det till paragrafen fogas ett nytt 3 mom., där det hänvisas till 6 § 3 mom. i lagen. I det föreslagna nya 6 § 3 mom. föreskrivs det om kompletterande skyddsåtgärder som gäller behandling av personuppgifter vid försäkringsanstalter. Enligt det föreslagna nya 3 mom. ska vad som i 6 § 3 mom. föreskrivs om åtgärder för att skydda rättigheterna för en försäkrad, en ersättningssökande, en försäkringssökande eller den som försäkringsskydd söks för, tillämpas även vid behandling av personuppgifter som avses i 1 mom. 2 punkten i denna paragraf. Försäkringsanstalten ska således i första hand samla in de uppgifter som avses i 1 mom. 2 punkten i denna paragraf av personen själv när det gäller personer som avses i den punkten samt från fall till fall bedöma huruvida det är nödvändigt att samla in dessa uppgifter av någon annan än personen själv. Bedömning av nödvändigheten från fall till fall ska göras separat och både innan försäkringen beviljas och efter att den beviljats. När uppgifter samlas in från någon annan än personen själv ska framför allt dataombudsmannens och förvaltningsdomstolarnas avgörandepraxis, vilka har behandlats ovan, beaktas (se detaljmotiveringen till det föreslagna 6 § 3 mom. i dataskyddslagen).
Försäkringsanstalten ska utplåna uppgifter som avses i artikel 10 i dataskyddsförordningen så snart de inte längre behövs för bedömning eller utredning av försäkringsanstaltens ansvar. Försäkringsanstalten får inte heller behandla de uppgifter som avses i punkten för något annat ändamål än det som avses i punkten, om inte annat föreskrivs någon annanstans. Den föreslagna bestämmelsen hindrar inte att uppgifter som avses i artikel 10 i dataskyddsförordningen behandlas för andra ändamål, men förutsätter att det har föreskrivits någon annanstans om den behandlingen. Enligt artikel 10 i dataskyddsförordningen får personuppgifter som avses i den artikeln behandlas med stöd av artikel 6.1 i förordningen under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Till exempel i 30 kap. 3 a § i lagen om försäkringsbolag (521/2008, ändrad genom lag 257/2020) föreskrivs det om försäkringsbolags rätt att behandla uppgifter om brott och brottsmisstankar och registrera uppgifter om brott mot dess försäkringsverksamhet samt misstankar om sådana brott i ett missbruksregister som försäkringsbolaget för (se RP 87/2019 rd). Den reglering som föreslås i propositionen inverkar inte på regleringen enligt den nämnda lagen om försäkringsbolag.
Försäkringsanstalten ska dessutom informera en försäkrad, en ersättningssökande, en försäkringssökande eller den som försäkringsskydd söks för om användningen av uppgifterna, ifall avslag på en försäkringsansökan, förvägran av försäkringsersättning eller ett annat negativt beslut beror på behandlingen av uppgifter som avses i artikel 10 i förordningen. När det gäller informationen till registrerade tillämpas dessutom vad som föreskrivs i artiklarna 13 och 14 i dataskyddsförordningen. Dataskyddsförordningen förutsätter bland annat att den personuppgiftsansvarige informerar den registrerade om varifrån den registrerades uppgifter kommer (artikel 14.2 f).
De skyddsåtgärder som föreslås i det nya 3 mom. kompletterar vad som i det gällande 2 mom. föreskrivs om sådana lämpliga och särskilda skyddsåtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet ska vidta. Försäkringsanstalter ska sålunda i fortsättningen vidta de skyddsåtgärder som det föreskrivs om i paragrafens 2 och 3 mom.
Bestämmelserna i paragrafen och de ändringar som nu föreslås i den baserar sig på det handlingsutrymme som ingår i artikel 10 i dataskyddsförordningen. Genom de ändringar som föreslås i paragrafen säkerställer man att regleringen uppfyller de krav på allmänt intresse och på proportionalitet som ingår i dataskyddsförordningen och innehåller lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter och friheter. När det gäller försäkringsanstalter bedöms det i 1 mom. 2 punkten föreslagna nödvändighetskravet, den gällande paragrafens 2 mom. samt de skyddsåtgärder som föreslås i det nya 3 mom. tillsammans med den övriga försäkringslagstiftningen bilda de lämpliga och tillräckliga skyddsåtgärder som förutsätts i artikel 10 i dataskyddsförordningen. Förslaget bedöms också till övriga delar uppfylla kraven i dataskyddsförordningen vad gäller allmänt intresse och proportionalitet samt säkerställa att ingripandet i skyddet för personuppgifter genomförs inom ramen för vad som är absolut nödvändigt på det sätt som förutsätts i artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna.
14 §. Dataombudsmannens uppgifter och befogenheter. I paragrafen föreskrivs det om dataombudsmannens uppgifter och befogenheter. Enligt 4 mom. i den gällande paragrafen ackrediterar dataombudsmannen det certifieringsorgan som avses i artikel 43 i dataskyddsförordningen. I propositionen föreslås det att det nationella ackrediteringsorganet i fortsättningen ska bevilja ackreditering av certifieringsorgan. Därför föreslås det att 4 mom. i paragrafen upphävs. Bestämmelser om ackreditering av certifieringsorgan föreslås i den nya 36 a §.
36 a §. Ackreditering av certifieringsorgan. En ny paragraf föreslås i dataskyddslagen, där det föreskrivs om ackreditering som utförs av det nationella ackrediteringsorganet. Enligt artikel 43.1 i dataskyddsförordningen kan medlemsstaterna föreskriva att det nationella ackrediteringsorgan som avses i ackrediteringsförordningen ackrediterar certifieringsorgan i enlighet med standarden EN-ISO/IEC 17065/2012 och med de ytterligare krav som fastställts av den behöriga tillsynsmyndigheten.
Enligt 1 mom. i den föreslagna nya paragrafen beviljas ackrediteringen i fortsättningen av det nationella ackrediteringsorganet. Enligt 2 a § 1 mom. i lagen om Säkerhets- och kemikalieverket (1261/2010) sköts de uppgifter som ansluter sig till ackrediteringssystemet av Säkerhets- och kemikalieverkets ackrediteringsenhet (Ackrediteringstjänsten FINAS) i egenskap av nationellt ackrediteringsorgan. Ackrediteringstjänsten FINAS är det nationella ackrediteringsorgan som utsetts i enlighet med ackrediteringsförordningen, varför det i momentet avsedda nationella ackrediteringsorganet entydigt hänvisar till Ackrediteringstjänsten FINAS (nedan FINAS). I och med den nya 36 a § som föreslås i dataskyddslagen föreslås det att gällande 14 § 4 mom. upphävs.
Enligt den första meningen i 2 mom. i den föreslagna paragrafen är teknisk sakkunnig vid ackrediteringen i första hand dataombudsmannen och i andra hand en sakkunnig som utsetts av det nationella ackrediteringsorganet. Med teknisk sakkunnig avses en bedömare som deltar i ackrediteringsförfarandet och som har särskild sakkunskap inom det kompetensområde som bedömningen gäller, i detta fall kraven på dataskydd. Dataombudsmannens roll är att bedöma om dataskyddskraven uppfylls i den verksamhet som bedrivs av den som ansökt om ackreditering. Den föreslagna uppgiftsfördelningen mellan dataombudsmannen och FINAS är ändamålsenlig. Vid ackrediteringen kan man dra nytta av FINAS etablerade förfaringssätt, erfarenhet och sakkunnighet som nationellt ackrediteringsorgan. Då behöver en egen ackrediteringsenhet inte inrättas vid dataombudsmannens byrå, och sådana övergripande specialkunskaper som hänför sig till ackrediteringsförfarandet behöver inte upprätthållas där. Dataombudsmannen får koncentrera sig på sin roll som teknisk sakkunnig i fråga om dataskydd vid ackrediteringen. FINAS och dataombudsmannen avtalar skriftligen närmare om förfarandesätten och samarbetet i praktiken. Tillsammans kommer de till exempel överens om den tid som ska reserveras för utnämnandet av en teknisk sakkunnig.
Enligt förslaget ska dataombudsmannen delta som opartisk teknisk sakkunnig i ackrediteringsförfarandet och anvisa behövliga personalresurser för detta. Dataombudsmannen har fortfarande rollen som tillsynsmyndighet för dataskyddet och den föreslagna nya 36 a § begränsar inte de befogenheter som föreskrivs för dataombudsmannen i dataskyddsförordningen, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018).
I den andra meningen i paragrafens 2 mom. föreslås bestämmelser om det utlåtandeförfarande som tillämpas om en sakkunnig som utnämnts av FINAS är teknisk sakkunnig vid ett ackrediteringsförfarande i stället för dataombudsmannen. I ett sådant fall ska dataombudsmannen före beviljandet av ackreditering ges tillfälle att uttala sig om uppfyllandet av de förutsättningar som gäller dataskydd och som avses i artikel 43.2 och 43.3 i dataskyddsförordningen. Det är ändamålsenligt att dataombudsmannens uttalande i sådana fall bara gäller huruvida förutsättningarna i dataskyddsförordningen uppfylls i fråga om dataskyddet. FINAS bedömer i sin tur huruvida de mer allmänna kraven, såsom kraven på ledningssystemet, uppfylls. Syftet med regleringen är att säkerställa en jämlik behandling av dem som ansöker om ackreditering också i fall där dataombudsmannen av resursskäl inte har möjlighet att vara teknisk sakkunnig vid ackrediteringsförfarandet. Den som utför den tekniska bedömningen är dock i enlighet med 2 mom. 1 meningen i första hand en företrädare för dataombudsmannen.
Ackrediteringsorganets kravstandard ISO/IEC 17011:2017 förutsätter att ackrediteringsorganet utser en bedömningsgrupp för ackrediteringsförfarandet, där det finns en bedömningsledare och ett behövligt antal tekniska bedömare eller tekniska sakkunniga eller båda dessa. FINAS har på det sätt som standarden kräver dokumenterade förfaranden för dokumentering av kompetenskraven och prestationsbedömningen för dem som deltar i bedömnings- och ackrediteringsverksamheten. FINAS bedömningsledare är tjänstemän och handlar under tjänsteansvar. Standarden ISO/IEC 17011:2017 förutsätter dock inte att de tekniska bedömarna och tekniska sakkunniga ska vara anställda vid det nationella ackrediteringsorganet. FINAS kan alltså vid bedömningen av förutsättningarna för den ackreditering som avses i dataskyddsförordningen använda också utomstående sakkunniga som är ojäviga och har tillräcklig kompetens och tillräckliga kunskaper och färdigheter för uppgiften. FINAS fattar beslut om de sakkunnigas lämplighet och de sakkunniga förbinder sig dessutom genom avtal att iaktta kraven i förvaltningslagen (434/2003) samt bestämmelserna om sekretess, tystnadsplikt och förbud mot utnyttjande i lagen om offentlighet i myndigheternas verksamhet (621/1999).
Till övriga delar tillämpas vid ackrediteringsförfarandet vad som i dataskyddsförordningen, ackrediteringsförordningen och ackrediteringslagen samt förvaltningslagen föreskrivs om förvaltningsförfarandet, förutsättningarna för ackreditering samt uppföljning, påföljder och ändringssökande som hänför sig till ackreditering.
Enligt det föreslagna 3 mom. ska det nationella ackrediteringsorganet bestämma och ta ut avgifter till staten för de kostnader som föranletts av ackrediteringen. Det nationella ackrediteringsorganet ska i enlighet med ackrediteringsförordningen och ISO/IEC 17011-standarden vara en självständig och oberoende enhet i sin moderorganisation, även när det gäller fastställande av avgifter. Priset på det sakkunnigarbete som krävs för behandlingen av en ackrediteringsansökan bestäms med stöd av de vid respektive tidpunkt gällande förordningarna om Säkerhets- och kemikalieverkets och dataombudsmannens byrås avgiftsbelagda prestationer. FINAS ska till dataombudsmannen redovisa ersättningen för kostnaderna för det arbete som utförts av de tekniska sakkunniga som deltagit i ett ackrediteringsförfarande och eventuella resekostnader och andra kostnader, till exempel dagpenningar.