Överenskommelse om EU:s uppgiftsskyddsreform

Reformen består av den allmänna uppgiftsskyddsförordningen och uppgiftsskyddsdirektivet som tillämpas av lagövervakningsmyndigheterna och de rättsliga myndigheterna för att förebygga, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder. Båda börjar tillämpas år 2018.

Det är nödvändigt att reformera och modernisera lagstiftningen som gäller skydd av personuppgifter, eftersom man till följd av den tekniska utvecklingen och globaliseringen samlar in allt större mängder av personuppgifter. Genom att trygga ett högklassigt uppgiftsskydd kan man förbättra förtroendet för elektroniska tjänster och utveckla EU:s digitala inre marknad.

Uppgiftsskyddsförordningen gäller hanteringen av medborgarnas personuppgifter. En enhetlig EU-lagstiftning om personuppgifter stödjer den gränsöverskridande handeln. Det är lättare för medborgare att lita på till exempel nätbutiker när de vet att deras personuppgifter hanteras på ett behörigt sätt i samband med transaktionen.

Uppgiftsskyddsförordningens definition av rättigheterna för den registrerade motsvarar till stora delar den nuvarande lagstiftningen. Enskilda personer har också i fortsättningen rätt att till exempel kontrollera uppgifter om sig själv. Den registeransvarige är redan för närvarande skyldig att rätta felaktiga uppgifter och utplåna en personuppgift som är till exempel onödig eller föråldrad ("rätt att bli bortglömd"). Den enskildes rätt att få sina uppgifter borttagna tillämpas dock inte på lagstadgade register.

Genom förordningen skapas även nya rättigheter som syftar till att modernisera regleringen så att den motsvarar den tekniska utvecklingen. Den registrerade kan begära att få sina personuppgifter i elektronisk form och det blir lättare för honom eller henne att överföra de uppgifter som han eller hon själv tillhandahållit från ett system till ett annat. Överföringsrätten tillämpas inte på den offentliga sektorn.

Förordningen begränsar behandlingen av personuppgifter som rör ett barn utan föräldrarnas samtycke. Barn under 16 år får därmed inte använda t.ex. sociala mediers tjänster utan sina föräldrars samtycke. Medlemsstaten kan också föreskriva om en lägre åldersgräns och den lägsta möjliga åldersgränsen är 13 år.

För Finland har det varit viktigt att man inom ramen för uppgiftsskyddsförordningen kan fortsätta biobanksverksamheten, lönestatistikföringen och släktforskningen i sina nuvarande former. Därtill har Finland arbetat för att i synnerhet tillgången till handlingar beaktas i förordningen. I förordningen har i detta syfte tagits in en artikel som gör det möjligt att förena offentlighetslagen med uppgiftsskyddsförordningen. På så sätt är det möjligt att upprätthålla förvaltningens öppenhet och tillgången till handlingar i Finland.

Finland har i förhandlingarna strävat efter att se till att kraven som ställs i förordningen inte orsakar oskäliga kostnader för registeransvariga, det vill säga företag eller samfund.

Dataombudsmannen får nya uppgifter

I Finland är dataombudsmannens byrå den myndighet till vars uppgifter det hör att bl.a. övervaka tillämpningen av förordningen. Dataombudsmannan bedömer att de nya uppgifterna ökar byråns resursbehov med cirka 5 - 7,5 årsverken.

Dataskyddsmyndigheten kan utfärda böter till den registeransvarige. Överträdelserna för vilka det kan utfärdas sanktioner har indelats i tre klasser i vilka de föreskrivna bötesbeloppen kan uppgå till högst 10 miljoner euro eller till 20 miljoner euro. Bötesbeloppet kan också fastställa på grundval av den årliga omsättningen. Utöver böter kan myndigheterna också använda lindrigare påföljder, såsom varningar.

Såväl kostnader som nyttor för företagen

Reformen medför nya kostnader för finländska företag bland annat till följd av skyldigheten att utnämna ett uppgiftsskyddsombud och skyldigheten att anmäla personuppgiftsbrott. Till exempel apoteker och företag inom hälsovårdsområdet är redan nu skyldiga att utnämna ett uppgiftsskyddsombud.

Ett företag som bedriver verksamhet i fler än en EU-medlemsstat måste för närvarande utreda de olika staternas uppgiftsskyddsbestämmelser skilt. I och med införandet av principen om enda kontaktpunkt ska ett sådant företag sköta all kontakt via en dataskyddsmyndighet. Detta minskar kostnaderna jämfört med nuläget. Om digitaliseringen framskrider enligt reformens målsättningar, innebär detta en betydande ekonomisk nytta för företagen.

För att säkerställa en enhetlig tillämpning av EU:s dataskyddslagstiftning inrättas det en Europeisk dataskyddsstyrelse. Den kan fatta bindande beslut i ärenden som gäller behandlingen av personuppgifter inom ett område som omfatta fler än en medlemsstat.

Uppgiftsskyddsförordningen upphäver EU:s nuvarande personuppgiftsdirektiv och blir direkt tillämplig i Finland. Uppgiftsskyddsförordningen förutsätter dock även lagstiftningsåtgärder i Finland, eftersom medlemsstaterna kan utfärda lagstiftningen som preciserar förordningen, speciellt inom den offentliga sektorn. Reformen innebär nya kostnader även för den offentliga förvaltningen bl.a. i samband med utnämning av ett uppgiftsskyddsombud.

Direktivet om uppgiftsskydd är till många delar enhetlig med uppgiftsskyddsförordningen. I direktivet ingår dock bestämmelser som avviker från uppgiftsskyddsförordningen och som har ansetts vara nödvändiga för att beakta de specifika behoven inom området för polis- och straffrättsligt samarbete. Uppgiftsskyddsdirektivet ersätter det nuvarande dataskyddsrambeslutet. Uppgiftsskyddsdirektivet ska genomföras nationellt

Ytterligare upplysningar:
specialsakkunnig i EU-ärenden Anu Talus (uppgiftsskyddsförordningen), tfn 02951 50586,
konsultativ tjänsteman Leena Rantalankila (uppgiftsskyddsdirektivet), tfn 02951 50152