För registeransvariga

Om den registeransvariges rätt att insamla och lagra, använda och på annat sätt behandla personuppgifter stadgas med lag. De allmänna bestämmelserna finns i personuppgiftslagen, men också i andra lagar ingår bestämmelser som gäller behandlingen av personuppgifter.

På de här sidorna berättas om de allmänna förutsättningarna för behandling av personuppgifter och om personuppgiftslagens betydelse vid behandling av personuppgifter.

Dessutom finner du på dessa sidor information om olika ämnen, och nere på denna sida en förteckning över länkar till styrnings- och annat material på våra sidor.

• Bakgrund till personuppgiftslagen
  
• Betydelsen av andra lagar vid behandling av personuppgifter
  
• Personuppgiftslagens tillämpningsområde
  
• Personuppgiftslagen som styrmedel för behandlingen
  
• Definiering av användningsändamålet och planering av behandlingen
  
• När får personuppgifter behandlas
  
• Hurudana personuppgifter får behandlas
  
• Vilka allmänna förpliktelser bör beaktas vid behandlingen och planeringen av behandlingen
  
• Hur beaktas den registrerades rättigheter
  
• Anmälningsplikt
  
• Systemet för övervakning av personuppgiftslagen och sanktioner
  

1. BAKGRUND TILL PERSONUPPGIFTSLAGEN

Om skyddet för medborgarnas privatliv och integritet har i Finland stadgats första gången med personregisterlagen, som trädde i kraft 1.1.1988. Personregisterlagen ersattes från 1.6.1999 av personuppgiftslagen. Med personuppgiftslagen försattes också bestämmelserna i Europeiska unionens personuppgiftsdirektiv i kraft. Rätten till skydd för privatlivet stadgades som en grundläggande rättighet från 1.8.1995. Med personuppgiftslagen fullgjordes också den av grundlagen förutsatta förpliktelsen att stifta lag.

Syftet med stiftandet av personuppgiftslagen har varit särskilt att avvärja de risker som är förknippade med datateknik och användningen av ny teknologi. Därför är det särskilt viktigt att beakta lagens förpliktelser och i synnerhet kravet på planmässighet när personuppgifterna avses att genomföras eller genomförs med hjälp av automatisk databehandling.

Betydelsen av personuppgiftslagens bestämmelser för åstadkommande av god databehandling och god informationshantering har accentuerats an efter som behandlingen av personuppgifter har övergått till att ske med automatisk databehandling, och uppgifter allt mera behandlas på nätet.

2. BETYDELSEN AV ANDRA LAGAR VID BEHANDLING AV PERSONUPPGIFTER

Som egentliga lagar om dataskydd kan betraktas också lagen om integritetsskydd i arbetslivet samt lagen om dataskydd vid elektronisk kommunikation. Lagarna tillämpas i enlighet med sina tillämpningsområden som primära och kompletterande i förhållande till personuppgiftslagen. Lagen om offentlighet i myndigheternas verksamhet tillämpas, när personuppgifter lämnas ut ur myndigheternas register

Bestämmelser som gäller behandlingen av personuppgifter ingår också i andra lagar. Dessa specialstadganden tillämpas primärt i förhållande till personuppgiftslagen. De allmänna förpliktelserna i personuppgiftslagen skall emellertid alltid uppfyllas, emedan dessa bestämmelser inte ingår i annan lagstiftning.

Ytterligare information, se "Lagar"

3. PERSONUPPGIFTSLAGENS TILLÄMPNINGSOMRÅDE

Personuppgiftslagen är således den grundläggande lagen om behandling av personuppgifter (generell lag). Dess bestämmelser bör alltid beaktas när personuppgifter behandlas med automatisk databehandling och även vid annan behandling av personuppgifter, när personuppgifterna bildar eller de är avsedda att bilda ett personregister eller en del av ett register.

Lagens bestämmelser tillämpas på all behandling. Med behandling av personuppgifter avses insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna.

Lagen tillämpas emellertid inte på behandling av personuppgifter som en fysisk person utför enbart för personliga eller med dem jämförbara sedvanliga privata ändamål, inte heller huvudtagligen på behandling av personuppgifter för redaktionella syften eller för syften som avser konstnärlig och litterär framställning.

Personuppgiftslagen tillämpas på sådan behandling av personuppgifter, där den registeransvariges verksamhetsställe finns på finländskt territorium eller annars omfattas av finländsk jurisdiktion, samt i situationer vilka anges i vissa andra särskilt stiftade lagar.

4. PERSONUPPGIFTSLAGEN SOM STYRMEDEL FÖR BEHANDLINGEN

I personuppgiftslagen stadgas om :

• de allmänna förutsättningarna för behandling av personuppgifter (När får personuppgifter behandlas)
  
• de allmänna förpliktelser som alltid bör iakttas vid all behandling av personuppgifter
  
• de registrerades rättigheter vid behandlingen av deras personuppgifter
  
• systemet för övervakning av lagen samt
  
• sanktioner och påföljder som kan följa av behandling som strider mot personuppgiftslagen. Till en del ingår sanktionerna i strafflagen.
  
  

Med personuppgiftslagen har eftersträvats en lösningsmodell som skapar balans mellan integritetsskyddet och de övriga intressen som anknyter till behandlingen av personuppgifter. Bl.a. det lagstadgade krav på behövlighet och felfrihet som omfattar samtliga skeden av behandlingen av personuppgifter förverkligar för sin egen del också kraven på funktionalitet och god informationshantering.

Att trygga de registrerades integritet, intressen och rättigheter är således inte en separat skyldighet. Integritetsskyddet ingår som en väsentlig del i de operativa lösningarna och i planeringen av verksamheter och informationssystem.

Att beakta de registrerades, t.ex. en kunds, integritetsskydd och informera om hans rättigheter ökar förtroendet mellan den registeransvarige och den registrerade och främjar sålunda också verksamhetsmålen. Sätten att uppnå den registeransvariges verksamhetsmål och målsättningarna för integritetsskyddet är i stor utsträckning sammanfallande.

5. DEFINIERING AV ANVÄNDNINGSÄNDAMÅLET OCH PLANERING AV BEHANDLINGEN

Ett centralt krav i tillämpningen av personuppgiftslagen innebär att definiera ändamålet med behandlingen av personuppgifter. Ändamålet med behandlingen av personuppgifter bör definieras så, att av detta framgår, för vilka slag av åligganden som den registeransvarige sköter personuppgifterna behandlas.

Endast på basis av denna definiering kan bedömas, vilka som är från ändamålets synpunkt behövliga och felfria personuppgifter. Inte ens med den registrerades samtycke får från användningsändamålets synpunkt onödiga personuppgifter insamlas eller på annat sätt behandlas.

Med personregister avses enligt definitionen i personuppgiftslagen en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader.

Vad lagen definierar som personregister är således ett s.k. logiskt personregister. Till samma logiska register hör både de med automatisk databehandling upprätthållna delarna och de manuellt upprätthållna delarna, om uppgifterna används av den registeransvarige för skötseln av samma åliggande.

Bland de i lagen avsedda behandlingsändamålen (användningsändamålen) kan som exempel nämnas:

• Hos varje arbetsgivare uppkommer personregister, å ena sidan för skötseln av arbetsavtalsförhållandet, och skilt för valet av arbetstagare (olika register uppkommer vid olika anställningsprocesser)
• Vid en verksamhetsenhet inom hälsovården, t.ex. en hälsocentral, uppkommer ett personregister för vården av patienterna (patientregister).
• Inom socialvården uppkommer olika personregister vid skötseln av socialväsendets lagstadgade åligganden (t.ex. vid skötseln av utkomststödärenden, vid skötseln av i barnskyddslagen stadgade åligganden, för ordnande och genomförande av dagvården, för uppfostrings- och familjerådgivning m.m).
• Hos ett företag uppkommer ett personregister vid skötseln av varje kundförhållande av olika typ som anknyter till dess bransch

De personuppgifter som samlas in för något visst ändamål hör till samma logiska personregister som upprätthålls av den registeransvarige, oberoende av om uppgifterna upprätthålls med hjälp av adb eller manuellt. Ofta uppkommer ett för något visst användningsändamål upprättat personregister av inom skilda delfunktioner bildade delregister, och/eller av olika verksamhetsställens delregister (t.ex. inom den kommunala dagvården uppkommer åtminstone ett delregister över ansökningsförfarandena och register över de skilda daghemmen).

Ett annat centralt krav med tanke på lagens målsättning att uppnå en god databehandling och informationshantering är:

• att utgående från verksamhetens behov planera behandlingen av personuppgifter, med därtill hörande förfaringssätt och tekniska lösningar i fråga om alla skeden av behandlingen av personuppgifter, dvs. från insamlande och lagring av personuppgifter ända till utlämnande och förvaring av personuppgifterna.

Som resultat av planeringen uppgörs ??ifge?? samt utvärderas den planerade behandlingens lagenlighet med hänsyn till personuppgiftslagens bestämmelser och eventuella specialstadganden. I samband med planeringen är det också skäl att göra en kartläggning av dataskyddsriskerna.

Planeringen av behandlingen av personuppgifter bör genomföras på basis av den definierade logiska helheten. I annat fall är det inte möjligt att förverkliga den målsatta goda informationshanteringen.

Ifall ett företag, ett ämbetsverk eller en inrättning som registeransvarig för egen räkning anskaffar eller planerar t.ex. databehandlingstjänster av utomstående serviceleverantörer (på basis av ett uppdragsavtal), är det uppdragsgivaren som bär ansvaret för behandlingen av personuppgifterna. Sådan behandling bör, i likhet med parternas åligganden och ansvar, inkluderas i den plan som gäller behandlingen av personuppgifter.

Uppdragsgivarens ansvar bestäms på basis av det uppdragsavtal som ingås om saken. Också avtalet kan endast ingås på grundvalen av ett adekvat planerings- och analysarbete. Det är alltid skäl att uppgöra avtalet skriftligt.

För behandlingen av personuppgifter och dess lagenlighet svarar den registeransvarige. Med registeransvarig avses en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. Den registeransvarige är således ett företag, en inrättning, ett ämbetsverk eller en sammanslutning, inte en person som är anställd hos dessa.

Med reglementen, arbetsordningar, befattningsbeskrivningar m.fl. definieringar fastslås de ansvar och uppgifter som ankommer på personalen inom registerföringen. Ansvar inom behandlingen av personuppgifter anknyter alltid som en del till det operativa ansvaret. Åtminstone större registeransvariga organisationer har skäl att för koordineringen och skötseln av de dataskyddsärenden som förutsätts i skilda uppgifter tillsätta en dataskyddsgrupp eller dataskyddsansvarig.

Det är således skäl för varje registeransvarig att i samband med planeringen gå igenom personuppgiftslagens förutsättningar för behandling av personuppgifter. Dessa förutsättningar kan grupperas på följande sätt:

• När får personuppgifter behandlas
• Hurudana personuppgifter får behandlas
• Vilka allmänna förpliktelser bör beaktas vid behandlingen
• Hur beaktas den registrerades rättigheter
• Är Du anmälningsskyldig

6. NÄR FÅR PERSONUPPGIFTER BEHANDLAS

För behandlingen skall finnas en grund som framgår av personuppgiftslagens 8 eller 14-20 §. Till de vanligaste grunderna för behandling av personuppgifter hör

• den registrerades entydigt givna samtycke.
• om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift som anvisas den registeransvarige i lag.
• om den registrerade på grund av ett kund-, eller tjänstgöringsförhållande, ett medlemskap eller något annat därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet (anknytningskrav).
• om det är fråga om uppgifter om kunder hos eller arbetstagare vid en koncern eller någon annan ekonomisk sammanslutning och dessa uppgifter behandlas inom nämnda sammanslutning.
• om det är fråga om en allmänt tillgänglig uppgift som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund eller inom näringslivet och dessa uppgifter behandlas för att trygga rättigheter och intressen hos den registeransvarige eller en sådan tredje man till vilken uppgifterna lämnas ut.

I personuppgiftslagens 14-20 § stadgas om rätten att behandla personuppgifter för

• vetenskaplig forskning
• statistik
• myndigheternas planerings- och utredningsuppgifter
• personmatrikel
• släktforskning och
• för behandling av personkreditupplysningar

Också för dessa situationer gäller även alla allmänna förpliktelser i personuppgiftslagen och bestämmelserna om de registrerades rättigheter.

7. HURUDANA PERSONUPPGIFTER FÅR BEHANDLAS

Personuppgiftslagen ställer också krav på de personuppgifter som samlas in och behandlas.

7.1. Kravet på behövlighet och felfrihet

De i lagen fastslagna kraven på behövlighet och felfrihet hör till de viktigaste förutsättningarna för att en god informationsbehandling och informationshantering skall uppnås.

I varje behandlingssyfte får behandlas för ifrågavarande ändamål behövliga uppgifter, men inte andra uppgifter. Inte ens samtycke åsidosätter kravet på behövlighet.

T.ex.

• För skötseln av ett arbets- och tjänsteförhållande får insamlas endast sådana uppgifter om arbetstagaren som behövs för att sköta ifrågavarande åliggande.
• En hälsocentral kan samla in och i patientregistret lagra endast uppgifter som är behövliga för att ordna och genomföra vården.
• En läroinrättning kan i elevregistret samla in och lagra endast sådana uppgifter om eleven som behövs för att sköta elevförhållandet.

Varje registeransvarig, (t.ex. en hälsocentral, arbetsgivare eller läroinrättning) definierar själv hur behövliga uppgifterna är, men behövligheten bör kunna motiveras med en objektiv måttstock. På definitionen av datainnehållet kan inverka eventuella bestämmelser om saken som ingår i speciallagar. T.ex. grundskolans uppgifter bestäms enligt grundskolelagen. De behövliga uppgifterna definieras enligt de bestämmelser som gäller ordnandet av denna undervisning. I lagen om integritetsskydd i arbetslivet ingår bestämmelser om de uppgifter som får samlas in om arbetstagare och arbetssökande samt om förutsättningarna för insamlande av uppgifter.

Kravet på felfrihet innebär att den registeransvarige bör sörja för att de personuppgifter han samlar in och lagrar för ifrågavarande ändamål är felfria; med hänsyn till registrets användningsändamål felaktiga, ofullständiga eller föråldrade uppgifter får inte insamlas. Också onödiga uppgifter är sådana felaktiga uppgifter som avses i lagen.

När kravet på felfrihet bedöms beaktas ändamålet med behandlingen av personuppgifter samt behandlingens betydelse för integritetsskyddet. T.ex. vid behandlingen av olika förmånsärenden är det med tanke på den registrerades rättsskydd särskilt viktigt att kravet på felfrihet blir uppfyllt.

Den registeransvarige bör se till att en felaktig uppgift rättas, antingen på tjänstens vägnar eller på yrkan av den registrerade.

7.2. Behandling av känsliga uppgifter

Att samla in och behandla i 11 § i personuppgiftslagen uppräknade känsliga personuppgifter är som regel förbjudet. Om undantag stadgas i lagens 12 §.

Undantagen gäller bl.a. sådana för ett fungerande samhälle viktiga funktioner, där det inte är möjligt att sköta åliggandena utan att känsliga uppgifter lagras (t.ex. ordnande av hälsovården, ordnande av socialtjänster).

I lagen avsedda känsliga uppgifter är

• ras eller etniskt ursprung
• någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund
• en brottslig gärning eller ett straff eller någon annan påföljd för ett brott
• någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom
• någons sexuella inriktning eller beteende, eller
• någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.

7.3. Behandling av personbeteckningar

Personbeteckningar får behandlas endast under i personuppgiftslagens 13 § stadgade förutsättningar. Den allmänna förutsättningen är, att lagrande av personbeteckningen är viktigt för att den registrerade skall kunna entydigt identifieras.

Det är då i allmänhet fråga om både den registrerades och den registeransvariges rättsskydd. Uppgiften behövs för att uppgifterna om de registrerade inte skall blandas samman med varandra. Ifall någon annan uppgift är tillräcklig för identifiering av den registrerade, bör personbeteckningen inte insamlas.

God informationshantering förutsätter att ingens integritet omotiverat får kränkas eller riskeras. Detta innebär i praktiken, att det alltid är skäl att redan i planeringsskedet utreda alternativen till att samla in personbeteckningar och övriga behov av att behandla personbeteckningar i fråga om alla skeden av behandlingen.

I personuppgiftslagens 13 § stadgas om vissa situationer som berättigar till att insamla personbeteckningar. Vidare skall varje registeransvarig enligt bestämmelsen se till att personbeteckningen inte onödigt antecknas i handlingar som skrivs ut eller upprättas på basis av personregistret.

8. VILKA ALLMÄNNA FÖRPLIKTELSER BÖR BEAKTAS VID BEHANDLINGEN OCH PLANERINGEN AV BEHANDLINGEN

Relevanskravet
Behandlingen av personuppgifter skall i samtliga fall vara sakligt motiverad med hänsyn till den registeransvariges verksamhet (PuppL 6 §)

Ändamålet med behandlingen
Ändamålet med behandlingen skall preciseras (PuppL 6 §, se ovan)

Planeringskravet
Ändamålet med behandlingen skall preciseras på förhand(Puppl 6 och 5 §, se ovan)

Kravet på ändamålsbundenhet
Kravet på ändamålsbundenhet innebär att för ett visst ändamål insamlade personuppgifter inte får användas för annat ändamål. Undantag är behandling av personuppgifter för senare historisk forskning eller vetenskapliga och statistiska ändamål. Dessa ändamål anses inte oförenliga med det ursprungliga ändamålet med behandlingen (PuppL 7 §). På utlämnande för ifrågavarande ändamål inverkar emellertid eventuella sekretessbestämmelser.

Aktsamhetsplikten
Aktsamhetsplikten innebär, att den registeransvarige skall behandla personuppgifterna i enlighet med lag samt iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Samma skyldighet har den som i egenskap av självständig näringsidkare eller företagare handlar för den registeransvariges räkning (PuppL 5 §) Ingens integritet får omotiverat riskeras.

Kravet på skydd
Kravet på skydd innebär ett krav att sörja för att de insamlade och behandlade personuppgifterna skyddas mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. (PuppL 32 §). Skyddskravet omfattar också kravet att sörja för dataskyddet.

Bestämmelsen om förvaringstid
Bestämmelsen om förvaringstid innebär, att ett personregister som inte längre behövs för den registeransvariges verksamhet skall förstöras, om det inte särskilt bestäms att de registrerade uppgifterna skall bevaras eller om registret inte skall överföras till ett arkiv på det sätt som avses i 35 §. (PuppL 34 §, 35 §)

Registerbeskrivning
Förpliktelsen att uppgöra och hålla tillgänglig en registerbeskrivning innebär, att var och en bör ha tillgång till en registerbeskrivning, i vilken har antecknats de viktigaste i lagens 10 § fastställda uppgifterna om registerföringens ansvar, användningsändamål och datainnehåll samt regelmässigt utlämnande och skydd. Förpliktelsen att uppgöra registerbeskrivningen representerar personuppgiftslagens centrala princip om öppenhet.

9. HUR BEAKTAS DEN REGISTRERADES RÄTTIGHETER

Den registeransvarige bör sörja för att de registrerades rättigheter förverkligas.

Uplyssningsplikt

Den registeransvarige bör sörja för att den registrerade kan få upplysningar om behandlingen av uppgifter som gäller honom själv: åtminstone upplysningar om

• den registeransvarige (namn och kontaktuppgifter),
• ändamålet med behandlingen av de personuppgifter som insamlas
• upplysningar om regelbundna utlämnanden av uppgifter samt
• upplysningar som är nödvändiga för att den registrerade skall kunna utöva sina rättigheter vid ifrågavarande behandling av personuppgifter.

Från informationen kan göras undantag i vissa i lagen fastställda situationer. Dessa situationer är emellertid exceptionella och kommer inte i fråga, ifall uppgifterna används för beslutsfattande som gäller de registrerade.

Informationsskyldigheten vid insamlande av personuppgifter innebär bl.a., att när personuppgifter insamlas via nätet, bör den av lagen förutsatta informationen finnas på webbsidorna så, att de finns tillgängliga före uppgifterna lämnas. Det är bra och ändamålsenligt att inkludera uppgifterna om informationen i registerbeskrivningen, varvid dokumentet benämns dataskyddsbeskrivning.

Rätten till insyn
Var och en har rätt att kontrollera de uppgifter som gäller honom själv. Enligt personuppgiftslagen har var och en utan hinder av sekretessbestämmelserna rätt att få veta vilka uppgifter om honom som har registrerats i ett personregister eller att registret inte innehåller uppgifter om honom. Den registeransvarige skall samtidigt ge den registrerade information om vilka källor som i regel används för registret samt för vilket ändamål registeruppgifterna används och i regel lämnas ut.

Informationen skall ges utan obefogat dröjsmål, i begriplig form och på begäran skriftligt. Inom hälsovården är förfarandet i första hand ett personligt besök i syfte att säkerställa begripligheten. Rätten till insyn är avgiftsfri då den utövas en gång per år.

Rätten till insyn kan avslås i vissa i personuppgiftslagen fastställda situationer och rätten till insyn föreligger inte alls i uppgifter som insamlats endast för vetenskapliga forskningsändamål och statistiska ändamål. Något hinder för att verkställa rätten till insyn föreligger emellertid inte då heller. I någon annan lag kan förekomma vissa undantag i rätten till insyn. Om sättet för att framföra begäran om rätt till insyn har bestämts särskilt (PuppL 26-28 §).

Rättelse av en uppgift
Den registeransvarige skall utan obefogat dröjsmål rätta
en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad. Den registeransvarige skall ta hand om rättelsen både på eget initiativ eller på yrkande av den registrerade.

Den registeransvarige skall även förhindra att en sådan uppgift sprids, om uppgiften kan äventyra den registrerades integritetsskydd eller hans rättigheter (PuppL 29 §)

Om avslag av krav på både rätt till insyn och rättelse av en uppgift skall ges ett skriftligt intyg. Det rekommenderas, att samtidigt påpekas möjligheten att hänskjuta ärendet till att behandlas av dataombudsmannen.

Förbudsrätt

Enligt personuppgiftslagen har den registrerade rätt att förbjuda den registeransvarige att behandla uppgifter som gäller honom själv för direktreklam, distansförsäljning och annan direktmarknadsföring samt för marknads- och opinionsundersökningar liksom även för personmatriklar och släktforskning (PuppL 30 §)

Om förbudsrätten och sätten för dess utövande bör informeras till de registrerade i enlighet med 24 § i personuppgiftslagen när personuppgifterna insamlas.

Ytterligare information:

• ??ifge??

10. ANMÄLNINGSPLIKT

Den registeransvarige är skyldig att i situationer om vilka stadgas i personuppgiftslagens 36 och 37 § göra en anmälan till dataombudsmannens byrå. Slagen av anmälan är följande:

Registeranmälan
Skyldigheten att göra registeranmälan gäller med hjälp av automatisk databehandling genomförd registerföring och har stadgats som förhållandevis snäv.

Verksamhetsanmälan
Skyldigheten att göra verksamhetsanmälan gäller:

• kreditupplysningsverksamhet eller
• indrivningsverksamhet eller
• som näringsfång bedriven opinions- och marknadsundersökning (verksamhet) eller
• dem som för andras räkning handhar till val och lämplighetsbedömning av personal anknutna uppgifter, ifall de i dessa sin verksamhet använder eller behandlar uppgifter i personregister

Anmälan om översändande av uppgifter till utlandet

11. SYSTEMET FÖR ÖVERVAKNING AV PERSONUPPGIFTSLAGEN OCH SANKTIONER

Verkställigheten av personuppgiftslagstiftningen styrs och övervakas av dataombudsmannen. Beslutsmakten i frågor som gäller behandlingen av personuppgifter utövas av datasekretessnämnden, som dataombudsmannen vid behov kan hänskjuta ett ärende till.

Datasekretessnämnden kan på framställning av dataombudsmannen förbjuda behandlingen av personuppgifter eller utfärda andra förbud i ärendet. Datasekretessnämnden kan dessutom i särskilt definierade situationer och under särskilda förutsättningar ge tillstånd till behandling av personuppgifter i sådana fall där lagen annars inte skulle medge detta.

Nationalarkivet har behörighet att arkivera personregister också efter det att registret och dess uppgifter i annat fall enligt lagen borde ha förstörts. Förutsättningen är att arkiveringen av registret är av betydelse för den vetenskapliga forskningen eller av andra orsaker.

I personuppgiftslagen har också stadgats om skadeståndsansvar till följd av lagstridig behandling av personuppgifter. Både personuppgiftslagen och strafflagen innebär sanktioner vid förfarande som strider mot personuppgiftslagen.

12. NYTTIGA LÄNKAR TILL VÅRA SIDOR

• Dataombudsmannens uppgifter och verksamhet
• Anhängiggörande och anhängiggjorda ärendens behandling vid dataombudsmannens byrå
• Lagar
• Aktuellt
• Dataombudsmannens styrningsmaterial
• Modellblanketter
• Frågor (FAQ)
• Avgöranden
• Internationellt samarbete
• Personuppgiftslagen (Finlex)