Personuppgiftslagen

Personuppgiftslagen är den grundläggande lagen om behandling av personuppgifter.
Emedan lagen är en generell lag, tillämpas eventuella i andra lagar ingående specialbestämmelser om behandlingen av personuppgifter primärt i förhållande till bestämmelserna i personuppgiftslagen.

Personuppgiftslagen (523/1999) har stiftats för att förverkliga skyddet för privatlivet samt övriga grundläggande rättigheter som tryggar integritetsskyddet vid behandlingen av personuppgifter samt för att främja utvecklandet och iakttagandet av god informationshantering.

Lagen tillämpas på automatisk behandling av personuppgifter samt också på annan behandling av personuppgifter, när personuppgifterna bildar eller avses att bilda ett personregister eller en del av ett sådant. Lagen gäller emellertid inte behandling av personuppgifter som en fysisk person utför enbart för personliga eller med dem jämförbara privata ändamål, inte heller behandling av personuppgifter för redaktionella syften eller för syften som avser konstnärlig och litterär framställning.

I personuppgiftslagen stadgas om de allmänna grundläggande förutsättningarna för behandling av personuppgifter, om de allmänna förpliktelser som alltid bör iakttas vid all behandling av personuppgifter, om de registrerades rättigheter vid behandlingen av deras personuppgifter, om systemet för övervakning av lagen samt om sanktioner som kan följa av behandling som strider mot personuppgiftslagen. Lagen anger bl.a. i vilka fall det är möjligt att behandla personuppgifter utan den registrerades samtycke.

Förutom de allmänna förutsättningarna för behandling av personuppgifter är iakttagandet av de allmänna förpliktelserna centralt för att en god informationshantering skall uppnås. I lagen fastslås kravet att alltid definiera ändamålet med behandlingen av personuppgifter samt att planera behandlingen på förhand. Andra generella krav i lagen är kraven på behövlighet och riktighet samt kraven på omsorg och skydd, vilka likaså bör beaktas vid all behandling av personuppgifter. De allmänna förutsättningarna för behandling av personuppgifter baserar sig på behov i den registeransvariges verksamhet. För respektive registeransvarigs åligganden behövliga och riktiga uppgifter får behandlas, men inga andra.

Principen om öppenhet i registerföringen representeras av skyldigheten att uppgöra och hålla tillgänglig en registerbeskrivning. För de registrerade stadgade rättigheter är den för den registeransvarige stadgade skyldigheten att informera de registrerade vid insamlandet av personuppgifter samt de registrerades rätt till insyn i de uppgifter som gäller dem själva. De registrerade har också rätt att kräva att en felaktig uppgift rättas, samt att förbjuda att deras personuppgifter används för direktmarknadsföring, distansförsäljning samt för opinions- och marknadsundersökningar, liksom även för släktutredning och personmatrikel.

Verkställigheten av personuppgiftslagstiftningen styrs och övervakas av dataombudsmannen. Dataombudsmannen skall främja en god informationshantering, samt med anvisningar och råd arbeta för att lagstridiga förfaranden inte fortgår. Vid behov skall dataombudsmannen hänskjuta ett ärende att behandlas av datasekretessnämnden eller anmäla det för åtal.

Beslutsmakten i ärenden som gäller behandling av personuppgifter utövas sålunda av datasekretessnämnden. Datasekretessnämnden kan på framställning av dataombudsmannen förbjuda behandlingen av personuppgifter eller utfärda andra förbud i ärendet. Datasekretessnämnden kan dessutom i särskilt definierade situationer och under särskilda förutsättningar ge tillstånd till behandling av personuppgifter i sådana fall där lagen annars inte skulle medge detta.

Nationalarkivet har behörighet att arkivera personregister också efter det att registret och dess uppgifter i annat fall enligt lagen borde ha förstörts. Förutsättningen är att arkiveringen av registret är av betydelse för den vetenskapliga forskningen eller av andra orsaker.

I personuppgiftslagen har också stadgats om skadeståndsansvar till följd av lagstridig behandling av personuppgifter, och i personuppgiftslagen och i strafflagen om sanktioner vid förfarande som strider mot personuppgiftslagen.

Med personuppgiftslagen har eftersträvats en lösningsmodell som skapar balans mellan integritetsskyddet och de övriga intressen som anknyter till behandlingen av personuppgifter. Bl.a. det lagstadgade krav på behövlighet och riktighet som omfattar samtliga skeden av behandlingen av personuppgifter förverkligar för sin egen del också krav på funktionalitet och god informationshantering. Att trygga de registrerades integritet, intressen och rättigheter är inte en separat skyldighet, utan ingår som en väsentlig del i verksamhetsmålen.

Syftet med stiftandet av personuppgiftslagstiftningen har särskilt varit att förhindra de risker som är förknippade med datateknik och användningen av ny teknologi, samt att trygga och ombesörja en god databehandling och informationshantering. Det är därför nödvändigt att beakta lagens bestämmelser och i synnerhet kravet på planmässighet, när avsikten är att genomföra behandling av personuppgifter med hjälp av automatisk databehandling.

 
Publicerad 7.11.2013