Framsida » Avgöranden » Avlägsnande av personuppgifter från myndigheters personregister och arkivering av uppgifter

Avlägsnande av personuppgifter från myndigheters personregister och arkivering av uppgifter

Dnr 1487/05/2013

Ärendet

I dataombudsmannens byrå har man anhängiggjort en sak som gäller avlägsnande av personregisteruppgifter ur myndigheters datasystem på basis av registerlagarna. Dataombudsmannen har blivit ombedd om att göra ett allmänt ställningstagande om huruvida registerlagarnas bestämmelser om avlägsnande av uppgifter ur ett register betyder att uppgifterna skall utplånas ur ett datasystem. Eller kan registerlagarnas bestämmelser tolkas på det viset att uppgifterna skall avlägsnas från myndigheternas operativa datasystem, men att man kan överföra dem till ett passivt datasystem och spara på basis av arkivverkets bestämmelser i sådana fall att registeruppgifterna eller en del av dem anses ha ett betydande forskningsvärde?

Dataombudsmannens behörighet

Enligt personuppgiftslagen (523/1999) 38 § 1 moment ger dataombudsmannen anvisningar och råd om behandlingen av personuppgifter samt övervakar behandlingen av personuppgifter så att målen för denna lag nås och utövar beslutanderätt i enlighet med vad som bestäms i denna lag.

Enligt personuppgiftslagen 40 § skall dataombudsmannen främja god informationshantering samt genom anvisningar och råd sträva efter att ett lagstridigt förfarande inte fortgår eller upprepas. Vid behov skall dataombudsmannen föra saken till datasekretessnämnden för avgörande eller anmäla ärendet för åtal.

Dataombudsmannens ställningstagande

Lagstiftning som gäller behandling av personuppgifter

Skydd mot intrång i privatlivet är en grundläggande rättighet. Finlands grundlags 10 § 1 moment innehåller ett "lagstiftningsuppdrag" enligt vilket närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Riksdagens grundlagsutskott och förvaltningsutskott har i sina utlåtanden tagit ställning till om hurudana saker, som är relaterade med behandling av personuppgifter, som skall utfärdas genom lag.

Riksdagens grundlagsutskott har i sitt utlåtande (bl.a. GrUU 35/2008 rd) konstaterat att enligt bestämmelsen om personuppgiftsskyddets grundläggande fri- och rättigheter är det viktigt att det föreskrivs åtminstone om registreringens syfte, innehållet i de registrerade personuppgifterna, de tillåtna användningsändamålen inklusive om uppgifterna kan utlämnas, förvaringstiden och rättssäkerheten för de registrerade. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad.

Tillämpningsområde av personuppgiftslagen

Enligt personuppgiftslagen 2 § 2 moment tillämpas denna lag på automatisk behandling av personuppgifter. Lagen tillämpas också på annan behandling av personuppgifter då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Enligt personuppgiftslagen 3 § 1 moment avses med personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader. För bildandet av ett personregister är det väsentligt att användningsändamålet är det samma. Personuppgifter som samlas från olika källor hörs till samma logiska register fast de samlas från olika källor och de behandlas på olika håll, om användningsändamålet är det samma. Man skall bl.a. enligt personuppgiftslagen 10 § göra upp en registerbeskrivning över personregistret.

Man bör lägga märke till att ett personregister och datasystemet, som nämns i saken som har anhängiggjorts, är två skilda saker. Som begrepp är ett datasystem mer vidsträckt än personregistret som det stadgas om i personuppgiftslagen. Ett personregister kan dock utgöra en del av ett datasystem. Fast det finns någon uppgift om en person i ett datasystem, betyder det inte nödvändigtvis att uppgiften skulle höras till ett personregister eller att personuppgiftslagen på annat vis skulle tillämpas på den.

Personuppgiftslagen tillämpas på behandling av personuppgifter som beträffas av personuppgiftslagens tillämpningsområde. Vilka personuppgifter som man kan spara i ett personregister avgörs på basis av personuppgiftslagens principer och, i de fall då det stadgas om ett personregister i en särskild lag, förutom personuppgiftslagen enligt den skärskilda lagens specialvillkor.

Arkivlagens bestämmelser gäller för sin del de i arkivlagens 6 § avsedda handlingar som har inkommit till arkivbildaren. Enligt min uppfattning tillämpas arkivlagens bestämmelser och de i arkivbildningsplanen, på basis av arkivlagen, bestämda förvaringstiderna till i den definierade handlingar oberoende om de innehåller personuppgifter eller ej. Vilka uppgifter om de ankomna handlingarna som inkluderas i ett personregister eller om en handling fogas med ett personregister, beror på hur personregistrets användningsändamål och informationsinnehåll är definierat i lagen eller annars på basis av personuppgiftslagens bestämmelser.

Om behandlingen av personuppgifter och arkivering

Behandlingen av personuppgifter skall planeras enligt personuppgiftslagen 6 §. Ändamålet med behandlingen skall definieras på så vis att det framgår från definitionen, för utövning av den registrerades hurudana uppgifter, personuppgifter behandlas. För behandlingen av personuppgifter skall det alltid finnas en i lagen stadgad behandlingsgrund (personuppgiftslagen 8 §, 12 § och 4 kapitel). Enligt personuppgiftslagen 9 § skall de personuppgifter som behandlas vara behövliga med hänsyn till det angivna ändamålet med behandlingen av personuppgifter (relevanskrav). Den registeransvarige skall även se till att oriktiga, ofullständiga eller föråldrade personuppgifter inte behandlas (felfrihetskrav). När den registeransvariges skyldigheter bedöms, skall avseende fästas vid ändamålet med behandlingen av personuppgifter samt vid den betydelse behandlingen har för den registrerades integritetsskydd.

Personuppgiftslagen är en allmän lag om behandlingen av personuppgifter. Enligt lagens 2 § tillämpas lagen om inte annat bestäms någon annanstans i lag. Ifall det inte finns skärskilda stadganden eller bestämmelser om förvarande av personuppgifter, skall den registeransvarige bedöma personuppgifternas förvaringsbehov, bl.a. med hänsyn till den lagenliga behandlingsgrunden samt relevanskravet och felfrihetskravet i personuppgiftlagen 9 §. Vid behov skall "den registeransvarige [--] utan obefogat dröjsmål på eget initiativ eller på yrkande av den registrerade rätta, utplåna eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad. Den registeransvarige skall även förhindra att en sådan uppgift sprids, om uppgiften kan äventyra den registrerades integritetsskydd eller hans rättigheter" (personuppgiftslagen 29 §).

Om hur myndigheterna skall förfara när de definierar handlingarnas förvaringstider stadgas det om i arkivlagen, som är en särskild lag i förhållandet till personuppgiftslagen (se personuppgiftslagen 35 §). När man definierar handlingarnas förvaringstider skall man ändå beakta kraven som finns i andra lagar, även i personuppgiftslagen. Enligt arkivlagen 8 § skall arkivbildaren bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppstår till följd av skötseln av uppgifterna och ha en arkivbildningsplan över dem. När förvaringstiderna för handlingarna bestäms skall beaktas vad som särskilt stadgas och bestäms om dem. Arkivverket bestämmer vilka handlingar och uppgifter i handlingar som skall förvaras varaktigt. I regeringspropositionen för arkivlagen RP 187/1993 rd konstaterar man att " Varje arkivbildare känner bäst till sitt eget behov när det gäller att förvara handlingar som stöd för skötseln av tjänsteuppdrag och hur stadganden och föreskrifter som gäller uppgiftsområdet inverkar på behovet av att förvara handlingarna så att rättsskyddet garanteras. Arkivverket har å sin sida sakkunskap att bestämma vilka handlingar och uppgifter som skall förvaras varaktigt för vetenskaplig och annan forskning. En effektivare gallring av onödigt material förutsätter centraliserade beslut och enhetliga principer om vilka handlingar som skall förvaras varaktigt samt att myndigheterna förvarar varaktigt endast sådana handlingar som arkivverket bestämmer och effektivt sköter utgallringen av annat material." Enligt arkivlagen 13 § skall handlingar som inte förvaras varaktigt efter den förvaringstid som fastställts för dem gallras ut så att datasekretessen är tryggad.

Ofta stadgas det om förvaringstiderna för uppgifter som finns i olika myndigheter personregister i lagen som gäller det ifrågavarande personregistret. När en myndighet, i egenskap av den registeransvarige, definierar i sin arkivbildningsplan förvaringstiden för uppgifterna som ingår i ett personregister och handlingar som möjligtvis finns i registret, skall man i förvaringstiden som bestäms i arkivbildningsplanen beakta den skärskilda regleringen om avlägsnande av personuppgifter samt försäkra sig om att uppgifter inte sparas i personregistret längre än vad lagen stadgar. Detta inskränker enligt dataombudsmannens uppfattning inte arkivverkets bestämmanderätt, som det stadgas om i lagen.

Uppgiftens livslopp

Enligt "Guide rörande principerna för fastställande av förvaringstider" (finns endast på finska: "Opas säilytysaikojen määrittelyn periaatteista", Arkistolaitos 2010) delas en handlingsuppgifts livslopp i ett aktivt, passivt och historiskt skede. Förvaringen av materialet kan antingen vara permanent (historiskt skede) eller tidsbestämt (aktivt eller passivt skede). Ett permanent skede betyder att materialet som arkivverket har bestämt att det skall sparas permanent förvaras i ett ändarkiv eller ett datasystem, som arkivverket har godkänt för förvaringsplats av sådana uppgifter. I aktiva skedet använder man uppgifterna i den dagliga verksamheten, då till exempel finns ett gällande kundförhållande mellan kunden och organisationen. I livsloppets passiva skede använder man inte längre uppgifterna i organisationens operativa verksamhet. Användningsrätten av uppgifterna som är i det passiva skedet skall begränsas så de kan endast nås via handlingsförvaltningens ansvarspersoner.

Dataombudsmannen anmärker att personuppgiftslagen inte känner till begreppet "passivt register". Dataombudsmannen har dock i sina tidigare ställningstaganden ansett att de ovan nämnde uppgifterna eller handlingarna som har förflyttats till det passiva skedet, inte längre är ett i personuppgiftslagen ansett personregister eller en del av ett sådant, ifall behandlingen inte enligt personuppgiftslagen 6 § är sakligt motiverat. Till exempel den personuppgiftslagsenliga rätten till insyn och rättelse av en uppgift har i allmänhet inte ansetts täcka personuppgifter i ett personregister som har flyttats till arkivet och som är i det så kallade passiva eller historiska skedet.

Slutsats

I den anhängiggjorda saken hänvisar man till några särskilda lagar. Dataombudsmannen tar inte i det här ställningstagande ställning till enskilda bestämmelser, utan han tar på allmän nivå ställning till hur personuppgifter kan raderas ur ett personregister. Eftersom det finns flera olika skärskilda bestämmelser skall åtgärderna som följer av raderande av personuppgifter alltid bedömas från fall till fall och man skall säkerställa sig om att man handlar lagenligt.

När det är frågan om myndigheter visar lagstadgandena i vissa fall hur länge man kan spara en uppgift i ett personregister och hur länge man kan behandla den för utövande av en lagstadgad uppgift. När det i en skärskild lag stadgas om raderingstider för personuppgifter skall de ifrågavarande uppgifterna raderas ur personregistret på det i lagen förutsatta viset. Med hänvisning till den anhängigjorda frågan konstaterade dataombudsmannen att en personuppgift kan raderas ur ett personregister till exempel genom förstöring eller genom att man flyttar den till arkivet så att uppgiften antingen är i det passiva eller historiska skedet. Då avsmalnar den ifrågavarande uppgiftens användningsmöjligheter på så sätt som det nämns i arkivverkets broschyr. Uppgiften kan alltså ännu förvaras annanstans än i ett personregister eller i en annan form, såsom en arkiverad handling som har flyttats till det passiva skedet.

Ifall man vill använda den ifrågavarande uppgiften på nytt efter den ovannämnda arkiveringen, skall man försäkra sig om att det finns en lagenlig behandlingsgrund för behandlingen. Ifall man överlämnar uppgifter som har flyttats till en myndighets arkiv skall man i samband med överlämnandet försäkra sig om bland annat att förutsättningarna för överlämningen som nämns i lagen om offentlighet i myndigheternas verksamhet (621/1999) uppfylls. Ifall uppgifterna som överlämnas är personuppgifter skall den som tar emot uppgifterna ha rätt att behandla uppgifterna ifall det inte finns en skärskild grund för undertag.

 
Publicerad 20.11.2014