Beaktats t.o.m. FörfS 476/2016.

22.4.1999/523

Personuppgiftslag

Se anmärkningen för upphovsrätt i användningsvillkoren.

I enlighet med riksdagens beslut föreskrivs:

1 kap

Allmänna bestämmelser

1 §
Lagens syfte

Syftet med denna lag är att genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet samt övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten vid behandling av personuppgifter samt att främja utvecklandet och iakttagandet av god informationshantering.

2 §
Tillämpningsområde

Vid behandling av personuppgifter skall iakttas vad som bestäms i denna lag, om inte annat bestäms någon annanstans i lag.

Denna lag tillämpas på automatisk behandling av personuppgifter. Lagen tillämpas också på annan behandling av personuppgifter då personuppgifterna utgör eller är avsedda att utgöra ett personregister eller en del av ett sådant.

Denna lag gäller inte behandling av personuppgifter som en fysisk person utför uteslutande för personliga eller därmed jämförbara sedvanliga privata syften.

4 mom. har upphävts genom L 3.12.2010/1049. (3.12.2010/1049)

I fråga om behandling av personuppgifter för redaktionella samt konstnärliga eller litterära syften gäller i tillämpliga delar endast 1–4 och 32 §, 39 § 3 mom., 40 § 1 och 3 mom., 42 §, 44 § 2 punkten, 45–47 §, 48 § 2 mom. samt 50 och 51 §, om inte något annat följer av 17 §.

3 §
Definitioner

I denna lag avses med

1) personuppgifter alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom,

2) behandling av personuppgifter insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna,

3) personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader,

4) registeransvarig en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register,

5) registrerad den som en personuppgift gäller,

6) tredje man andra personer, sammanslutningar, inrättningar eller stiftelser än den registrerade, den registeransvarige, registerföraren eller den som behandlar personuppgifter för de två sistnämndas räkning,

7) samtycke varje slag av frivillig, särskild och på information baserad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som gäller honom. (11.5.2007/528)

8 punkten har upphävts genom L 11.5.2007/528. (11.5.2007/528)

9 punkten har upphävts genom L 11.5.2007/528. (11.5.2007/528)

4 §
Tillämpning av finsk lag

Denna lag tillämpas på behandling av personuppgifter vid den registeransvariges verksamhetsställe som är beläget inom finskt territorium eller i övrigt står under finsk jurisdiktion.

Denna lag tillämpas också då den registeransvarige inte har något verksamhetsställe inom Europeiska unionens medlemsstaters territorium, men den registeransvarige vid behandlingen av personuppgifter använder anordningar som är belägna i Finland även för annat än endast för översändande av uppgifter via detta område. Den registeransvarige skall då utse en företrädare i Finland.

2 kap

Allmänna principer för behandlingen av personuppgifter

5 §
Aktsamhetsplikt

Den registeransvarige skall behandla personuppgifterna i enlighet med lag samt iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Samma skyldighet har den som i egenskap av självständig näringsidkare eller företagare handlar för den registeransvariges räkning.

6 §
Planering av behandlingen av personuppgifter

Behandlingen av personuppgifter skall vara sakligt motiverad med hänsyn till den registeransvariges verksamhet. De ändamål för vilka personuppgifter behandlas samt varifrån personuppgifter i regel samlas in och vart personuppgifter i regel lämnas ut, skall anges innan personuppgifter börjar insamlas eller ordnas som ett personregister. Ändamålet med behandlingen skall preciseras så att av det framgår för vilka av den registeransvariges funktioner personuppgifter behandlas.

7 §
Ändamålsbundenhet

Personuppgifter får användas eller i övrigt behandlas endast på ett sätt som inte strider mot de ändamål med behandlingen som avses i 6 §. Senare behandling av personuppgifter för historisk forskning eller för vetenskapliga eller statistiska syften anses inte stå i strid med de ursprungliga ändamålen.

8 §
Allmänna förutsättningar för behandling

Personuppgifter får behandlas endast

1) med den registrerades entydiga samtycke,

2) på uppdrag av den registrerade eller för att fullgöra ett sådant avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,

3) om behandlingen i ett enskilt fall är nödvändig för att skydda den registrerades vitala intressen,

4) om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift eller förpliktelse som anvisas den registeransvarige i lag eller som påförts honom med stöd av lag,

5) om den registrerade på grund av ett kund-, eller tjänstgöringsförhållande, ett medlemskap eller något annat därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet (anknytningskrav),

6) om det är fråga om uppgifter om kunder hos eller arbetstagare vid en koncern eller någon annan ekonomisk sammanslutning och dessa uppgifter behandlas inom nämnda sammanslutning,

7) om behandlingen behövs för betalningstjänst, databehandling eller andra därmed jämförbara uppgifter som utförs på uppdrag av den registeransvarige,

8) om det är fråga om en allmänt tillgänglig uppgift som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund eller inom näringslivet och dessa uppgifter behandlas för att trygga rättigheter och intressen hos den registeransvarige eller en sådan tredje man till vilken uppgifterna lämnas ut, eller

9) om datasekretessnämnden för behandlingen beviljat ett tillstånd som avses i 43 § 1 mom.

Personuppgifter kan lämnas ut med stöd av 1 mom. 5 punkten endast om personuppgifter lämnas ut som en sedvanlig del av verksamheten förutsatt att syftet för vilket uppgifterna lämnas ut inte strider mot ändamålet med behandlingen och att den registrerade kan antas känna till att personuppgifter lämnas ut på detta sätt.

Bestämmelser om behandling av känsliga personuppgifter och personbeteckningar finns i 3 kap. Bestämmelser om behandling av personuppgifter för särskilda ändamål finns i 4 kap.

Om rätten att få uppgifter ur myndigheternas personregister och om annat utlämnande av personuppgifter ur dessa personregister gäller vad som föreskrivs om offentlighet för myndighetshandlingar.

9 §
Principer som gäller uppgifternas art

De personuppgifter som behandlas skall vara behövliga med hänsyn till det angivna ändamålet med behandlingen av personuppgifter (relevanskrav).

Den registeransvarige skall se till att oriktiga, ofullständiga eller föråldrade personuppgifter inte behandlas (felfrihetskrav). När den registeransvariges skyldigheter bedöms, skall avseende fästas vid ändamålet med behandlingen av personuppgifter samt vid den betydelse behandlingen har för den registrerades integritetsskydd.

10 §
Registerbeskrivning

Den registeransvarige skall göra upp en registerbeskrivning över personregistret, av vilken skall framgå

1) den registeransvariges och vid behov dennes företrädares namn och kontaktinformation,

2) ändamålet med behandlingen av personuppgifter,

3) en beskrivning av gruppen eller grupperna av registrerade och de uppgifter eller uppgiftskategorier som hör samman med dessa,

4) vart uppgifter i regel lämnas ut och huruvida uppgifter översänds till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, samt

5) en beskrivning av principerna för skyddet av registret.

Den registeransvarige skall hålla registerbeskrivningen allmänt tillgänglig. Från denna skyldighet kan göras undantag, om det är nödvändigt med hänsyn till statens säkerhet, försvaret eller den allmänna ordningen och säkerheten eller för förebyggande eller utredande av brott eller för tillsynsuppgifter som anknyter till beskattningen eller den offentliga ekonomin.

3 kap

Känsliga uppgifter och personbeteckning

11 §
Förbud mot behandling av känsliga uppgifter

Behandling av känsliga personuppgifter är förbjuden. Med känsliga uppgifter avses personuppgifter som beskriver eller vilkas syfte är att beskriva

1) ras eller etniskt ursprung,

2) någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund,

3) en brottslig gärning eller ett straff eller någon annan påföljd för ett brott,

4) någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom,

5) någons sexuella inriktning eller beteende, eller

6) någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit.

12 §
Undantag från förbudet mot behandling av känsliga uppgifter

Vad som bestäms i 11 §, utgör inte hinder för

1) sådan behandling av uppgifter som den registrerade har gett sitt uttryckliga samtycke till,

2) behandling av sådana uppgifter om någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund som den registrerade själv offentliggjort,

3) sådan behandling av uppgifter som behövs för att skydda den registrerades eller någon annan persons vitala intressen, om den registrerade är förhindrad att ge sitt samtycke,

4) sådan behandling av uppgifter som behövs för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk,

5) sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den registeransvarige i lag,

6) behandling av uppgifter för historisk eller vetenskaplig forskning eller för statistikföring,

7) behandling av uppgifter som gäller religiös övertygelse eller politisk eller samhällelig uppfattning i den verksamhet som föreningar eller sammanslutningar som representerar sådana övertygelser eller uppfattningar bedriver, om uppgifterna gäller medlemmarna i dessa föreningar eller sammanslutningar eller personer som har regelbundna kontakter till dem och dessa har samband med föreningarnas och sammanslutningarnas syften och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke,

8) behandling av uppgifter som gäller medlemskap i fackförbund i den verksamhet som bedrivs av fackföreningar eller förbund som bildas av dessa om uppgifterna gäller medlemmarna i dessa organisationer eller personer som har regelbundna kontakter till organisationerna och dessa har samband med organisationernas syften och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke,

9) sådan behandling av uppgifter som gäller medlemskap i ett fackförbund som behövs för att den registeransvarige skall kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område,

10) att en verksamhetsenhet inom hälsovården eller en yrkesutbildad person inom hälso- och sjukvården behandlar uppgifter som de i denna verksamhet fått om den registrerades hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller andra uppgifter som är nödvändiga för vården av den registrerade,

11) att en försäkringsanstalt behandlar uppgifter som är nödvändiga för att utreda anstaltens ansvar och som anstalten i försäkringsverksamheten fått om den försäkrades och ersättningssökandens hälsotillstånd, sjukdom eller handikapp eller de vårdåtgärder som gäller honom eller andra därmed jämförbara åtgärder eller sådana uppgifter om en brottslig gärning som har begåtts av en försäkrad, den som ansöker om ersättning eller den som orsakat skada och om straff eller annan påföljd för brottet,

12) att en socialvårdsmyndighet eller någon annan myndighet, en anstalt eller en privat socialserviceproducent, vilka beviljar socialvårdsförmåner, behandlar uppgifter som myndigheten, anstalten eller serviceproducenten i sin verksamhet har fått om den registrerades behov av socialvård eller socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade, eller

13) sådan behandling av uppgifter för vilken datasekretessnämnden har gett ett i 43 § 2 mom. avsett tillstånd.

Känsliga uppgifter skall utplånas ur registret så snart det inte längre finns någon grund enligt 1 mom. för behandlingen. Grunden och behovet av behandling skall bedömas minst vart femte år, om inte något annat följer av lag eller ett tillstånd av datasekretessnämnden enligt 1 mom. 13 punkten.

13 §
Behandling av personbeteckning

En personbeteckning får behandlas med den registrerades entydiga samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är nödvändigt att entydigt individualisera den registrerade

1) för att utföra en i lag angiven uppgift,

2) för att uppfylla den registrerades eller den registeransvariges rättigheter och skyldigheter, eller

3) för historisk eller vetenskaplig forskning eller för statistikföring.

En personbeteckning får behandlas vid kreditgivning eller indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings-, och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälsovården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet eller i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa. (30.4.2010/294)

Utöver vad som i 1 och 2 mom. bestäms om behandling av personbeteckning får en personbeteckning lämnas ut för sådan databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

Den registeransvarige skall se till att personbeteckningen inte onödigt antecknas i handlingar som skrivs ut eller upprättas på basis av personregistret.

4 kap

Behandling av personuppgifter för särskilda ändamål

14 §
Forskning

Personuppgifter får behandlas för historisk eller vetenskaplig forskning på andra grunder än de som nämns i 8 § 1 mom., om

1) forskningen inte kan bedrivas utan uppgifter med hjälp av vilka personer kan individualiseras och det på grund av det stora antalet uppgifter, uppgifternas ålder eller av någon annan sådan orsak inte är möjligt att inhämta samtycke av de registrerade,

2) användningen av personregistret grundas på en tillbörlig forskningsplan och det finns en ansvarig ledare eller en grupp som ansvarar för forskningen,

3) personregistret används och ur registret lämnas ut uppgifter enbart för historisk eller vetenskaplig forskning och verksamheten även i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående, och

4) personregistret förstörs eller överförs till arkivering eller uppgifterna i registret ges en sådan ändrad form att den som uppgifterna hänför sig till inte kan identifieras efter det att personuppgifterna inte längre behövs för att bedriva forskningen eller för att säkerställa riktigheten av dess resultat.

Vad som bestäms i 1 mom. 3 punkten tillämpas inte, om det förfarande som avses i nämnda punkt med hänsyn till åldern och arten av de uppgifter som registrerats i personregistret är uppenbart onödigt med avseende på de registrerades integritetsskydd.

Vad som bestäms i 1 mom. tillämpas i kompletterande syfte när behandlingen grundar sig på 8 § 1 mom.

15 §
Statistik

Personuppgifter får behandlas för statistiska syften på andra grunder än de som nämns i 8 § 1 mom., om

1) statistiken inte kan uppgöras eller det informationsbehov som ligger till grund för den inte kan tillgodoses utan att personuppgifter används,

2) uppgörandet av statistik hör till den registeransvariges verksamhetsområde, och

3) registret används enbart för statistiska syften och uppgifter inte lämnas ut ur registret på ett sådant sätt att de kan hänföras till någon bestämd person, om inte uppgifterna lämnas ut för officiell statistik.

16 §
Myndigheternas planerings- och utredningsuppgifter

En myndighet kan för planerings- och utredningsuppgifter på andra grunder än de som nämns i 8 § 1 mom. samla in och registrera personuppgifter i myndighetens personregister med iakttagande i tillämpliga delar av vad som bestäms i 14 §.

17 §
Personmatrikel

I ett personregister som förs för en personmatrikel får på andra grunder än de som nämns i 8 § 1 mom. samlas in och registreras uppgifter som med avseende på registrets ändamål behövs för att individualisera den registrerade och dennes make samt den registrerades barn och föräldrar, liksom information om den förenande faktor för de registrerade som utgör grund för personmatrikeln och därmed förknippade uppgifter samt kontaktinformation för tagande av kontakt, om inte den registrerade har förbjudit insamling och registrering av uppgifter som gäller honom själv.

Med en personmatrikel avses en publikation där den förenande faktorn för de registrerade är ett visst yrke eller viss utbildning, medlemskap i ett arbetskollektiv eller någon annan sammanslutning eller ställning eller prestationer inom kulturen, idrotten, näringslivet eller inom någon annan sektor av samhällslivet eller någon annan med dessa jämförbar omständighet.

För ett personmatrikelregister som avses i 1 mom. får ur ett personregister lämnas ut sådana uppgifter som den registeransvarige enligt 1 mom. har rätt att samla in och registrera i ett sådant register, om inte den registrerade har förbjudit utlämnande av dessa uppgifter.

18 §
Släktforskning

I ett personregister som förs för släktforskning får på andra grunder än de som nämns i 8 § 1 mom. samlas in och registreras uppgifter som med avseende på registrets ändamål behövs för att individualisera en person som hör till en släkt och dennes make liksom övriga personuppgifter som behövs för släktforskningen samt kontaktinformation för tagande av kontakt, om inte den registrerade har förbjudit insamling och registrering av uppgifter som gäller honom själv.

För ett släktforskningsregister som avses i 1 mom. får ur ett personregister lämnas ut sådana uppgifter som den registeransvarige enligt 1 mom. har rätt att samla in och registrera i ett sådant register, om inte den registrerade har förbjudit utlämnande av dessa uppgifter.

19 §
Direktmarknadsföring och andra adresserade försändelser

I ett personregister som används för direktreklam, distansförsäljning eller annan direktmarknadsföring, opinions- eller marknadsundersökningar eller andra därmed jämförbara adresserade försändelser får personuppgifter samlas in och registreras på andra grunder än de som nämns i 8 § 1 mom., om inte den registrerade har förbjudit sådan insamling och registrering av personuppgifter samt om

1) personregistret används för en på förhand individualiserad och kortvarig marknadsföringsåtgärd eller någon annan åtgärd som avses i detta moment och det inte på grund av sitt innehåll äventyrar de registrerades integritetsskydd,

2) personregistret innehåller uppgift enbart om den registrerades namn, titel eller yrke, ålder, kön och modersmål, en identifieringsuppgift som kan hänföras till honom samt kontaktinformation för tagande av kontakt, eller

3) personregistret innehåller uppgift om den registrerades uppgifter eller ställning inom näringslivet eller i ett offentligt uppdrag och det används till att sända information som ansluter sig till hans arbete.

För ett ändamål som nämns i 1 mom. får ur ett personregister lämnas ut eller som grund för ett stickprov vid utlämnande av uppgifter användas uppgifter som avses i 1 mom. 2 punkten, om inte den registrerade har förbjudit utlämnande av uppgifterna och om det är uppenbart att den registrerade känner till att personuppgifter lämnas ut på detta sätt.

20 § (11.5.2007/528)

20 § har upphävts genom L 11.5.2007/528.

21 § (11.5.2007/528)

21 § har upphävts genom L 11.5.2007/528.

5 kap

Översändande av personuppgifter till stater utanför Europeiska unionen

22 §
Allmänna förutsättningar

Personuppgifter får översändas till stater utanför Europeiska unionens medlemsstaters territorium eller Europeiska ekonomiska samarbetsområdet endast om staten i fråga tryggar en tillräcklig dataskyddsnivå.

Vid bedömningen av huruvida dataskyddsnivån är tillräcklig skall hänsyn tas till uppgifternas art, den planerade behandlingens ändamål och hur länge den skall pågå, ursprungslandet och det slutliga målet, de allmänna och branschspecifika rättsregler och uppförandekodexar som är gällande i landet i fråga samt de skyddsåtgärder som skall iakttas.

22 a § (24.11.2000/986)
Kommissionens beslut

Personuppgifter får översändas till stater utanför Europeiska unionens medlemsstaters territorium eller Europeiska ekonomiska samarbetsområdet, till den del Europeiska gemenskapernas kommission i enlighet med artiklarna 3 och 25.6 i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, har konstaterat att staten i fråga tryggar en tillräcklig dataskyddsnivå.

Personuppgifter får inte översändas till stater utanför Europeiska unionens medlemsstaters territorium eller Europeiska ekonomiska samarbetsområdet, om kommissionen i enlighet med artiklarna 3 och 25.4 i personuppgiftsdirektivet har konstaterat att staten i fråga inte tryggar en tillräcklig dataskyddsnivå.

23 §
Grunder för undantag

När det inte är möjligt att översända uppgifter med stöd av 22 eller 22 a §, kan personuppgifter likväl översändas, om (24.11.2000/986)

1) den registrerade har gett sitt entydiga samtycke till översändandet,

2) översändandet behövs på basis av uppdrag av den registrerade eller för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller på begäran av den registrerade för att genomföra de åtgärder som föregår avtalet,

3) översändandet behövs för att ingå eller fullgöra ett sådant avtal mellan den registeransvarige och en tredje man som överensstämmer med den registrerades intressen,

4) översändandet behövs för att skydda den registrerades vitala intressen,

5) översändandet behövs eller krävs i lag för att säkerställa ett viktigt allmänt intresse eller för att uppgöra, framföra, försvara eller avgöra ett rättsligt anspråk,

6) översändandet sker från ett register i fråga om vilket rätten att på allmänna eller särskilda grunder erhålla information har reglerats särskilt, (24.11.2000/986)

7) den registeransvarige genom avtalsklausuler eller på något annat sätt ger tillräckliga garantier för skyddet av individernas personliga integritet och rättigheter och kommissionen inte i enlighet med artiklarna 3 och 26.3 i personuppgiftsdirektivet har konstaterat att garantierna är otillräckliga, eller om (24.11.2000/986)

8) vid översändandet används i artikel 26.4 i personuppgiftsdirektivet avsedda standardavtalsklausuler som kommissionen godkänt. (24.11.2000/986)

6 kap

Den registrerades rättigheter

24 §
Information om behandling av uppgifter

Den registeransvarige skall vid insamling av personuppgifter se till att den registrerade kan få uppgift om den registeransvarige och vid behov om dennes företrädare, ändamålet med behandlingen av personuppgifterna samt vart uppgifter i regel lämnas ut, liksom om de uppgifter som behövs för att utöva den registrerades rättigheter vid behandlingen av personuppgifter. Uppgifterna skall ges då personuppgifter samlas in och registreras eller, om uppgifterna samlas in hos någon annan än den registrerade själv och avsikten är att lämna ut uppgifterna, senast då uppgifterna första gången lämnas ut.

Undantag från den upplysningsplikt som anges i 1 mom. får göras

1) om den registrerade redan har fått dessa uppgifter,

2) om det är nödvändigt på grund av statens säkerhet, försvaret eller den allmänna ordningen och säkerheten, för att förebygga eller utreda brott eller för en tillsynsuppgift som har samband med beskattningen eller den offentliga ekonomin, eller

3) då uppgifter samlas in hos någon annan än den registrerade själv, om det är omöjligt att ge uppgifter till den registrerade eller detta kräver oskäligt besvär eller orsakar väsentlig skada eller olägenhet för den registrerade eller för ändamålet med behandlingen av uppgifterna och de uppgifter som registreras inte används till sådant beslutsfattande som gäller den registrerade eller om insamling, registrering eller utlämnande av uppgifter uttryckligen har reglerats i lag.

25 §
Information om behandling av uppgifter i vissa fall

1 mom. har upphävts genom L 11.5.2007/528. (11.5.2007/528)

2 mom. har upphävts genom L 11.5.2007/528. (11.5.2007/528)

I direktreklam, distansförsäljning och i annan direktmarknadsföring samt i enkät vid marknads- och opinionsundersökning och andra därmed jämförbara adresserade försändelser, för vilka någons namn och kontaktinformation har förvärvats ur ett personregister, skall i fråga om detta personregister uppges dess benämning samt den registeransvarige och hans kontaktinformation. Vid telefonförsäljning skall motsvarande uppgifter ges på begäran.

26 §
Rätt till insyn

Var och en har utan hinder av sekretessbestämmelserna rätt att, sedan han meddelat de fakta som behövs för att söka en uppgift, få veta vilka uppgifter om honom som har registrerats i ett personregister eller att registret inte innehåller uppgifter om honom. Den registeransvarige skall samtidigt ge den registrerade information om vilka källor som i regel används för registret samt för vilket ändamål registeruppgifterna används och i regel lämnas ut. Då det är fråga om ett sådant automatiserat beslut som avses i 31 §, har den registrerade rätt att också få information om verksamhetsprinciperna för den automatiska behandlingen av uppgifter.

2 mom. har upphävts genom L 11.5.2007/528. (11.5.2007/528)

Den registeransvarige får uppbära en ersättning för lämnande av information endast om det har förflutit mindre än ett år sedan den registrerade senast fick kontrollera uppgifterna i registret. Ersättningen skall vara skälig och den får inte överstiga de direkta kostnaderna för lämnande av informationen.

27 §
Inskränkningar i rätten till insyn

Rätt till insyn enligt 26 § finns inte om

1) informationen kan skada statens säkerhet, försvaret eller den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott,

2) informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för någon annans rättigheter,

3) de personuppgifter som ingår i registret används uteslutande för historisk eller vetenskaplig forskning eller statistiskföring, eller om

4) de personuppgifter som ingår i registret används för tillsyns- och kontrolluppgifter och vägran att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen.

Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten till insyn, har den registrerade rätt att få veta vilka övriga uppgifter som registrerats om honom.

28 §
Utövande av rätten till insyn

Den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 26 §, skall begära detta i en egenhändigt undertecknad eller på ett därmed jämförbart sätt bestyrkt handling eller begära detta personligen hos den registeransvarige.

Den registeransvarige skall utan obefogat dröjsmål ge den registrerade tillfälle att ta del av de uppgifter som avses i 26 § eller på begäran lämna uppgifterna skriftligen. Uppgifterna skall lämnas i begriplig form. Om den registeransvarige vägrar lämna uppgifterna, skall han ge ett skriftligt intyg om detta. I intyget skall också nämnas skälen till att insyn har förvägrats. Om den registeransvarige inte inom tre månader efter att begäran framställts har gett den registrerade ett skriftligt svar, jämställs detta med att insyn har förvägrats. Den registrerade kan föra saken till dataombudsmannen för behandling.

Den som vill veta vilka uppgifter om honom som har registrerats i ett register som förs av en hälsovårdsmyndighet eller hälsovårdsinrättning, en läkare eller tandläkare eller av någon annan yrkesutbildad person inom hälso- och sjukvården och som innehåller personuppgifter angående hälsotillstånd eller sjukdom, skall framställa begäran om utövande av sin rätt till insyn till en läkare eller till någon annan yrkesutbildad person inom hälso- och sjukvården som ser till att uppgifterna samlas in med den registrerades samtycke och som lämnar den registrerade uppgifter om anteckningarna i registret. Angående förfarandet vid utövandet av rätten till insyn eller förvägrande av insyn gäller vad som anges i 2 mom.

29 §
Rättelse av en uppgift

Den registeransvarige skall utan obefogat dröjsmål på eget initiativ eller på yrkande av den registrerade rätta, utplåna eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad. Den registeransvarige skall även förhindra att en sådan uppgift sprids, om uppgiften kan äventyra den registrerades integritetsskydd eller hans rättigheter.

Om den registeransvarige inte godkänner den registrerades yrkande på rättelse av en uppgift, skall han ge ett skriftligt intyg om detta. I intyget skall också nämnas skälen till att yrkandet inte har godkänts. Den registrerade kan föra saken till dataombudsmannen för behandling.

Den registeransvarige skall om rättelsen underrätta den till vilken han har lämnat ut eller av vilken han har fått den oriktiga personuppgiften. Anmälningsskyldighet föreligger dock inte, om anmälan är omöjlig att göra eller kräver oskäligt besvär.

30 §
Förbudsrätt

Den registrerade har rätt att förbjuda den registeransvarige att behandla uppgifter som gäller honom själv för direktreklam, distansförsäljning och annan direktmarknadsföring samt för marknads- och opinionsundersökningar liksom även för personmatriklar och släktforskning.

31 §
Automatiserade beslut

Beslut genom vilka en bedömning görs av vissa egenskaper hos den registrerade, vilka enbart grundas på automatiserad behandling av uppgifter och som har rättsliga följder för den registrerade eller som annars kännbart påverkar honom, är tillåtna endast om

1) detta har reglerats i lag, eller om

2) beslutet fattas i samband med att ett avtal ingås eller fullgörs, under förutsättning att skyddet av den registrerades rättigheter säkerställs eller att den registrerades begäran om ingående eller fullgörande av ett avtal uppfylls genom beslutet.

7 kap

Datasäkerhet och förvaring av uppgifter

32 §
Skydd av uppgifterna

Den registeransvarige skall genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. Vid genomförandet av åtgärderna skall hänsyn tas till de tillgängliga tekniska möjligheterna, kostnaderna som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet.

Den som i egenskap av självständig näringsidkare handlar för den registeransvariges räkning eller till vilken den registeransvarige lämnar ut uppgifter genom teknisk anslutning, skall innan behandlingen av uppgifterna inleds ge den registeransvarige tillbörliga utredningar och förbindelser och i övrigt tillräckliga garantier för att personuppgifterna skyddas på det sätt som avses i 1 mom. (11.5.2007/528)

33 §
Tystnadsplikt

Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, får inte i strid med denna lag för tredje man röja de uppgifter som han på detta sätt har erhållit.

34 §
Förstöring av personregister

Ett personregister som inte längre behövs för den registeransvariges verksamhet skall förstöras, om det inte särskilt bestäms att de registrerade uppgifterna skall bevaras eller om registret inte skall överföras till ett arkiv på det sätt som avses i 35 §.

35 §
Överföring av personuppgifter till arkiv

Om användning och skydd av personregister som har överförts till arkivverket eller ett därmed jämförbart arkiv samt om utlämnande av uppgifter som finns i sådana register gäller vad som bestäms särskilt. Då personuppgifter utlämnas ur privata personregister skall arkivverket eller ett därmed jämförbart arkiv dock beakta vad som i denna lag bestäms om behandling och utlämnande av personuppgifter, om inte detta med hänsyn till de registrerade uppgifternas ålder och art är uppenbart obehövligt för de registrerades integritetsskydd.

Ett personregister som är betydelsefullt för vetenskaplig forskning eller av någon annan orsak kan överföras till arkivet vid en högskola eller en sådan inrättning eller myndighet till vars uppgifter det enligt lag hör att bedriva forskning, om riksarkivet har beviljat tillstånd till detta. Riksarkivet kan bevilja en sammanslutning, en stiftelse och en inrättning tillstånd att till sitt arkiv överföra personregister som har tillkommit i den egna verksamheten och som uppfyller ovan nämnda villkor. Riksarkivet skall i sitt tillståndsbeslut ge föreskrifter om hur skyddet av registren skall ordnas och om hur användningen av personuppgifter skall övervakas.

Riksarkivet skall, innan ett sådant tillstånd som avses i 2 mom. beviljas, bereda dataombudsmannen tillfälle att ge utlåtande.

8 kap

Anmälan till dataombudsmannen

36 §
Anmälningsplikt

Den registeransvarige skall underrätta dataombudsmannen om automatisk behandling av personuppgifter genom att till denne sända en registerbeskrivning.

Dessutom skall den registeransvarige underrätta dataombudsmannen om

1) att personuppgifter översänds till stater utanför Europeiska unionens medlemsstaters territorium eller Europeiska ekonomiska samarbetsområdet, om uppgifterna översänds på de grunder som avses i 22 § eller 23 § 6 eller 7 punkten och om översändandet inte har föreskrivits i lag, samt om

2) ibruktagande av ett sådant system för automatiserade beslut som avses i 31 §.

Den som i form av näring bedriver indrivningsverksamhet eller utför marknads- eller opinionsundersökningar eller för någon annans räkning utför uppgifter som gäller val av och lämplighet i fråga om personal eller utför databehandlingsuppgifter, och som i denna verksamhet använder eller behandlar personregister och uppgifter i dem, är skyldig att göra en anmälan om sin verksamhet till dataombudsmannen. I kreditupplysningslagen (527/2007) föreskrivs om skyldigheten att göra anmälan om kreditupplysningsverksamhet. (11.5.2007/528)

Ovan i 1 mom. avsedd anmälningsplikt föreligger inte, om behandlingen av personuppgifter grundar sig på 8 § 1 mom. 1–3 punkten, på 4 punkten när behandlingen regleras i lag, på kund- eller anställningsförhållande eller medlemskap som avses i 5 punkten eller på 6 eller 9 punkten eller 12 § 1–4 punkten, på 5 punkten när behandlingen regleras i lag, eller på 7–10, 12 eller 13 punkten eller på 13–18 eller 20 §. Från anmälningsplikten kan dessutom göras undantag i den ordning som bestäms genom förordning, om det är uppenbart att behandlingen av personuppgifter inte kränker den registrerades integritetsskydd eller hans frieller rättigheter.

20 § har upphävts genom L 528/2007. Se L om datasekretessnämnden och dataombudsmannen 389/1994 5 § samt KreditupplysningsL 527/2007 38 §.

37 §
Hur en anmälan skall göras

Av en anmälan som avses i 36 § 2 mom. 1 punkten skall förutom de uppgifter som ingår i registerbeskrivningen framgå vilka slags uppgifter som översänds och hur översändandet sker.

Av en anmälan som avses i 36 § 2 mom. 2 punkten skall förutom de uppgifter som ingår i registerbeskrivningen framgå vilken logik systemet använder sig av.

Av en anmälan som avses i 36 § 3 mom. skall framgå näringsidkarens namn, verksamhetsområde, hemort och kontaktinformation, vilka personregister som används i verksamheten och vilka slags uppgifter de innehåller, hur uppgifter eventuellt lämnas ut ur registren och hur länge de registrerade uppgifterna bevaras, hur skyddet av personregistren har ordnats och hur användningen av personregistren övervakas.

Anmälan skall göras i tillräckligt god tid, dock senast 30 dagar innan de personuppgifter som avses bli registrerade i personregistret samlas in och registreras eller någon annan åtgärd som medför anmälningsplikt vidtas.

9 kap

Styrning och övervakning av behandlingen av personuppgifter

38 §
Datasekretessmyndigheterna

Dataombudsmannen ger anvisningar och råd om behandlingen av personuppgifter samt övervakar behandlingen av personuppgifter så att målen för denna lag nås och utövar beslutanderätt i enlighet med vad som bestäms i denna lag.

Datasekretessnämnden behandlar frågor som gäller behandlingen av personuppgifter och som med avseende på lagens tillämpningsområde är principiellt viktiga och utövar beslutanderätt i datasekretessfrågor i enlighet med vad som bestäms i denna lag.

Datasekretessmyndigheterna kan utöva de befogenheter som avses i detta kapitel också då denna lag enligt 4 § inte tillämpas på behandlingen av personuppgifter. Datasekretessmyndigheterna samarbetar med datasekretessmyndigheterna i Europeiska unionens övriga medlemsstater och ger vid behov handräckning.

39 §
Datasekretessmyndigheternas rätt att få information och utöva tillsyn

Dataombudsmannen har utan hinder av sekretessbestämmelserna rätt att få information om de personuppgifter som är föremål för behandling samt all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag. Datasekretessnämnden har motsvarande rätt i de ärenden som den behandlar.

Dataombudsmannen har rätt att inspektera personregister och att därvid anlita sakkunniga. Dataombudsmannen och de sakkunniga har för inspektionen rätt att få tillträde till lokaliteter som den registeransvarige och den som handlar på hans uppdrag har i sin besittning och i vilka personuppgifter behandlas eller personregister förs. De skall även få tillgång till sådana upplysningar och anordningar som behövs för inspektionen. I lokaler som omfattas av hemfriden får inspektion utföras endast om det i det föreliggande fallet finns specificerade skäl att misstänka att brott skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter. En inspektion skall utföras så att den inte i onödan vållar den registeransvarige olägenhet eller kostnader.

I fråga om sådan behandling som avses i 2 § 5 mom. övervakar dataombudsmannen att skyldigheten att skydda uppgifterna enligt 32 § iakttas. Dataombudsmannen har rätt att i detta syfte erhålla behövliga uppgifter om skyddet av registren.

40 §
Dataombudsmannens åtgärder

Dataombudsmannen skall främja god informationshantering samt genom anvisningar och råd sträva efter att ett lagstridigt förfarande inte fortgår eller upprepas. Vid behov skall dataombudsmannen föra saken till datasekretessnämnden för avgörande eller anmäla ärendet för åtal.

Dataombudsmannen skall avgöra ett ärende som en registrerad med stöd av 28 och 29 § fört till denne för behandling. Dataombudsmannen kan bestämma att den registeransvarige skall se till att den registrerades rätt till insyn tillgodoses eller att en uppgift rättas.

Dataombudsmannen kan meddela närmare anvisningar om hur personuppgifter skall skyddas mot olaglig behandling.

41 §
Hörande av dataombudsmannen

Myndigheterna skall bereda dataombudsmannen tillfälle att bli hörd vid beredningen av reformer av sådan lagstiftning eller förvaltning som gäller skydd av fri- och rättigheter vid behandlingen av personuppgifter.

Innan åklagaren väcker åtal för ett förfarande som står i strid med denna lag ska åklagaren höra dataombudsmannen. Domstolen ska vid behandlingen av ett sådant mål bereda dataombudsmannen tillfälle att bli hörd. (13.5.2011/457)

42 §
Branschspecifika uppförandekodexar

De registeransvariga eller sammanslutningar som företräder dem kan utarbeta branschspecifika uppförandekodexar för tillämpningen av denna lag och för främjandet av god informationshantering samt lämna de förslag som de uppgjort till dataombudsmannen. Dataombudsmannen kan granska att uppförandekodexarna överensstämmer med denna lag och med övriga bestämmelser som påverkar behandlingen av personuppgifter.

43 §
Datasekretessnämndens behörighet att bevilja tillstånd

Datasekretessnämnden kan bevilja ett sådant tillstånd som avses i 8 § 1 mom. 9 punkten för behandling av personuppgifter, om behandlingen behövs för att i andra än enskilda fall skydda den registrerades vitala intressen eller för att utföra en uppgift som gäller ett allmänt intresse eller för att utöva sådan offentlig makt som hör till den registeransvarige eller tredje man till vilken uppgifterna lämnas ut. Tillstånd kan också beviljas för att genomdriva ett berättigat intresse hos den registeransvarige eller tredje man till vilken uppgifterna lämnas ut, under förutsättning att sådan behandling av uppgifter inte äventyrar någons integritetsskydd och rättigheter.

Av skäl som gäller ett viktigt allmänt intresse kan datasekretessnämnden bevilja ett sådant tillstånd som avses i 12 § 13 punkten för behandling av känsliga personuppgifter.

Ett tillstånd kan beviljas för viss tid eller tills vidare och till det skall fogas föreskrifter som behövs för att skydda den registrerades personliga integritet. Föreskrifterna kan på ansökan av dataombudsmannen eller den som fått tillstånd ändras eller kompletteras, om detta behövs på grund av förändrade förhållanden.

44 §
Datasekretessnämndens föreskrifter

Datasekretessnämnden kan på ansökan av dataombudsmannen

1) förbjuda sådan behandling av personuppgifter som strider mot denna lag eller de bestämmelser och föreskrifter som utfärdats med stöd av den,

2) förplikta den som saken gäller att i andra ärenden än de som avses i 40 § 2 mom. inom utsatt tid rätta det som har utförts i strid med lag eller som har försummats,

3) bestämma att registerverksamheten skall upphöra, om de lagstridiga åtgärderna eller försummelserna väsentligen äventyrar den registrerades integritetsskydd eller hans intressen eller rättigheter, om det inte bestämts om registret i lag, samt

4) återkalla ett tillstånd som avses i 43 §, då förutsättningar för beviljande av tillstånd inte längre föreligger eller den registeransvarige handlar i strid med tillståndet eller föreskrifter som fogats till det.

45 § (7.8.2015/901)
Ändringssökande

Beslut som dataombudsmannen och datasekretessnämnden fattat får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Dataombudsmannen får överklaga beslut som datasekretessnämnden fattat med stöd av 43 §.

Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.

I datasekretessnämndens beslut kan det bestämmas att beslutet ska iakttas även om det överklagas, om inte besvärsmyndigheten bestämmer något annat.

46 §
Vite

Dataombudsmannen kan förelägga vite för att förstärka skyldigheten att lämna information enligt 39 § 1 och 3 mom. och beslut som fattats med stöd av 40 § 2 mom. och datasekretessnämnden för att förstärka skyldigheten att lämna uppgifter enligt 39 § 1 mom. och beslut som fattats med stöd av 44 §, på det sätt som anges i viteslagen (1113/1990).

10 kap

Särskilda bestämmelser

47 §
Skadeståndsskyldighet

Den registeransvarige är skyldig att ersätta den ekonomiska skada eller annan skada som tillfogats den registrerade eller någon annan person av att personuppgifter har behandlats i strid med denna lag.

I fråga om skadeståndsskyldighet gäller i övrigt vad som bestäms i 2 kap. 2 och 3 §, 3 kap. 4 och 6 § samt 4, 6 och 7 kap. skadeståndslagen (412/1974).

48 §
Straffbestämmelser

Om straff för personregisterbrott bestäms i 38 kap. 9 § strafflagen (39/1889) och om straff för dataintrång i personregister i 38 kap. 8 § strafflagen. Straff för brott mot den tystnadsplikt som avses i 33 § utdöms enligt 38 kap. 1 eller 2 § strafflagen, om inte gärningen skall bestraffas enligt 40 kap. 5 § strafflagen eller om inte strängare straff för den bestäms någon annanstans i lag.

Den som i strid med denna lag uppsåtligen eller av grov oaktsamhet

1) försummar att iaktta vad som bestäms om angivande av ändamålet med behandlingen av personuppgifter, uppgörande av registerbeskrivning, lämnande av upplysningar om behandlingen av uppgifter, rättelse av en uppgift i ett personregister, den registrerades förbudsrätt eller om anmälningar till dataombudsmannen,

2) lämnar en datasekretessmyndighet en oriktig eller vilseledande upplysning i ett ärende som gäller behandling av personuppgifter,

3) bryter mot bestämmelserna om skydd av personuppgifter och om förstöring av personregister, eller

4) bryter mot lagakraftvunna föreskrifter som datasekretessnämnden meddelat med stöd av 43 § 3 mom.

och därmed äventyrar den registrerades integritetsskydd eller hans rättigheter skall, om inte strängare straff för gärningen bestäms någon annanstans i lag, för personregisterförseelse dömas till böter.

49 §
Närmare bestämmelser

Närmare bestämmelser om verkställigheten av denna lag utfärdas genom förordning.

11 kap

Ikraftträdelse- och övergångsbestämmelser

50 §
Ikraftträdande

Denna lag träder i kraft den 1 juni 1999.

Genom denna lag upphävs personregisterlagen av den 30 april 1987 (471/1987) jämte ändringar. Bestämmelserna om definitioner av massutlämnande och känsliga stickprov i den upphävda lagen tillämpas dock alltjämt till och med den 24 oktober 2001 till de delar som det hänvisas till dem i annan lagstiftning.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan lagen träder i kraft.

51 §
Övergångsbestämmelser

Sådan behandling av personuppgifter som har påbörjats innan denna lag träder i kraft skall motsvara kraven enligt denna lag senast den 24 oktober 2001.

Om det i annan lagstiftning hänvisas till den personregisterlag som har upphävts genom denna lag eller till bestämmelser i nämnda lag skall hänvisningen anses gälla denna lag eller motsvarande bestämmelser i denna lag.

RP 96/1998, FvUB 26/1998, RSv 278/1998

Ikraftträdelsestadganden:

24.11.2000/986:

Denna lag träder i kraft den 1 december 2000.

RP 137/2000, FvUB 16/2000, RSv 144/2000, Europaparlamentets och rådets direktiv 95/46/EG (31995L0046); EGT nr L 281, 23.11.1995, s. 31

11.5.2007/528:

Denna lag träder i kraft den 1 november 2007.

2 mom. har upphävts genom L 18.7.2008/512. (18.7.2008/512)

RP 241/2006, LaUB 32/2006, RSv 315/2006

18.7.2008/512:

Denna lag träder i kraft den 1 september 2008.

RP 19/2008, AjUB 3/2008, RSv 63/2008

30.4.2010/294:

Denna lag träder i kraft den 1 maj 2010.

RP 169/2009, EkUB 4/2010, RSv 38/2010, Europaparlamentets och rådets direktiv 2007/64/EG; (32007L0064) EUT nr L 319, 5.12.2007, s. 1

3.12.2010/1049:

Denna lag träder i kraft den 1 januari 2011.

RP 202/2010, FvUB 20/2010, RSv 196/2010

13.5.2011/457:

Denna lag träder i kraft den 17 maj 2011.

RP 286/2010, LaUB 34/2010, RSv 311/2010

7.8.2015/901:

Denna lag träder i kraft den 1 januari 2016.

På sökande av ändring i ett förvaltningsbeslut som meddelats före ikraftträdandet av denna lag tillämpas de bestämmelser som gällde vid ikraftträdandet.

RP 230/2014, LaUB 26/2014, RSv 319/2014

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.