471/1987

Given i Helsingfors den 30 april 1987

Personregisterlag

I enlighet med riksdagens beslut stadgas:

1 kap.

Allmänna stadganden

1 §
Lagens tillämpningsområde

För att skydda individens personliga integritet samt hans intressen och rättigheter, för att garantera statens säkerhet och för att skapa en god registersed skall vid inhämtande, registrering, användning och utlämnande av personuppgifter iakttas denna lag, om inte annat stadgas genom lag.

Denna lag gäller inte inhämtande, registrering eller användning av personuppgifter som sker uteslutande för personliga eller därmed jämförbara sedvanliga privata syften.

Denna lag medför ingen ändring i rätten att utge tryckskrifter.

2 §
Definitioner

I denna lag avses med

1) personuppgift en sådan beskrivning av en individ eller individuella egenskaper eller levnadsförhållanden som kan hänföras till en bestämd fysisk person eller till hans familj eller någon som lever i gemensamt hushåll med honom,

2) personregister en datamängd som innehåller personuppgifter och som behandlas med automatisk databehandling samt sådana förteckningar och kartotek, eller en på motsvarande sätt ordnad datamängd, som innehåller personuppgifter och ur vilka information om en bestämd person med lätthet och utan oskäliga kostnader kan erhållas,

3) registeransvarig en person, ett samfund eller en stiftelse för vars bruk personregister inrättas och som har rätt att förfoga över registret,

4) registrerad den som en personuppgift gäller,

5) användning av personuppgifter att personuppgifter som införts eller inhämtats för att införas i ett personregister utnyttjas i den registeransvariges egen verksamhet,

6) personkreditupplysning personuppgifter som är avsedda att användas vid bedömning av en persons ekonomiska ställning, förmåga att svara för sina förbindelser eller pålitlighet,

7) kreditupplysningsverksamhet inhämtande och registrering av personkreditupplysningar i syfte att överlåta dem vidare, om det sker i form av näring,

8) massutlämnande att ett helt personregister eller en större del av personuppgifterna om de registrerade lämnas ut eller att personuppgifter lämnas ut i en form som lämpar sig för automatisk databehandling eller så att mottagaren genom teknisk anslutning kan använda ett personregister, samt med

9) känsliga stickprov en datamängd som på grund av urvalskriterierna och användningssyftet kan medföra att den registrerades integritetsskydd äventyras.

3 §
Den registeransvariges aktsamhetsplikt

När personuppgifter inhämtas, registreras, används och lämnas ut skall den registeransvarige vara aktsam och iaktta god registersed samt även i övrigt förfara så att den registrerades personliga integritet, intressen eller rättigheter inte otillbörligt kränks eller att statens säkerhet äventyras. Samma skyldighet har den som i egenskap av självständig näringsidkare eller företagare handlar för den registeransvariges räkning eller till vilken den registeransvarige har lämnat ut personuppgifter.

2 kap.

Inhämtande och registrering av personuppgifter

4 §
Angivande av personregisters ändamål

Användningen av ett personregister skall vara sakligt motiverad med hänsyn till den registeransvariges verksamhet och administration. Det ändamål, för vilket personregistret används samt den hos vilken personuppgifter som registreras vanligen inhämtas (normala källor) och till vilken registrerade personuppgifter vanligen lämnas ut (normalt utlämnande av uppgifter), skall anges innan de personuppgifter som skall registreras börjar inhämtas eller, om personuppgifterna ingår i handlingar som upprättats i den registeransvariges normala verksamhet, innan uppgifterna ordnas till ett personregister.

Registrets ändamål skall preciseras, så att det framgår för vilka av den registeransvariges funktioner registret används. Flera personregister som tekniskt sett förs separat anses utgöra ett och samma register, om de används för ett och samma ändamål.

Ett personregisters ändamål samt de normala dataöverföringarna kan senare anges på nytt, om detta behövs till följd av ändrade förhållanden och det sålunda angivna ändamålet inte väsentligt avviker från det ursprungliga.

5 §
Införande av personuppgifter i personregister

Utan den registrerades samtycke eller tillstånd av datasekretessnämnden får för ett personregister inhämtas uppgifter och dessa införas i registret endast i fråga om personer som på grund av ett kund- eller tjänstgöringsförhållande, ett medlemskap eller något därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet, om inte registret skall föras till följd av ett åliggande som den registeransvarige har enligt lag eller förordning eller föreskrift som meddelats med stöd därav (anknytningskrav).

I personregister får införas endast sådana personuppgifter som behövs för registrets ändamål (relevanskrav). Genom förordning kan närmare stadgas om hurdana personuppgifter som får införas i personregister av ett visst slag.

En koncern eller någon annan ekonomisk sammanslutning får utan hinder av 1 mom. inhämta och i ett gemensamt personregister införa personuppgifter om kunder hos eller arbetstagare vid sammanslutningens enheter, om inte annat följer av stadgandena om tystnadsplikt.

För kreditupplysningsverksamhet samt direktreklam, telefonförsäljning, annan direkt marknadsföring, adresstjänst, opinions- och marknadsundersökningar samt för vetenskaplig forskning och statistik får utan hinder av 1 mom. personuppgifter inhämtas och införas i personregister. Om användning av sådana personregister och om de uppgifter som införs i dem stadgas närmare genom förordning.

6 §
Förbud mot registrering av känsliga uppgifter

Känsliga uppgifter får inte inhämtas för personregister eller införas i detta.

Med känsliga uppgifter avses personuppgifter vilkas syfte är att beskriva

1) ras eller etniskt ursprung,

2) någons samhälleliga eller politiska uppfattning eller religiösa övertygelse,

3) brottslig gärning eller straff eller annan påföljd för brott,

4) någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom,

5) någons sexuella beteende eller

6) socialservice, utkomststöd och sociala understöd samt därmed sammanhängande socialvårdstjänster som någon erhållit.

7 §
Undantag från förbudet mot registrering av

känsliga uppgifter

Stadgandena i 6 § hindrar inte att uppgifter inhämtas och införs i personregister, om datasekretessnämnden har gett tillstånd eller den registrerade har samtyckt därtill eller om frågan gäller

1) personregister om vilket stadgas i lag eller förordning eller som inrättats på grund av ett åliggande, som den registeransvarige har direkt enligt lag eller förordning eller föreskrift som meddelats med stöd därav,

2) personregister som förs av en socialvårdsmyndighet och som innehåller uppgifter som myndigheten i sin verksamhet har erhållit om socialvård som den registrerade har fått samt om grunderna för denna,

3) personregister som förs av en myndighet eller anstalt inom hälsovården och som innehåller uppgifter som den i sin verksamhet har erhållit om den registrerades hälsotillstånd, sjukdom eller handikapp eller om vård som gäller den registrerade eller andra uppgifter som är nödvändiga för vården av honom,

4) personregister som förs av en läkare eller tandläkare eller någon annan med yrkesutbildning inom hälsovården och som innehåller uppgifter vilka han i sin yrkesutövning har erhållit om den registrerades hälsotillstånd, sjukdom eller handikapp eller om vård av honom, eller andra uppgifter som är nödvändiga för vården av den registrerade,

5) matrikel som en kommunal myndighet för över sina tjänsteinnehavare och som innehåller uppgifter som enligt matrikelförordningen (215/64) kan antecknas i matrikel som förs över statstjänstemän,

6) personregister som förs av försäkringsbolag och som innehåller uppgifter som i försäkringsverksamheten erhållits om den försäkrades hälsotillstånd, sjukdom eller handikapp eller om vård eller därmed jämförbara åtgärder som gäller den registrerade, eller

7) personregister som är avsett för någon särskild vetenskaplig undersökning, i enlighet med vad som närmare stadgas genom förordning.

8 §
Anteckning om källorna

När den registeransvarige inför personuppgifter i ett personregister, skall han samtidigt på ett bestående sätt anteckna en utredning om varifrån de registrerade uppgifterna härstammar, om andra källor än de normala källor som har angivits enligt 4 § har använts då de inhämtades.

3 kap.

Kontroll och rättelse av personuppgifter

9 §
Kontroll av att uppgifterna är riktiga

Den registeransvarige skall genom att använda tillförlitliga källor och även annars se till att oriktiga, ofullständiga eller föråldrade uppgifter inte förs in i personregister. När den registeransvariges skyldighet bedöms, skall avseende fästas vid personregistrets ändamål samt vilken betydelse för den registrerades integritetsskydd, intressen och rättigheter det har att registret används.

10 §
Registerbeskrivning

Över personregister som förs med automatisk databehandling skall den registeransvarige uppgöra en registerbeskrivning som anger registrets ändamål samt vilka slags data det innehåller. Registerbeskrivningen skall hos den registeransvarige hållas allmänt tillgänglig.

Registerbeskrivningen skall uppgöras innan de uppgifter som skall föras in i personregistret börjar inhämtas eller, om personuppgifterna ingår i handlingar som upprättats i den registeransvariges normala verksamhet, innan uppgifterna ordnas till ett personregister.

Den registeransvarige skall på begäran också ge upplysningar om ändamålet med och arten av uppgifterna i personregister som inte behöver ha en registerbeskrivning.

Genom förordning kan stadgas att de upplysningar som avses i 1 mom. endast skall meddelas dataombudsmannen, om registerbeskrivningens tillgänglighet kan äventyra statens säkerhet eller förhållande till en annan stat eller någon internationell organisation eller försvåra förebyggande eller utredning av brott.

11 §
Rätt till insyn

Var och en har utan hinder av sekretesstadgandena rätt att, sedan han meddelat de fakta som behövs för att söka en uppgift, få veta vilka uppgifter om honom som har införts i ett personregister eller att registret inte innehåller uppgifter om honom. Den registeransvarige skall samtidigt ge den registrerade information om vilka normala källor som används för registret samt för vilket ändamål registeruppgifterna används och vanligen lämnas ut. Ersättning för utlämnande av uppgifter får av den registeransvarige uppbäras endast om det har förflutit mindre än ett år sedan den registrerade senast fick kontrollera uppgifterna i registret. Ersättningen skall vara skälig, och den får inte överstiga de direkta kostnaderna för utlämnandet av uppgifterna.

Den som önskar kontrollera uppgifter om sig själv på det sätt som nämns i 1 mom. skall personligen hos den registeransvarige eller genom ett egenhändigt undertecknat brev begära detta. Genom förordning stadgas närmare om hur rätten till insyn skall tillgodoses när det är fråga om personregister inom hälsovården.

12 §
Begränsningar av rätten till insyn

Rätt till insyn enligt 11 § finns inte,

1) om informationen kan skada statens säkerhet eller förhållande till annan stat eller någon internationell organisation eller försvåra förebyggande eller utredning av brott eller strida mot något annat synnerligen viktigt allmänt intresse,

2) om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård, eller om det kan strida mot något annat synnerligen viktigt enskilt intresse att information lämnas,

3) om personuppgifter i ett register används uteslutande i statistiskt syfte för forskning eller planering, eller

4) om det är fråga om personbedömningsuppgifter, som utgör en avlöningsgrund och som ingår i ett annat register som arbetsgivaren för över sina arbetstagare än ett personregister som förs med automatisk databehandling, såvida i respektive arbets- eller tjänstekollektivavtal eller, om något avtal inte finns, med arbetstagaren överenskommits om dylik avlöningsgrund, ej heller i fråga om personregister som arbetsgivaren på motsvarande sätt för med tanke på val av arbetstagare och som förstörs så snart det inte längre behövs med hänsyn till arbetsgivarens lagstadgade förpliktelser.

Är endast en del av uppgifterna om den registrerade sådana att de enligt 1 mom. 1 eller 2 punkten inte omfattas av rätten till insyn, har den registrerade rätt till insyn i fråga om övriga registeruppgifter om honom.

Genom förordning kan det stadgas att rätten till insyn inte omfattar sådana personregister ur vilka den registrerade får uppgifter om sig själv på grund av ett förfarande varom stadgas i lag eller förordning eller genom den registeransvariges försorg.

13 §
Rätt till insyn i kreditupplysningsregister

En registeransvarig som idkar kreditupplysningsverksamhet skall underrätta den registrerade om när den första anteckningen om honom införs i ett kreditupplysningsregister.

En registeransvarig som idkar kreditupplysningsverksamhet skall på den registrerades begäran meddela till vem eller för vilket ändamål personkreditupplysningar om honom har lämnats ut under de senaste sex månaderna samt av vem uppgifterna om honom har erhållits eller varifrån de härstammar. Om rätten till insyn gäller i övrigt vad som stadgas i 11 §.

14 §
Utövande av rätt till insyn

Den registeransvarige skall utan obefogat dröjsmål ge den registrerade tillfälle att ta del av de uppgifter som avses i 11 § eller på begäran lämna uppgifterna skriftligen. Om den registeransvarige vägrar att lämna uppgifterna, skall han på begäran ge ett skriftligt intyg därom. I intyget skall även nämnas skälen till att insyn förvägrats.

Har den registeransvarige inte inom tre månader efter framställd begäran gett den registrerade ett skriftligt svar, jämställs detta med att insyn har förvägrats.

15 §
Rättelse av fel

Den registeransvarige skall se till att en i personregister införd personuppgift, som med hänsyn till registrets ändamål är oriktig, onödig, bristfällig eller föråldrad, utan obefogat dröjsmål rättas, avförs eller kompletteras (rättelse av fel), om det är uppenbart att en sådan uppgift äventyrar den registrerades integritetsskydd eller hans intressen eller rättigheter. På motiverad begäran av den registrerade skall fel alltid rättas.

Godkänner den registeransvarige inte yrkande på rättelse av fel, skall han på begäran ge ett skriftligt intyg därom. I intyget skall även nämnas skälen till att yrkandet inte har godkänts.

Den registeransvarige skall om rättelsen underrätta den till vilken han genom vanlig dataöverföring sannolikt har lämnat ut eller av vilken han vid dataöverföringen har fått den felaktiga personuppgiften, om felet kan medföra intrång i den registrerades intressen eller rättigheter. På motiverad begäran av den registrerade skall rättelse av fel alltid meddelas den till vilken den registeransvarige vet att han sannolikt har lämnat ut den oriktiga personuppgiften eller av vilken den registeransvarige vet att han sannolikt har erhållit denna samt den som uppges av den registrerade och som lämnat eller tagit emot uppgiften.

4 kap.

Användning och utlämnande av personuppgifter

16 §
Ändamålsbundenhet

Personuppgifter som ingår i personregister får användas endast för det ändamål som har bestämts innan uppgifterna börjar inhämtas, om inte annat följer av denna lag eller av annan lag. Uppgifter i personregister får dock användas för statistikföring i samband med den registeransvariges forskning och planering.

17 §
Mottagarens upplysningsplikt

Den som begär uppgifter ur ett personregister är skyldig att lämna den registeransvarige upplysningar om vad de begärda uppgifterna kommer att användas till samt om hur ett behövligt skydd av personuppgifterna kommer att ordnas.

18 §
Utlämnande av uppgifter ur personregister

Personuppgifter som ingår i eller inhämtats för personregister får inte lämnas ut, om inte annat följer av 2 eller 3 mom. eller uppgifterna lämnas ut

1) med den registrerades samtycke eller på hans uppdrag,

2) i enlighet med lag eller förordning eller föreskrift som meddelats med stöd av lag eller förordning,

3) under sådana omständigheter att det utgör en sedvanlig del av verksamheten i fråga att personuppgifter lämnas ut; en förutsättning är härvid att det kan antas att den registrerade känner till att personuppgifterna lämnas ut på detta sätt och att det inte är fråga om känsliga uppgifter, eller

4) för vetenskaplig forskning eller statistik.

Ur personregister som inte innehåller känsliga uppgifter får personuppgifter lämnas ut till direktreklam, telefonförsäljning och annan direkt marknadsföring samt adresstjänst, om den registrerade inte har förbjudit utlämnandet och om det är uppenbart att den registrerade känner till att uppgifterna lämnas ut på detta sätt. Om uppgifter som får lämnas ut stadgas närmare genom förordning.

Personkreditupplysning får lämnas ut endast till en registeransvarig som bedriver kreditupplysningsverksamhet och till den som behöver upplysningen vid beviljande eller övervakning av kredit eller för annat härmed jämförbart ändamål.

Såsom utlämnande av personuppgift anses inte att uppgifter lämnas för betalningstjänst, databehandling, postning eller härmed jämförbara tjänster som sker på uppdrag av den registeransvarige eller att personuppgifter överförs till ett sådant gemensamt register som nämns i 5 § 3 mom. eller att sådana uppgifter lämnas ut som inte kan hänföras till den registrerade.

19 §
Massutlämnande och känsliga stickprov

Personuppgifter som ingår i eller inhämtats för personregister får ges ut i form av massutlämnande eller känsliga stickprov endast om

1) den registrerade har samtyckt därtill eller utlämnandet sker på uppdrag av honom,

2) sådant utlämnande sker med stöd av 18 § 3 mom. eller annan lag eller förordning eller med datasekretessnämndens tillstånd, eller

3) mottagaren enligt denna lag har rätt att införa uppgifterna i personregister samt utlämnandet och användningen inte äventyrar den registrerades integritetsskydd, intressen eller rättigheter eller statens säkerhet.

I de fall som avses i 1 mom. får en personbeteckning lämnas ut endast om mottagaren redan förfogar över den eller om han har rätt att få den direkt av den registrerade eller ur befolkningsregistret eller om utlämnandet sker för vetenskaplig forskning eller för statistik eller kreditupplysningsverksamhet.

20 §
Samkörning av personregister

Personregister får samköras endast

1) om den registrerade har samtyckt eller datasekretessnämnden har beviljat tillstånd till detta,

2) om samkörningen är en direkt följd av ett i lag stadgat åliggande och den registeransvarige har rätt att för detta ändamål få och använda de uppgifter som skall samköras,

3) om samkörningen sker för sedvanlig uppdatering av adressuppgifter eller för att undvika dubbel postning, eller

4) om det är uppenbart att samkörningen inte äventyrar den registrerades integritetsskydd, intressen eller rättigheter.

Såsom samkörning av personregister anses inte att två eller flera personregister som tillhör en och samma registeransvarige och som tekniskt hållits isär förenas till ett register, om registren har samband med administrationen av ett och samma förhållande mellan den registeransvarige och en registrerad, och det nya register som bildas uppfyller villkoren enligt 4-7 §§.

21 §
Användning av utlämnade uppgifter

Den till vilken personuppgifter har lämnats får inte använda uppgifterna för andra ändamål än dem som bestämts vid utlämnandet. Detsamma gäller den som har mottagit en personuppgift för att utföra ett uppdrag för den registeransvarige.

22 §
Utlämnande av uppgifter utomlands

Utan tillstånd av datasekretessnämnden eller samtycke eller uppdrag av den registrerade får personuppgifter som införts i eller inhämtats för personregister ges ut i form av massutlämnande eller känsliga stickprov endast till länder vars lagstiftning motsvarar stadgandena i denna lag. Om dessa länder stadgas närmare genom förordning.

Tillstånd får beviljas, om det med beaktande av antalet personuppgifter som skall lämnas ut, deras art och användningssyfte samt de skyddsåtgärder som skall vidtas är uppenbart att utlämnandet inte äventyrar den registrerades integritetsskydd eller gör intrång i hans intressen eller rättigheter eller äventyrar statens säkerhet.

Personuppgifter får lämnas ut till en annan stat för databehandling och postning som sker på uppdrag av den registeransvarige, om utlämnandet och användningen av uppgifterna inte äventyrar den registrerades integritetsskydd, intressen eller rättigheter eller statens säkerhet.

23 §
Rätt att förbjuda användning eller utlämnande av uppgifter

Den registrerade har rätt att förbjuda den registeransvarige att använda eller lämna ut uppgifter om honom själv för direktreklam, telefonförsäljning och annan direkt marknadsföring, adresstjänst samt marknads- och opinionsundersökningar.

24 §
Anmälan om användning av personregister i vissa fall

Den som har inhämtat personkreditupplysningar om den registrerade för att användas vid beslut som gäller den registrerade skall underrätta denne om upplysningarnas användning i beslutsfattandet och från vilket register de härstammar, såvida förvägrande av kredit eller något annat beslut som är negativt för den registrerade huvudsakligen beror på dessa kreditupplysningar.

I direktreklam, vid telefonförsäljning och annan direkt marknadsföring samt i förfrågan vid marknads- och opinionsundersökning där någons namn eller adressuppgifter har inhämtats ur ett personregister skall i fråga om detta register uppges dess benämning samt den registeransvarige och hans adress.

25 §
Anteckning om att uppgifter har lämnats ut

Om inte annat följer av 2 mom., skall den registeransvarige, när han med stöd av 19 § 1 mom. 3 punkten lämnar ut personuppgifter, på ett bestående sätt anteckna

1) vilka slags uppgifter som har lämnats ut,

2) till vem uppgifterna har lämnats,

3) för vilket ändamål uppgifterna har lämnats ut och

4) när uppgifterna har lämnats ut.

Anteckning som nämns i 1 mom. behöver inte göras, när uppgifter ges ut i form av sådant normalt utlämnande som har angivits i 4 §. Anteckning om utlämnande skall dock alltid göras, när det är fråga om personregister som upprätthålls för sådant utlämnande av personuppgifter som sker i form av näring.

5 kap.

Skydd, arkivering och utplånande av personregister

26 §
Skydd av personregister

Den registeransvarige skall se till att personregister och uppgifterna däri på behörigt sätt är skyddade mot olovlig behandling, användning, utplånande och ändring samt mot olovligt tillgrepp. Samma skyldighet har den som i egenskap av självständig idkare av näring eller verksamhet handlar för den registeransvariges räkning eller till vilken denne har gett ut personuppgifter som massutlämnande eller känsliga stickprov.

27 §
Utplånande av personregister

Behövs ett personregister inte längre för den registeransvariges verksamhet, skall registret utplånas, om det inte särskilt stadgas eller bestäms att de registrerade uppgifterna skall bevaras eller om registret inte arkiveras i enlighet med vad som närmare stadgas genom förordning.

28 §
Personregister som överförts till arkiv

Om användning och skydd av personregister som överlåtits till en arkivmyndighet samt utlämnande av uppgifter som finns i sådana register gäller vad som stadgas särskilt. Då uppgifter lämnas ur privata personregister skall arkivmyndigheten dock beakta vad som i denna lag stadgas om utlämnande av personuppgifter, om inte detta med hänsyn till de införda uppgifternas ålder och art är uppenbart obehövligt för de registrerades integritetsskydd.

6 kap.

Tillsyn och tvångsmedel samt undantagslov

29 §
Datasekretessmyndigheter

Dataombudsmannen utövar tillsyn över att inhämtande, registrering, användning och utlämnande av personuppgifter sker så att syftena med denna lag nås.

Datasekretessnämnden har beslutanderätt i datasekretessfrågor i enlighet med vad som stadgas i denna lag.

Om dataombudsmannens byrå samt om datasekretessnämndens sammansättning och behandlingen av ärenden i nämnden stadgas i lagen om datasekretessnämnden och dataombudsmannen (474/87).

30 §
Anmälningsplikt

Den registeransvarige skall göra en anmälan hos dataombudsmannen

1) i fråga om personregister, när avsikten är att uppgifter i registret skall användas för direktreklam, telefonförsäljning eller annan direkt marknadsföring, adresstjänst eller opinions- eller marknadsundersökning, om registret innehåller uppgifter om personer som inte står i ett sådant kund- eller tjänstgöringsförhållande eller medlemskaps- eller därmed jämförbart förhållande till den registeransvarige som avses i 5 § 1 mom.,

2) i fråga om personregister som förs med automatisk databehandling och för vilket uppgifter inhämtas med stöd av 19 § 1 mom. 3 punkten, om det inte är fråga om sedvanlig uppdatering av adressuppgifter eller om personregister som förs för vetenskaplig forskning,

3) när personuppgifter lämnas ut ur personregister för automatisk databehandling i någon annan stat eller för att i betydande omfattning användas i en annan stat, om tillstånd enligt 22 § inte har sökts, samt

4) vid väsentlig ändring av ett sådant personregister som avses i 1 och 2 punkten.

Den som bedriver kreditupplysningsverksamhet eller den som i form av näring bedriver inkasseringsverksamhet eller utför marknads- eller opinionsundersökningar eller för annans räkning utför tjänster, som gäller val av och lämplighet i fråga om personal, eller utför databehandlingsuppgifter, och som i denna verksamhet använder eller behandlar personregister och däri införda uppgifter, är skyldig att hos dataombudsmannen anmäla verksamheten.

Anmälan skall göras i tillräckligt god tid, dock senast en månad innan de personuppgifter som avses bli införda i personregistret inhämtas eller verksamheten påbörjas eller någon annan åtgärd som medför anmälningsplikt vidtas. Om ett personregister som inte tidigare behövt anmälas ändras så att anmälan måste göras, skall anmälan ske en månad innan det ändrade registret tas i bruk.

Genom förordning kan stadgas om sådana undantag från anmälningsplikten som inte äventyrar möjligheterna att styra registerverksamheten så att syftena med denna lag nås.

31 §
Den registeransvariges informationsplikt

Den registeransvarige är utan hinder av sekretesstadgandena skyldig att lämna dataombudsmannen sådana upplysningar om personregister och dess användning som denne begär och som behövs för tillsyn över att inhämtande, registrering, kontroll, användning och utlämnande av personuppgifter sker i enlighet med lag.

Den registeransvarige är skyldig att i enlighet med vad som närmare stadgas genom förordning lämna dataombudsmannen upplysningar om personregister.

32 §
Datasekretessmyndighetens tillsyn

Dataombudsmannen har rätt att inspektera personregister och att vid tillsyn anlita sakkunniga som har godkänts av datasekretessnämnden.

Dataombudsmannen och de sakkunniga äger för inspektionen tillträde till lokaliteter som tillhör den registeransvarige eller den som handlar på hans uppdrag och i vilka personuppgifter behandlas eller personregister förs. De skall även få tillgång till sådana upplysningar och apparater som behövs för inspektionen.

En inspektion skall ske så att den inte i onödan vållar den registeransvarige olägenhet eller kostnader.

33 §
Allmänna anvisningar

Dataombudsmannen kan utfärda närmare anvisningar om när personuppgifter får lämnas ut med stöd av 19 § och när personregister enligt 20 § får samköras utan tillstånd av datasekretessnämnden samt om hur personregister skall skyddas mot användning av utomstående.

34 §
Styrning av enskilda register

Får dataombudsmannen veta att personuppgifter inhämtas eller registreras eller att uppgifter i personregister används eller lämnas ut i strid med lag, skall han försöka förmå den som saken gäller att frivilligt ändra sitt beteende. Vid behov skall dataombudsmannen föra saken till datasekretessnämnden eller anmäla den för åtal.

35 §
Ålägganden och förbud

På ansökan av en registrerad kan dataombudsmannen föreskriva att den registeransvarige skall sköta om att den registrerades rätt till insyn tillgodoses och att fel i registret rättas. Föreskriften förfaller, om den registeransvarige inom en förelagd tid skriftligen eller muntligen meddelar dataombudsmannens byrå att han motsätter sig att föreskriften ges. Den tid som föreläggs skall vara minst åtta dagar från den dag då den registeransvarige fick del av föreskriften.

Om någon inhämtar uppgifter eller inför uppgifter i ett personregister, använder personregister eller lämnar ut personuppgifter som ingår i registret eller vidtar någon annan åtgärd i strid med denna lag eller stadganden eller bestämmelser som utfärdats med stöd av den, eller försummar sin skyldighet enligt dessa stadganden eller bestämmelser, eller om föreskrift som meddelats av dataombudsmannen har förfallit i det fall som nämns i 1 mom., kan datasekretessnämnden på ansökan av dataombudsmannen ålägga den som saken gäller att inom en bestämd tid rätta till vad som orättmätigt har gjorts eller underlåtits. En registrerad kan på ansökan få ett ärende som gäller tillgodoseende av rätten till insyn eller rättelse av fel prövat av datasekretessnämnden, om dataombudsmannen har beslutat att inte meddela den registeransvarige någon föreskrift eller att inte föra saken till nämnden.

Datasekretessnämnden kan förbjuda inhämtande, registrering, användning och utlämnande av personuppgifter som sker i strid med lag. Såvida de lagstridiga handlingarna eller försummelserna i hög grad äventyrar den registrerades integritetsskydd, intressen eller rättigheter eller statens säkerhet, kan datasekretessnämnden föreskriva att registerverksamheten skall upphöra, om inte registret är lagstadgat.

36 §
Vite

Dataombudsmannen kan förelägga vite för att förstärka informationsskyldighet enligt 31 § eller föreskrift som han meddelat med stöd av 35 §. Datasekretessnämnden kan förelägga vite för att förstärka beslut om åläggande eller förbud. Nämnden förordnar om betalning av vite.

37 §
Undantagslov

Datasekretessnämnden kan ge tillstånd som avses i 5, 7, 19 och 20 §§ ovan eller i 18 a § lagen om allmänna handlingars offentlighet samt tillstånd till undantag från de stadganden som ingår i denna lag eller en med stöd av den given förordning, om något vägande skäl talar för detta och det kan förhindras att den registrerades integritet, intressen eller rättigheter eller statens säkerhet äventyras.

Undantagslov kan beviljas för en bestämd tid eller tills vidare, och till detta skall fogas föreskrifter som behövs för att säkerställa den registrerades integritetsskydd, intressen och rättigheter samt statens säkerhet.

Datasekretessnämnden kan på ansökan av dataombudsmannen eller den som fått undantagslov ändra eller komplettera sådana föreskrifter som avses i 2 mom., om detta behövs på grund av förändrade förhållanden. Tillståndet kan återkallas när skäl därtill prövas föreligga.

7 kap.

Ändringssökande

38 §
Besvärsrätt

Ändring i datasekretessnämndens beslut med stöd av 22 eller 35-37 § får sökas genom besvär hos högsta förvaltningsdomstolen med iakttagande av vad som stadgas i lagen om ändringssökande i förvaltningsärenden (154/50). Dataombudsmannen har rätt att söka ändring i datasekretessnämndens beslut med stöd av 22 eller 37 §.

39 §
Iakttagande av beslut

I datasekretessnämndens beslut med stöd av 35 eller 36 § kan det föreskrivas att beslutet trots att ändring har sökts skall iakttas om inte besvärsmyndigheten bestämmer annat.

8 kap.

Särskilda stadganden

40 §
Datasekretess vid postning

Den registeransvarige får inte i en postförsändelse synligt använda personbeteckning, uppgifter om mottagarens personliga förhållanden eller uppgifter som avses i 24 § 2 mom.

41 §
Tystnadsplikt

Den som vid inhämtande, registrering, användning eller utlämnande av personuppgifter har fått kännedom om något som gäller en annans personliga förhållanden eller ekonomiska ställning får inte i strid med denna lag för utomstående röja de uppgifter som han på detta sätt har erhållit.

42 §
Skadeståndsskyldighet

Den registeransvarige är skyldig att ersätta den ekonomiska skada som tillfogats en registrerad genom att en oriktig uppgift har använts eller lämnats ut eller genom att användning eller utlämnande av en uppgift har skett i strid med lag. Ersättning skall härvid utges även för lidande som inte skall anses vara ringa. I fråga om skadeståndsskyldighet gäller i övrigt vad som stadgas i 2 kap. 2 och 3 §§, 3 kap. 4 och 6 §§ samt 4, 6 och 7 kap. skadeståndslagen (412/74).

43 §
Personregisterbrott

Den som i strid med denna lag eller stadganden eller bestämmelser som utfärdats med stöd av den

1) i personregister inför känsliga uppgifter,

2) genom att till en registrerad ge oriktig eller vilseledande information hindrar eller försöker hindra honom att utöva sin rätt till insyn i personregister,

3) använder personregister eller uppgifter i registret för andra ändamål än de som bestämts i enlighet med lag,

4) lämnar ut personuppgifter ur personregister, eller

5) samkör personregister

och därmed gör intrång i en registrerads integritetsskydd eller åsamkar honom annan skada eller betydande men, skall för personregisterbrott dömas till böter eller fängelse i högst ett år.

44 §
Personregisterförseelse

Den som i strid med denna lag eller stadganden eller bestämmelser som utfärdats med stöd av den uppsåtligen eller av grov vårdslöshet

1) försummar sin skyldighet att anteckna uppgiftskälla eller utlämnande av uppgifter,

2) försummar att iaktta vad som stadgas om angivande av personregisters ändamål, om uppgörande och tillhandahållande av registerbeskrivning, om lämnande av upplysningar till en registrerad, om rättelse av uppdagat fel i personregister eller om information till dataombudsmannen,

3) lämnar en datasekretessmyndighet oriktig eller vilseledande upplysning i ärende som gäller personregister, eller

4) bryter mot bestämmelser om skydd för och utplånande av personregister

och därmed äventyrar en registrerads integritetsskydd, intressen eller rättigheter skall, om inte strängare straff för förseelsen stadgas i annan lag, för personregisterförseelse dömas till böter.

För personregisterförseelse skall även dömas den som av grov vårdslöshet gör sig skyldig till en gärning som avses i 43 §.

45 §
Intrång i personregister

Den som genom att använda en kod som han inte har rätt till eller på annat bedrägligt sätt bryter en identifieringskontroll eller motsvarande säkerhetsarrangemang och därmed orättmätigt bereder sig tillgång till ett personregister som förs med automatisk databehandling, skall för intrång i personregister dömas till böter eller fängelse i högst sex månader.

46 §
Sekretessbrott som gäller personregister

Den som i strid med 41 § för utomstående röjer personuppgifter som införts i eller inhämtats för personregister, skall för sekretessbrott som gäller personregister dömas till böter eller fängelse i högst sex månader.

47 §
Hörande av dataombudsmannen

Innan åtal väcks för en gärning som avses i 43-46 §§ skall allmänna åklagaren höra dataombudsmannen. Domstolen skall vid behandlingen av ett sådant mål bereda dataombudsmannen tillfälle att bli hörd.

48 §
Bemyndigande att utfärda förordning

Närmare stadganden om verkställigheten av denna lag utfärdas genom förordning.

9 kap.

Ikraftträdande och övergångsstadganden

49 §
Ikraftträdande

Denna lag träder i kraft den 1 januari 1988.

De stadganden om inhämtande, registrering, användning och utlämnande av personuppgifter som ingår i en förordning som har utfärdats innan denna lag träder i kraft tillämpas likväl i stället för motsvarande stadganden i lagen.

Stadgandena i 42 § skall tillämpas på skador som har inträffat efter det lagen trätt i kraft.

50 §
Övergångsstadganden

Det skall ses till att personregister, som har tagits i bruk innan denna lag träder i kraft, stämmer överens med lagen inom ett år efter det lagen trätt i kraft, om inte annat stadgas nedan. Förutsätter upprätthållandet av ett sådant register tillstånd enligt denna lag, skall ansökan om tillstånd göras inom sex månader från det lagen trätt i kraft.

Anmälan som nämns i 30 § 1 mom. 3 punkten och 2 mom. skall göras inom sex månader och anmälan som nämns i 30 § 1 mom. 1 och 2 punkten inom ett år efter det lagen trätt i kraft.

En registeransvarig som utövar kreditupplysningsverksamhet skall inom två år efter lagens ikraftträdande göra i 13 § 1 mom. nämnd anmälan om de personuppgifter som är införda i registret. Ändras ett personregister som tidigare förts manuellt för kreditupplysningsverksamhet så att det förs med automatisk databehandling, får anmälan göras enbart om de personuppgifter som ingår i det register som förs med automatisk databehandling, om personuppgifter inte lämnas ut med hjälp av det tidigare registret.

Regeringens proposition 49/86
Lagutsk. bet. 10/86
Stora utsk. bet. 254/86

Helsingfors den 30 april 1987

Republikens President
Mauno Koivisto

Justitieminister
Christoffer Taxell

Finlex ® är en offentlig och gratis internettjänst för rättsligt material som ägs av justitieministeriet.
Innehållet i Finlex produceras och upprätthålls av Edita Publishing Ab. Varken justitieministeriet eller Edita svarar för eventuella fel i innehållet i databaserna, för den omedelbara eller medelbara skada som orsakas av att felaktig information används eller för avbrott i användningen av eller andra störningar i Internet.