Personuppgiftslagen ger spelregler för behandlingen av personuppgifter
Den viktigaste lagen är personuppgiftslagen8. Enligt lagens tredje paragraf avses med personuppgifter
| "alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom". |
I praktiken ska all sådan information som kan hänföras till en fysisk person hanteras som personuppgifter. Enligt samma paragraf avses med behandling av personuppgifter
"insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna", |
alltså just sådana åtgärder som vidtas i samband med produktion av Internettjänster. En samling av personuppgifter kallas i lagen för personregister och den aktör som för registret och förfogar över det kallas för registeransvarig.
Enligt lagen har den registeransvariga skyldigheter bland annat i fråga om datasäkerhet och tystnadsplikt och att ge personer som finns i registret rätt att kontrollera och vid behov korrigera uppgifter om sig själva. Paragraf 26 lyder så här:
"Var och en har utan hinder av sekretessbestämmelserna rätt att, sedan han meddelat de fakta som behövs för att söka en uppgift, få veta vilka uppgifter om honom som har registrerats i ett personregister eller att registret inte innehåller uppgifter om honom. Den registeransvarige skall samtidigt ge den registrerade information om vilka källor som i regel används för registret samt för vilket ändamål registeruppgifterna används och i regel lämnas ut. Då det är fråga om ett sådant automatiserat beslut som avses i 31 §, har den registrerade rätt att också få information om verksamhetsprinciperna för den automatiska behandlingen av uppgifter." |
Paragraf 26 föreskriver dessutom att det är avgiftsfritt att kontrollera sina egna uppgifter:
"Den registeransvarige får uppbära en ersättning för lämnande av information endast om det har förflutit mindre än ett år sedan den registrerade senast fick kontrollera uppgifterna i registret. Ersättningen skall vara skälig och den får inte överstiga de direkta kostnaderna för lämnande av informationen." |
Alla dessa principer är en del av den EU-lagstiftning som alla EU-länder har implementerat, d.v.s. antagit som en del av sin nationella lagstiftning9. Vi har alltså en personuppgiftslag som täcker hela EU. Av den orsaken regleras överförande av personuppgifter till stater utanför EU-området i kapitel 5:
"Personuppgifter får översändas till stater utanför Europeiska unionens medlemsstaters territorium eller Europeiska ekonomiska samarbetsområdet endast om staten i fråga tryggar en tillräcklig dataskyddsnivå. Vid bedömningen av huruvida dataskyddsnivån är tillräcklig skall hänsyn tas till uppgifternas art, den planerade behandlingens ändamål och hur länge den skall pågå, ursprungslandet och det slutliga målet, de allmänna och branschspecifika rättsregler och uppförandekodexar som är gällande i landet i fråga samt de skyddsåtgärder som skall iakttas." |
Syftet med lagen är att skydda medborgarna, så att deras personuppgifter inte utan deras vetskap används på ett olagligt sätt. Därför ska det ur registerbeskrivningen över personregistret framgå om uppgifterna kommer att överföras till stater utanför EU. Dataombudsmannen ska också informeras om saken.
8. Personuppgiftslagen 532/1999 (Finlex)
9. Europaparlementets och rådets direktiv om skyd för enskilda personer med avseende på behandling av personuppgfiter och om det fria födet av sådana uppgfiter (EUR-Lex)