Vad innebär dataskydd?

Skydd av personuppgifter som en grundläggande rättighet

Rätten till integritet, dvs. skydd för privatliv och skydd av personuppgifter är en grundläggande rättighet som tillkommer var och en på samma sätt som exempelvis jämlikhet och yttrandefrihet. Enligt Finlands grundlag[1] är vars och ens privatliv, heder och hemfrid tryggade och närmare bestämmelser om skydd för personuppgifter utfärdas genom lag.[2] Bestämmelser om skyddet av personuppgifter finns för närvarande i personuppgiftslagen[3], som är en allmän nationell lag om behandling av personuppgifter. Skyddet av personuppgifter tryggas uttryckligen också i EU:s stadga om de grundläggande rättigheterna och fördraget om Europeiska unionens funktionssätt.[4] Dess ställning har också fastställts i rättspraxis vid Europeiska domstolen för de mänskliga rättigheterna.

Varje aktör som har att göra med behandling av personuppgifter tillämpar själv lagstiftningen gällande behandling av personuppgifter på sin verksamhet. Därför är det mycket viktigt att man också inom undervisningsväsendet känner till den lagstiftningsram som reglerar behandlingen av personuppgifter.

Personuppgifter får samlas in eller behandlas när villkoren enligt lagstiftningen om skyddet av personuppgifter uppfylls. Var och en, också elever eller studerande, har rätt till skydd av sina personuppgifter. Rätten till skydd av personuppgifter är emellertid inte absolut, utan den ska ställas i förhållande till övriga grundläggande fri- och rättigheter och riskerna från fall till fall.

I läroanstalterna hänför sig behandlingen av personuppgifter till anordnandet av undervisning eller utbildning. Det klaraste uttrycket för dataskyddet i läroanstalternas vardag är att behandlingen av personuppgifter ska vara sakligt motiverad med hänsyn till läroanstaltens verksamhet. Personuppgifter kan inte behandlas för funktioner som inte hör till läroanstalterna. De personuppgifter som behandlas ska dessutom vara behövliga med hänsyn till sitt användningsändamål.

Från personuppgiftslagen till dataskyddsförordningen och dataskyddslagen

Den viktigaste dataskyddsförfattningen är för närvarande personuppgiftslagen, som trädde i kraft 1999. Med hjälp av den genomfördes personuppgiftsdirektivet från 1995[5]. Även om de viktigaste målen med och principerna för personuppgiftsdirektivet och vår nationella personuppgiftslag som baserar sig på direktivet fortfarande gäller, håller de trots allt på att gå till historien. I dag delas och insamlas personuppgifter i betydligt större mängd och omfattning än på 1990-talet. Även den snabba tekniska utvecklingen och globaliseringen har fört med sig helt nya utmaningar för behandlingen av personuppgifter.

Den 25 maj 2018 börjar EU:s allmänna dataskyddsförordning tillämpas[6]. Vid sidan av den blir den na­tionella dataskyddslagen[7] tillämplig. Lagens syfte är att komplettera och specificera dataskyddsförordningen samt föreskriva om utnyttjandet av det nationella handlingsutrymme som dataskyddsförordningen medger. Dataskyddslagen utgör inte en självständig helhet på samma sätt som personuppgiftslagen, utan den ska alltid läsas parallellt med dataskyddsförordningen.

Avsikten med dataskyddsförordningen är att skapa en stark och sammanhängande ram för dataskyddet som omspänner hela EU. Ett av de viktigaste målen är att förbättra möjligheterna för fysiska personer att ha kontroll över sina egna personuppgifter och behandlingen av dem. Dataskyddsförordningen utgår från att barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.[8]

Eftersom dataskyddsförordningen är en EU-förordning kommer den att tillämpas som sådan i samtliga medlemsstater. Det är inte möjligt att avvika från den på nationell nivå ens genom lagstiftning eller myndighetsbestämmelser.

Dataskyddsförordningen tillämpas på all behandling av personuppgifter som företas på automatisk väg. Dessutom tillämpas den också på annan behandling än automatisk, när ändamålet är att bilda ett register eller en del av ett register.[9] Manuell behandling kan i sin enklaste form bestå i att en enskild människa hanterar pappersdokument. Med register avses vilken som helst strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.[10] Exempelvis utgör märkning av klädhängare eller teckningar inte ett register. Väsentligt med tanke på begreppet register är att uppgifterna har ordnats i enlighet med vissa kriterier på så sätt att uppgifter om en enskild person kan tas fram enkelt och utan oskäliga kostnader. Sådana kriterier kan bland annat vara initial på förnamn eller födelsedatum.

Dataskyddsförordningen är inte tillämplig på sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet som är helt och hållet privat eller har samband med personens hushåll.[11] Exempelvis omfattas bekantas adressuppgifter som samlats in för att skicka julkort inte av förordningens tillämpningsområde. I övrigt tillämpas dataskyddsförordningen både inom den privata och den offentliga sektorn och även läroanstalternas behandling av personuppgifter omfattas av förordningens tillämpningsområde.

Dataskyddsförordningen kommer också att tillämpas på sådana personuppgifter som samlats in innan förordningen började tillämpas. Även alla datasystem som för närvarande används ska således anpassas så att de överensstämmer med dataskyddsförordningen före utgången av den övergångsperiod som löper ut den 25 maj 2018.

 

[1] 731/1999.

[2] 10 § i Finlands grundlag.

[3] 523/1999.

[4] Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt.

[5] Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

[6] Europaparlamentets och rådets förordning 2016/649 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

[7] Lagen har inte utfärdats vid tidpunkten för publiceringen av denna guide (23.5.2018).

[8] Skäl 38 i ingressen till dataskyddsförordningen.

[9] Artikel 2.1 i dataskyddsförordningen.

[10] Artikel 4.6 i dataskyddsförordningen.

[11] Artikel 2.2 i dataskyddsförordningen.