Landskapslag (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen (upphävd)

Syftet med denna lag är att säkerställa att människor skyddas mot att deras personuppgifter används på ett kränkande sätt genom en myndighets behandling av personuppgifter samt att främja en god informationshantering inom myndigheterna.

Lagen tillämpas på sådan myndighetsbehandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter vid myndighet, om uppgifterna ingår i eller är avsedda att ingå i ett register med personuppgifter eller en del av ett sådant. På sådan myndighetsbehandling av personuppgifter som enligt 27 § självstyrelselagen för Åland hör till rikets lagstiftningsbehörighet tillämpas rikslagstiftningen.

Om det i en annan lag finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla.

Denna lag tillämpas inte på Ålands polismyndighets personregister.

I denna lag avses med:

1) personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet,

2) behandling av personuppgifter (behandling) varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,

3) register med personuppgifter (register) varje strukturerad samling av personuppgifter som är tillgängliga enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,

4) registeransvarig den myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter,

5) registerbiträde den som behandlar personuppgifter för den registeransvariges räkning,

6) den registrerade den som en personuppgift avser,

7) tredje man någon annan än den registrerade, den registeransvarige, registerbiträdet och sådana personer som under den registeransvariges eller registerbiträdets direkta ansvar har befogenhet att behandla personuppgifter,

8) mottagare den till vilken personuppgifter lämnas ut. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare,

9) samtycke varje slag av frivillig, särskild och på information baserad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne samt med

10) myndighet landskapets myndigheter, kommunala myndigheter, till Ålands lagting ansluten förvaltning samt landskapets affärsverk. Vad om myndighet föreskrivs gäller även offentligrättsliga sammanträden, representantskap, utskott, kommittéer, kommissioner, delegationer, nämnder samt andra därmed jämförbara organ som med stöd av lag eller beslut fattat av en i första meningen denna punkt avsedd myndighet tillsatts för att utföra en uppgift. Utskott, kommittéer och andra organ, som inte tilldelats beslutanderätt i förvaltningsärenden, anses utgöra en del av den myndighet som tillsatt dem. Vad om myndighet föreskrivs gäller även juridiska och fysiska personer som utövar offentlig makt och som med stöd av landskapslag utför ett offentligt uppdrag.

Den registeransvarige skall se till att

1) personuppgifter behandlas på ett korrekt sätt och bara om det är lagligt,

2) personuppgifter alltid behandlas i enlighet med god informationshantering, så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar den personliga integriteten inte begränsas utan en i lag angiven grund,

3) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

4) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,

5) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

6) inte fler personuppgifter än nödvändigt behandlas med hänsyn till ändamålen med behandlingen,

7) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,

8) alla rimliga åtgärder vidtas för att rätta, utplåna, blockera eller komplettera sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och

9) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål skall med avvikelse från vad som föreskrivs i 1 mom. 4 punkten inte anses oförenligt med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som föreskrivs i 1 mom. 9 punkten. Uppgifterna får dock i sistnämnda fall inte bevaras under en längre tid än vad som behövs för dessa ändamål i enlighet med vad som föreskrivs i lag.

Personuppgifter får behandlas bara om den registrerade har lämnat sitt otvetydiga samtycke till behandlingen eller om behandlingen är nödvändig för att

1) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas,

2) den registeransvarige skall kunna fullgöra en rättslig skyldighet när behandlingen regleras i lag,

3) vitala intressen för den registrerade skall kunna skyddas eller

4) utföra en arbetsuppgift då den registrerade på grund av ett kund- eller tjänstgöringsförhållande, ett medlemskap eller annan därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet.

Med tillsynsmyndighetens tillstånd får personuppgifter dessutom för viss tid eller tillsvidare behandlas om behandlingen är nödvändig för att

1) en arbetsuppgift av allmänt intresse skall kunna utföras,

2) den registeransvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med utövandet av offentlig makt eller

3) genomdriva ett berättigat intresse hos den registeransvarige eller en tredje man till vilken personuppgifterna lämnas ut, under förutsättning att en sådan behandling av uppgifter inte äventyrar någons integritetsskydd eller rättigheter.

Till tillstånd enligt 2 mom. skall fogas föreskrifter som behövs för att skydda den registrerades personliga integritet.

Om rätt att ta del av personuppgifter i myndigheters personregister gäller vad som föreskrivs i landskapslagen (1977:72) om allmänna handlingars offentlighet.

Den som är registeransvarig skall upprätta en registerbeskrivning över register med personuppgifter.

Registerbeskrivningen skall innehålla

1) den registeransvariges namn, adress, telefonnummer och kontaktperson,

2) en uppgift om registerbiträde om sådant finns,

3) ändamålet med behandlingen av personuppgifter,

4) en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen,

5) en beskrivning av de uppgifter eller kategorier av uppgifter som skall behandlas om de registrerade,

6) en beskrivning om varifrån uppgifterna hämtas,

7) en upplysning om vart uppgifterna i regel lämnas ut och huruvida uppgifter lämnas till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet samt

8) en allmän beskrivning av de åtgärder som har vidtagits för att trygga säkerheten i behandlingen.

Den registeransvarige skall hålla registerbeskrivningen allmänt tillgänglig. Om det för den allmänna ordningen och säkerheten, för tillsynsuppgifter som hänför sig till beskattningen och den offentliga ekonomin eller för förebyggande och utredande av brott är nödvändigt kan undantag göras från denna skyldighet.

Personuppgifter som gäller den registrerade själv får inte behandlas för ändamål som rör direkt marknadsföring samt marknads- och opinionsundersökningar, om den registrerade hos den registeransvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Det är förbjudet att behandla personuppgifter som avslöjar

1) etnisk tillhörighet,

2) politiska åsikter,

3) religiös eller filosofisk övertygelse,

4) en brottslig gärning eller ett straff eller någon annan påföljd för ett brott eller

5) medlemskap i fackförening

samt uppgifter som rör

6) hälsa eller sexualliv eller

7) någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon beviljats.

Uppgifter av den art som anges i 1 mom. betecknas i denna lag som känsliga personuppgifter.

Det är trots förbudet i 7 § tillåtet att behandla känsliga personuppgifter om behandlingen uppfyller något av villkoren i 4 § och

1) den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna,

2) behandlingen av sådana uppgifter är reglerad i lag,

3) behandlingen gäller medlemskap i fackförbund och behandlingen är nödvändig för att den registeransvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,

4) behandlingen är nödvändig för att den registrerades eller någon annans vitala intressen skall kunna skyddas, om den registrerade är förhindrad att lämna sitt samtycke,

5) behandlingen är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras,

6) behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller uppgifterna behandlas av en person som är yrkesmässigt verksam inom hälso- och sjukvården och har tystnadsplikt,

7) behandlingen gäller den registrerades behov av socialvård eller de socialvårdstjänster, stödåtgärder eller andra förmåner inom socialvården som beviljats den registrerade eller andra uppgifter som är nödvändiga för vården av den registrerade eller

8) behandlingen är nödvändig för historiska eller vetenskapliga forskningsändamål samt statistikändamål och samhällsintresset av behandlingen klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.

Känsliga personuppgifter skall utplånas ur registret när det inte längre anses motiverat enligt 1 mom. att fortsätta behandlingen. Grunden och behovet av behandling skall bedömas minst vart femte år, om inte något annat följer av lag eller ett tillstånd av tillsynsmyndigheten enligt 9 §.

Tillsynsmyndigheten kan bevilja tillstånd för viss tid eller tills vidare för ytterligare undantag från förbudet i 7 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Till tillståndet skall fogas föreskrifter som behövs för att skydda den registrerades personliga integritet.

Uppgifter om personbeteckning får behandlas om den registrerade lämnat sitt samtycke eller när behandlingen är reglerad i lag.

En personbeteckning får dessutom behandlas om det är nödvändigt för att göra en säker identifiering av den registrerade

1) för att utföra en i lag angiven uppgift,

2) för att uppfylla den registrerades eller den registeransvariges rättigheter eller skyldigheter eller

3) för historisk eller vetenskaplig forskning eller statistikföring.

En personbeteckning får behandlas vid kreditgivning, i uthyrnings- och utlåningsverksamhet, inom hälso- och sjukvården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet samt i ärenden som gäller anställningsförhållanden och förmåner som har samband med dessa.

Utöver vad som i 1-3 mom. föreskrivs om behandling av personbeteckning får en personbeteckning lämnas ut för sådan automatiserad databehandling som sker för uppdatering av adressuppgifter eller i syfte att undvika mångfaldig postning, om mottagaren redan har tillgång till personbeteckningen.

Den registeransvarige skall se till att personbeteckningen inte onödigt antecknas i handlingar som skrivs ut eller upprättas på basis av personregistret.

Om uppgifter om en person samlas in från personen själv, skall den registeransvarige vid insamlingen lämna den registrerade information om

1) den registeransvariges och vid behov dennes ställföreträdares identitet,

2) ändamålet med behandlingen av personuppgifterna,

3) vart uppgifter i regel lämnas ut och

4) de upplysningar som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen.

Information enligt 1 mom. behöver inte lämnas om sådant som den registrerade redan känner till eller om det inte är nödvändigt att informera med tanke på den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin eller för att förebygga och utreda brott.

Om uppgifter om en person samlas in från någon annan än den registrerade, skall den registeransvarige lämna den registrerade sådan information som nämns i 11 § 1 mom. när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän uppgifterna lämnas ut för första gången.

Information enligt 1 mom. behöver inte lämnas om sådant som den registrerade redan känner till eller om det inte är nödvändigt att informera med tanke på den allmänna ordningen och säkerheten, för en tillsynsuppgift som hänför sig till beskattningen och den offentliga ekonomin, för att förebygga och utreda brott eller om det finns bestämmelser om registrering eller utlämning av personuppgifterna i lag.

Information behöver inte heller lämnas enligt 1 mom., om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

Var och en har utan hinder av sekretessbestämmelserna rätt att på ansökan få information från den registeransvarige om personuppgifter som rör honom eller henne behandlas i ett register eller inte. Behandlas sådana uppgifter i ett register skall information lämnas i begriplig form om

1) vilka uppgifter om den sökande som behandlas,

2) varifrån dessa uppgifter har hämtats,

3) ändamålen med behandlingen,

4) till vilka kategorier av mottagare som uppgifterna lämnas ut och

5) i fråga om automatiserade beslut enligt 17 § vad som styrt den automatiserade behandling som lett fram till ett beslut.

Om informationen enligt 1 mom. lämnas en gång per kalenderår skall den vara gratis. Om information lämnas mer än en gång per kalenderår får den registeransvarige uppbära en skälig ersättning för informationen. Ersättningen får dock inte överstiga de faktiska kostnaderna för åtgärden.

En ansökan om information enligt 13 § kan göras skriftligen eller muntligen. Skriftlig ansökan skall vara undertecknad av den sökande själv och tillställas den registeransvarige. Muntlig ansökan skall göras vid ett personligt besök hos den registeransvarige.

Den registeransvarige skall utan onödigt dröjsmål ge sökanden rätt att ta del av den information som avses i 13 § eller på begäran lämna informationen skriftligen. Om det finns särskilda skäl för det, får informationen dock lämnas senast tre månader efter det att ansökan gjordes.

Om den registeransvarige vägrar lämna information enligt 13 §, skall sökanden erhålla ett skriftligt intyg om detta. I intyget skall även nämnas orsaken till att insynen förvägrats. Har den registeransvarige inte givit ett skriftligt svar tre månader efter det att ansökan gjordes, jämställs detta med en vägran att lämna ut information. Den registrerade kan, om han eller hon förvägras rätt till information, begära att tillsynsmyndigheten prövar ärendet. Om tillsynsmyndigheten beslutar att den registrerades rätt till insyn skall tillgodoses, kan beslutet förenas med vite.

En ansökan om insyn i ett register som förs av en hälso- och sjukvårdsmyndighet och som innehåller personuppgifter om hälsotillstånd eller sjukdom skall riktas till en läkare eller annan hälso- och sjukvårdsutbildad person vid myndigheten, som även ser till att uppgifter om anteckningarna i registret lämnas till den sökande.

Den information som avses i 13 § får inte lämnas ut till den registrerade

1) om informationen kan skada den allmänna ordningen och säkerheten eller försvåra förebyggande eller utredning av brott,

2) om informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för någon annans rättigheter,

3) om de personuppgifter som ingår i registret används uteslutande för historisk eller vetenskaplig forskning eller statistikföring eller

4) om de personuppgifter som ingår i registret används för tillsyns- och kontrolluppgifter och underlåtelsen att lämna information är nödvändig för att trygga ett viktigt ekonomiskt eller finansiellt intresse för landskapet eller Europeiska unionen.

Om endast en del av de uppgifter som gäller den registrerade är sådana att de enligt 1 mom. inte omfattas av rätten till information, har den registrerade rätt att få veta vilka övriga uppgifter som registrerats om honom eller henne.

Den registeransvarige är skyldig att på begäran av den registrerade utan onödigt dröjsmål rätta, utplåna, blockera eller komplettera sådana personuppgifter som ingår i ett personregister och som med hänsyn till ändamålen med behandlingen är oriktiga, onödiga, bristfälliga eller föråldrade.

Om den registeransvarige inte godkänner den registrerades begäran om rättelse, skall den registrerade erhålla ett skriftligt intyg om detta. I intyget skall även nämnas orsaken till att begäran inte godkänts. Den registrerade kan, om han eller hon inte får en rättelse utförd av den registeransvarige, begära att tillsynsmyndigheten prövar ärendet. Om tillsynsmyndigheten beslutar att en uppgift skall rättas, kan beslutet förenas med vite.

Den registeransvarige skall underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden enligt 1 mom., om den registrerade begär det. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Ett beslut som har rättsliga följder för den registrerade eller annars har märkbara verkningar för honom eller henne och som grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen får fattas endast

1) om det sker som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet uppfylls genom beslutet eller att det vidtas lämpliga åtgärder för att skydda hans eller hennes berättigade intressen eller

2) om förfarandet regleras i lag.

I 13 och 14 §§ finns bestämmelser om rätten för den registrerade att få information från den registeransvarige om vad som har styrt den automatiserade behandling som lett fram till beslutet.

Den registeransvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Uppgifterna skall skyddas från att de förstörs genom olyckshändelse eller genom otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåtet utlämnande av eller otillåten tillgång till uppgifterna eller mot annan otillåten behandling.

Åtgärderna enligt 1 mom. skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1) de tekniska möjligheter som finns,

2) vad det skulle kosta att genomföra åtgärderna,

3) de särskilda risker som finns med behandlingen av personuppgifterna,

4) arten av de uppgifter som skall skyddas och

5) vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet.

När den registeransvarige anlitar ett registerbiträde, skall den registeransvarige försäkra sig om att registerbiträdet kan genomföra de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas. Den registeransvarige skall även se till att registerbiträdet vidtar åtgärderna.

Ett registerbiträde och den eller de personer som arbetar under biträdets eller den registeransvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den registeransvarige.

Det skall finnas ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet skall det särskilt föreskrivas att registerbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den registeransvarige och att registerbiträdet är skyldigt att vidta de åtgärder som avses i 18 § 1 och 2 mom.

Den som vid behandling av personuppgifter har fått kännedom om en enskild persons egenskaper, personliga förhållanden eller ekonomiska ställning får inte utan samtycke av den som saken gäller för tredje man röja dessa uppgifter eller utnyttja dem till egen eller annans fördel.

Oavsett vad som föreskrivs i 1 mom. får upplysningar lämnas till tillsynsmyndigheten för utförande av uppgifter enligt denna lag, till åklagar- och polismyndigheter för utredande av brott och till en myndighet som behandlar en ändringsansökan i ett ärende enligt denna lag.

Om säkerheten vid behandling av personuppgifter i register som överförs och förvaras i ett offentligt arkiv gäller vad som föreskrivs i arkivlagstiftningen.

Den registeransvarige skall göra en anmälan till tillsynsmyndigheten innan en behandling av personuppgifter som är helt eller delvis automatiserad genomförs i ett register. Anmälningsskyldigheten gäller även en serie av sådana behandlingar med samma eller liknande ändamål.

Om den registeransvarige tar i bruk ett system för automatiserade beslut enligt 17 § skall detta anmälas till tillsynsmyndigheten. Även om personuppgifter överförs till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall en anmälan göras till tillsynsmyndigheten, om uppgifterna överförs på de grunder som avses i 24 § 1 och 2 mom. eller 25 § 6 och 7 punkten och om överföringen inte har reglerats i lag. Om tillsynsmyndigheten efter att ha mottagit en anmälan om en överföring enligt 25 § 7 punkten anser att personuppgifterna kan översändas till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall tillsynsmyndigheten informera Europeiska gemenskapens kommission och medlemsstaterna om detta.

Anmälan skall vara skriftlig och undertecknad av den registeransvarige eller av en behörig företrädare för denne. Anmälan skall innehålla de uppgifter som enligt 5 § skall ingå i en registerbeskrivning. I fråga om anmälan som gäller personuppgifter som överförs till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet skall anmälan dessutom innehålla fakta om vilka uppgifter som överförs och hur överföringen sker. Anmälan skall göras på särskilda blanketter som tillhandahålls av tillsynsmyndigheten. Vid ändring av något eller några av de i anmälan angivna förhållandena skall ändringen anmälas på motsvarande sätt.

Anmälan skall göras senast 30 dagar innan behandlingen av personuppgifter i ett register påbörjas. Tillsynsmyndigheten skall ge den registeransvarige en kvittering på att anmälan är mottagen.

Tillsynsmyndigheten skall föra ett register över de behandlingar av personuppgifter som anmälts till myndigheten enligt denna paragraf. Registren skall åtminstone innehålla den information som ingår i en registerbeskrivning enligt 5 §.

En anmälan enligt 22 § 1 mom. behöver inte göras, om behandlingen av personuppgifter grundar sig på den registrerades otvetydiga samtycke eller på 4 § 1 mom. 1 – 3 punkten, på kund- eller tjänstgöringsförhållande eller medlemskap som avses i 4 § 1 mom. 4 punkten eller på 4 § 2 mom., 8 § 1-7 punkten eller på 10 §.

Landskapsregeringen får dessutom genom landskapsförordning göra undantag från anmälningsskyldigheten enligt 1 mom. för sådana typer av behandlingar av personuppgifter där det är uppenbart att behandlingen inte kränker den registrerades integritetsskydd eller fri- och rättigheter.

Personuppgifter får överföras till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet, om denna stat kan säkerställa en tillräcklig skyddsnivå.

Bedömningen av om skyddsnivån enligt 1 mom. är tillräcklig skall ske på grundval av alla de förhållanden som har samband med överföringen. Härvid skall särskilt beaktas uppgifternas art, behandlingens ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de rättsregler och uppförandekodexar som gäller i landet i fråga samt de skyddsåtgärder som skall iakttas. Det skall även läggas vikt vid om staten tillträtt Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 36/1992).

Personuppgifter får överföras till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet om och i den utsträckning Europeiska gemenskapernas kommission har konstaterat att staten har en tillräcklig nivå för skyddet av personuppgifter i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan kallat EG-direktivet. Det är förbjudet att överföra uppgifter till en stat som inte ingår i den Europeiska unionen eller är ansluten till det Europeiska ekonomiska samarbetsområdet och som Europeiska gemenskapens kommission i enlighet med artikel 25.4 i EG-direktivet har konstaterat att inte uppfyller en tillräcklig nivå för skyddet av personuppgifter.

Personuppgifter kan även överföras till stater som inte kan säkerställa en tillräcklig skyddsnivå enligt 24 §,

1) om den registrerade har lämnat sitt otvetydiga samtycke till överföringen,

2) om överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller med hänsyn till åtgärder som den registrerade begärt att skall kunna vidtas innan ett avtal träffas,

3) om överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man som är i den registrerades intresse,

4) om överföringen är nödvändig eller krävs enligt lag för att säkerställa ett viktigt allmänt intresse eller för att ett rättsligt anspråk skall kunna fastställas, göras gällande eller försvaras,

5) om överföringen är nödvändig för skydda den registrerades vitala intressen,

6) om överföringen görs från ett register som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för offentlig tillgänglighet uppfylls i det enskilda fallet,

7) om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades integritet och rättigheter och den Europeiska gemenskapens kommission inte enligt artikel 26.3 i EG-direktivet har konstaterat att skyddsnivån är otillräcklig eller

8) om överföringen regleras av ett avtal som innehåller sådana standardavtalsklausuler som har godkänts av den Europeiska gemenskapens kommission enligt artikel 26.4 i EG-direktivet.

Den allmänna tillsynen över denna lag och de bestämmelser som har utfärdats med stöd av den utövas av Datainspektionen. Bestämmelser om Datainspektionen finns även i landskapslagen (2007:89) om Datainspektionen.

Tillsynsmyndigheten har utan hinder av sekretessbestämmelserna rätt att för sin tillsyn på begäran få

1) tillgång till de personuppgifter som behandlas,

2) all den information som behövs för att övervaka att behandlingen av personuppgifter sker i enlighet med lag och

3) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Tillsynsmyndigheten har tillträde till lokaler som omfattas av hemfriden endast om det finns specificerade skäl att misstänka att brott har skett eller kommer att ske mot bestämmelserna om behandling av personuppgifter. Vid en inspektion skall tillsynsmyndigheten se till att den registeransvarige förorsakas så ringa olägenhet och kostnader som möjligt.

Om tillsynsmyndigheten inte efter begäran får tillgång till de personuppgifter eller den information som avses i 1 mom. 1 och 2 punkten kan tillsynsmyndigheten vid vite förelägga den uppgiftsskyldige att uppfylla skyldigheten.

Konstaterar tillsynsmyndigheten att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten förbjuda den registeransvarige att fortsätta att behandla personuppgifterna och, om behandlingen väsentligen äventyrar den registrerades integritetsskydd, besluta att verksamheten skall upphöra.

Den som uppsåtligen eller av grov oaktsamhet

1) försummar att iaktta vad som bestäms om angivna ändamål med behandlingen av personuppgifter i 3 § 1 mom. 3 punkten, registerbeskrivning i 5 §, den registrerades rätt att motsätta sig fortsatt behandling av personuppgifter i 6 §, lämnande av information till den registrerade i 4 kap., rättelse i 16 § eller om anmälningar till tillsynsmyndigheten enligt 6 kap.,

2) lämnar felaktig eller vilseledande information till tillsynsmyndigheten i ett ärende som gäller behandling av personuppgifter eller

3) bryter mot aktivitetskraven enligt 3 § 1 mom. 8 och 9 punkten och mot bestämmelserna om säkerhet vid behandling av personuppgifter enligt 18 §

och därmed äventyrar den registrerades integritet eller rättigheter skall för personregisterförseelse dömas till böter, om det inte i någon annan lag föreskrivs ett strängare straff för gärningen.

Den som uppsåtligen eller av grov oaktsamhet

1) behandlar personuppgifter i strid med bestämmelser om ändamålsbundenhet i 3 § 1 mom. 4 punkten, personuppgifternas aktualitet och riktighet i 3 § 1 mom. 7 punkten, villkoren för behandling av personuppgifter i 4 §, förbud mot fortsatt behandling av personuppgifter i 6 §, känsliga uppgifter i 7-9 §§ eller behandling av personbeteckning i 10 §,

2) hindrar eller försöker hindra den registrerade från att utöva sin rätt till information enligt 13 § genom att ge honom eller henne felaktig eller vilseledande information eller

3) för över personuppgifter till stater utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet i strid med 7 kap.

och därmed kränker den registrerades integritet eller åsamkar honom eller henne skada eller betydande men, skall för personregisterbrott dömas till böter eller fängelse i högst ett år, om det inte i någon annan lag föreskrivs ett strängare straff för gärningen.

Den som bryter mot den tystnadsplikt som föreskrivs i 20 § skall för brott mot tystnadsplikt enligt landskapslagen om behandling av personuppgifter inom landskaps- och kommunalförvaltningen dömas till böter eller fängelse högst ett år, om inte strängare straff för gärningen bestäms i någon annan lag.

I fråga om straff för dataintrång skall iakttas vad som bestäms i 38 kap. 8 § strafflagen (FFS 39/1889).

Beslut som tillsynsmyndigheten fattat enligt denna lag får överklagas hos Ålands förvaltningsdomstol.

Tillsynsmyndigheten kan bestämma att ett beslut som fattats enligt denna lag skall iakttas trots eventuella besvär, om inte besvärsmyndigheten beslutar något annat.

Den registeransvarige är skyldig att ersätta den skada som en behandling av personuppgifter i strid med denna lag har orsakat den registrerade eller annan person.

I fråga om skadeståndsskyldighet gäller i övrigt vad som bestäms i 2 kap. 2 och 3 §§, 3 kap. 4 och 6 §§ samt 4, 6 och 7 kap. skadeståndslagen (FFS 412/1974).

Denna lag träder i kraft den 1 mars 2008.

Bestämmelsen i 34 § skall tillämpas på skador som har inträffat efter det att lagen trätt i kraft.

Åtgärder som verkställigheten av lagen förutsätter får vidtas innan den träder i kraft.

Ärenden som är anhängiga när denna lag träder i kraft behandlas enligt de bestämmelser som gäller före lagens ikraftträdande.