God informationshantering i stiftelser

Författare

Martin Löfman, jurist; Päivi Tikka, tf. verkställande direktör och Liisa Suvikumpu, verkställande direktör – Delegationen för stiftelser och fonder

Expert

Jarmo Hirvonen, ombudsman, vicehäradshövding, Maj och Tor Nesslings Stiftels

Utgivare

Säätiöiden ja rahastojen neuvottelukunta – Delegationen för stiftelser och fonder, Helsingfors 2018

Päivitetty 25.6.2019

1. INLEDNING

Privata allmännyttiga stiftelser är en viktig del av det finländska medborgarsamhället. Välfungerande och väl förvaltade stiftelser skapar kunskap och kompetens samt ökar det intellektuella och materiella välståndet i vårt samhälle.

Europeiska unionens nya dataskyddsförordning börjar tillämpas från och med den 25 maj 2018, vilket ger upphov till en modernisering av stiftelsernas informationshantering. Delegationen för stiftelser och fonder har utarbetat anvisningen God informationshantering för stiftelser för att hjälpa stiftelserna att handla i enlighet med den gällande dataskyddsregleringen på ett öppet och genomskådligt sätt.

Tidigare baserade sig kraven på skydd av personuppgifter på Europeiska unionens direktiv och på detaljerade bestämmelser av nationella lagstiftare. Från och med maj 2018 skyddas personuppgifter på samma sätt i unionens alla medlemsländer.

Syftet med den här guiden är att klargöra vad EU:s allmänna dataskyddsförordning innebär för stiftelser och föreningar som delar ut stipendier. Guiden grundar sig på EU:s dataskyddsförordning, uttalanden som gjorts av EU:s oberoende, rådgivande dataskyddsarbetsgrupp, material som dataskyddsombudsmannen utarbetat och beredningsmaterialet för lagen om dataskydd. Guiden ger praktiska råd och rekommendationer för situationer där dataskyddsförordningen ska iakttas. Guiden kommer att uppdateras i takt med att det kommer mer information om den praktiska tillämpningen av förordningen och den nationella dataskyddslagen.

Denna guide kan inte täcka alla situationer i samband med dataskydd som förekommer inom stiftelser, och det finns inte direkta svar på samtliga frågor. Guiden är inte avsedd att användas som grund för brotts- eller skadeståndsansvar eller som bas för domslut eller beslut inom förvaltningsmyndigheter eller domstolar. Den nya regleringen innehåller många rättigheter och skyldigheter som till och med kan vara motstridiga, vilket kräver bedömning från fall till fall inom stiftelserna. I slutändan måste man i stiftelsen alltid själv ta ställning till om en viss behandling av personuppgifter baserar sig på en legitim behandlingsgrund. Stiftelserna har verksamhetsprinciper som inbördes skiljer sig från varandra, och det är därför inte ändamålsenligt att ge detaljerade anvisningar som endast gäller på ett allmänt plan. Det viktiga är att stiftelsen dokumenterar de åtgärder som vidtas och motiverar dessa väl.

Ansvaret för att handla i enlighet med förordningen ligger hos den personuppgiftsansvarige, i detta fall stiftelsen eller fonden. Stiftelsens ledning måste se till att ansvaret och behandlingen av personuppgifter definieras tillbörligt och beaktas i personalstyrningen samt att utbildningen av personalen ombesörjs och därtill att de datasystem som används motsvarar kraven i förordningen.

Vid dataskydd, skydd av personuppgifter och korrekt behandling av personuppgifter är det i sista hand frågan om integritetsskydd, det vill säga grundläggande rättigheter, utifrån vilka man kan härleda till exempel hemfrid och skydd av konfidentiella meddelanden. Man utgår ifrån att en människa ger tillgång och rättigheter till sina personuppgifter endast till vissa namngivna instanser för vissa specifika ändamål, helt på samma sätt som då hen ger över sin hemnyckel till en utomstående efter noggrant övervägande. Om en fastighetsskötare får nyckeln till hemmet och lov att ensam gå in i bostaden är besöket strikt bundet av ändamålet. Hen får endast vidta de åtgärder som man kommit överens om – inget annat – och ansvarar också för att låsa dörrarna då hen avlägsnar sig. Det är också självklart att hen inte får släppa in utomstående i lägenheten eller sprida bilder som hen tagit av lägenheten. På motsvarande sätt får en stiftelse eller fond använda de personuppgifter som lämnats endast för ett visst syfte, och ska ansvara för att dörrarna till registren och databaserna inte lämnas olåsta eller öppnas för andra.

På samma sätt som en fastighetsskötares vårdslösa agerande i en bostad kan också en stiftelses vårdslöshet vid behandling av personuppgifter leda till lagöverträdelser och ekonomiska skador – och redan överflödigt tjuvkikande kan skada integriteten på ett obehagligt sätt. Till de skyddade personuppgifternas karaktär hör att uppgifterna identifierar den person de gäller, antingen direkt eller indirekt. Namn eller personbeteckning identifierar personen direkt, telefonnummer och adress indirekt. I små grupper av registrerade personer kan det räcka med uppgifter om till exempel personens kön eller ålder för att en person ska kunna identifieras. Uppgifter med hjälp av vilka det är omöjligt att direkt eller indirekt identifiera personen är inte skyddade personuppgifter, inte ens om det gäller en liten grupp.

Dataskyddsförordingens hörnstenar
Registrerades rättigheter
Ansvarsskyldighet
Integritetsskydd

Dataskyddsprinciper
Laglighet, rimlighet och öppenhet
Ändamålsbundenhet
Uppgiftsminimering
Korrekthet
Lagringsminimering
Integritet och konfidentialitet

2. DATASKYDD OCH REGLERING

Dataskyddsfrågor som stiftelser kommer i kontakt med

I stipendiestiftelser uppstår dataskyddsfrågor i synnerhet i samband med utdelning av stipendier och gällande stipendiaternas rättigheter. På samma sätt som i vilket samfund som helst ska dataskyddet ändå iakttas i all verksamhet som behandlar personuppgifter.

Stiftelserna måste också kunna förbereda sig för situationer som man inte kunnat förutse, ens då förordningen utarbetades. Teknologin utvecklas hela tiden och ändringarna påverkar kraven inom dataskyddet, oavsett hur den nuvarande förordningen är formulerad. Stiftelserna måste kunna garantera att till exempel elektroniska stipendiesystem gör det möjligt att behandla personuppgifter på ett korrekt sätt, och att de även i övrigt följer kraven i förordningen. I detta sammanhang är det också viktigt att tillsammans med systemadministratörerna reda ut vem som är den personuppgiftsansvarige i olika situationer. Denna person är även ansvarig för att sköta. 

Europeiska unionens dataskyddsförordning

EU:s allmänna dataskyddsförordning (”förordningen”) trädde i kraft den 24 maj 2016, och den började tillämpas den 25 maj 2018. Syftet med dataskyddsförordningen är att uppdatera regleringen av dataskyddet. Dessutom förbättrar den öppenheten i hur uppgifter behandlas, ökar transparensen hos tillvägagångssätten och stärker de registrerades rättighet att övervaka behandlingen av sina personuppgifter. Förordningen motsvarar de utmaningar som globaliseringen och den teknologiska utvecklingen för med sig omkring skyddet av personuppgifter, och som uppstår till exempel då personuppgifter överförs mellan olika länder. Syftet med förordningen är också att stöda utvecklingen av den digitala ekonomin genom att förenhetliga lagstiftningen om dataskydd i medlemsländerna.

Till uppfyllandet av skyldigheterna i förordningen uppmuntras effektivt. I förordningen har man slagit fast strikta sanktioner för sådan behandling av personuppgifter som strider mot förordningen. Tillsynsmyndigheten kan till exempel ålägga korrigerande åtgärder för behandling av personuppgifter eller administrativa sanktionsavgifter.

Dataskyddslagen

Justitieministeriet utnämnde en arbetsgrupp för verksamhetsperioden 17.2.2016–16.2.2018 vars syfte var att granska hur väl den dåvarande personuppgiftslagen (523/1999), som allmän lag reglerade behandlingen av personuppgifter och att bedöma behovet och betydelsen av särskilda bestämmelser samt att garantera att lagstiftningen fungerar och är konsekvent. Arbetsgruppen klargjorde också vilket spelrum dataskyddsförordningen ger åt medlemsländernas nationella lagstiftning och hur det vore ändamålsenligt att använda spelrummet. Arbetsgruppen fick i uppgift att utforma sitt förslag till ändring av lagstiftningen i form av regeringsproposition.

Dataskyddslagen och lagen om datasekretessnämnden och dataombudsmannen upphävdes 1.1.2019 när den av arbetsgruppen föreslagna dataskyddslagen trädde i kraft. Dataskyddslagen kompletterar EU:s allmänna dataskyddsförordning.

I och med att lagen kompletterar och preciserar den allmänna dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med den allmänna dataskyddsförordningen. EU:s dataskyddsförordning tillämpas utgångsmässigt på all typ av behandling av personuppgifter. Den innehåller stadganden om den registrerades rättigheter och den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter.

Den nya dataskyddslagen stadgar i vissa frågor undantag och specificeringar till EU:s dataskyddsförordning. Dataskyddslagen reglerar även tillsynsmyndigheten samt vissa särskilda behandlingssituationer till exempel vid bedömningen gällande yttrandefrihet å ena sidan och personuppgiftsskyddet å andra sidan samt vid forskning.

Exempel på ett undantag som stadgats i dataskyddslagen är det att enligt lagen kan informationssamhällets tjänster erbjudas direkt åt barn, förutsatt att barnet är minst 13-år. Yngre barn än detta måste ha vårdnadshavarens lov för att t.ex. kunna använda tjänster på sociala media eller andra tjänster som kräver att personuppgifter meddelas. Den registeransvarige ansvarar för att barnet har ett lov av vårdnadshavaren. I Finland är åldersgränsen lägre än vad som stadgats i dataskyddsförordningen, där gränsen är 16-år.

Ur stiftelsernas synvinkel finns viktiga undantag vad gäller vetenskaplig och historisk forskning. I samband med nämnda verksamhets statistikföring och arkivering kan det avvikas från vissa ansvarsstadganden som följer av dataskyddsförordningen, om det krävs för att uppnå forskningens målsättning (se kapitel 3).

Undantagen betyder bl.a. att den registrerade i vissa fall inte har rätt att få tillgång till egna personuppgifter. Målsättningen med undantagen har varit att hålla ikraft de regler som gällde innan dataskyddslagen trädde i kraft. Vid tillämpning av undantagen gällande den registrerades rättigheter krävs bl.a. att den som behandlar personuppgifterna upprättar en konsekvensbedömning eller binder sig till att följa speciella förhållningsregler.

Även information om hälsa, sexuellt beteende och läggning, religion samt politiska åsikter är möjligt att behandla också i fortsättningen för forsknings- och statistiska ändamål.

Tietosuoja-asetus koskee lähtökohtaisesti elossa olevien henkilöiden tietoja. Jäsenvaltiot voivat kuitenkin säätää kuolleiden henkilöiden henkilötietojen käsittelyä koskevista säännöistä. Kansallista tietosuojalakia arvioinut työryhmä ehdotti kuitenkin, ettei asetusta Suomessa laajenneta sovellettavaksi kuolleitten henkilöiden henkilötietojen käsittelyyn.

Vaikka tietosuoja-asetus ei lähtökohtaisesti suojaakaan kuolleiden henkilöiden henkilötietoja, on huomattava, että joskus kuollutta henkilöä koskevat tiedot ovat eläviä henkilöitä koskevia henkilötietoja. Näissä tapauksissa henkilötietojen käsittelyssä on huomioitava tietosuojasäännökset.

3. BEHANDLINGSGRUNDERNA VID BEHANDLING AV PERSONUPPGIFTER I STIFTELSER

Stiftelser ska handla i enlighet med förordningen, principerna för god informationshantering och god praxis för behandling av personuppgifter. Dataskyddet gäller alla personuppgifter som en stiftelse samlar in, sparar, använder, behandlar och överlåter. Inom ramen för förordningen räknas alla sådana uppgifter som kan identifiera och peka ut en person som personuppgifter. Det behövs alltid en lagstadgad rättsgrund för behandling av personuppgifter. Bestämmelser om behandlingens rättsgrunder finns i artikel 6 i dataskyddsförordningen. Det finns sex behandlingsgrunder: samtycke, avtal, lag, skydd av den registrerade, offentlig uppgift eller berättigat intresse. I stiftelser som delar ut stipendier är samtycke, avtal och berättigat intresse de grunder som i första hand är relevanta, ibland även allmänintresse (till exempel i fall som gäller forskning och arkivering, se nedan Grunderna för behandling i vissa fall).

Enligt dataskyddsförordningen uppstår ett berättigat intresse när det föreligger ett relevant och sakenligt förhållande mellan den registrerade och den personuppgiftsansvarige, till exempel den registrerade är kund hos eller arbetar för den personuppgiftsansvarige. Enligt Dataskyddsombudsmannens tolkning kan de som ansöker om stipendier ses som stiftelsens kunder, vars personuppgifter stiftelsen kan behandla på basis av berättigat intresse.

Behandling av personuppgifter är dock inte tillåten om den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre än det berättigade intresset. Det är den personuppgiftsansvariges uppgift att bedöma situationen. Det är i sista hand tillsynsmyndigheten eller domstolen som bedömer lagligheten hos behandlingen av personuppgifter, även behandlingens rättsgrund.

Käytettäessä suostumusta henkilötietojen käsittelyperusteena, tarkoitetaan rekisteröidyn suostumuksella mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä lausumaa tai toimenpidettä, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn – esimerkiksi hakulomakkeen suostumuslausekkeen aktiivista hyväksymistä. Rekisteröity ei voi antaa suostumusta vaikenemalla tai jättämällä reagoimatta johonkin rekisterinpitäjän toimenpidepyyntöön. Myöskään valmiiksi rastitettu valintaruutu sähköisessä lomakkeessa ei riitä suostumuksen ilmaisemiseen. Rekisterinpitäjän pitää pystyä osoittamaan annetun suostumuksen olemassaolo, ja suostumuksen on katettava kaikki käsittelytarkoitukset.

Grunderna för behandling i vissa fall

Enligt dataskyddslagens 4 § får personuppgifter behandlas också i fall om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, om;

  1. det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas,
  2. behandlingen behövs och är proportionell i en myndighets verksamhet för utförande av en uppgift av allmänt intresse,
  3. behandlingen behövs för vetenskaplig eller historisk forskning eller för statistikföring och den står i proportion till det mål av allmänt intresse som eftersträvas, eller
  4. behandling av forskningsmaterial och kulturarvsmaterial som innehåller personuppgifter samt av personuppgifter som hänför sig till innehålls- och referensinformation som gäller sådant material behövs för arkivändamål och behandlingen står i proportion till det mål av allmänt intresse som eftersträvas och den registrerades rättigheter.

Särskilda kategorier av personuppgifter

Erityisten henkilötietoryhmien, kuten etnisen alkuperän tai ammattiliiton jäsenyyden käsittely, on lähtökohtaisesti kielletty. Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, jos 6 artiklassa säädetyn perusteen lisäksi jokin tietosuoja-asetuksen säädetty peruste täyttyy. Erityisten henkilötietoryhmien osalta suostumuksen käsittelyyn on oltava nimenomainen. Nimenomaiseen suostumukseen liittyy korostettu yksilöinnin ja tarkan ilmaisun vaatimus. Lisäksi suostumuksen on yleensä oltava kirjallinen ja siitä pitää ilmetä, minkälaiseen henkilötietojen käsittelyyn suostumus on annettu.

Tietosuojalain 6 §:ään on sisällytetty poikkeus, jonka mukaan erityisten henkilötietoryhmien tietojen käsittelykielto ei sovelleta tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn, eikä tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta.

En personuppgiftsansvarig och ett personuppgiftsbiträde som behandlar personuppgifter i en ovan nämnd situation ska vidta lämpliga och särskilda åtgärder för att skydda den registrerades rättigheter. Sådana åtgärder är t.ex. åtgärder för att det i efterhand ska kunna säkerställas och bevisas vem som har registrerat, ändrat eller överfört personuppgifter och behandlingen grundar sig på en ändamålsenlig forskningsplan samt utförande av en konsekvensbedömning avseende dataskydd.

Behandling av personbeteckningar

Enligt dataskyddslagens 29 § får en personbeteckning behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade:

  1. för att utföra en i lag angiven uppgift,
  2. för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsskyldiges skyldigheter, eller
  3. för historisk eller vetenskaplig forskning eller för statistikföring.

Ett vanligt förfarande i finländska stiftelser är att inte begära personbeteckning i ansökningsskedet, utan den begärs endast för utbetalning av understöd av de sökanden som beviljats understöd, först efter att beslut gällande utdelning tagits.

En personbeteckning får inte onödigtvis antecknas i handlingar som skrivs ut eller upprättas på basis av ett personregister.

4. PROCESSEN FÖR BEHANDLING AV PERSONUPPGIFTER VID STIPENDIEUTDELNING

Stiftelsen behandlar personuppgifter i samband med ansökning och utdelning av stipendier enligt följande process:

  1. Insamling av uppgifter:
    Stiftelsen samlar in personuppgifter då den mottar stipendieansökningar.
    • I samband med detta meddelar stiftelsen de uppgifter som finns i kapitel 7 till stipendiaten.
  2. Samtycke
    Om stiftelsen använder samtycke som grund för behandling av personuppgifter måste samtycket ha getts redan innan uppgifterna samlades in. Stiftelserna bestämmer vilka uppgifter om den sökande som behövs för en ändamålsenlig bedömning av ansökningarna, och vilket samtycke som krävs av den sökande.
    • Stiftelsen kan i samband med detta bland annat be om samtycke till att offentliggöra stipendiaternas namn på nätet, som nämns i kapitel 11.
  3. Dokumentförvaltning
    Stiftelsen organiserar sin dokumentförvaltning så att förordningens krav på behandlingen av stipendieansökningar, begränsningen av antalet personer som behandlar uppgifterna och förvaringen av uppgifter uppfylls under hela behandlingsprocessen (punkterna 1–7). Med hjälp av god dokumentförvaltning garanterar stiftelsen också att den sökandes (registrerades) rättigheter uppfylls; begäran om uppgifter besvaras på ett ändamålsenligt sätt, felaktiga uppgifter korrigeras och på begäran raderas uppgifter.
  4. Behandling av uppgifter
    Den egentliga behandlingen av uppgifter sker när ansökningarna bedöms och stipendieutbetalningarna organiseras. I detta skede ser stiftelsen till att endast behöriga personer kommer åt att behandla uppgifterna och att uppgifterna endast behandlas i den omfattning som behövs för bedömningen.
    • Stiftelsen ska upprätthålla den beskrivning som avses i 9 kap. gällande handläggningsåtgärder som stiftelsen ansvarar för.
  5. Förvaring av uppgifter
    Efter utdelningen av stipendier förvarar stiftelsen de insamlade uppgifterna på ett korrekt sätt och slår fast en förvaringstid för uppgifterna.
  6. Besvarande av uppgiftsbegäran
    Stiftelsen utarbetar en färdig princip och ett förfaringssätt enligt vilka den svarar på begäran och krav från de registrerade eller från dataskyddsombudsmannen om innehållet i registren.
  7. Förstöring av uppgifter
    Efter att besluten om stipendier har fattats bedömer stiftelsen om det finns behov och grund enligt förordningen att förvara de stipendieansökningar som inte beviljades stipendium. Om inte, förstörs ansökningarna. För de ansökningar som beviljades stipendium slår man fast en förvaringstid, efter vilken de förstörs.

5. LIVCYKEL FÖR HANTERINGEN AV UPPGIFTERNA

Med hänsyn till förordningen och god informationshantering planerar stiftelsen åtgärder, behandlingsprocesser och tillhörande dokument gällande ansökandet och beviljandet av stipendier. I processbeskrivningen ingår följande:

6. PERSONUPPGIFTER SOM BEHANDLAS I STIFTELSER OCH REGISTER SOM DESSA UTGÖR

Personregister inom stipendiestiftelser har ofta uppstått i samband med system för stipendieansökningar. Då sökanden lämnar in sin stipendieansökan överför denne personuppgifter om sig själv till stiftelsen, uppgifterna utgör ett register som avses i dataskyddslagen samt dataskyddsförordningen.

Stiftelser har – på samma sätt som företag – även andra register som avses i förordningen, till exempel över arbetstagare eller samarbetspartners. Andra eventuella register kan utgöras av donatorer och personer från stiftelsens närståendekrets. E-postlistor och listor över kontaktuppgifter som innehåller personuppgifter och används för marknadsföring eller andra informationssyften utgör också register som avses i förordningen.

För att behandla vart och ett av dessa register behövs en ändamålsenlig behandlingsgrund, oavsett om det handlar om ett register för marknadsföring, närståendekretsen, personalen eller något annat register som innehåller personuppgifter. Om den registrerade själv har prenumererat t.ex. på stiftelsens nyhetsbrev är behandlingsgrunden det samtycke som personen själv gett; hen har prenumererat på nyhetsbrevet och vill få det till den e-postadress eller postadress som angetts.

För andra register än sådana som formats utgående från beställning (samtycke), till exempel postlistor, är det fortfarande något oklart vilka grunder förordningen ger för behandling av personuppgifterna. Enligt den tidigare i kraft varande personuppgiftslagen fick man till exempel samla in och spara uppgifter för direktmarknadsföring eller opinions- och marknadsföringsundersökningar om de registrerade inte har förbjudit det och om personregistret används på ett förhand specificerat och till längden kortvarigt marknadsföringssyfte. Registret fick dock inte till sitt sakinnehåll äventyra den registrerades skydd av privatliv eller innehålla uppgifter som rör den registrerades uppgifter och ställning i näringslivet eller i offentligheten, inte heller fick registret användas för att skicka information kring den registrerades arbetsuppgifter.

I varje stiftelse bör separat bedömas vilka meddelande- eller e-postlistor det finns en legitim behandlingsgrund att förlita sig till.

7. PERSONUPPGIFTSANSVARIGES SKYLDIGHETER

I förordningens 24 artikel 1 punkten definieras den personuppgiftsansvariges ansvar vid efterlevnaden av förordningen: ”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”

Dataskyddsförordningen har ett riskbaserat angreppssätt för att definiera den personuppgiftsansvariges skyldigheter. Detta innebär att skyldigheterna och de ändamålsenliga skyddsåtgärderna måste ställas i förhållande till de risker som behandlingen av personuppgifter kan innebära för den registrerades rättigheter och friheter. Genom detta strävar man efter att undvika att överreglera lågriskverksamhet och ställa de verkligt nödvändiga åtgärderna i proportion till riskens storlek.

Behandlingskedjan för personuppgifter ska tryggas på så sätt att endast de som har behörighet till uppgifterna kan använda och behandla dem. Som personuppgiftsansvarig ser stiftelsen till att nödvändiga åtgärder vidtas för att skydda personuppgifterna från att obehöriga får tillgång till dem och från övrig olaglig behandling. Skyddsåtgärderna kan i praktiken t.ex. vara användning av skyddade kommunikationsförbindelser, lösenordsskyddade databaser och pappersarkiv som förvaras i låsta utrymmen.

Den personuppgiftsansvarige ska göra en grundlig bedömning av de risker som är förknippade med behandlingen av personuppgifter. I förordningen avses med risker sådana fysiska, materiella eller immateriella skador som den registrerade eventuellt kan utsättas för, till exempel då behandlingen kan leda till identitetsstöld, bedrägeri, ekonomisk förlust eller social nackdel. Risken är högre än normalt till exempel då man behandlar uppgifter som hör till särskilda kategorier av personuppgifter, uppgifter som rör sårbara personer eller då man i samband med ansökningsprocessen behandlar stora mängder personuppgifter och behandlingen gäller ett stort antal registrerade.

Upplysningar som ska lämnas vid insamling av personuppgifter

Stiftelser samlar vanligtvis in personuppgifter i det skede då de sökande fyller i sin ansökan. Enligt förordningen ska den personuppgiftsansvarige, då personuppgifterna erhålls, ge följande information till den registrerade:

  1. identitet och kontaktuppgifter för den personuppgiftsansvarige och dennes eventuella företrädare
  2. kontaktuppgifterna till ett eventuellt dataskyddsombud
  3. Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen
  4. den personuppgiftsansvariges eller tredje parts berättigade intressen, om behandlingen är nödvändig för att förverkliga dessa
  5. mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna
  6. ett meddelande om huruvida den personuppgiftsansvarige avser att överföra personuppgifter till tredjeland eller en internationell organisation – och en redogörelse för dataskyddets tillräcklighet.

Då personuppgifter samlas in ska den personuppgiftsansvarige dessutom lämna den registrerade ytterligare information som krävs för att säkerställa en rättvis och transparent behandling, som följer:

  1. agringsperiod för personuppgifter – eller minst de kriterier som används för att fastställa denna period
  2. rätten att av den personuppgiftsansvarige be om tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.
  3. rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades, i det fall den registrerade har gett sitt samtycke för behandling av personuppgifterna för ett eller flera särskilda ändamål
  4. rätten att inge klagomål till en tillsynsmyndighet
  5. huruvida överlåtelse av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att lämna personuppgifter och de möjliga följderna av att sådana uppgifter inte lämnas
  6. information om huruvida det förekommer automatiserat beslutsfattande och uppgifter om logiken bakom detta samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

De som ansöker om stipendier måste alltså vara medvetna om dessa angelägenheter redan då de lämnar sina personuppgifter till stiftelsen. Av denna orsak måste stiftelsen nämna dessa upplysningar i samband med ansökningsanvisningarna. Informationen kan ges som en del av dataskyddsbeskrivningen (se Kapitel 9). För att uppfylla kraven i förordningen räcker det inte att ge upplysningarna efter att ansökningen har lämnats in.

Konsekvensbedömning

Under vissa omständigheter är den personuppgiftsansvarige skyldig att utföra en konsekvensbedömning av dataskyddet. Enligt dataskyddsförordningen är konsekvensbedömningen endast obligatorisk om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En sannolikt hög risk uppstår i behandling som görs för att analysera eller förutse aspekter gällande den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar. De personuppgiftsansvariga ska kontinuerligt bedöma och förutse de risker som behandlingsåtgärderna kan orsaka.

I förordningen föreskrivs minimikraven för konsekvensbedömning av dataskydd. Dessa är:

Enligt förordningen krävs det inte att konsekvensbedömningen görs offentlig, utan detta beslut fattas av den personuppgiftsansvarige. De personuppgiftsansvariga bör emellertid överväga att offentliggöra konsekvensbedömningen åtminstone delvis. Den offentliga versionen kan till exempel innehålla en sammanfattning av bedömningen och de mest centrala slutsatserna.

Databokslut

Ett databokslut är en frivillig rapport som organisationen gör och som ger en helhetsbild av den nuvarande statusen för organisationens informationsbehandling. Rapporten är avsedd som ett arbetsredskap för ledningen och ska öka intressentgruppernas förtroende för att organisationen följer god sed vid behandling av personuppgifter. Databokslutet kan utnyttjas som ett sätt att uppfylla dataskyddsförordningens ansvarsskyldighet (”accountability”), det vill säga att visa att man följer kraven i förordningen.

8. DEN REGISTRERADES RÄTTIGHETER

Det är den personuppgiftsansvariges skyldighet att trygga den registrerades rättigheter. Stiftelserna måste kunna garantera att de processer och datasystem som används vid behandlingen av personuppgifter anpassas till de förändringar som dataskyddsförordningen medför, även i anknytning till de registrerades rättigheter.

I förordningen föreskrivs om de nya rättigheterna för de registrerade. Dessa motsvarar till stor del den registrerades tidigare rättigheter, men förverkligandet av rättigheterna är i förordningen mer detaljerad.

OiRätten att få transparent information om behandlingen av personuppgifter

Den personuppgiftsansvarige ska på begäran tillhandahålla den registrerade samtliga uppgifter om behandlingen på ett koncist, transparent, begripligt och tillgängligt sätt och skriven på ett klart och tydligt språk.

Senast en månad efter att begäran har mottagits ska den personuppgiftsansvarige tillhandahålla den registrerade information om de åtgärder som vidtagits. Denna period får vid behov förlängas med ytterligare två månader, med hänsyn till hur komplicerad begäran är och antalet inkomna begäranden. Om den registrerade ber om uppgifterna elektroniskt ska informationen levereras elektroniskt om det är möjligt, förutom då den registrerade ber att få den i annan form.

Information och tillgång till personuppgifter

Med stöd av förordningen har den registrerade rätten att få en kopia av uppgifterna om denne samt en bekräftelse på att man behandlar dennes personuppgifter. Den registrerade har också rättighet att få tillgång till sina personuppgifter och information om behandlingens ändamål, den period under vilken personuppgifterna kommer att lagras eller de kriterier som används för att fastställa denna period.

Den som ansökt om stipendium har i regel rätt att få en kopia av alla de uppgifter som gäller en själv, men de flesta stipendiestiftelser har traditionellt inte lämnat ut information om kommentarer från dem som bedömer eller ger utlåtanden gällande ansökningarna. Om stiftelsen inte ger skriftliga bedömningar eller utlåtanden till sökanden ska detta nämnas och motiveras i stiftelsens dataskyddsbeskrivning. Man kan till exempel göra en avvägning mellan intressena hos den som ger utlåtandet och stipendiaten. Det är befogat att tolka saken som så, att intresset hos den som ger utlåtandet (rättigheten att ge en ärlig åsikt som endast når dem som fattar beslut om beviljande av stipendier) i detta enskilda fall går före sökandens intressen.

Det lönar sig i varje fall för stiftelsen att informera de sökande om de allmänna kriterierna för beslutsfattandet i samband med beviljandet av stipendier. Stiftelserna kan till exempel också ta i bruk ett poängsystem i vilket sökanden får allmänna vitsord på basis av ansökningarna, men inga fritt formulerade kommentarer.

Rätten till rättelse och rätten att bli bortglömd

Den registrerade har rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter rättade. Den registrerade har också rätt att få ofullständiga personuppgifter kompletterade.

Den registrerade har rätt att bli bortglömd, det vill säga få sina personuppgifter raderade om något av följande villkor uppfylls:

Det som nämns ovan ska inte gälla i den utsträckning som behandlingen är nödvändig för att utöva rätten till yttrandefrihet och informationsfrihet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller om rätten att radera uppgifter sannolikt förhindrar behandlingen i fråga eller avsevärt försvårar den.

Om skyldigheten att radera uppgifter dock uppstår då den personuppgiftsansvarige har publicerat personuppgifterna, ska den personuppgiftsansvarige underrätta övriga personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har bett om att eventuella länkar till, eller kopior av dessa personuppgifter ska raderas. Den personuppgiftsansvarige är också skyldig att meddela alla andra instanser som uppgifterna har överförts till eller publicerats hos, om att uppgifterna ska raderas.

Rätten till dataportabilitet

Överföring av uppgifter från ett system till ett annat möjliggör att de registrerade kan få de uppgifter som meddelats, använda dem på nytt och överföra dem till en annan personuppgiftsansvarig (inom samma bransch eller en annan). Denna rätt kan också innebära en begäran från den sökande om att överföra dennes personuppgifter till en annan stiftelse. Den sökande har dock i regel inte rätt att överföra uppgifter då behandlingen sker på basis av berättigat intresse, till skillnad från de fall då uppgifter behandlas på basis av avtal eller samtycke.

Rätten till dataportabilitet omfattar sådana uppgifter som den registrerade lämnat aktivt och medvetet samt sådana personuppgifter som uppstått i samband med den registrerades agerande. Det är alltså inte möjligt att begränsa rätten till endast de personuppgifter som den registrerade har gett direkt till exempel med en elektronisk blankett. Överföringsrätten gäller inte sådana uppgifter som den personuppgiftsansvarige producerar, det vill säga till exempel utlåtanden som bedömarna ger om de sökande.

Uppgifterna ska kunna överföras i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade har rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan när detta är tekniskt möjligt, när handläggningen grundar sig på samtycke eller avtal och sker elektroniskt. De tekniska möjligheterna för att överföra uppgifter ska bedömas från fall till fall. Det får inte uppstå skyldigheter för den personuppgiftsansvarige att upprätthålla behandlingssystem som är tekniskt kompatibla med övriga personuppgiftsansvarigas system.

De personuppgiftsansvariga handlar å den registrerades vägnar då personuppgifter överförs direkt till en annan personuppgiftsansvarig. Om den personuppgiftsansvarige som överför uppgifterna inte själv väljer vem mottagaren är, ansvarar denne inte för att den personuppgiftsansvarige som tar emot uppgifterna följer dataskyddslagstiftningen.

Stiftelserna ska enligt förordningen ge den registrerade information om de åtgärder som vidtagits på basis av en begäran om överföring. Uppgifterna ska överlämnas utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. I komplicerade fall kan överföringsperioden förlängas till högst tre månader, om den registrerade underrättats om orsakerna till förseningen inom en månad från den ursprungliga begäran.

Delegationen rekommenderar att stiftelserna fastställer skyddsåtgärder för att garantera att den registrerades intressen förverkligas. Stiftelserna kan till exempel försäkra sig om att de överförda personuppgifterna är i enlighet med den registrerades önskemål. Detta kan göras genom att man ber den registrerade om en bekräftelse antingen före överföringen eller redan då den registrerade ingår ursprungliga avtalet eller ger sitt samtycke för behandling. Delegationen rekommenderar också att stiftelserna och deras intressentgrupper utvecklar förfaranden som är kompatibla, så att rätten till dataportabilitet kan uppfyllas.

Rätten att göra invändningar

Förordningen garanterar den registrerade rätten att göra invändningar mot behandling av de egna personuppgifterna i vissa situationer. Rätten att göra invändningar gäller endast en del av behandlingsgrunderna. Den täcker behandling som grundar sig på bland annat utförande av en uppgift av allmänt intresse, den personuppgiftsansvariges myndighetsutövning eller förverkligande av den personuppgiftsansvariges berättigade intresse. Då kan till exempel stipendiaten invända mot att dennes personuppgifter behandlas för marknadsföringsändamål.

Den personuppgiftsansvarige får i invändningssituationer inte fortsätta behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det görs för att fastställa, utöva eller försvara rättsliga anspråk.

Rätten att göra invändning ska meddelas den registrerade senast vid den första kommunikationen med den registrerade och rätten ska redovisas tydligt, klart och åtskilt från eventuell annan information.

Automatiserat individuellt beslutsfattande och profilering

Enligt förordningen har den registrerade rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för denne, eller på ett liknande sätt i betydande grad påverkar den registrerade. Den registrerade har rätt att kräva att uppgifterna behandlas av en fysisk person, rätt att uttrycka sin egen åsikt i frågan och bestrida beslutet som fattats.

Denna princip får frångås exempelvis då beslutet är nödvändigt för ett avtal som ingås mellan den registrerade och den personuppgiftsansvarige eller baserar sig på den registrerades uttryckliga samtycke. Stiftelserna kan alltså behandla stipendieansökningar automatiskt, om det har fått samtycke till det. Om det slutgiltiga beslutet om stipendieutdelningen görs av en människa, som även beaktar andra faktorer, anses inte beslutet grunda sig enbart på automatisk behandling. I stiftelserna innehåller ansökningsprocessens slutskede i praktiken alltid en mänsklig bedömning och ett beslut som fattats av stiftelsens organ, så det handlar inte enbart om automatisk behandling.

9. REGISTER ÖVER BEHANDLING OCH DATASKYDDSBESKRIVNING

Enligt dataskyddsförordningen ska den personuppgiftsansvariga och dennes företrädare föra ett register över personuppgiftsbehandling som utförts under dess ansvar. Denna skyldighet betyder i praktiken att den personuppgiftsansvarige och dennes företrädare ska dokumentera de behandlingsåtgärder som de vidtar på personuppgifterna. Registret hjälper den personuppgiftsansvarige och dennes företrädare att visa vilka behandlingsåtgärder som vidtagits för personuppgifterna och att följa lagstiftningen. Registret har på detta vis ett nära samband med ansvarsskyldigheten att påvisa att behandlingsåtgärderna sker i enlighet med förordningen. Registret över personuppgiftsbehandling är organisationens interna dokument. Det används som hjälpmedel för att få en överblick över behandlingen av personuppgifter och syftet med det är att för sin del påvisa att personuppgifter behandlas i enlighet med datasäkerhetslagstiftningen.

Registret ska upprättas skriftligen, även elektronisk form duger. Registret ska på begäran göras tillgängligt för myndigheterna. Sakinnehållet i registerbeskrivningen enligt den tidigare personuppgiftslagen motsvarar i stor utsträckning sakinnehållet i registret enligt den allmänna dataskyddsförordningen. Därmed är det fortfarande möjligt att använda en liknande blankettmodell för registerbeskrivning som den vilken dataskyddsombudsmannen tidigare publicerat för att uppfylla skyldigheterna i förordningen, så länge som sakinnehållet har uppdaterats för att motsvara kraven i artikeln i fråga.

Registret ska innehålla samtliga följande uppgifter:

  1. namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
  2. ändamålen med behandlingen
  3. en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter
  4. de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer
  5. i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder
  6. om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
  7. om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna

De uppgifter som krävs kan grupperas enligt följande:

Obligatoriska uppgifter

Uppgifter som ges i tillämpliga fallt

Uppgifter som ges om möjligt

Enligt förordningen gäller skyldigheterna om beskrivningen inte ett företag eller en organisation som sysselsätter färre än 250 personer med undantag av följande situationer: den behandling som utförs kommer sannolikt att medföra en risk för de registrerades rättigheter och friheter, behandlingen är inte tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter eller personuppgifter om fällande domar i brottmål eller överträdelser.

Delegationen rekommenderar att stiftelserna trots ovan nämnda undantag gör upp register över behandling. Dataskyddsombudsmannens byrå har på sin webbsida publicerat en anvisning gällande upprättandet av register över behandling (tyvärr finns den för tillfället endast på finska Näin laadit tietosuoja-asetuksen edellyttämän selosteen käsittelytoimista.)

Dataskyddsbeskrivning

Säätiön tulee laatia tietosuojaseloste, joka julkaistaan säätiön verkkosivulla. Jos apurahahaku tapahtuu verkossa, on tietosuojaseloste julkaistava haun yhteydessä. Tietosuojaselosteen avulla rekisterinpitäjä täyttää velvollisuutensa antaa rekisteröidylle riittävästi informaatiota. Selosteessa eritellään luvussa 7 mainitut henkilötietoja kerättäessä toimitettavat tiedot, ja selosteen avulla hoidetaan asetuksen artiklan 12 vaatima läpinäkyvä informointi, viestintä ja yksityiskohtaisten tietojen anto rekisteröidyn oikeuksista. Lisäksi selosteessa kerrotaan artiklan 14 mukaisesti, miten menetellään silloin, kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, vaan tiedot on saatu tai kerätty jostain muualta. Tietosuojaseloste voi myös sisältää muuta tietoa säätiön soveltamista menettelytavoista sekä tietoja käsittelytoimien selosteesta.

10. UTLÄMNANDE AV PERSONUPPGIFTER TILL ÖVRIGA PARTER

Uppgifter om beviljade stipendier som lämnas ut till övriga stiftelser

Den som ansöker om stipendium kan begäras samtycke till att uppgifter om stipendier som beviljats denne får lämnas ut till övriga stiftelser. För att främja det ömsesidiga informationsutbytet mellan stiftelserna och för att undvika att överlappande stipendier beviljas kan följande punkt läggas till som valbar i ansökningsblanketterna: ”Den sökande ger sitt samtycke till att uppgifter om det stipendium som beviljats honom eller henne och om stipendiets storlek kan lämnas ut till en annan stiftelse där denne ansökt om stipendium .” Personen som man ber om samtycke av skall för att kunna avgöra situationen få uppgifter om all planerad behandling av personuppgifter, det vill säga också om utlämnande till externa instanser (om uppgifter lämnas ut: vilka uppgifter, till vem och för vilka ändamål). Uppgifter lämnas enbart ut i den utsträckning som är nödvändig.

Utlämnande av stipendiatens uppgifter till myndigheter

Efter beslutfattandet kring stipendieansökningarna har stiftelsen under vissa förutsättningar skyldighet att anmäla stipendiaternas personuppgifter och storleken på stipendierna till pensionsförsäkringsbolag och till skattemyndigheten. I en beskrivning som dokumenterar behandlingen av personuppgifter ska man nämna om överlåtelse av dessa uppgifter.

11. ELEKTRONISK PUBLICERING AV BEVILJADE STIPENDIER

Tilliten till stiftelserna grundar sig på deras öppna och transparenta verksamhet. När stipendier beviljas följer stiftelserna de finansieringskriterier som de slagit fast och underrättar öppet sökande och övriga om dessa.

Delegationen rekommenderar att stiftelserna förutom i den tryckta verksamhetsberättelsen publicerar namnen på sina stipendiater också på sina hemsidor. Stiftelsen kan motivera publiceringen av stipendiaternas namn på allmänt intresse: samhället måste få veta hur stiftelserna använder sin egendom. Stiftelsen kan också be om de sökandes samtycke för att publicera deras namn. I sådana fall lägger man till en punkt i ansökningsblanketten där den sökande ger lov att publicera sitt namn på nätet. Uppgifter om att namnen publiceras ska i varje fall nämnas i dataskyddsbeskrivningen.

Syftet med att publicera namnen på stipendiaterna och rubrikerna på deras projekt är att informera om stiftelsens verksamhet och branschens utveckling. Genom att publicera namnen undviker man också misstankar såväl om att stiftelsens närståendekrets skulle favoriseras som att den allmänna nyttan vore alltför snäv. Listan över de som sökt stipendie är däremot konfidentiell.

Det kan förekomma enskilda situationer där det inte är idealt att offentliggöra namnet på en forskare till exempel på grund av forskningsområdets känsliga natur. Inom stiftelserna vet man bäst när det finns skälig grund att låta bli att publicera namn, och man använder bland annat principer om jämlikhet och icke-diskriminering som grund för att bedöma saken. Stiftelserna har ingen skyldighet att publicera alla namn på nätet.

I stiftelsens anvisningar till de sökande framgår det hur man meddelar om beviljade stipendier. Vanligtvis skickar stiftelsen ett personligt brev eller ett e-postmeddelande om positiva beslut och publicerar listor över stipendiaterna på sin hemsida och i den tryckta verksamhetsberättelsen. Negativa beslut kan meddelas enligt prövning.

I stiftelsens officiella verksamhets- eller årsberättelse nämns alltid alla stipendiaters namn. Rätten att inte bli nämnd gäller i första hand för webbversionen.

12. ARKIVERING OCH FÖRSTÖRING AV PERSONUPPGIFTER

Arkiv uppstår som resultat och biprodukt av verksamheten. Dokument som hör till arkivet har antingen skickats till stiftelsen, uppstått då stiftelsen sköter sina uppgifter eller de har upprättats av stiftelsen. De ursprungliga dokumenten kan vara i elektroniskt eller i pappersformat. Det lönar sig att upprätta principer för dokumenthantering så att de styr mottagning, skapande, sparande och definierar hur uppgifternas arkiveringsvärde bedöms (vilka uppgifter är värda att arkivera), och garanterar att uppgifterna går att använda till det syfte som de samlats in och sparats för. Arkiveringen styrs däremot av den plan för arkivbildning eller arkiveringsanvisning som stiftelsen själv har utarbetat.


Uppgifter som producerats elektroniskt ska också förvaras elektroniskt. Endast sådana material som ska förvaras permanent skrivs vid behov ut på papper. Enligt rekommendationerna om god förvaltning i stiftelserna ska en stiftelse överväga om avslagna stipendieansökningar kan förstöras genast eller om det finns grund för att spara ansökningarna för att bevara historiska uppgifter eller för övervakningsändamål. För beviljade stipendier ska en stiftelse kunna granska uppgifterna i ett finansierat projekt och dess rapportering ända tills det har avslutats. Ansökningar som leder till positiva beslut förvaras minst tio år efter att man erhållit en rapport över användningen av stipendiet.

I enlighet med förordningen ska en förvaringsperiod fastställas för samtliga uppgifter. Om det inte är möjligt att fastställa en exakt tid ska åtminstone de kriterier som används för att fastställa denna period vara klara. Efter den fastslagna tidsperioden raderas uppgifterna från nätet och uppgifter som finns på papper förstörs. Behovet av att förvara uppgifterna ska alltid motiveras – om man inte kan bestämma en grund för att förvara uppgifterna ska de förstöras. Uppgifter får inte förvaras ”för säkerhets skull”. För att personuppgifter ska kunna raderas eller för att man regelbundet ska kunna granska behovet av att de förvaras ska man garantera att de fastslagna tidsperioderna följs med hjälp av regler för förfarandet.

13. SÄKERHETSINCIDENTER

En ny skyldighet för den personuppgiftsansvarige i dataskyddsförordningen är skyldigheten att anmäla en personuppgiftsincident till tillsynsmyndigheten och den registrerade. Med incident avses oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.

Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, ska denne anmäla personuppgiftsincidenten till den behöriga tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, förutom om det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om det inte är möjligt att göra en anmälan inom 72 timmar ska den registeransvarige lämna en motiverad förklaring åt tillsynsmyndigheten. Även ett personuppgiftsbiträde ska anmäla en personuppgiftsincident till den personuppgiftsansvarige utan onödigt dröjsmål.

En anmälan om personuppgiftsincidenten ska beskriva situationen och dess sannolika följder samt om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs. Dessutom ska man beskriva vilka åtgärder den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda säkerhetsincidenten samt vid behov även åtgärder för att mildra de potentiella negativa följderna.

Om incidenten leder till en hög risk för fysiska personers rättigheter och friheter ska den registrerade också utan onödigt dröjsmål informeras. Den information som ges till den registrerade ska innehålla en tydlig och klar beskrivning bland annat av personuppgiftsincidentens art och dess sannolika konsekvenser.

Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, deras följder och de korrigerande åtgärder som vidtagits. Denna dokumentation ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av de bestämmelser om säkerhetsincidenter som finns i förordningen.

Dataskyddsombudsmannen har föreslagit att man inom organisationer bör planera hur en eventuell säkerhetsincident ska identifieras, anmälas, utredas och dokumenteras för att organisationen ska kunna handla effektivt med syfte att minimera skadan och återställa funktionsförmågan. Olika situationer kräver olika verksamhetsprogram, utöver vilka man ytterligare bör se över personalens kompetens i krissituationer.

Mer information om dataskydd och god informationshanteringspraxis fås från dataombudsmannens byrå.
www.tietosuoja.fi/sv/

14. DEFINITIONER

Administrativ sanktionsavgift
Tillsynsmyndigheten kan påföra den personuppgiftsansvarige eller dennes representant en sanktionsavgift p.g.a. försummelse av kraven i dataskyddsförordningen. Storleken på sanktionen bestäms på basis av förseelsens karaktär. Sanktionen är inte av straffrättslig natur.

Personuppgift
Varje upplysning som avser en identifierad eller identifierbar fysisk person (till exempel namn, identifikationsnummer, bild, biometriska eller genetiska uppgifter). En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Särskilda kategorier av personuppgifter, ”känsliga personuppgifter”
Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, uppgifter om hälsa eller uppgifter om sexuell läggning. Behandling av särskilda kategorier regleras separat.

Personuppgiftsbiträde
En fysisk eller juridisk person, myndighet, institution eller annat organ som hanterar personuppgifter på en personuppgiftsansvarigs vägnar.

Behandling av personuppgifter
Alla typer av åtgärder i samband med personuppgifter, antingen med hjälp av automatisk informationshantering eller manuell behandling. Exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring utgör behandling.

Personuppgiftsincident
En säkerhetsincident som leder till olaglig behandling av personuppgifter. Följderna är oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Ansvarsskyldighet
Med hjälp av ansvarsskyldigheten (”accountability”) ska organisationen kunna visa att den har skött om följande delområden vid behandling av personuppgifter:

Detta kan påvisas genom att man gör upp ett databokslut på basis av de tidigare nämnda uppgifterna.

Personuppgiftsansvarig
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter.

Dataskydd som standard
Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder och förfaranden som är nödvändiga för att

Uppfyllandet av kraven i dataskyddsförordningen ska garanteras från definitionsskedet ända fram till slutet av livscykeln för de personuppgifter som behandlas.

Dataskydd
Integritetsskydd vid behandling av personuppgifter