Verkställande av dataskydd vid Försvarsmakten

Dataskydd är en inbyggd och självklar del av Försvarsmaktens verksamhet. 

Försvarsmaktens personalchef  ansvarar för den administrativa styrningen av behandlingen av personuppgifter vid Försvarsmakten.

Huvudstabens personalavdelning ansvarar för verkställandet av dataskydd vid Försvarsmakten.
Dataskyddsombudet som finns på Huvudstabens juridiska avdelning ansvarar vid Försvarsmakten för de uppgifter som inom Europeiska unionen och i den nationella lagstiftningen har ålagts dataskyddsombudet. 

Målsättningen med Försvarsmaktens dataskyddsverksamhet är att trygga att de registrerades rättigheter respekteras i enlighet med gällande lagar. Detta sker genom dokumentering och genom att fastställa praxis för behandling av personuppgifter, genom att övervaka att det är förenligt med lagen att tillämpa denna praxis samt genom att trygga att den personal som behandlar personuppgifter får tillräcklig handledning och utbildning för att göra det möjligt att lagenligt behandla personuppgifter.

Åtgärder som vid Försvarsmakten vidtas för att skydda personuppgifter är bl.a. anvisningar och föreskrifter för personalen, utbildning för personalen, säkerhetsavtal mellan organisationer, dataskyddsavtal, teknisk övervakning av utrymmen och egenkontroll, att sörja för datasystemens datasäkerhet, kryptering/anonymisering/pseudonymisering av data, kvalitetsrevisioner samt kontroll- och övervakningssystem, uppförandekodex och övriga tekniska åtgärder. 

Försvarsmakten tillämpar en databokslutsprocess och inom ramen för den uppgörs varje år ett databokslut som beskriver hur man har lyckats med dataskyddet och vilka åtgärder som krävs för att förbättra dataskyddet.

Dataskyddslagstiftning som tillämpas på Försvarsmaktens verksamhet

Två olika rättsliga grunder tillämpas på Försvarsmaktens behandling av personuppgifter. 

På största delen av den behandling av personuppgifter som sker vid Försvarsmakten tillämpas som allmän lag lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, nedan kallad dataskyddslagen för brottmål (1054/2018) och som speciallag lagen om behandling av personuppgifter inom Försvarsmakten(332/2019). 

Vid Försvarsmaktens behandling av personuppgifter omfattas i huvudsak behandling av personuppgifter i arbetsgivarverksamhet, ärendehantering samt vissa kommunikations- och logistikrelaterade register av EU:s allmänna dataskyddsförordning 216/679 och dataskyddslagen (1050/2018). På den behandling av personuppgifter som Försvarsmakten bedriver i egenskap av arbetsgivare tillämpas som speciallag även lagen om integritetsskydd i arbetslivet (759/2004).

I lagen om hälsovården inom försvarsmakten (332/1987) anges hur hälsovården ska ordnas vid Försvarsmakten. I enlighet med vad som anges i 9 a § 2 mom. i denna lag tillämpas lagen om behandling av personuppgifter inom Försvarsmakten (332/2019) på den behandling av personuppgifter som omfattas av denna lag, om behandlingen av uppgifter behövs för skötsel av uppdrag som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a samt 3 och 4 punkten i lagen om försvarsmakten (551/2007).

Lagen om behandling av personuppgifter inom Försvarsmakten (332/2019)

Denna lag tillämpas på sådan behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a eller 3 eller 4 punkten i lagen om försvarsmakten (551/2007). 

Denna lag tillämpas endast på sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där de uppgifter som behandlas utgör eller är avsedda att utgöra ett register eller en del av ett sådant.

Säkerhetsutredningslagen (726/2014)

Syftet med denna lag är att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen.

Huvudstaben gör säkerhetsutredningar av person för personer som rekryteras till Försvarsmaktens tjänst eller personer som arbetar med Försvarsmaktens upphandling eller övriga projekt eller i företag. Huvudstaben gör också säkerhetsutredningar av företag för företag som sköter Försvarsmaktens projekt eller övriga uppdrag.
Hur skyddspolisen och Huvudstaben ska behandla personuppgifter föreskrivs i dataskyddslagen för brottmål.

Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan kallad dataskyddslagen för brottmål

Denna lag tillämpas vid sådan behandling av personuppgifter som utförs av behöriga myndigheter när det är fråga om:

1.    förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning,
2.    åtalsprövning och annan åklagarverksamhet som har samband med brott,
3.    handläggning av brottmål i domstol,
4.    verkställighet av straffrättsliga påföljder,
5.    skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1–4 punkten.

Utöver vad som anges ovan tillämpas denna lag på Försvarsmaktens verksamhet:     

Vid behandling av personuppgifter som utförs av Försvarsmakten och för Försvarsmaktens räkning, när uppgifterna behandlas för skötsel av uppgifter som anges i 2 § 1 mom. 1 punkten, 2 punkten underpunkt a eller 3 eller 4 punkten i lagen om försvarsmakten.

Denna lag är den allmänna lag som tillämpas i ovannämnda fall och från vars föreskrifter kan avvikas genom speciallagstiftning. I lagen anges:

•     ändamålsbegränsning och övriga allmänna principer för behandling av personuppgifter
•     den personuppgiftsansvariges och personuppgiftsbiträdets ansvar
•     de registrerades rätt till insyn och övriga rättigheter
•     kraven på datasäkerhet
•     utnämning av dataskyddsombud och dataskyddsombudets uppgifter
•     förutsättningar för överföring av personuppgifter till tredjeländer
•     tillsyn över efterlevnaden av lagen
•     tillämpliga rättsmedel och påföljder

Dataskyddslagen för brottmål tillämpas parallellt med lagen om behandling av personuppgifter inom Försvarsmakten.

EU:s allmänna dataskyddsförordning 2016/679

EU:s allmänna dataskyddsförordning tillämpas i begränsad form på behandlingen av personuppgifter vid Försvarsmakten. 

Denna lagstiftning tillämpas i första hand då Försvarsmakten behandlar personuppgifter i samband med frågor som rör tjänste- och arbetsförhållanden, inom ramen för Försvarshögskolans undervisning och forskning, biblioteksverksamhet, arbetshälsovård och motsvarande sammanhang. 

Dataskyddslagen (1050/2018)

Dataskyddslagen tillämpas parallellt med den allmänna dataskyddsförordningen. Genom denna lag specificeras och kompletteras dataskyddsförordningen och dess nationella tillämpning.

I dataskyddslagen föreskrivs bland annat:

•     tillsynsmyndighet för dataskydd
•     rättssäkerhet
•     behandling av särskilda kategorier av personuppgifter 
•     vissa särskilda behandlingssituationer, såsom hur man förenar yttrandefrihet eller vetenskaplig forskning med skydd av personuppgifter
•     åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn

Lagen om integritetsskydd i arbetslivet (759/2004)

I denna lag föreskrivs om behandling av arbetstagares personuppgifter, test och kontroller som gäller arbetstagare samt om de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt om hämtning och öppnande av arbetstagares elektroniska meddelanden.

Vad som i denna lag föreskrivs om arbetstagare tillämpas även på tjänstemän, dem som står i tjänsteförhållande och dem som har därmed jämförbar offentligrättslig anställning samt i tillämpliga delar på arbetssökande.

Utöver vad som föreskrivs i denna lag finns det bestämmelser om behandling av arbetstagares personuppgifter i allmänna dataskyddsförordningen. På behandlingen av personuppgifter tillämpas dessutom dataskyddslagen, om inte något annat föreskrivs i denna lag. 

I lagen om tjänster inom elektronisk kommunikation (917/2014) del VI föreskrivs om kommunikationens förtrolighet och att värna om integritetsskyddet. 

Försvarsmaktens register

Försvarsmaktens permanenta register

Enligt 4 § 1 mom. i lagen om behandling av personuppgifter inom Försvarsmakten har Försvarsmakten följande permanenta register:

1.    värnpliktsregistret;
2.    passertillståndsregistret;
3.    registret över territorialövervakningens tillstånds- och övervakningsärenden;
4.    registret för militärrättsvården;
5.    registret för militär underrättelseverksamhet;
6.    säkerhetsdataregistret.

Huvudstaben är personuppgiftsansvarig för dessa register. Närmare bestämmelser gällande ansvar och ansvarsinstanser vid registerföring finns i Huvudstabens arbetsordning. Övriga förvaltningsenheter använder dessa register bara enligt Huvudstabens instruktioner och under övervakning av Huvudstaben.

Om dessa registers ändamål och datainnehåll föreskrivs närmare i kap. 2 i lagen om behandling av personuppgifter inom Försvarsmakten.

Försvarsmaktens tillfälliga register

Om tillfälliga register föreskrivs i 17 § i lagen om behandling av personuppgifter inom Försvarsmakten. Försvarsmakten får upprätta ett tillfälligt register där ovannämnda rättsgrund tillämpas på den behandling av personuppgifter som sker i samband med registret. 

Ett sådant register kan upprättas bara för följande ändamål:

1.    för att utföra ett uppdrag inom militär underrättelseinhämtning. I ett sådant register får endast i 14 § i lagen om behandling av personuppgifter inom Försvarsmakten avsedd information lagras;
2.    för att utföra ett uppdrag som avser förebyggande och avslöjande av brott. I ett sådant register får endast i 16 § i lagen om behandling av personuppgifter inom Försvarsmakten avsedd information lagras;
3.    för att utföra ett förundersökningsuppdrag. I ett sådant register får endast i 12 § i lagen om behandling av personuppgifter inom Försvarsmakten avsedd information lagras.

Skyldigheten att offentliggöra en dataskyddsbeskrivning gäller inte dessa, ovannämnda tillfälliga personregister.

Övriga register

Utöver ovannämnda register har Försvarsmakten också andra ansvarsområdes- och uppgiftsspecifika register, där EU:s allmänna dataskyddsförordning och dataskyddslagen tillämpas på den behandling av personuppgifter som sker i samband med registret. I dessa register behandlas främst personuppgifter som gäller Försvarsmaktens personal.

Den registrerades rättigheter

Allmänt om den registrerades rättigheter

I dataskyddslagen för brottmål och EU:s allmänna dataskyddsförordning (nedan kallas båda tillsammans dataskyddslagstiftningen) anges bl.a. följande om de registrerades rättigheter: 

1.    rätt till insyn
2.    rätt till rättelse, komplettering eller radering av personuppgifter 
3.    rätt att begränsa behandlingen av personuppgifterna
4.    rätt att göra invändningar
5.    rätt att lämna in ett klagomål till en tillsynsmyndighet

Rätt till insyn

Den registrerade har rätt att få veta huruvida personuppgifter som gäller honom eller henne behandlas. Om sådana uppgifter behandlas, har den registrerade rätt att av den personuppgiftsansvarige få den information som avses i dataskyddslagstiftningen.

Den som önskar få tillgång till uppgifter om sig själv ska begära detta hos den personuppgiftsansvarige.

Närmare information om rätten till insyn och hur man gör bruk av den:

•     EU:s dataskyddsförordning, artikel 15
•     Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 23 §, då ärendet gäller frågor som faller under nämnda lags tillämpningsområde.

Rättelse, komplettering eller radering av personuppgifter och begränsning av behandling

Den registrerade ska i enlighet med dataskyddslagstiftningen ha rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål rättar sådana personuppgifter om den registrerade som är oriktiga eller bristfälliga. Vidare ska den registrerade ha rätt att få sina personuppgifter raderade eller användningen av dem begränsad i enlighet med dataskyddslagstiftningen.

Närmare information om rätten till rättelse, radering eller begränsning av behandling och hur man gör bruk av den: 

•     EU:s dataskyddsförordning, artiklarna 16-18
•     Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 25 §, då ärendet gäller frågor som faller under nämnda lags tillämpningsområde.

Övriga rättigheter och närmare information

Den registrerade ska ha rätt att i enlighet med dataskyddslagstiftningen göra invändningar mot behandling av sina personuppgifter 

Vidare ska den registrerade i enlighet med ovannämnda lagstiftning ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling.

Den registrerade ska i enlighet med dataskyddslagstiftningen ha rätt att av den personuppgiftsansvarige få information om personuppgiftsincidenter.

Närmare information om ovannämnda rättigheter och hur man gör bruk av den: 

•     EU:s allmänna dataskyddsförordning, artiklarna 21-22
•     Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten 4 och 5 kap., då ärendet gäller frågor som faller under nämnda lags tillämpningsområde.

Den personuppgiftsansvarige ger vid behov närmare information om hur den registrerade kan göra bruk av sina rättigheter och hur de realiseras. 

Allmän information om den registrerades rättigheter finns också tillgänglig i material som dataombudsmannens byrå publicerat https://tietosuoja.fi/etusivu.

Rätt att lämna in ett klagomål till en tillsynsmyndighet

Du har rätt att anföra en klagan till dataombudsmannen om du anser att behandlingen av dina personuppgifter bryter mot dataskyddslagstiftningen.

Dataombudsmannens kontaktuppgifter:

Dataombudsmannens byrå
Besöksadress: Fågelviksgränden 4, 00530 Helsingfors     
Postadress: PB 800, 00521 HELSINGFORS
Telefonnummer: 029 56 66700
E-post: [email protected]

Utövande av den registrerades rätt till insyn

Den registrerades rätt till insyn är en del av individens informerade självbestämmanderätt och en grundrättighet i verkställandet av skyddet av personuppgifter.

Du har rätt till insyn i alla Försvarsmaktens register såvida inget annat föreskrivs genom lag.

I behandlingen av personuppgifter i Försvarsmaktens permanenta register har du rätt till insyn i följande register:

1.    värnpliktsregistret;
2.    passertillståndsregistret;
3.    registret över territorialövervakningens tillstånds- och övervakningsärenden;
4.    registret för militärrättsvården;

Via dataombudsmannen du kan utöva din rätt till insyn i behandlingen av personuppgifter i registret för militär underrättelseverksamhet, säkerhetsdataregistret och tillfälliga persondataregister. 

Om utövandet av rätten till insyn i sådana fall föreskrivs i dataskyddslagen för brottmål 29 §.

Med tanke på detta ändamål har dataombudsmannens byrå publicerat ett bedömningsverktyg och en blankett för anmälan till dataombudsmannen.

Hur den som önskar kontrollera behandlingen av personuppgifter om sig själv i Försvarsmaktens permanenta register ska gå till väga anges enligt följande i dataskyddslagen för brottmål 23 § 2 mom.: 

” Den som önskar kontrollera uppgifter om sig själv på det sätt som avses i 1 mom., kan begära detta hos den personuppgiftsansvarige genom en egenhändigt undertecknad handling eller på ett därmed jämförbart bestyrkt sätt eller begära detta personligen hos den personuppgiftsansvarige.”

För att behandla begäran förutsätter Försvarsmakten att den som önskar kontrollera sina uppgifter anger sin personbeteckning och egenhändigt undertecknar handlingen.

Begäran kan skickas elektroniskt till:

[email protected] 

eller i pappersformat till:

Försvarsmaktens dataskyddsombud
Huvudstabens juridiska avdelning
PB 919
00131 Helsingfors

Om du är värnpliktig och vill ha ett utdrag över de personuppgifter som behandlas i värnpliktsregistret, kan du också kontakta Försvarsmaktens regionalbyrå.

Om du redan har fyllt 60 år behandlas dina personuppgifter inte längre i värnpliktsregistret. Om så är fallet kan du till Militärmedicinska arkivet göra en begäran om information gällande dina arkiverade uppgifter.

Resultaten av Försvarsmaktens lämplighetstest faller under sådant datainnehåll som avses i lagen om behandling av personuppgifter inom Försvarsmakten 6 §. Om du vill granska denna information kan du följa ovannämnda förfarande och använda samma blankett.

Försvarsmakten skickar inte dina personuppgifter för granskning per e-post. De personuppgifter du vill granska skickas till dig som brev med mottagningsbevis till den adress du uppgett i din begäran.

Försvarsmaktens dataskyddsombud

Försvarsmaktens dataskyddsombud övervakar lagenligheten i Försvarsmaktens behandling av personuppgifter. 

Du kan kontakta dataskyddsombudet i alla frågor som rör behandlingen av dina personuppgifter.

Kontaktuppgifter till Försvarsmaktens dataskyddsombud:

Elektroniskt:     [email protected]
Postadress:    Försvarsmaktens dataskyddsombud
        Huvudstaben
        Juridiska avdelningen
        PB 919
        00131 Helsingfors

Bestämmelserna gällande dataskyddsombudet finns i dataskyddslagen för brottmål 6 kap. och i EU:s allmänna dataskyddsförordning 4 avsnittet.

Försvarsmaktens dataskyddsombud ger inte allmän rättshjälp och fungerar inte som förundersökningsmyndighet. 

Dataskyddsombudet fungerar inte som ombud och kan till exempel inte kräva skadestånd för din räkning. Privaträttsliga anspråk riktas till domstol.

Dataskyddsombudet tar inte ställning till om data är offentligt eller sekretessbelagt. Om en myndighet har agerat i strid med lagen om offentlighet i myndigheternas verksamhet kan den behöriga tillsynsmyndigheten, beroende på vad ärendet gäller, vara till exempel riksdagens justitieombudsman eller justitiekanslern i statsrådet.

Om du misstänker att ett brott riktat mot dig har begåtts i ärendet (ärekränkning, bedrägeri, olovlig avlyssning eller observation, spridande av information som kränker privatlivet e.d.) ska du i första hand kontakta polisen.