Bestämmelser och tillsyn
Skyddet av personuppgifter regleras i Europeiska unionens allmänna dataskyddsförordning (EU) 2016/679 (GDPR) samt nationellt i dataskyddslagen. Lagstiftningen om skydd av personuppgifter tillämpas alltid när personuppgifter behandlas.
I Finland är dataombudsmannen den behöriga myndigheten vid tillsynen över dataskyddsförordningen.
Personuppgift
Definition av personuppgift:
- Med personuppgift avses enligt artikel 4.1 i dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en fysisk person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
- Definitionen av personuppgift är mycket bred. När en resenär erbjuds resekedjetjänster, uppstår vanligen en situation där personuppgifter behandlas. Som sådana uppgifter betraktas till exempel resenärens kontaktuppgifter och kreditkortsuppgifter som behandlas i anslutning till bokningen. Personuppgifter kan också vara uppgifter för verifiering av reserätt.
Pseudonymisering och anonymisering
Det ska observeras att även om uppgifterna har pseudonymiserats betraktas de fortfarande som personuppgifter. Även om en enskild aktör i en resekedja inte kan utreda en resenärs identitet, räcker det att en part genom att kombinera olika uppgifter kan identifiera resenären. Därför är till exempel ett rese-id en personuppgift, om det kan kopplas till en enskild resenär av någon aktör, även om det inte innehåller resenärens namn eller några andra tydliga personuppgifter.
Uppgifter är anonyma om personuppgifter oåterkalleligen ges en sådan ändrad form att den registrerade inte direkt eller indirekt utifrån uppgifterna kan identifieras av någon.
Den personuppgiftsansvariges och personuppgiftsbiträdets ställning
Behandling av personuppgifter omfattar olika roller:
- En aktör som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter anses som personuppgiftsansvarig.
- Med personuppgiftsbiträde avses en part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandlingen sker då ofta med fullmakt, som underleverans eller genom samarbete.
Det kan även finnas parallella personuppgiftsansvariga, vilket innebär att varje personuppgiftsansvarig har en självständig rätt att behandla personuppgifter.
Den personuppgiftsansvarige bestämmer självständigt ändamålen för behandlingen av uppgifterna och använder uppgifterna för sina egna användningsändamål i enlighet med sina förfaranden för behandling av uppgifter. Ett personuppgiftsbiträde behandlar däremot inte uppgifter för sina egna användningsändamål, utan behandlar uppgifter enbart för den personuppgiftsansvariges räkning i enlighet med den personuppgiftsansvariges anvisningar och ett avtal med den personuppgiftsansvarige. Biträdet får inte heller en självständig rätt att använda uppgifterna.
Den personuppgiftsansvarige ska bland annat informera de registrerade om behandlingen av uppgifterna. Informationen ska lämnas i en begriplig och tydlig form. Dataskyddsförordningen innehåller närmare bestämmelser om innehållet i den information som ska lämnas, bland annat den personuppgiftsansvariges kontaktuppgifter, uppgifter om syftet med behandlingen och uppgifter om den registrerades rättigheter. Parterna kan dock också avtala om ansvar sinsemellan, till exempel så att en avtalspart åläggs att informera de registrerade.
När den personuppgiftsansvarige lämnar uppgifter till en annan personuppgiftsansvarig, ansvarar den som lämnar ut uppgifter för att utlämnandet är lagligt.