GRUNDLAGSUTSKOTTETS UTLÅTANDE 14/2009 rd

GrUU 14/2009 rd - RP 234/2008 rd

Granskad version 2.0

Regeringens proposition med förslag till lagar om ändring av passlagen och av vissa andra lagar som har samband med den

Till förvaltningsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 5 februari 2009 en proposition med förslag till lagar om ändring av passlagen och av vissa andra lagar som har samband med den (RP 234/2008 rd) till förvaltningsutskottet för beredning och bestämde samtidigt att grundlagsutskottet ska lämna utlåtande i ärendet till förvaltningsutskottet.

Sakkunniga

Utskottet har hört

överinspektör Tiina Nuutinen ja överinspektör, polisens informationssäkerhetschef Kari Santalahti, inrikesministeriet

lagstiftningsråd Leena Vettenranta, justitieministeriet

professor Olli Mäenpää

juris doktor Matti Pellonpää

professor Teuvo Pohjolainen

Dessutom har skriftligt utlåtande lämnats av

  • professor Mikael Hidén
  • professor Tuomas Ojanen.

PROPOSITIONEN

I passlagen föreslås de ändringar i lagstiftningen som införandet av fingeravtryck i pass förutsätter. Dessutom föreslår regeringen ändringar i lagen om behandling av personuppgifter i polisens verksamhet, utlänningslagen, lagen om utlänningsregistret och hittegodslagen. Avsikten är att föreskriva bl.a. om passets tekniska del, tagande, avläsning och registrering av fingeravtryck och om användning, utlämnande och skydd av fingeravtrycksuppgifter.

I propositionen föreslås att registrerade fingeravtrycksuppgifter av den som ansöker om pass ska få användas för fastställande av en persons identitet när det behövs för identifiering av sökanden i samband med passansökan eller identifiering av passinnehavaren i situationer där myndigheten i anknytning till personens reserätt, utresa och inresa har rätt att kontrollera personens identitet och det uppvisade dokumentets äkthet. Dessutom föreslås att polisen ska ha en mer omfattande rätt att använda fingeravtrycksuppgifter för utredning av identitet också för sådan annan utredning av identitet som ingår polisens arbetsuppgifter. Registrerade fingeravtrycksuppgifter ska få användas t.ex. för identifiering av avlidna eller okända offer eller för utredning av en persons identitet vid exempelvis förhör.

De föreslagna lagarna avses träda i kraft våren 2009.

I den del av motiveringen som gäller lagstiftningsordningen granskas frågan om att ta och registrera fingeravtryck och om att myndigheterna kan använda dem mot grundlagens 7 § om den personliga integriteten och 10 § om skyddet för privatliv och personuppgifter. Lagförslagen kan enligt regeringens bedömning behandlas i vanlig lagstiftningsordning, men den anser det ändå vara önskvärt att grundlagsutskottets utlåtande om propositionen inhämtas.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Utgångspunkter

Det centrala syftet med propositionen är att genomföra den andra etappen av EU:s s.k. passförordning (förordning nr 2252/2004), dvs. fingeravtryck i pass. Regeringen lägger emellertid också sådana betydelsefulla förslag med avseende på de grundläggande fri- och rättigheterna som inte avser att verkställa EG-förordningen och som därmed bara bygger på nationella behov. Till dessa hör lagring i passregistret av de fingeravtryck för passets chip som tas av den som ansöker om pass och användning av fingeravtrycksuppgifter för andra ändamål än sådana som motsvarar insamling och lagring av uppgifter.

Att föra in sådana uppgifter i passregistret i stor skala och sedan använda dem innebär det ett intrång i skyddet av privatlivet och personuppgifter. Bestämmelserna måste således granskas med utgångspunkt i 10 § i grundlagen. Enligt 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets tolkningspraxis har varit att lagstiftarens handlingsutrymme begränsas dels av den här bestämmelsen, dels av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet. På det hela taget handlar det om att lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna. För skyddet av personuppgifter har utskottet ansett det viktigt att det i lag åtminstone ingår bestämmelser om målet med registreringen, vad de berörda personuppgifterna innehåller, tillåtna användningsändamål inklusive rätt att lämna ut dem, hur länge uppgifterna ska lagras i personregister och de registrerades rättssäkerhet. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (se t.ex. GrUU 11/2008 rd, s. 3/I, och där nämnda utlåtanden).

Artikel 8 i Europakonventionen innehåller bestämmelser som vars och ens rätt till respekt för sitt privatliv. Europadomstolen har i sin rättspraxis ansett att registrering av personuppgifter som gäller privatlivet faller inom den artikeln (se sammanfattningsvis punkt 67 i domstolens dom i målet S. and Marper mot Förenade kungariket, 4.12 2008). Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter innehåller mer detaljerade bestämmelser om principerna för registrering och behandling av personuppgifter. Konventionen betonar bland annat att uppgifterna ska användas för avsett ändamål (artikel 5) och datasäkerhetens betydelse (artikel 7).

Skyddet av personuppgifter tas också upp i artikel 8 i Europeiska unionen stadga om de grundläggande rättigheterna. Enligt den ska uppgifterna bl.a. behandlas lagenligt för bestämda ändamål. Den bestämmelsen bygger på artikel 286 i EG-fördraget, EU:s dataskyddsdirektiv, artikel 8 i Europakonventionen och den nämnda konventionen från 1981.

Passregistret

Den som ansöker om pass ska på grundval av 6 a § i lagförslag 1 lämna fingeravtryck för passets tekniska del, men dessutom också för lagring i det passregister som polisen ska föra enligt den föreslagna 29 §. Passregistret ingår i det informationssystem för förvaltningsärenden som nämns i 3 § i lagen om behandling av personuppgifter i polisens verksamhet. Också i den lagen föreslås ändringar i anknytning till den aktuella frågan (3 § i lagförslag 2).

Enligt uppskattning kommer det på cirka tio år att bildas en databas i passregistret med två fingeravtryck av så gott som alla som hör till vuxenbefolkningen i vårt land. Den föreslagna regleringen innebär såsom man mycket riktigt säger i propositionsmotiven en stor principiell förändring jämfört med nuvarande rättsläge: av tradition har man tagit och i synnerhet registrerat fingeravtryck av personer som är misstänkta för brott. Som biometrisk egenskap är fingeravtrycket en bestående, oföränderlig och oåterkallelig del av individen. Fingeravtrycken innehåller sådan information om individen som gör det möjligt att exakt identifiera denne i mycket olika sammanhang (se punkt 84 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Sådana biometriska identifieringsuppgifter kan på många sätt jämställas med känsliga uppgifter enligt personuppgiftslagen.

Allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter kan vara förknippade med en sådan exceptionellt omfattande databas med biometriska kännetecken som nu föreslås. I sista hand kan det vara en persons identitet som är hotad. Att fingeravtrycksuppgifter över huvud taget förs in i ett sådant register kan redan i sig ge anledning till oro med tanke på skyddet av privatlivet (se också punkt 85 i domen i målet S. and Marper mot Förenade kungariket, 4.12.2008). Registret måste bedömas med avseende på villkoren för begränsning av de grundläggande fri- och rättigheterna, särskilt med avseende på om en sådan begränsning är godtagbar och uppfyller kravet på proportionalitet. Utskottet anser på grund av principen om att användningen ska vara bunden till ändamålet — en grundläggande princip inom skyddet av personuppgifter — att man som motivering för det föreslagna registret bara kan beakta grunder med en nära anknytning till de användningsändamål som anges i passlagen. Däremot kan man inte beakta till exempel att polisen i samband med sin övriga verksamhet snabbare eller effektivare identifierar någon.

Regeringen anför omfattande motiv för målsättningen med registrering i anknytning till passförfarandet. Bland annat blir identifieringen tillförlitligare i samband med att påvisa passinnehavarens rätt att resa och att bevilja pass och dessutom ska man kunna eliminera dubbla identiteter och identitetsstölder. På detta sätt försöker man också skydda den personliga säkerheten och förhindra identitetsmissbruk som kränker skyddet för privatlivet. Det finns således godtagbara skäl för ett fingeravtrycksregister med hänsyn till de grundläggande fri- och rättigheterna, och de har att göra med förfarandet för att bevilja pass och passets användning som ett resedokument.

När man bedömer om regleringen är proportionerlig är det väsentligt att titta på om registrering av fingeravtryck är nödvändig i det avseendet att syftet med passförfarandet inte kan uppnås på ett sätt som ingriper mindre i skyddet av privatlivet. Dessutom måste man bedöma om registrering innebär en mer långtgående inskränkning än vad som är motiverat med hänsyn till hur tungt vägande de bakomliggande intressena till passförfarandet är i relation till den grundläggande rättighet som ska inskränkas (se GrUU 25/1994 rd, s.5). En grundläggande princip inom skyddet av personuppgifter är å sin sida att lagringen av uppgifter ska stå i rätt proportion till det ändamål de samlas in för (se t.ex. punkt 107 i domen i målet S. and Marper mot Förenade kungariket).

Regeringen för på flera ställen (se t.ex. RP 234/2008 rd, s. 64/II) i proportionsmotiveringen fram de risker som lagring av fingeravtryck i ett centralregister av den föreslagna typen kan komma att innebära. Det rör sig särskilt om faktorer som har att göra med uppgifternas natur (de är bestående, oföränderliga och oåterkalleliga) och med att elektroniska identifikationsuppgifter kan kopieras och spridas. Om fingeravtrycksuppgifter hamnar i fel händer kan både enskilda personer och registrets tillförlitlighet orsakas betydande skada. Riskens omfattning accentueras av att nästan hela den vuxna befolkningens fingeravtrycksuppgifter med tiden skulle finnas i registret.

Det finns i och för sig lämpliga bestämmelser om skyddet av identifieringsuppgifter som grundar sig på fysiska egenskaper i 10 a § i lagförslag 2. Med tanke på ett register som innehåller biometriska kännetecken på det sätt som fingeravtrycksregistret är det ändå viktigt att man genast när registreringen inleds har högklassiga informationssäkerhetssystem på plats som hindrar missbruk. Utskottet anser utifrån inkommen utredning att det åtminstone inte för närvarande finns tillräckliga garantier för att systemen för informationssäkerhet kommer att vara tillräckligt säkra.

Utskottet menar att det med avseende på de grunder som regeringen anför för ett register inte ser ut att vara absolut nödvändigt eller proportionerligt att lagra fingeravtryck i passregistret, särskilt när man beaktar de betydande risker som är förknippade med registrets existens och användning. Utskottet pekar också på att flera EU-länder, däribland Sverige och Danmark, inte tänker inrätta något fingeravtrycksregister. Dessutom har Europadomstolen i samband med en liknande proportionalitetsbedömning påpekat att varje stat som agerar föregångare när det gäller att utveckla ny teknik bär ett särskilt ansvar för att balans uppnås (punkt 112 i domen i målet S. and Marper mot Förenade kungariket). Med tanke på skyddet för personuppgifter och privatlivet bör förvaltningsutskottet därför allvarligt överväga att låta bestämmelserna om registrering av fingeravtrycksuppgifter utgå ur lagförslaget, åtminstone om arrangemangen för informationssäkerhet inte ligger på den höga nivå som krävs när registret börjar användas. Ett fingeravtrycksregister som täcker in nästan hela den vuxna befolkningen i Finland och tillhörande accentuerat höga informationssäkerhetskrav kan enligt utskottets mening i framtiden bättre granskas som en övergripande fråga exempelvis i samband med beredningen av allmän lagstiftning om skydd för personuppgifter i fråga om biometriska kännetecken och användningen av dem (se RP 234/2008 rd, s. 65/I).

Användning av fingeravtrycksuppgifter i pass för andra ändamål än de som uppgifterna har samlats in och registrerats för

Enligt 29 § 2 mom. i lagförslag 1 gäller i fråga om användning av uppgifter i passregistret vad som bestäms i 15, 16 och 16 a § i lagen om behandling av personuppgifter i polisens verksamhet. Enligt 16 a § i den nämnda lagen (lagförslag 2) får polisen använda fingeravtrycksuppgifter i pass för andra ändamål än de som uppgifterna har samlats in och registrerats för endast om uppgifterna behövs för utredning av identitet i samband med ett visst uppdrag som hör till polisen och som nödvändigt kräver att identiteten styrks.

Enligt propositionsmotiven kan man avvika från ändamålsbundenheten bland annat när det är fråga om att med stöd av lag identifiera en person i samband med förundersökning eller annan polisutredning. I praktiken ser det ut som om den föreslagna regleringen innebär att polisen fritt kan använda fingeravtrycksuppgifterna i passregistret i sina operativa uppgifter om det är nödvändigt att då identifiera en person. Att begränsa denna användning till vissa enskilda ("yksittäinen") uppdrag innebär knappast någon begränsning av användningen, eftersom polisens verksamhet närmast består av sådana uppdrag. Kravet på nödvändighet är i och för sig lämpligt, men trots det kvarstår vagheten i bestämmelserna.

När det gäller omfattande register med biometriska kännetecken av det slag som nu är i fråga finns det enligt grundlagsutskottet orsak att förhålla sig negativt till att uppgifterna används för ändamål som ligger utanför det syfte som de egentligen samlats in och registrerats för. Man kan då bara göra exakt avgränsade och som mycket små karakteriserbara undantag från ändamålsbundenheten. Bestämmelserna får inte leda till att någon annan verksamhet än den som är förknippad med det ursprungliga användningsändamålet blir det huvudsakliga ändamålet och inte ens ett betydande användningsändamål. De föreslagna bestämmelserna är inte ändamålsenliga, särskilt inte med avseende på det krav på exakthet och noga avgränsning som ställs på definitionen av användningsändamål. Därför måste 16 a § i lagförslag 2 utgå eller åtminstone göras väsentligt exaktare, om lagförslaget ska kunna behandlas i vanlig lagstiftningsordning.

Utlåtande

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 2 bara om utskottets konstitutionella anmärkningar till dess 16 a § beaktas på behörigt sätt.

Helsingfors den 28 maj 2009

I den avgörande behandlingen deltog

  • ordf. Kimmo Sasi /saml
  • vordf. Jacob Söderman /sd
  • medl. Tuomo Hänninen /cent
  • Heli Järvinen /gröna
  • Ulla Karvo /saml
  • Elsi Katainen /cent
  • Esko Kiviranta /cent
  • Kari Kärkkäinen /kd
  • Tuula Peltonen /sd
  • Veijo Puhjo /vänst
  • Tapani Tölli /cent
  • Tuulikki Ukkola /saml
  • Ilkka Viljanen /saml
  • Antti Vuolanne /sd

Sekreterare var

utskottsråd Petri Helander