Motivering
Allmänt
Brottspåföljdsmyndigheten har till uppgift
att övervaka unga förbrytare som dömts
till villkorligt fängelsestraff, verkställa ungdomsstraff, samhällstjänst,
fängelsestraff, förvandlingsstraff för
böter, övervaka villkorligt frigivna och verkställa
häktning och andra straff. Regeringen föreslår
en ny lag om driften av de personregister och behandlingen av de
personuppgifter som Brottspåföljdsmyndigheten
behöver för att fullgöra sina uppgifter.
I samband med reformen av de grundläggande fri- och
rättigheterna sades det klart ut att frihetsberövande
till följd av verkställighet av straff i sig inte
utgör någon grund för att begränsa
en persons övriga grundläggande fri- och rätttigheter.
Om det är nödvändigt att begränsa
personens andra grundläggande fri- och rättigheter under
frihetsberövandet måste det lagstiftas om begränsningarna
och de bör kunna rättfärdigas särskilt
i vart och ett fall och för var och en grundläggande
fri- och rättighet (RP 309/1993 rd,
s. 27 och 53, GrUU 12/1998 rd, GrUU 34/2001
rd, GrUU 20/2005 rd). Samma
princip gäller vid bedömningen av behovet att
begränsa en persons grundläggande fri- och rättigheter även
vid verkställigheten av andra straff. Förslagen
måste alltså bedömas mot de allmänna
och, i förekommande fall, de rättighetsspecifika
villkoren för inskränkningar.
Bestämmelserna är relevanta med avseende på 10 § i
grundlagen som reglerar skyddet för privatliv och personuppgifter.
Enligt 1 mom. utfärdas närmare bestämmelser
om skydd för personuppgifter genom lag. Enligt grundlagsutskottets
tolkningspraxis (t.ex. GrUU 27/2006 rd, GrUU
14/2002 rd) begränsas lagstiftarens
spelrum dock av att skyddet för personuppgifter utgör
en del av skyddet för privatlivet i samma moment. På det
hela taget handlar det om att lagstiftaren måste tillgodose
denna rätt på ett sätt som är
godtagbart med avseende på de grundläggande fri-
och rättigheterna över lag. Lagstiftaren är vid
prövningen bunden av att vissa omständigheter
måste regleras i fråga om skyddet för
personuppgifter. Sådana omständigheter är åtminstone
registreringens syfte, innehållet i de personuppgifter
som registreras, tillåten användning inbegripet
rätten att lämna ut dem, uppgiftslagringsperioden
samt den registrerades rättstrygghet. Lagregleringen ska
dessutom vara heltäckande och detaljerad (t.ex. GrUU
51/2002 rd, GrUU 35/2004 rd).
Innehållet i personuppgifterna
I 8 § i lagförslag 1 föreskrivs om
vilka uppgifter som ingår i säkerhetsregistret.
I registret förs in uppgifter som behövs för
att förebygga och utreda kriminalitet som äger
rum i fängelset, organiseras från fängelset
eller utövas under fängelsetiden eller för
att upprätthålla anstaltssäkerheten.
Där finns uppgifter om personer som kan misstänkas
göra sig skyldiga eller ha gjort sig skyldiga till ett
brott som kan leda till fängelse eller medverka eller ha
medverkat till ett brott som kan leda till fängelse i mer än
sex månader. Enligt 2 mom. kan registret innehålla
uppgifter också om andra exceptionella händelser
i fängelset som äventyrar säkerheten
samt om personer som har samband med händelserna.
Som bestämmelsen är formulerad i förslaget reglerar
den inte personuppgifternas innehåll. Eftersom paragrafen åtminstone
delvis avser känsliga uppgifter måste bestämmelserna
om deras innehåll vara detaljerade och uttömmande, menar
utskottet. För att uppgifter om någon annan än
en fånge eller intagen ska få registreras måste
enligt motiven till 2 mom. denne med fog kunna misstänkas
göra sig skyldig till ett brott eller äventyra
fängelsesäkerheten. Det kravet bör även
ingå i bestämmelsen.
Brottspåföljdsmyndighetens patientregister
Brottspåföljdsmyndighetens hälsovårdsenhet ska
föra ett patientregister, och bestämmelser om
vilka uppgifter som ska föras in i registret och om sekretess
i fråga om dem finns enligt 12 § i lagförslag
1 i lagen om patientens ställning och rättigheter
(). Här gäller
det ett personregister med patientuppgifter och följaktligen
måste bestämmelserna bedömas mot grundlagens
10 § 1 mom. om skydd för personuppgifter. Uppgifterna
i patientjournalerna om patientens hälsotillstånd är
känsliga uppgifter som ingår i själva
kärnan i skyddet för privatlivet. Bestämmelser
som tillåter behandling av sådana uppgifter måste
vara exakta (GrUU 25/1998 rd, GrUU
41/2010 rd).
Lagen om patientens ställning och rättigheter föreskriver
bl.a. om journalhandlingar och sekretessbelagda uppgifter i dem
men saknar i den föreslagna 12 § avsedda regler
om vilka uppgifter som ska föras in i patientregistret
och sekretessen i fråga om dem. Lagen saknar också bestämmelser
om andra regleringsobjekt som grundlagsutskottet anser vara viktiga
för skyddet av personuppgifter. Bestämmelserna
om patientregistret måste kompletteras i detta avseende
för att lagförslaget ska kunna behandlas i vanlig
lagstiftningsordning.
Utlämnande av uppgifter
Grundlagsutskottet har bedömt bestämmelserna om
myndigheternas rätt att få och skyldighet att lämna
ut uppgifter med avseende på skyddet för privatliv
och personuppgifter i 10 § 1 mom. i grundlagen och då noterat
bland annat vad och vem rätten att få uppgifter
gäller och hur rätten är kopplad till
nödvändighetskriteriet. Myndigheternas rätt
att få uppgifter och möjlighet att lämna
ut uppgifter kan enligt utskottet gälla "behövliga
uppgifter" för ett visst syfte, om lagen ger en uttömmande
förteckning över uppgiftsinnehållet.
Om innehållet däremot inte anges i form av en
förteckning, ska det i lagstiftningen ingå ett
krav på att "uppgifterna är nödvändiga" för
ett visst syfte (GrUU 62/2010 rd och
de utlåtanden som nämns där). Å andra
sidan har utskottet ansett att grundlagen inte tillåter
en generös och ospecificerad rätt att få uppgifter,
inte ens om den är förenad med nödvändighetskriteriet
(GrUU 59/2010 rd, GrUU 62/2010
rd).
För Brottspåföljdsmyndighetens personregister
får enligt 14 § i lagförslag 1 samlas
in uppgifter om bl.a. kriminella gärningar, straff och
andra påföljder för brott och om hälsotillstånd
som alla klassas som känsliga uppgifter i 11 § i
personuppgiftslagen. Att tillåta behandling av känsliga
uppgifter berör enligt grundlagsutskottet själva
kärnan i skyddet för personuppgifter (GrUU
25/1998 rd, GrUU 21/2001 rd).
Brottspåföljdsmyndigheten får med
stöd av 16 § 1 mom. i lagförslag 1 trots
sekretessbestämmelserna lämna ut ur verkställighetsregistret, samhällspåföljdsregistret
och övervaknings- och verksamhetsregistret uppgifter som
gäller dömda, fångar, intagna och personer
som avtjänar samhällspåföljder.
I punkt 1—11 räknas upp de myndigheter till vilka
uppgifter får lämnas och de uppdrag för
vilka de behövs men uppgifternas materiella innehåll
preciseras inte närmare. För att lagförslaget
ska kunna behandlas i vanlig lagstiftningsordning måste
16 § 1 mom. ändras genom en precisering av uppgiftsinnehållet (GrUU
19/2008 rd, GrUU 38/2009 rd, GrUU 60/2010
rd).
Brottspåföljdsmyndigheten får enligt
18 § i lagförslag 1 trots sekretessbestämmelserna
lämna ut uppgifter i säkerhetsregistret till polisen, huvudstabens
undersökningsavdelning, tullen och gränsbevakningsväsendet
för ändamål som motsvarar registrets
användningsändamål. Utlämnandet
av uppgifterna är inte förenat med krav på att
de ska behövas eller vara nödvändiga.
En så vag och ospecificerad bestämmelse om uppgiftsutlämnande
strider mot 10 § 1 mom. i grundlagen. Därför
måste den föreslagna 18 § ändras
så att utlämnandet av uppgifter antingen kopplas
ihop med nödvändighetskravet eller att uppgiftsinnehållet
preciseras och krav ställs på att uppgifterna
ska vara behövliga. Utan dessa ändringar kan lagförslaget
inte behandlas i vanlig lagstiftningsordning.
Enligt 19 § i lagförslag 1 i bilagan till
begäran om utlåtande får en läkare
som svarar för hälso- och sjukvården
för fångar eller intagna eller, i enlighet med
läkarens anvisningar, en yrkesutbildad person inom hälso-
och sjukvården lämna ut uppgifter ur Brottspåföljdsmyndighetens
patientregister utan samtycke av den registrerade. Ministeriets
formulering av 19 § 1 mom. 2 punkten medger att känsliga
uppgifter om hälsotillstånd lämnas ut
till vilken tjänsteman som helst vid Brottspåföljdsmyndigheten,
om uppgifterna behövs för att bedöma
fångens eller den intagnes arbetsförmåga
med avseende på placering i arbete, studier eller annan
verksamhet.
Enligt 19 § 1 mom. 3 punkten får ur patientregistret
lämnas ut uppgifter när de behövs för
att ta fram en bedömning av och ett utlåtande
om risken för våld i enlighet med 1 § 2
mom. i lagen om förfarandet vid frigivning av långtidsfångar ()
och för att planera och genomföra den verksamhet
som ordnas utifrån riskbedömningen. Enligt den
lagen är det Brottspåföljdsmyndighetens
centralförvaltningsenhet som tar fram bedömningen
och utlåtandet men i övrigt är mottagarinstansen
ospecificerad. Rätten enligt lagförslagets 19 § 1
mom. 2 och 3 punkt att lämna ut uppgifter måste
antingen kopplas ihop med nödvändighetskravet
eller så måste uppgiftsinnehållet preciseras
och krav ställas på att uppgifterna är
behövliga. I annat fall kan lagförslaget inte
behandlas i vanlig lagstiftningsordning. Utskottet anser också att
bestämmelsen om uppgiftslämnaren i 1 mom. bör
begränsas och tydliggöras.
Rättstrygghet
I 4 kap. i lagförslag 1 föreskrivs om den
registrerades rättigheter och dessutom tillämpas
personuppgiftslagens bestämmelser om administrativa rättsmedel
och ändringssökande.
I 40 § 2 mom. i personuppgiftslagen finns bestämmelser
om administrativa rättsmedel som står den registrerade
till buds. Den registrerade har med stöd av bestämmelsen
rätt att föra ärenden som gäller
rätt till insyn och rättelse av uppgift till dataombudsmannen
för avgörande. Förutom dataombudsmannen
beslut erbjuder dataombudsmannens tillsyn enligt personuppgiftslagens
38 § över behandlingen av personuppgifter ett
indirekt rättsskydd. Den registrerade har enligt 45 § 1
mom. i personuppgiftslagen rätt att genom besvär överklaga
beslut som dataombudsmannen fattat om tillgodoseende av den registrerades
rätt till insyn och rättelse av en uppgift med
iakttagande av vad som bestäms i förvaltningsprocesslagen
(586/1996).
Men personuppgiftslagen saknar en generell bestämmelse
som tillåter en part att hänskjuta ett ärende
som gäller hans eller hennes personuppgifter till domstol.
Utskottet konstaterar att det i detta sammanhang inte går
att bedöma om rättssäkerheten för
en person som är missnöjd med behandlingen av
personuppgifter är förenlig med 21 § i
grundlagen. Därför föreslår
utskottet att man inom statsrådet utreder frågan.
Samtidigt bör man undersöka om bestämmelserna
uppfyller kraven i artikel 22 i EU-direktivet om personuppgifter.