Motivering
De föreslagna bestämmelserna
I propositionen föreslås att det stiftas en
lag om lag om behandling av personuppgifter inom Tullen. Den föreslagna
lagen överensstämmer till dess väsentliga
delar såväl med lagen om behandling av personuppgifter
i polisens verksamhet som med lagen om behandling av personuppgifter
vid gränsbevakningsväsendet, vilka stiftades med
grundlagsutskottets medverkan (se GrUU 51/2002
rd och GrUU 19/2005 rd). Dessutom
tillkom ändringarna i lagen om behandling av personuppgifter
i polisens verksamhet huvudsakligen med grundlagsutskottets medverkan
(se GrUU 18/2012 rd och GrUU
43/2014 rd). Vid utformningen av de nu föreslagna
bestämmelserna har regeringen strävat efter att
beakta grundlagsutskottets tidigare utlåtandepraxis och
samtidigt ta hänsyn till särdragen i Tullens verksamhet.
Den föreslagna lagen innehåller åtta
kapitel, av vilka 1 kap. innehåller bestämmelser
om lagens tillämpningsområde och definitioner,
2 kap. separata bestämmelser om varje informationssystem
och övriga personregister vid Tullen och 5 kap. bestämmelser
om användning och utlämnande av uppgifter.
Enligt förslaget omfattar Tullens informationssystem
och register ett informationssystem för brottsbekämpning,
ett underrättelseregister, ett informationssystem för
tullövervakning, ett system för identifiering
av registreringsskyltar och containrar och "Tullens övriga
personregister". Den föreslagna 13 § innehåller
en förteckning på 20 punkter om Tullens rätt
att få uppgifter ur vissa myndigheters register och informationssystem.
Bedömning
Personregister.
De föreslagna bestämmelserna om personregister är
betydelsefulla i konstitutionellt hänseende framför
allt med avseende på skyddet för personuppgifter
i 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen
utfärdas närmare bestämmelser om skyddet
för personuppgifter genom lag. Grundlagsutskottets praxis
har varit att lagstiftarens handlingsutrymme begränsas
både av den här bestämmelsen och av att skyddet
för personuppgifter delvis ingår i samma moment
som skyddet för privatlivet. Enligt grundlagsutskottet
praxis måste lagstiftaren tillgodose denna rätt
på ett sätt som är godtagbart med avseende
på de grundläggande fri- och rättigheterna överlag
(se t.ex. GrUU 18/2012 rd).Vid bedömningen
av den typ av registerbestämmelser som nu föreslås
har grundlagsutskottet normalt fäst uppmärksamhet
särskilt vid syftena för registreringen, innehållet
i de registrerade personuppgifterna, de tillåtna användningsområdena
för uppgifterna, möjligheterna till överlåtelse
av uppgifter, uppgifternas förvaringstid och den registrerades
rättsskydd. Grundlagsutskottet har i sin praxis framhållit
att lagbestämmelser om dessa frågor ska vara heltäckande
och detaljerade (se t.ex. GrUU 19/2012 rd, GrUU
35/2004 rd och GrUU 51/2002
rd). Kravet på lagbestämmelser gäller
också möjligheten att ge ut uppgifter via en teknisk
anslutning (GrUU 12/2002 rd).
Enligt 3 § 3 mom. 2 punkten i lagförslag
1 får Tullen rätt att registrera observationsuppgifter och
enligt 11 § överskottsinformation som erhållits
genom hemliga metoder för inhämtande av information.
Med avseende på skyddet för privatlivet och personuppgifter är
information av denna natur betydelsefull. När det gäller
observationsuppgifter motsvarar den föreslagna bestämmelsen
2 § 3 mom. 11 punkten i lagen om behandling av personuppgifter
i polisens verksamhet, medan förslaget till reglering av
behandlingen av överskottsinformation som erhållits
genom hemliga metoder för inhämtande av information
i stora drag motsvarar 11 § i nämnda lag, som
stiftats med grundlagsutskottets medverkan (GrUU 18/2012
rd). Registrering av observationsuppgifter på det
sätt som föreslås i propositionen uppfyller
kravet på tillräcklig exakthet under förutsättning
att Tullen ser till att ett villkor för registrering av
uppgifter som lämnats till den är att tillförlitligheten
säkerställts.
Enligt 4 § 2 mom. i lagförslag 1 kan i underrättelseregistret
bland annat registreras uppgifter som är nödvändiga
för att trygga säkerheten för en person
eller myndighet. Utskottet påpekar att bestämmelsen åtminstone
bitvis reglerar så kallade känsliga uppgifter.
Det är därför särskilt viktigt
att lagen innehåller en så uttömmande förteckning
som möjligt över innehållet i uppgifterna
(se även GrUU 18/2012 rd, s.3
och GrUU 51/2002 rd, s.2).
Enligt 7 § 2 1 punkten i lagförslag 1 kan
det inrättas andra informationssystem och personregister än
sådana som avses i 3—6 § för
att användas av en eller flera av Tullens verksamhetsenheter.
Propositionen och lagförslaget saknar helt uppgifter om
för vilket ändamål personregistret i
1 punkten inrättas och vad det ska innehålla.
Också i övrigt är 7 § 2 mom.
1 punkten så vagt formulerad att den inte uppfyller de
krav som grundlagsutskottet ställer på denna typ
av reglering. Utskottet menar att punkten därför måste
strykas eller preciseras.
Till övriga delar är förslaget till
vilka personuppgifter som ska registreras detaljerat och har uttömmande
förteckningar. Förteckningarna har därför
blivit mycket långa och kasuistiska. Lagstiftningen bereder
emellertid inga konstitutionella problem.
Rätt att få och lämna ut personuppgifter.
Grundlagsutskottet har granskat bestämmelserna om myndigheternas
rätt att få och skyldighet att lämna
ut uppgifter med avseende på skyddet för privatlivet
och personuppgifter i 10 § 1 mom. i grundlagen och då noterat
bland annat vad och vem rätten att få uppgifter
gäller och hur rätten är kopplad till
nödvändighetskriteriet. Myndigheternas rätt
att få och möjlighet att lämna ut uppgifter
kan enligt utskottet gälla "behövliga uppgifter" för
ett visst syfte, om lagen ger en uttömmande förteckning över
innehållet i uppgifterna. Om innehållet däremot
inte anges i form av en förteckning, ska det i lagstiftningen
ingå ett krav på att "uppgifterna är
nödvändiga" för ett visst syfte. Å andra
sidan har utskottet ansett att grundlagen inte tillåter
en generös och ospecificerad rätt att få uppgifter,
inte ens om den är förenad med nödvändighetskriteriet
(se t.ex. GrUU 62/2010 rd, GrUU
59/2010 rd och GrUU 59/2010
rd, s. 4).
Lagförslag 1 innehåller detaljerade bestämmelser
såväl om Tullens rätt att få uppgifter
från vissa register och informationssystem (13 och 14 §)
som om dess rätt att lämna ut uppgifter till andra
myndigheter (17 §). Bestämmelser kring detta tema
finns också i de lagar som det hänvisas till i
de nämnda paragraferna. Det här innebär dubbelreglering,
vilket ändå inte direkt utgör något
konstitutionellt problem. Men det leder till en tung struktur som
i värsta fall kan medföra tolkningsproblem.
Tullens rätt att få uppgifter ur vissa register och
informationssystem regleras i 13 § i lagförslag
1. Med stöd av föreslagna 1 mom. har Tullen trots
sekretessbestämmelserna rätt att i enlighet med
vad som avtalas om saken med den registeransvarige, ur vissa register
och genom teknisk anslutning eller som en datamängd få och
i övrigt behandla sådan information som Tullen
behöver för att utföra sina uppdrag eller föra
sina personregister. Hänvisningen till avtal med den registeransvarige
lämpar sig inte särskilt väl i detta
sammanhang, där det är fråga om en myndighets
rätt att på det sätt som sägs
i lag och förenat med vite få i grundlagen skyddade personuppgifter
av andra myndigheter och registeransvariga. Men motsvarande reglering
ingår i 13 § i lagen om behandling av personuppgifter
i polisens verksamhet, som tillkommit med grundlagsutskottets medverkan
(se GrUU 18/2012 rd). I detta sammanhang är
det enligt utskottets uppfattning fråga om praktiska arrangemang
kring en teknisk överföring.
I 17 § föreslås bestämmelser
om utlämning av uppgifter till andra myndigheter. Förteckningen över
innehållet i uppgifter som får lämnas
ut är uttömmande och utlämnandet förutsätter
nödvändighet, vilket innebär att regleringen
inte är ett konstitutionellt problem.
Annat.
Grundlagsutskottet har tidigare konstaterat att lagen om behandling
av personuppgifter i polisens verksamhet är mycket komplicerad
till såväl struktur som innehåll och
att statsrådet har anledning att överväga
en totalrevidering av lagen senast när det slutliga innehållet
i den kommande EU-regleringen om datasekretess klarnar (se GrUU
43/2014 rd, s. 2—3 och GrUU 18/2012
rd, s. 4). Utskottet intar samma ståndpunkt till
den nu föreslagna lagen och föreslår
att den konstitutionella bedömningen av den framtida lagstiftningen
görs utifrån vittomfattande författningspaket.
Förundersökningsmyndigheternas personregister
innehåller mycket sådan information som det är
synnerligen viktigt att skydda mot obehörig användning.
Det aktuella lagförslaget innebär att informationsinnehållet ökar
ytterligare. I sådana situationer måste användningen övervakas
särskilt noga.