1  Allmänt

Kommissionen lade den 15 maj 2023 fram ett förslag till Europaparlamentets och rådets förordning om ändring av rådets beslut 2009/917/RIF, nedan beslutet om tullinformationssystemet, vad gäller dess anpassning till unionens bestämmelser om skydd av personuppgifter (COM(2023) 244 final).  

Tullinformationssystemet, som inrättades genom beslutet om tullinformationssystemet, är ett automatiserat informationssystem för tulländamål som syftar till att göra det lättare att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra information snabbare tillgänglig och öka tullmyndigheternas förutsättningar att arbeta på ett ändamålsenligt sätt. Förslaget syftar till att anpassa bestämmelserna om dataskydd i beslutet om tullinformationssystemet till de principer och bestämmelser som fastställs i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan brottsdatadirektivet. 

2  Förslagets syfte och bakgrund

Brottsdatadirektivet trädde i kraft den 6 maj 2016. Det tillämpas på både nationell och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder, inbegripet att skydda mot och förebygga hot mot den allmänna säkerheten (artikel 1.1).  

Enligt artikel 62.6 i direktivet skulle kommissionen se över andra EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter i samband med brottsbekämpning för att ta ställning till om de behöver anpassas till brottsdatadirektivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter. Kommissionen redovisade resultaten av översynen i sitt meddelande (COM (2020) 262 final) av den 24 juni 2020 och angav där tio rättsakter som bör anpassas till brottsdatadirektivet. En av rättsakterna är rådets beslut om tullinformationssystemet, som gäller användning av informationsteknik för tulländamål.  

Förslaget syftar till att anpassa bestämmelserna om dataskydd i beslutet om tullinformationssystemet till de principer och bestämmelser som fastställs i brottsdatadirektivet för att skapa ett starkt och enhetligt ramverk för personuppgiftsskydd i unionen. 

3  Förslagets huvudsakliga innehåll

I artikel 1 i kommissionens förslag till förordning fastställs vilka bestämmelser i rådets beslut om tullinformationssystemet som måste ändras baserat på resultaten av kommissionens översyn 2020 enligt artikel 62.6 i brottsdatadirektivet (Kommissionens meddelande: Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna, 24.6.2020). Det handlar om följande bestämmelser: 

Artikel 1. Det föreslås att punkt 2 ändras så att begreppet ”grova överträdelser av nationella lagar” ersätts med en hänvisning till ”brott enligt nationella lagar” som ett förtydligande och en anpassning till brottsdatadirektivet.  

Artikel 2. Det föreslås att punkt 2 om definitionen av ”personuppgifter” utgår eftersom definitionen av personuppgifter i artikel 3.1 i brottsdatadirektivet är tillämplig.  

Artikel 3. Det föreslås att punkt 2 ändras för att förtydliga kommissionens och medlemsstaternas respektive roller när det gäller behandling och registerföring av personuppgifter. Kommissionen betraktas som personuppgiftsbiträde och agerar för de nationella myndigheter som utsetts av varje medlemsstat. Medlemsstaternas nationella myndigheter betraktas som personuppgiftsansvariga.  

Artikel 4. Punkt 5 ska uppdateras så att hänvisningen till förteckningen över vissa kategorier av personuppgifter som inte får föras in i systemet enligt rambeslut 2008/977/RIF ersätts med en hänvisning till motsvarande förteckning enligt brottsdatadirektivet, som ersatt rambeslutet.  

Artikel 5. Punkt 2 ska uppdateras för att klargöra villkoren för insamling och registrering av uppgifter och kräva att uppgifter förs in i tullinformationssystemet endast om det finns rimliga skäl att anta, i synnerhet på grundval av tidigare olaglig verksamhet, att den berörda personen har gjort, gör eller kommer att göra sig skyldig till ett av de brott enligt nationella lagar som omfattas. 

Artikel 7. Punkt 3 ska uppdateras för att klargöra på vilka villkor internationella eller regionala organisationer kan få åtkomst till tullinformationssystemet enligt brottsdatadirektivet.  

Artikel 8. Punkt 1 ska uppdateras för att begränsa senare behandling av personuppgifter som förts in i tullinformationssystemet i enlighet med den princip om ändamålsbegränsning som regleras genom brottsdatadirektivet. Artikeln klargör på vilka villkor icke-personuppgifter kan behandlas för andra ändamål. Punkt 4 ska omarbetas för att klargöra på vilka villkor personuppgifter och icke-personuppgifter får överföras, även internationellt, till andra nationella myndigheter än de som utsetts enligt punkt 2 och till tredjeländers behöriga myndigheter samt internationella och regionala organisationer. 

Artikel 14. Artikeln handlar om bevarande av personuppgifter och ska uppdateras så att en maximal lagringsperiod i enlighet med artikel 4.1 e i brottsdatadirektivet införs och det tidigare förfarandet förenklas. Uppgifter får bevaras under den tid som behövs för att uppnå det syfte som anges i artikel 1.2, men inte längre än fem år. I enskilda fall får lagringsperioden förlängas med ytterligare två år, om det i det aktuella fallet har konstaterats vara strängt nödvändigt för att uppnå syftet.  

Artikel 15. Det föreslås att begreppet ”grova överträdelser av nationella lagar” i punkt 3 ersätts med en hänvisning till ”brott enligt nationella lagar”, på motsvarande sätt som i artikel 1.2. 

Artikel 20. Artikelns hänvisning till det upphävda rambeslutet 2008/977/RIF ska ersättas med en hänvisning till brottsdatadirektivet som har ersatt ramdirektivet. På behandling av personuppgifter i enlighet med rådets beslut om tullinformationssystemet ska man i fortsättningen tillämpa bestämmelserna i brottsdatadirektivet, varför artikel 22 (rätt till tillgång samt rätt till rättelse, radering eller blockering av uppgifter), artikel 23 (registrerades rättigheter på nationell nivå), artikel 24 (utseende av en eller flera nationella tillsynsmyndigheter) och artikel 25 (inrättande av en gemensam tillsynsmyndighet) ska utgå eftersom de är föråldrade och inaktuella. 

Artikel 26. Artikeln ska uppdateras så att behandling av personuppgifter underställs den samordnade tillsynsmodell som fastställs i artikel 62 i förordning (EU) 2018/1725 (om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter), enligt vilken Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, inom ramen för sina respektive behörigheter, ska samarbeta aktivt inom sina ansvarsområden för att säkerställa en effektiv tillsyn över stora it-system och unionsorgan eller unionsbyråer. 

Artikel 28. Punkt 2 ska ändras för att fastställa ytterligare krav avseende säkerhet vid behandling så att förteckningen över nödvändiga säkerhetsåtgärder är anpassad till artikel 29 i brottsdatadirektivet. Till punkten ska det läggas till krav som avser systemets återställande, driftsäkerhet och dataintegritet.  

Artikel 30. Punkt 1 som innehåller en hänvisning till det upphävda rambeslutet 2008/977/RIF ska, på samma grunder som artiklarna 22–25, utgå eftersom den är föråldrad och inaktuell. 

I artikel 2 anges det när förordningen träder i kraft. Avsikten är att förordningen ska träda i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. 

4  Förslagens rättsliga grund och förhållande till proportionalitets- och subsidiaritetsprinciperna

Kommissionen föreslår att förslagets rättsliga grund ska vara artikel 16.2 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Enligt artikel 16.2 i EUF-fördraget får bestämmelser antas om skydd för enskilda personer när det gäller behandling av personuppgifter hos medlemsstaternas behöriga myndigheter när dessa utövar verksamhet för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som omfattas av unionsrättens tillämpningsområde. Artikeln gör det även möjligt att anta bestämmelser om det fria flödet av personuppgifter, även för utbyte av personuppgifter mellan behöriga myndigheter inom EU.  

Statsrådet anser att den rättsliga grund som föreslås är korrekt. Förslaget behandlas enligt det ordinarie lagstiftningsförfarandet, och rådet fattar beslut om att anta förslaget med kvalificerad majoritet. 

Kommissionen anser att förslaget är begränsat till vad som är nödvändigt för att anpassa rådets beslut om tullinformationssystemet till unionslagstiftningen om skydd av personuppgifter (brottsdatadirektivet) utan att på något sätt ändra beslutets tillämpningsområde. Kommissionen anser också att direktivet inte går utöver vad som är nödvändigt för att uppnå de eftersträvade målen, i enlighet med artikel 5.4 i fördraget om Europeiska unionen. 

Enligt kommissionen faller innehållet i förordningen inom ramen för unionens exklusiva befogenheter, eftersom bara unionen kan anta bestämmelser om behöriga myndigheters behandling av personuppgifter i samband med brottsbekämpning. Bara unionen kan anpassa EU-rättsakter till bestämmelserna i brottsdatadirektivet. Detta betyder att bara unionen kan anta en lagstiftningsakt om ändring av rådets beslut om tullinformationssystemet.  

Statsrådet anser att förslaget ligger i linje med proportionalitetsprincipen. Subsidiaritetsprincipen kommer inte att tillämpas i frågor som faller inom unionens exklusiva behörighet. 

5  Förslagets förhållande till grundlagen och till de förpliktelser som gäller de grundläggande fri- och rättigheterna och de mänskliga rättigheterna

Kommissionens förslag är av betydelse med tanke på grundlagens 10 §. Enligt paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Enligt grundlagsutskottets etablerade praxis begränsas lagstiftarens spelrum förutom av denna bestämmelse även av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment. Allmänt taget handlar det om att lagstiftaren ska trygga denna rätt på ett sätt som kan anses godtagbart med hänsyn till hela systemet med grundläggande rättigheter (se t.ex. GrUU 13/2016 rd, s. 3–4).  

Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16 i EUF-fördraget. Dataskyddet är också nära kopplat till respekten för privatlivet och familjelivet, som det föreskrivs om i artikel 7 i stadgan om de grundläggande rättigheterna. Enligt artikel 8.2 i Europeiska konventionen om skydd för de mänskliga rättigheterna får myndigheter inte ingripa i privatlivet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt exempelvis med hänsyn till den nationella och allmänna säkerheten, för att förebygga brott eller för att skydda andra fri- och rättigheter för personer.  

Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör ställas i relation till andra grundläggande fri- och rättigheter och mänskliga rättigheter samt till andra vägande samhälleliga intressen, såsom intressen som gäller allmän säkerhet, vilka i extrema fall kan handla om att trygga den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2/II). Lagstiftaren bör trygga skyddet av privatlivet och av personuppgifter på ett sätt som kan anses godtagbart med hänsyn till hela systemet med grundläggande rättigheter. Utskottet har ansett att skyddet av privatlivet och personuppgifter inte har företräde i förhållande till andra grundläggande rättigheter. Vid bedömningen är det fråga om en samordning och avvägning av två eller flera bestämmelser om grundläggande rättigheter (se t.ex. GrUU 14/2018 rd s. 8, GrUU 26/2018 rd, s. 4, GrUU 54/2014 rd, s. 2/II och GrUU 10/2014 rd, s. 4/II).  

Grundlagsutskottet har ansett att ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att utskottet i konstitutionella analyser av behandlingen av personuppgifter har sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, sid. 6). I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. (GrUU 26/2018 rd, s. 3)  

Behandling av personuppgifter som hänför sig till brottmål gäller i konstitutionellt hänseende känsliga uppgifter och dessutom är regleringskontexten känslig med avseende på de grundläggande fri- och rättigheterna. Arten av sådan behandling av personuppgifter som hänför sig till brottmål har beaktats i dataskyddsdirektivet. Syftet med förslaget är att säkerställa att horisontella principer och regler i EU:s dataskyddslagstiftning tillämpas på allt informationsutbyte och all informationsbehandling enligt beslutet om tullinformationssystemet, vilket främjar genomförandet av artikel 8 i stadgan om de grundläggande rättigheterna. Det faktum att de enhetliga principerna och reglerna i dataskyddslagstiftningen även tillämpas på behandlingen av uppgifter enligt det ändrade beslutet om tullinformationssystemet får positiva konsekvenser även för skyddet för privatlivet och personuppgifter enligt grundlagen och internationella människorättsförpliktelser. 

6  Förslagets konsekvenser

7  Ålands behörighet

Ärendet omfattas av rikets lagstiftningsbehörighet enligt 27 § 3 punkten i självstyrelselagen för Åland (1144/1991). 

8  Behandling av förslaget i Europeiska unionens institutioner och de övriga medlemsstaternas ståndpunkter

Behandlingen av förslaget inleddes den 12 juni 2023 i rådets arbetsgrupp för brottsbekämpning i den sammansättning som behandlar tullfrågor, varvid kommissionen lade fram sitt förslag för arbetsgruppen för första gången och det fördes en preliminär diskussion om ärendet. Den egentliga behandlingen av ärendet fortsätter under andra halvan av året under ledning av rådets nästa ordförandeland Spanien. Behandlingen i arbetsgruppen och gruppens godkännande av förslaget förväntas slutföras under Spaniens ordförandeskap.  

Vid Europaparlamentet ansvarar Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) för behandlingen av förslaget. Föredraganden för betänkandet har ännu inte utsetts. 

9  Den nationella behandlingen av förslaget

Utkastet till U-skrivelse har utarbetats i samarbete med justitieministeriet och behandlats i ett skriftligt förfarande i beredningssektionen för rättsliga och inrikes frågor (EU7) 21.–26.6.2023. 

10  Statsrådets ståndpunkt

Statsrådet ställer sig positivt till kommissionens förslag till förordning. Det är viktigt att alla EU:s lagstiftningsinstrument med bestämmelser om behandling av personuppgifter samordnas med EU:s lagstiftning om skydd av personuppgifter, eftersom man på så sätt kan säkerställa en hög nivå på skyddet av personuppgifter i EU.  

Statsrådet välkomnar att förslaget till förordning har som mål att förtydliga den tillämpliga lagstiftningen på så sätt att den behandling av personuppgifter som utförs av tullmyndigheter i enlighet med rådets beslut om tullinformationssystemet omfattas av de allmänna principerna och bestämmelserna i EU:s övergripande lagstiftning om personuppgiftsskydd i stället för av överlappande specialbestämmelser. Samtidigt bidrar detta till att säkerställa ett enhetligt och starkt personuppgiftsskydd i tullmyndigheternas samarbete och informationsutbyte inom ramen för brottsbekämpning. På så sätt förenhetligas den behandling av personuppgifter som utförs av EU och dess medlemsstaters tullmyndigheter och tillämpningen av brottsdatadirektivet. 

Statsrådet anser att de enskilda ändringar i rådets beslut om tullinformationssystemet som anges i förslaget till förordning är nödvändiga och välmotiverade i syfte att anpassa beslutet till bestämmelserna i brottsdatadirektivet.