Utlåtande
GrUU
14
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsdirektör
Tuula
Majuri
justitieministeriet
lagstiftningsråd
Tanja
Jaatinen
justitieministeriet
lagstiftningsråd
Anu
Talus
justitieministeriet
riksdagens justitieombudsman
Petri
Jääskeläinen
Riksdagens justitieombudsmans kansli
justitiekanslern i statsrådet
Tuomas
Pöysti
justitiekanslersämbetet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
överinspektör
Anna
Hänninen
dataombudsmannens byrå
professor
Juha
Lavapuro
professor
Päivi
Leino-Sandberg
professor
Sakari
Melander
professor
Olli
Mäenpää
professor
Tuomas
Ojanen
professor
Veli-Pekka
Viljanen.
PROPOSITIONEN
Regeringen föreslår att det stiftas en dataskyddslag. Genom lagen kompletteras och preciseras Europeiska unionens allmänna dataskyddsförordning. Samtidigt ska personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen upphävas. 
I propositionen föreslås dessutom ändringar i strafflagen och i lagen om verkställighet av böter. 
De föreslagna lagarna avses träda i kraft den 25 maj 2018. 
I propositionens motivering till lagstiftningsordningen granskas lagförslagen mot 10, 12, 21 och 124 § i grundlagen. Regeringen lyfter också fram förbudet mot dubbel straffbarhet enligt artikel 4 i tilläggsprotokoll nr 7 till Europakonventionen. 
Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning men att propositionen bör analyseras av grundlagsutskottet i synnerhet med hänsyn till de centrala kopplingarna till skyddet av personuppgifter enligt 10 § i grundlagen. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Regeringen föreslår att det stiftas en dataskyddslag. Genom lagen kompletteras och preciseras Europeiska unionens allmänna dataskyddsförordning (nedan också dataskyddsförordningen), som ska börja tillämpas den 25 maj 2018. Genom dataskyddsförordningen fastställs reglerna för skydd för fysiska personer vid behandling av personuppgifter samt de regler som gäller den fria rörligheten för personuppgifter. Den allmänna lag som kompletterar den allmänna dataskyddsförordningen ska föreskriva om tillsynsmyndigheten i enlighet med vad som förutsätts i dataskyddsförordningen. I den allmänna lagen ska det tas in bestämmelser om den rättsliga grunden för behandling i vissa fall, om rättssäkerhet och påföljder samt om behandling av uppgifter i särskilda situationer, till exempel vid vetenskaplig forskning och för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. 
Propositionen bygger på beredning som utförts av en brett förankrad arbetsgrupp tillsatt av justitieministeriet i februari 2016. Grundlagsutskottet såg det som viktigt att inom lagberedningsprojektet också inventera frågor som anknyter till behovet av speciallagstiftning och till sektorn över lag (GrUU 38/2016 rd, s. 4). I sitt slutliga betänkande (Justitieministeriets publikation 8/2018) lägger arbetsgruppen fram förslag till riktlinjer för utvecklingen av personuppgiftslagstiftningen bland annat för att minska den onödiga detaljrikedomen i den gällande speciallagstiftningen. I betänkandet föreslås även riktlinjer för användningen av det nationella handlingsutrymmet. 
Lagförslagen i propositionen, utvecklingen av lagstiftningen om personuppgifter och användningen av det nationella handlingsutrymmet i fortsättningen har betydelse i fråga om skyddet för privatlivet och personuppgifter. I sin bedömning av bestämmelser om behandling av personuppgifter har grundlagsutskottet brukat anse att bestämmelserna måste granskas mot 10 § i grundlagen. Enligt den paragrafens 1 mom. utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets praxis har varit att lagstiftarens handlingsutrymme begränsas både av den här bestämmelsen och av att skyddet för personuppgifter delvis ingår i samma moment som skyddet för privatlivet. På det hela taget handlar det om att lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Om man ser till skyddet för personuppgifter har grundlagsutskottet ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (se GrUU 14/1998 rd, s. 2, och t.ex.GrUU 1/2018 rd, s. 2). 
Grundlagsutskottet har dock också fäst uppmärksamhet vid att Europeiska unionens allmänna dataskyddsförordning lägger fast reglerna för skydd av fysiska personer vid behandling av personuppgifter och reglerna för fri rörlighet för personuppgifter (se GrUU 2/2018 rd, s. 4–8, GrUU 31/2017 rd, s. 3, och GrUU 42/2016 rd, s. 7–8). Dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se även t.ex. GrUU 51/2014 rd, s. 2/II). 
Grundlagsutskottet har i sin nyare praxis ansett att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän unionsförordning eller genom en allmän nationell lag (se även GrUU 2/2018 rd, s. 4—8, GrUU 31/2017 rd, s. 3, GrUU 5/2017 rd, s. 9, och GrUU 38/2016 rd, s. 4). 
Behovet av nationell speciallagstiftning
Dataskyddsförordningen föreskriver väsentligt mycket mer detaljerat om skyddet för personuppgifter än dataskyddsdirektivet (95/46/EG) och personuppgiftslagen, som stiftats för att genomföra direktivet. Utskottet har också ansett att det är av relevans att artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna garanterar skyddet för privatlivet och att artikel 8 tillförsäkrar var och en rätt till skydd för personuppgifter (GrUU 31/2017 rd, s. 3). Utskottet har framhållit att man vid tillämpningen av EU-lagstiftningen om behandling av personuppgifter måste ta hänsyn till de här artiklarna i stadgan och att EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet för personuppgifter (se t.ex. GrUU 21/2017 rd, s. 3). 
Grundlagsutskottet har påpekat att lagstiftningen om behandling av personuppgifter är tungrodd och komplicerad (se t.ex. GrUU 2/2018 rd, s. 4–8, GrUU 49/2017 rd, s. 4, GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet har ansett att genomförandet av skyddet för personuppgifter inte längre kan bygga på en liknande regleringsmodell som den nuvarande. I stället bör tillgodoseendet av skyddet för personuppgifter i framtiden i första hand garanteras med stöd av den allmänna dataskyddsförordningen och den nationella allmänna lag som ska stiftas. I det sammanhanget bör man undvika nationell speciallagstiftning, som bör reserveras för situationer då den är dels tillåten enligt dataskyddsförordningen, dels nödvändig för att tillgodose skyddet för personuppgifter (GrUU 2/2018 rd, s. 5). 
Enligt EU-domstolens etablerade rättspraxis är det inte tillåtet att lagstifta nationellt inom förordningens tillämpningsområde, om inte förordningen explicit förpliktar eller bemyndigar till nationell reglering eller andra beslut (mål 34/73, Variola, dom 10.10.1973, mål 50/76, Amsterdam Bulb, dom 2.2.1977, 33 punkten). I fråga om behovet av och innehållet i mer detaljerad lagstiftning måste också syftena med och lagstiftningsmetoden i den allmänna dataskyddsförordningen vägas in. 
I sitt slutbetänkande hänvisar justitieministeriets arbetsgrupp till att kriterierna för att behandla personuppgifter direkt följer av den allmänna dataskyddsförordningen om behandlingen bygger på artikel 6.1 a, b, c, d eller f. Således behövs det inga nationella lagbestämmelser om kriterierna. Kriterierna får enligt arbetsgruppen inte ens anpassas genom nationell lagstiftning (s. 30). Kraven på heltäckande, exakta och noggrant avgränsade bestämmelser om skydd för personuppgifter kan enligt arbetsgruppens uppfattning anses gå direkt tillbaka på den allmänna dataskyddsförordningen om det är fråga om personuppgifter som kan behandlas utan några särskilda dataskyddsrisker (s. 25). 
Grundlagsutskottet vill särskilt lyfta fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet. Enligt artikel 6 c i den allmänna dataskyddsförordningen är behandling av personuppgifter tillåten om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Behandlingen av personuppgifter är enligt artikel 6 e laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. 
I sitt slutbetänkande påpekar justitieministeriets arbetsgrupp att skäl 45 i ingressen till förordningen föreskriver att behandlingen i båda situationerna i varje fall bör ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Det betyder att myndighetens uppgift och befogenheter bör beskrivas på så sätt i lagstiftningen att den rättsliga grunden och syftet med behandlingen av personuppgifter med fog kan härledas ur lagstiftningen med hänsyn till syftet med verksamheten. Arbetsgruppen hänvisar dock också till att det i skälet klarläggs att förordningen inte kräver att det ska finnas en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (s. 33). Grundlagsutskottet har ingenting att invända mot den här principen. 
Med anledning av den förestående tillämpningen av dataskyddsförordningen ser utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. 
I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. 
I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. De detaljerade bestämmelserna i förordningen gör det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell. Utskottet har menat att den gällande lagstiftningen om personuppgifter är mycket tungrodd och komplicerad och hänvisat till att det enligt utskottets praxis är särskilt viktigt med en tydlig reglering i fråga om denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. 
Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter. 
Behandling av känsliga uppgifter
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även i skäl 51 i den allmänna dataskyddsförordningen står det utskrivet att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt. 
Övrig särskild behandling i konstitutionellt hänseende
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 
I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, s. 1/II, GrUU 67/2010 rd, s. 2–3). 
Enligt artikel 2 i dataskyddsförordningen är förordningen inte tillämplig på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 
Under pågående behandling av den aktuella propositionen behandlar utskottet också en proposition med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd), vars syfte är att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller det här direktivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen. 
Följaktligen menar utskottet att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna. Utskottet har å andra sidan också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se även GrUU 31/2017 rd, s. 3—4, GrUU 5/2017 rd, s. 9, GrUU 38/2016 rd, s. 4). För att lagstiftningen om personuppgifter ska vara tydlig får speciallagstiftningen inte kompletteras med bestämmelser som tillräckligt exakt och noggrant finns inskrivna i den nya lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 
Skyddet för privatliv och personuppgifter i systemet för grundläggande fri- och rättigheter
Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). 
Dataskyddsförordningen lämnar i vissa frågor ett nationellt handlingsutrymme med karaktär av direktiv till medlemsstaterna. Dataskyddsförordningen innehåller också skyldigheter för medlemsstaterna, såsom skyldigheten att föreskriva om vissa frågor som gäller den nationella tillsynsmyndigheten. Dessutom ska medlemsstaterna förena skyddet av personuppgifter enligt den allmänna dataskyddsförordningen med vissa andra rättigheter och intressen såsom yttrandefriheten och offentlighetsprincipen (se s. 4–5 i RP). Utskottet har framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). 
I en konstitutionell bedömning ska tyngdpunkten ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning. 
I propositionsmotiven hänvisar regeringen till att grundläggande rättigheter och friheter som hör nära samman med skyddet av personuppgifter utöver skyddet för privatlivet även är rätt till heder, rätt till likabehandling, rätt till personlig integritet, rätt till människovärdig behandling, rätt till trygghet samt jämlikhet och förbud mot diskriminering och rätt till medinflytande i frågor som gäller människorna själva, religionsfrihet och samvetsfrihet, yttrandefrihet och offentlighet (s. 6 i RP). 
Skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen som allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2/II). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. 
I sin praxis har grundlagsutskottet särskilt lyft fram hur handlingars offentlighet enligt 12 § 2 mom. i grundlagen förhåller sig till skyddet för privatlivet och personuppgifter (se t.ex. GrUU 43/1998 rd, s. 2/II, och GrUU 60/2017 rd, s. 3). Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändigt för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 39/2009 rd, s. 2/II). Främjande av en annan grundläggande rättighet är ett tvingande skäl som ger möjlighet att separat i lag begränsa myndighetshandlingars offentlighet enligt 12 § 2 mom. i grundlagen (GrUU 2/2008 rd, s. 2, GrUU 40/2005 rd, s. 2). 
Utskottet understryker att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2/II, GrUU 10/2014 rd, s. 4/II). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 4/I). Exempelvis har utskottet ansett att uppgifter om lönerna i den offentliga förvaltningen inte är förankrade i ett så starkt intresse av att skydda den personliga integriteten att det berättigar till omfattande sekretess för uppgifterna utifrån den grundläggande rättigheten gällande handlingars offentlighet. Utskottet ansåg att en ändring i bestämmelsen var ett villkor för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 43/1998 rd, s. 7/II–8/I). 
Bedömning av förslaget till dataskyddslag
Grundlagsutskottet har lämnat utlåtande (GrUU 12/2012 rd) om statsrådets skrivelse om EU:s allmänna dataskyddsförordning (U 21/2012 rd). I utlåtandet anser utskottet att förslaget till allmän dataskyddsförordning och förslaget till dataskyddsdirektiv med avseende på skyddet för personuppgifter mycket väl konkretiserar och är förenliga med bestämmelserna om skydd för personuppgifter i artikel 8 i EU:s stadga om de grundläggande rättigheterna. Utskottet ser heller inga problem i fråga om 10 § 1 mom. i grundlagen eller sin egen praxis. Men beträffande innehållet i förslaget till förordning lyfter utskottet särskilt fram relationen mellan dataskyddet och offentlighetsprincipen, vissa delegeringsfullmakter och den avgränsning av förordningens tillämpningsområde som innebär att förordningen inte är tillämplig på EU-institutionerna. 
Utskottet anser att propositionen som kompletterar förordningen i grunden är godtagbar. De föreslagna bestämmelserna tillgodoser skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen på ett sätt som kan anses vara godtagbart i systemet för grundläggande fri- och rättigheter över lag. Skyddet för personuppgifter är i huvudsak på lämpligt sätt samordnat och balanserat i relation till de andra grundläggande fri- och rättigheterna. Hur skyddet för privatlivet och personuppgifter förhåller sig till de andra grundläggande fri- och rättigheterna kommer visserligen att konkretiseras först i de enskilda fallen med beaktande av särdragen hos de enskilda fallen hos myndigheterna och domstolarna. Enligt utskottet är det uppenbart att lagstiftning av den här typen som är känslig med avseende på de grundläggande fri- och rättigheterna måste tillämpas inom ramen för de generella villkoren för att avgränsa de grundläggande fri- och rättigheterna även på det ovan beskrivna sättet och med hänsyn till de grundläggande fri- och rättigheter som är relevanta i de enskilda frågorna. 
Den föreslagna lagstiftningen är inte särskilt tydlig, vilket i konstitutionellt hänseende inte är alldeles problemfritt när det gäller denna typ av bestämmelser som har kopplingar till de grundläggande fri- och rättigheterna och som gäller fysiska personers normala dagliga aktiviteter (se GrUU 31/2017 rd, GrUU 45/2016 rd, s. 3, och GrUU 41/2006 rd, s. 4/II). Problemet framhävs av att dataskyddsförordningen, som kompletteras genom förslaget, är svårbegriplig. 
Grundlagsutskottet anser att förvaltningsutskottet bör försöka förbättra språkdräkten i lagförslagen så att den blir tydligare, framför allt på de punkter där ordalydelsen avviker från förordningen. Exempelvis föreskriver 25 § i lagförslag 1 (nedan också förslaget till dataskyddslag) att administrativa påföljdsavgifter enligt artikel 83 i dataskyddsförordningen får påföras även för överträdelse av artikel 10 i dataskyddsförordningen. I artikel 83 används däremot begreppet administrativa sanktionsavgifter, vilket är ett misslyckat begrepp. Det bör åtminstone återfinnas i form av informativt komplement till innehållet i förslaget till dataskyddslag. Enligt utskottets uppfattning bör dataskyddslagen också kompletteras med en generell informativ hänvisningsbestämmelse om att bestämmelser om skydd för personuppgifter finns i dataskyddsförordningen. 
Eftersom lagstiftningen är svårtydd framhävs behovet att bevaka dess konsekvenser. Utskottet understryker att eventuella problem som upptäcks lämpligen bör åtgärdas. 
Lagförslagets tillämpningsområde
Enligt 2 § 1 mom. i den föreslagna dataskyddslagen tillämpas lagen i enlighet med tillämpningsområdet i artikel 2 i dataskyddsförordningen. I motiveringen till paragrafen står det att enligt artikel 2 i dataskyddsförordningen ska förordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 2.2 i dataskyddsförordningen undantas sådan behandling av personuppgifter från förordningens tillämpningsområde som utgör ett led i en verksamhet som inte omfattas av unionsrätten och behandling som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i EU-fördraget. Avdelningen innehåller särskilda bestämmelser om den gemensamma utrikes- och säkerhetspolitiken. 
Enligt förordningens artikel om tillämpningsområdet är också sådan behandling av personuppgifter som omfattas av tillämpningsområdet för direktivet om dataskydd i brottmål utesluten från förordningens tillämpningsområde. I linje med det rådande rättsläget gäller förordningen heller inte sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Dessutom har behandling av personuppgifter som sker i unionens institutioner, organ och byråer undantagits från dataskyddsförordningens tillämpningsområde. Särskilda bestämmelser om detta finns i dataskyddsförordningen för unionens institutioner (se också GrUU 15/2017 rd och GrUU 60/2017 rd). 
Tillämpningsområdet för den allmänna dataskyddsförordningen är organisatoriskt sett omfattande. Förordningen tillämpas inom offentliga och privata sektorn i medlemsländerna. 
I 2 § 1 mom. i förslaget till dataskyddslag står det att med stöd av lagen tillämpas dataskyddsförordningen dessutom, med undantag för artikel 56 och kapitel VII, på sådan behandling av personuppgifter som utförs i samband med verksamhet som avses i artikel 2.2 a och b i dataskyddsförordningen, om inte något annat föreskrivs någon annanstans i lag. Utifrån förslaget till dataskyddslag ska dataskyddsförordningen också tillämpas på sådan behandling av personuppgifter som inte omfattas av tillämpningsområdet för unionsrätten samt på behandling av personuppgifter som utförs i samband med den gemensamma utrikes- och säkerhetspolitik som avses i avdelning V kapitel 2 i fördraget om Europeiska unionen. Kapitel VI och VII i den allmänna dataskyddsförordningen ska utifrån förslaget ställas utanför det utvidgade tillämpningsområdet i den mån det är fråga om den så kallade mekanismen för en lucka och mekanismen för enhetlighet. 
I fråga om avgränsningen av tillämpningsområdet för unionsrätten följer grundfördragen enligt utskottets uppfattning principen att unionen utövar sin behörighet bara i de frågor där den är behörig enligt fördragen. Den rättsliga grunden för dataskyddsförordningen är enligt förordningen artikel 16 i fördraget om Europeiska unionens funktionssätt, som tillförsäkrar var och en rätt till skydd för personuppgifter. Enligt artikel 16.2 ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Också artikel 8 om skydd för personuppgifter i EU:s stadga om de grundläggande rättigheterna är enligt artikel 51 i stadgan bindande för medlemsstaterna bara när de tillämpar unionsrätten. 
Utskottet anser ändå att det i princip är motiverat att utvidga förordningens tillämpningsområde genom nationella lagstiftningsåtgärder. Lagreservationen i 10 § i grundlagen kräver att bestämmelser om skydd för personuppgifter utfärdas genom lag. Tillämpningsområdet för den allmänna lagstiftningen om skydd för personuppgifter måste därför vara heltäckande. Eftersom det inte alltid går att tydligt och entydigt bestämma räckvidden för unionsrätten är den valda modellen för utvidgning av förordningens tillämpningsområde motiverad också i konstitutionellt hänseende. 
Riksdagens ställning
Representativ demokrati och riksdagens ställning som högsta statsorgan hör till grundvalen för Finlands statsskick. De här principerna är härledda ur 2 § 1 mom. i grundlagen, som föreskriver att statsmakten i Finland tillkommer folket som företräds av dess till riksdag församlade representation. Detta framgår också explicit av motiveringen till grundlagsreformen (RP 1/1998 rd, s. 74). 
Riksdagens verksamhet kan delas in i riksdagsarbete, som regleras i grundlagen och riksdagens arbetsordning, och förvaltningsverksamhet som bedrivs av riksdagens ämbetsverk. Riksdagens konstitutionella ställning innebär också att riksdagsarbetet inte kan övervakas av utomstående. Därför föreskriver grundlagen uttömmande om att laglighetskontrollen av riksdagens verksamhet ska handhas av riksdagens egna organ, talmannen och grundlagsutskottet. 
I avdelning I i fördraget om Europeiska unionen anges de befogenhetsområden där unionen har antingen exklusiv eller delad befogenhet. I områdena ingår inte något nationellt lagstiftningsförfarande. Enligt grundlagsutskottets uppfattning har unionen inte befogenhet att lagstifta om förfaranden i riksdagsarbetet. 
Utskottet ser i princip inget hinder för att de allmänna lagarna om förvaltningen också gäller riksdagens ämbetsverk (se GrUU 30/1998 rd). Riksdagens ämbetsverk är liksom andra myndigheter på tillbörligt sätt undantagna från bestämmelserna om påföljdsavgift i lagförslaget. Till övriga delar innehåller propositionen däremot ingen reglering eller motivering när det gäller hur riksdagsarbetet och de medverkande riksdagsorganen såsom utskotten, talmanskonferensen eller riksdagsledamöterna förhåller sig till de föreslagna bestämmelserna eller dataskyddsförordningen. Utskottets uppfattning är att riksdagsarbetet inte hör till unionsrättens tillämpningsområde. Men bestämmelserna i 2 § 1 mom. i förslaget till dataskyddslag leder till att dataskyddsförordningen också måste iakttas i riksdagsarbetet. Dessutom kommer bestämmelserna om påföljdsavgift att tillämpas också på de organ som deltar i riksdagsarbetet. 
Bestämmelser om behandlingen av uppgifter i riksdagsarbetet finns i 50 § i grundlagen och i riksdagens arbetsordning. Grundlagens 50 § innehåller vissa lagreservationer i fråga om arbetsordningen. De gäller publikation, offentlighet och sekretess för uppgifter. Enligt 52 § i grundlagen ska närmare bestämmelser om förfarandet under riksmötena samt om riksdagens organ och riksdagsarbetet utfärdas i riksdagens arbetsordning. Utskottet anser att riksdagens ställning som högsta statsorgan och unionsrättens avgränsade tillämpningsområde innebär att lagförslag 1 i propositionen måste ändras på så sätt att riksdagsarbetet utesluts från dataskyddslagens tillämpningsområde. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Den högsta laglighetskontrollen
Justitiekanslern i statsrådet och riksdagens justitieombudsman är enligt grundlagen likställa laglighetsövervakare med avseende på uppgifter och behörighet. I förarbetena till grundlagen omtalas justitiekanslern och justitieombudsmannen uttryckligen som de högsta laglighetsövervakarna (RP 1/1998 rd, s. 165—166). Enligt grundlagen har båda laglighetsövervakarna till uppgift att övervaka att domstolarna och andra myndigheter samt tjänstemännen, offentligt anställda arbetstagare och också andra, när de sköter offentliga uppdrag, följer lag och fullgör sina skyldigheter. Vid utövningen av sitt ämbete ska laglighetsövervakarna enligt grundlagen övervaka att de grundläggande fri- och rättigheterna samt de mänskliga rättigheterna tillgodoses. Dataskyddsförordningen och den föreslagna dataskyddslagen kommer härefter att vara en del av den rättsordning som ska övervakas av de högsta laglighetsövervakarna. I laglighetsövervakarnas konstitutionella uppgifter ingår också att övervaka att de grundläggande och mänskliga rättigheterna fullföljs i fråga om skyddet för privatliv och personuppgifter. 
Justitiekanslerns och justitieombudsmannens juridiska ansvar föreskrivs i 117 § i grundlagen. Angående undersökning av lagenligheten av justitiekanslerns och justitieombudsmannens ämbetsåtgärder, väckande av åtal mot justitiekanslern och justitieombudsmannen för lagstridigt förfarande i tjänsteutövning samt behandlingen av sådana åtal gäller vad som i 114 och 115 § sägs om medlemmarna i statsrådet. Det betyder att åtal mot justitiekanslern och justitieombudsmannen för lagstridigt förfarande i tjänsteutövning ska behandlas av riksrätten och att beslutet om väckande av åtal ska fattas av riksdagen sedan grundlagsutskottet tagit ställning till lagligheten av ämbetsåtgärden. Ärendet inleds enligt förfarandet i 115 § i grundlagen, där det står att undersökningen ska inledas i grundlagsutskottet. Riksdagen och dess grundlagsutskott har alltså som direkt grundlagsfäst uppgift att undersöka lagligheten av de högsta laglighetsövervakarnas ämbetsåtgärder och att övervaka deras verksamhet. Grundlagsbestämmelserna är enligt utskottet avsedda att vara uttömmande och detta framhäver vikten av oavhängigheten i de högsta laglighetsövervakarnas verksamhet i förhållande till de myndigheter som övervakas. 
Det är relevant att de högsta laglighetsövervakarnas behörighet omfattar all myndighetsverksamhet bortsett från deras egna ämbetsåtgärder. Behörigheten gäller också andra tillsynsorgan med begränsat verksamhetsområde. De övriga myndigheter som övervakar förvaltningsverksamhet blir således i egenskap av myndigheter övervakade av justitiekanslern och justitieombudsmannen. Detta svarar mot principen i grundlagen att det ska finnas en hierarki mellan tillsynsmyndigheterna, där justitiekanslern och justitieombudsmannen är de högsta laglighetsövervakarna. Dessas laglighetskontroll omfattar alltså också särskilda tillsynsmyndigheter som dataombudsmannen, diskrimineringsombudsmannen och jämställdhetsombudsmannen. 
Vidare har det betydelse att justitieombudsmannen enligt 38 § i grundlagen ska väljas av riksdagen för en mandattid på fyra år. Justitieombudsmannen är därmed ett riksdagsorgan vars konstitutionella uppgift är att övervaka all offentlig förvaltning på riksdagens vägnar. Uppgiftsfördelningen mellan riksdagen och statsrådet är en av de fundamentala principerna i konstitutionen. Med tanke på fördelningen av de statliga uppgifterna enligt 2 och 3 § i grundlagen och befogenhetsrelationerna mellan statsorganen är det i princip inte motiverat att en myndighet som hör till förvaltningen under statsrådet ska kunna övervaka riksdagens eller riksdagens justitieombudsmans verksamhet. 
Den konstitutionella utgångspunkten ska enligt utskottet därför vara att dataombudsmannen, den nationella tillsynsmyndighet som regleras i 3 kap. i förslaget till dataskyddslag och avses i dataskyddsförordningen, utifrån 108 och 109 § i grundlagen ska övervakas av justitiekanslern och justitieombudsmannen. Även i propositionsmotiven står det att dataombudsmannens byrå på samma sätt som för närvarande kommer att omfattas av den övervakning som utförs av justitieombudsmannen, justitiekanslern och statens revisionsverk (s. 56). 
I sin tidigare praxis har grundlagsutskottet ansett att ett lagförslag stred mot grundlagen av den orsaken att finansministeriet gavs rätt att styra informationsförvaltningen i riksdagens ämbetsverk. Utskottet ansåg att riksdagens justitieombudsman redan på grund av uppdragets natur är oavhängig av styrning utifrån. I sista hand var det enligt grundlagsutskottets åsikt relevant att det handlade om en institutionell lösning som gick tillbaka på 2 § i grundlagen, där det görs åtskillnad mellan det högsta statsorganet riksdagen, som utövar den lagstiftande makten och fattar beslut om statsfinanserna, och statsrådet, som utövar regeringsmakten. Enligt utskottets mening skulle det klart strida mot denna grundprincip om informationsförvaltningen vid riksdagens ämbetsverk styrdes av finansministeriet (GrUU 46/2010 rd, s. 5/II). 
De högsta laglighetsövervakarnas konstitutionella roll och uppgifter och den samlade konstitutionella laglighetskontrollen gör det omöjligt att dataombudsmannen, som är lägre i instansordningen, skulle utöva tillsyn över de högsta laglighetsövervakarna. Den här avgränsningen måste också explicit framgå av dataskyddslagen. 
Enligt grundlagsutskottet är det i och för sig klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se GrUU 20/2017 rd och GrUU 51/2014 rd, s. 2) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot EU-lagstiftningen (GrUU 26/2017 rd, s. 42–43). Det står också klart att bestämmelserna i dataskyddsförordningen inte med tanke på ordalydelsen verkar möjliggöra en avgränsning av denna typ. 
I skäl 20 i dataskyddsförordningen står det att även om förordningen bland annat gäller för verksamhet inom domstolar och andra rättsliga myndigheter, skulle det i unionsrätt eller medlemsstaternas nationella rätt kunna anges vilken behandling och vilka förfaranden för behandling som berörs när det gäller domstolars och andra rättsliga myndigheters behandling av personuppgifter. Avgränsningen av tillämpningsområdet sträcker sig dock inte organisatoriskt sett lika långt som fullmakten att precisera. Enligt skälet bör tillsynsmyndigheternas behörighet inte omfatta domstolars behandling av personuppgifter när detta sker inom ramen för domstolarnas dömande verksamhet, i syfte att säkerställa domstolsväsendets oberoende när det utför sin rättsskipande verksamhet, inbegripet när det fattar beslut. Artikel 55 i direktivet föreskriver explicit att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. 
Men utskottet påpekar att de högsta laglighetsövervakarnas ovan beskrivna konstitutionella ställning enligt utredning inte kan jämställas med den lagfästa organiseringen av laglighetskontrollen i de andra medlemsstaterna och att beredningen av dataskyddsförordningen inte har vägt in de särskilda egenskaperna hos det konstitutionella systemet i Finland. 
Här hänvisar utskottet för det första till de högsta laglighetsövervakarnas uppgift. Det hör till justitiekanslerns och justitieombudsmannens uppgifter att övervaka att bland annat domstolarna följer lag och fullgör sina skyldigheter. Bestämmelsen om justitiekanslern finns i 108 § i grundlagen och bestämmelsen om justitieombudsmannen i 109 § i grundlagen. Vid utövningen av sitt ämbete ska både justitiekanslern och justitieombudsmannen övervaka att de grundläggande fri- och rättigheterna samt de mänskliga rättigheterna tillgodoses. Enligt skäl 20 som hänför sig till avgränsningen gällande domstolar i artikel 55 i dataskyddsförordningen bör det vara möjligt att anförtro tillsynen över domstolarnas behandling av uppgifter inom den rättsskipande verksamheten till särskilda organ inom medlemsstaternas rättsväsen, vilka framför allt bör säkerställa efterlevnaden av bestämmelserna i förordningen, främja domstolsväsendets medvetenhet om sina skyldigheter enligt förordningen och hantera klagomål relaterade till sådan behandling av uppgifter. Enligt utskottets uppfattning kommer domstolarnas oberoende att äventyras på ett sätt som också strider mot syftet med artikel 55 i förordningen om det införs bestämmelser om att en förvaltningsmyndighet som är föremål för den högsta laglighetskontrollen ska vara behörig att övervaka den grundlagsfästa högsta laglighetskontrollen av domstolarna. 
Utskottet påpekar dessutom att artikel 4.2 i fördraget om Europeiska unionen föreskriver att unionen ska respektera medlemsstaternas likhet inför fördragen samt deras nationella identitet, som kommer till uttryck i deras politiska och konstitutionella grundstrukturer, inbegripet det lokala och regionala självstyret. Bestämmelsen uttrycker principen att den materiella EU-rätten inte kan anses ifrågasätta den konstitutionella och institutionella strukturen hos den offentliga maktutövningen i medlemsstaterna. EU-domstolen har exempelvis i sitt domslut om Digibet (Digibet Ltd & Albers mot Westdeutsche Lotterie GmbH & Co. OHG, C-156/13 p. 34) ansett att en behörighetsfördelning mellan delstaterna som lett till inkonsekvent reglering av penningspel inte kan ifrågasättas, eftersom behörighetsfördelningen är skyddad genom artikel 4.2 i EU-fördraget. 
Utskottet ser det emellertid som klart att en fördragsbestämmelse om nationell identitet med förankring i den konstitutionella strukturen bara kan utgöra en snävt tillämplig proportionerlig grund för att avvika från fullständig tillämpning av EU-rätten. I sin etablerade rättspraxis har EU-domstolen ansett att principen om unionsrättens företräde, som är en väsentlig egenskap hos unionens rättsordning, innebär att det faktum att en medlemsstat åberopar sin nationella lagstiftning och rentav konstitutionella bestämmelser inte kan försvaga unionsrättens effekter i medlemsstaten (se bl.a. mål 11/70, Internationale Handelsgesellschaft, dom 17.12.1970, 3 punkten och mål C 409/06, Winner Wetten, dom 8.9.2010, 61 punkten och i synnerhet mål C-399/11, Melloni, dom 26.2.2013, p. 59). 
I målet Sayn-Wittgenstein mot Landeshauptmann von Wien (C-208/09, p. 92) går EU-domstolen in på respekten för den nationella konstitutionella identiteten uttryckligen med hänsyn till proportionaliteten. Domstolen menar att det inte kan anses vara en åtgärd som ogrundat begränsar EU-medborgarnas rätt till fri rörlighet och fri vistelse enligt unionsrätten att myndigheterna i en medlemsstat vägrar erkänna samtliga delar av efternamnet hos en medborgare från en annan medlemsstat när efternamnet innehåller en adelstitel som inte är tillåten i medlemsstaten enligt dennas konstitution. Bedömningen bygger på att det i frågan inte ses som oproportionerligt att en medlemsstat försöker säkerställa att likhetsprincipen uppnås genom att förbjuda sina medborgare att förvärva, inneha eller använda adelstitlar eller adelsmarkörer som kan få andra att tro att personen i fråga innehar en sådan titel. Genom att vägra att erkänna de adelsrelaterade delarna av ett sådant namn som klagandens förefaller de behöriga folkbokföringsmyndigheterna i medlemsstaten enligt domstolen inte ha gått utöver vad som är nödvändigt för att säkerställa att det eftersträvade grundläggande konstitutionella syftet uppnås. 
Enligt grundlagsutskottets uppfattning är det väsentligt i analysen av proportionaliteten att det nu inte rör sig om en materiell konflikt mellan EU-rätten och innehållet i grundlagen. Däremot handlar det om att EU-rätten leder till en sådan konflikt med de institutionella lösningarna i Finlands grundlag som dataskyddsförordningen inte uttryckligen syftar till. Utskottet ser det som väsentligt att avgränsningarna av tillämpningsområdet i fråga om de högsta laglighetsövervakarna inte riskerar målen för rättsligt skydd och effektiv övervakning enligt ingressen i förordningen eller de grundläggande syftena med dataskyddsmyndigheternas verksamhet utifrån EU-domstolens rättspraxis. 
I sista hand är det EU-domstolen som är behörig att tolka artikel 4.2 i EU-fördraget, dataskyddsförordningen och relationen mellan dessa. Men eftersom tolkningen fortfarande är oklar på den här punkten menar utskottet att regeringen i propositionen inte kommer med en tillräcklig EU-rättslig motivering till förslaget att låta dataombudsmannens tillsynsbehörighet omfatta de högsta laglighetsövervakarna. Följaktligen måste förslaget till dataskyddslag ändras på så sätt att den tillsynsmyndighet som avses i dataskyddslagen inte är behörig att övervaka den laglighetskontroll som utförs av de högsta laglighetsövervakarna. Detta kan åstadkommas till exempel genom en avgränsning enligt vilken kapitel VI, VII och VIII i dataskyddsförordningen och 3 och 4 kap. i dataskyddslagen inte ska tillämpas på de högsta laglighetsövervakarnas behandling av personuppgifter. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Relation till offentlighetsprincipen
Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. 
I sitt utlåtande (GrUU 12/2012 rd) om statsrådets skrivelse om EU:s allmänna dataskyddsförordning (U 21/2012 rd) anser grundlagsutskottet att offentlighetsprincipen vägs in i mycket liten utsträckning med avseende på både innehåll och författningsteknisk placering, fastän det i skäl 18 i ingressen till kommissionens förslag till förordning står att offentlighetsprincipen för officiella handlingar kan beaktas vid tillämpningen av bestämmelserna i förordningen. Liksom statsrådet ansåg utskottet därför att det var angeläget att själva förordningen skulle innehålla en bestämmelse om hänsyn till handlingars offentlighet. I sin analys av statsrådets skrivelse med anledning av kommissionens förslag till Europaparlamentets och rådets förordning (Dataskyddsförordning för unionens institutioner, U 26/2017 rd) anser grundlagsutskottet att en explicit bestämmelse om handlingars offentlighet kan ses som ett minimikrav för att offentligheten ska vara tryggad på tillbörligt sätt (GrUU 60/2017 rd, GrUU 15/2017 rd). Det väsentliga är enligt utskottets mening att artikel 86 i dataskyddsförordningen, som kompletteras genom förslaget till dataskyddslag, innehåller en explicit bestämmelse om offentlighet för allmänna handlingar. 
I 28 § i förslaget till dataskyddslag föreskrivs det om hänsyn till offentlighetsprincipen. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. Bestämmelsen motsvarar 8 § 4 mom. i den gällande personuppgiftslagen, som stiftats med grundlagsutskottets medverkan (GrUU 25/1998 rd). I förarbetena till personuppgiftslagen anser regeringen att den lag som bestämmelsen hänvisar till föreskriver om de avgränsningar av rätten att lämna ut personuppgifter som behövs med tanke på integritetsskyddet (RP 96/1998 rd, s. 42–43). Inga ändringar föreslås nu i lagen om offentlighet i myndigheternas verksamhet (nedan offentlighetslagen), som stiftats med grundlagsutskottets medverkan (GrUU 43/1998 rd). Enligt utskottets uppfattning finns det inget omedelbart behov av ändringar i offentlighetslagen trots att dataskyddsförordningen börjar tillämpas. 
Utskottet ser den valda lösningen som motiverad med avseende på 12 § 2 mom. i grundlagen. Nödvändighetskravet på begränsningar av offentligheten enligt 12 § 2 mom. i grundlagen gäller inte enbart sekretessbestämmelser. Utskottet har ansett att om till exempel utlämnandet av personuppgifter i stor utsträckning knyts till ett användningsändamål innebär det att offentlighetsprincipen begränsas på ett sätt som dock kan anses ha godtagbara grunder enligt 10 § i grundlagen (GrUU 3/2009 rd, s. 2, GrUU 2/2008 rd, s. 2, och GrUU 40/2005 rd, s. 2). 
Offentlighetslagens 17 § 1 mom. föreskriver att när en myndighet fattar beslut i enlighet med lagen och även i övrigt utför sina uppgifter ska den bland annat se till att möjligheterna att få information om dess verksamhet inte med hänsyn till offentlighetsprincipen och syftet med den begränsas mer än vad som är nödvändigt för det intresse som ska skyddas. Bestämmelsen är till denna del formulerad i förvaltningsutskottets betänkande (FvUB 31/1998 rd, s. 10–11). Förvaltningsutskottet kompletterade föreslagna 17 § i offentlighetslagen, eftersom grundlagsutskottet i sitt utlåtande hade villkorat lagstiftningsordningen med att sekretessbestämmelserna kompletteras så att det framgår att sekretessen är ett undantag från huvudregeln att handlingar ska vara offentliga på så sätt att det i lagtexten poängteras att sekretessbestämmelserna ska tolkas restriktivt (GrUU 43/1998 rd, s. 3/II). 
I utlåtandet hänvisar grundlagsutskottet också till att de allmänna förvaltningsrättsliga principerna hör till de faktorer som begränsar prövningsrätten. Ändamålsbundenhet, proportionalitet, objektivitet och jämlikhet hör till dessa principer. Utskottet ser det som viktigt med tanke på bestämmelsen om grundläggande fri- och rättigheter gällande handlingars offentlighet att begränsningar i myndighetens prövningsrätt anges i själva lagtexten (GrUU 43/1998 rd, s. 3/I). Bestämmelser om de allmänna förvaltningsrättsliga principerna finns numera i 6 § i förvaltningslagen. Utskottet har även i ett bredare perspektiv påpekat att de lagtillämpande myndigheternas prövning framför allt är bunden vid kraven på ändamålsbundenhet och proportionalitet enligt 6 § i förvaltningslagen (GrUU 17/2014 rd, s. 4–5, GrUU 17/2016 rd, s. 3). Utskottet understryker fortfarande att de här faktorerna, som också framgår av 17 § i offentlighetslagen, har betydelse vid tolkningen och tillämpningen av offentlighetslagen även då denna tillämpas på rätt att få information och på övrigt utlämnande av personuppgifter ur myndigheternas personregister. 
Yttrandefrihet
Grundlagens 12 § 1 mom. föreskriver att var och en har yttrandefrihet. Till yttrandefriheten hör rätten att framföra, sprida och ta emot information, åsikter och andra meddelanden utan att någon i förväg hindrar detta. Närmare bestämmelser om yttrandefriheten utfärdas genom lag. Bestämmelser om sådana begränsningar i fråga om bildprogram som är nödvändiga för att skydda barn kan utfärdas genom lag. 
Artikel 85 i dataskyddsförordningen föreskriver att medlemsstaterna i lag ska förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. I 27 § i förslaget till dataskyddslag föreskrivs om befrielser och undantag från den allmänna dataskyddsförordningen för att rätten som gäller skydd av personuppgifter ska samordnas med yttrandefriheten. Enligt utskottets uppfattning går de föreslagna bestämmelserna till denna del ut på att yttrandefriheten begränsas i syfte att skydda personuppgifter och att skyddet av personuppgifter begränsas i syfte att trygga yttrandefriheten på motsvarande sätt. Det är nödvändigt med en balans av denna typ i konstitutionellt hänseende. 
Men de föreslagna bestämmelserna i 27 § i förslaget till dataskyddslag är till viss del flertydiga. Inskränkningar av de grundläggande fri- och rättigheterna ska vara noga avgränsade och tillräckligt exakt definierade. Deras innehåll ska till väsentliga delar framgå av lagen (GrUB 25/1994 rd, s. 5/I). Den föreslagna dataskyddslagens 27 § uppfyller inte det här kravet till alla delar. Som exempel lyfter utskottet fram 2 mom. där det står att artiklarna 44—50 i dataskyddsförordningen inte ska tillämpas, om tillämpningen "skulle kränka rätten till yttrandefrihet eller informationsfrihet". I 3 mom. föreskrivs det att vissa bestämmelser i förordningen endast ska tillämpas i tillämpliga delar på behandling av personuppgifter som sker för enbart journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. På grund av 10 och 12 § i grundlagen måste förvaltningsutskottet göra väsentliga ändringar i bestämmelserna. 
Relation till vetenskapsfriheten
Enligt 16 § 3 mom. i grundlagen är vetenskapens, konstens och den högsta utbildningens frihet tryggad. Artikel 89 i dataskyddsförordningen föreskriver bland annat om undantag för behandling för vetenskapliga och historiska forskningsändamål. I artikel 89.2 står det att när personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten eller i medlemsstaternas nationella rätt föreskrivas undantag från de rättigheter som avses i förordningen. 
I 31 § i den föreslagna dataskyddslagen föreskrivs om undantag från vissa rättigheter för registrerade samt om förutsättningarna för sådana undantag och anknytande skyddsåtgärder i samband med vetenskaplig och historisk forskning. Bestämmelsen motiveras med att undantagen är befogade för att inte vetenskapliga och historiska forskningsändamål ska äventyras i onödan (s. 117 i RP). Utskottet instämmer i att behovet av undantag är motiverat i konstitutionellt hänseende. 
När personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas förutsätter ett undantag enligt 31 § 3 mom. i förslaget till dataskyddslag att det utförs en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och att konsekvensbedömningen delges dataombudsmannen i förväg. Enligt utskottets uppfattning gäller konsekvensbedömningen situationer med hög risk (framför allt när ny teknik används) enligt artikel 35 i förordningen. Utskottet påpekar att det i till exempel historieforskning regelmässigt kan ingå behandling av personuppgifter där personuppgifterna avslöjar politiska åsikter eller religiös övertygelse enligt artikel 9 i förordningen. Att det till exempel för forskning av den här typen krävs en konsekvensbedömning som ska delges dataombudsmannen innebär att det görs ett intrång i vetenskapsfriheten enligt 16 § 3 mom. i grundlagen på ett sätt som inte till alla delar är förenligt med proportionalitetskravet. Förvaltningsutskottet måste ändra bestämmelserna inom de gränser som dataskyddsförordningen tillåter på så sätt att vetenskapsfriheten bättre blir tillgodosedd. 
Påföljdsreglering
Artikel 83 i dataskyddsförordningen innehåller allmänna villkor för påförande av administrativa sanktionsavgifter (påföljdsavgifter). Enligt artikel 83.4 ska det vid överträdelse av vissa bestämmelser i förordningen påföras administrativa sanktionsavgifter på högst 10 000 000 euro eller, om det gäller företag, två procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Enligt artikel 83.5 kan det vid överträdelse av vissa andra bestämmelser i förordningen påföras administrativa sanktionsavgifter på högst 20 000 000 euro eller, om det gäller företag, fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Vid underlåtenhet att rätta sig efter ett föreläggande från tillsynsmyndigheten i enlighet med artikel 58.2 ska det i enlighet med punkt 2 i artikel 83.6 påföras administrativa sanktionsavgifter på upp till 20 000 000 euro eller, om det gäller ett företag, på upp till 4 procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. 
Sanktionsavgifterna enligt förordningen är till beloppet betydande och kan leda till problem med proportionaliteten, vilket framhäver kraven på rättssäkerhet. I artikel 83.2 återfinns i och för sig de faktorer som i varje enskilt fall ska beaktas när påföljdsbeloppet bedöms. Prövningsrätten är dock betydande när det gäller hur faktorerna förhåller sig till varandra. Förmodligen kommer innehållet i villkoren att preciseras i framtida rättspraxis. 
Enligt 8 § i förslaget till dataskyddslag ska dataombudsmannen vara den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Bestämmelser om dataombudsmannens uppgifter och befogenheter finns enligt lagförslagets 14 § 1 mom. i artiklarna 55—59 i förordningen. Enligt artikel 58.2 i är det tillsynsmyndigheten i medlemsstaten som är behörig att påföra administrativa sanktionsavgifter. Det betyder att det ingår i dataombudsmannens behörighet att påföra administrativa sanktionsavgifter, fastän lagförslaget inte innehåller några explicita bestämmelser om att dataombudsmannen har den här behörigheten. 
Enligt artikel 58.2 i har tillsynsmyndigheten befogenhet att påföra administrativa sanktionsavgifter i enlighet med artikel 83. I Finland är det således dataombudsmannen som ska fatta beslut om att påföra påföljdsavgifter. Med hänsyn till storleken på påföljdsavgiften är det en speciell situation i det finländska rättssystemet. Tillsynsmyndigheten, det vill säga dataombudsmannen som är en enskild tjänsteman, kan självständigt påföra en mycket hög påföljdsavgift. För jämförelsens skull påpekar grundlagsutskottet att det är en oberoende domstol, marknadsdomstolen, som beslutar om administrativa påföljdsavgifter enligt konkurrenslagen. Följaktligen är rättssäkerhetsgarantierna i proceduren väsentligt mycket starkare än i ett administrativt förfarande. 
Enligt artikel 58.4 i dataskyddsförordningen ska utövandet av de befogenheter som tillsynsmyndigheten tilldelas enligt artikeln omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten och i medlemsstaternas nationella rätt i enlighet med stadgan om de grundläggande rättigheterna. Enligt artikel 83.8 omfattas tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet. Förordningen kräver alltså att medlemsstaterna lagstiftar om fullgoda rättssäkerhetsgarantier och processer i fråga om administrativa påföljdsavgifter. Enligt likvärdighetsprincipen ska de nationella procedurreglerna vid genomförandet av EU-lagstiftningen svara mot den reglering som följs vid genomförandet av nationell lagstiftning av samma typ. 
Enligt 21 § 1 mom. i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller en myndighet som är behörig enligt lag. När det är fråga om en förvaltningsmyndighets verksamhet ska garantierna för god förvaltning fullföljas vid behandlingen av ärendet. Garantierna är enligt 2 mom. bland annat offentlighet vid handläggningen, rätt att bli hörd, rätt att få motiverade beslut och rätt att söka ändring. Enligt grundlagen ska garantierna för god förvaltning tryggas genom lag. 
Lagförslagets 15 § gäller dataombudsmannens beslutsfattande. Dataombudsmannen ska avgöra ärenden efter föredragning, om inte han eller hon i ett enskilt fall beslutar något annat. Bestämmelsen gäller också förfarandet för att påföra administrativa sanktionsavgifter. Grundlagsutskottet anser att det i konstitutionellt hänseende är problematiskt att administrativa påföljdsavgifter enligt bestämmelsen ska kunna påföras utan föredragning, om dataombudsmannen efter prövning fattar ett sådant beslut. 
Den här lösningen som valts i propositionen innebär att förvaltningslagen är tillämplig på påförandet av administrativ påföljdsavgift. Regeringen anser att rättssäkerheten i proceduren för att påföra administrativ påföljdsavgift tillgodoses genom att enbart den allmänna förvaltningslagstiftning som gäller alla förvaltningsärenden tillämpas. Förvaltningslagen föreskriver bland annat om rådgivning, rätt att anlita ombud och biträde, utredningsskyldighet för myndigheten, begäran om utredning och komplettering av handlingar, hörande med tillhörande procedur, muntliga utredningar och muntlig bevisning, syn och inspektion, tolkning och översättning samt om beslutets form, innehåll, motivering och besvärsanvisning. Dataombudsmannens beslut får utifrån 23 § i förslaget till dataskyddslag överklagas genom besvär hos förvaltningsdomstolen på det sätt som föreskrivs i förvaltningsprocesslagen. Beslut av förvaltningsdomstolen får överklagas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
Utskottet påpekar att rättssäkerhetsintresset i fråga om de administrativa påföljdsavgifter som nu föreslås är starkt accentuerat med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. De mycket stora administrativa påföljdsavgifter som dataskyddsförordningen tillåter kan inte jämställas med de administrativa påföljder som myndigheterna i nuläget påför. Garantierna för rättssäkerhet och framför allt för behörigt förfarande enligt 21 i grundlagen och syftena med dem kan anses vara särskilt accentuerade i den här situationen. 
Grundlagsutskottet anser att ett beslutsförfarande för administrativ påföljdsavgift likt det som nu föreslås strider mot 21 § i grundlagen. Exempelvis inom tillsynen över finansmarknaden är det ett kollegialt organ, Finansinspektionens direktion, som fattar beslut om att påföra påföljdsavgifter i vissa situationer. Utskottet anser att ett kollegialt organ bör ges i lagfäst uppdrag att besluta om administrativa påföljdsavgifter. Dataombudsmannen kan ges i uppdrag att ha hand om utredning, övrig beredning och föredragning innan påföljdsavgiften påförs i ärendet. Att förfarandet för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift. Den här ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Av artikel 8.3 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 51 och 52 i dataskyddsförordningen följer att kompetensen, oavhängigheten och opartiskheten hos det kollegiala organ som ska besluta om administrativa påföljdsavgifter måste säkerställas. Eftersom befogenheten att påföra administrativa påföljdsavgifter enligt förordningen ska tillkomma den nationella tillsynsmyndigheten måste det kollegiala organet uppenbarligen få lagfäst status på så sätt att det blir ett organ som hör till tillsynsmyndigheten. 
Utskottet påpekar dessutom att betydelsen av hur rättssäkerheten är ordnad framhävs av att förordningen inte närmare anger hur stor påföljdsavgift som ska påföras i de enskilda situationerna. I förordningen anges bara mycket höga övre gränser för avgiften och olika faktorer som ska vägas in när administrativa sanktioner påförs (artikel 83.2). Därför måste förvaltningsutskottet noga reda ut vilka ändringar som krävs i regleringen av förfarandet för att rättssäkerheten ska bli bättre när det kollegiala organ som ska besluta om den administrativa påföljdsavgiften inrättas. 
Hur bestämmelserna om påföljdsavgift förhåller sig till myndigheterna
Statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli får inte påföras påföljdsavgift, står det i 25 § 2 mom. i förslaget till dataskyddslag. Här handlar det om att det nationella handlingsutrymmet används. Enligt artikel 83.7 i dataskyddsförordningen får varje medlemsstat fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter kan påföras offentliga myndigheter och organ. 
I propositionen motiveras bestämmelsen med att en administrativ påföljdsavgift som påförs en myndighet är ett främmande förfarande utifrån vårt allmänna rättssystem. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen vilka för sin del motiverar denna lagstiftningslösning. Myndigheterna är bundna av laglighetsprincipen i förvaltningen, myndigheterna måste också iaktta allmänna förvaltningslagar. Den lagenliga behandling av personuppgifter som sker vid myndigheter hör till tjänsteplikten för dem som arbetar hos myndigheterna. Ställningen som tjänsteman för med sig ett större ansvar för fel som begås i arbetet än för andra. För det första kan tjänsteansvaret vara ett straffrättsligt tjänsteansvar, disciplinärt tjänsteansvar och skadeståndsansvar. Över en myndighets verksamhet kan också förvaltningsklagan anföras hos en högre myndighet. Myndigheternas verksamhet är budgetbunden och effekterna av en påföljd som avser ett penningbelopp är inte desamma som inom den privata sektorn. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter. 
Grundlagsutskottet har ingenting att invända mot propositionsmotiven. Utskottet påpekar ändå att administrativa påföljdsavgifter som påförs myndigheter blir problematiska inte bara med tanke på de fakta som nämns ovan utan också i systemet med grundläggande fri- och rättigheter över lag. Så som utskottet framhåller ovan bör lagstiftaren tillgodose rättigheterna enligt 10 § i grundlagen på ett sätt som kan anses vara godtagbart i systemet med grundläggande fri- och rättigheter över lag genom att sätta skyddet av privatlivet och personuppgifter i proportion till övriga grundläggande och mänskliga rättigheter. Enligt utskottets uppfattning är det uppenbart att hotet om en mycket hög påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan äventyra jämvikten när de olika grundläggande fri- och rättigheterna ska vägas mot varandra i myndighetsverksamheten och kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. Därför menar utskottet att det inte är konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet. 
Legalitetsprincipen
I propositionen föreslår regeringen att strafflagens gällande 38 kap. 9 § om personregisterbrott upphävs och ersätts med en bestämmelse om dataskyddsbrott. Bestämmelsen avses gälla bara de fall där de administrativa sanktionerna enligt dataskyddsförordningen inte är tillämpliga (t.ex. s. 57, 126–127 och 130). 
För dataskyddsbrott döms den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt dataskyddsförordningen skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter i strid med sådana bestämmelser i 1) den allmänna dataskyddsförordningen, 2) dataskyddslagen, 3) lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten eller 4) någon annan lag som gäller behandling av personuppgifter som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter, och därmed gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet. Straffet för dataskyddsbrott föreslås bli böter eller fängelse i högst ett år. 
Enligt kärnan i den straffrättsliga legalitetsprincipen i grundlagens 8 § måste brottsrekvisitet anges tillräckligt exakt så att det utifrån bestämmelsens lydelse går att förutse om en viss åtgärd eller försummelse är straffbar. Kärnan i legalitetsprincipen är densamma i Europadomstolens och EU-domstolens praxis, där man har betonat lagstiftningens förutsebarhet, det vill säga att det utifrån en bestämmelses lydelse ska gå att förutse vad som är straffbart. 
I bestämmelsen om dataskyddsbrott finns till väsentliga delar hänvisningar till annan lagstiftning där de gärningar och försummelser som kan vara straffbara som dataskyddsbrott definieras. I 1 mom. hänvisas det till den allmänna dataskyddsförordningen (1 punkten), två nationella lagar (2 och 3 punkten) och på ett inexakt sätt till någon annan lag (4 punkten). I och för sig beskriver bestämmelsen de gärningsformer som kan vara straffbara som dataskyddsbrott. 
Grundlagsutskottet anser att de krav som legalitetsprincipen ställer uppfylls bättre om 1 punkten hänvisar till dataskyddsförordningen och 2 och 3 punkten hänvisar till den nationella lagen i fråga om överträdelser som kan vara straffbara som dataskyddsbrott. Särskilt problematisk är 1 mom. 4 punkten enligt vilken det är straffbart att överträda någon sådan bestämmelse i "någon annan lag" om behandling av personuppgifter som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter. Enligt grundlagsutskottets uppfattning finns det flera hundra bestämmelser av det slag som avses i 4 punkten, så det är omöjligt att räkna upp dem i bestämmelsen. Därför anser utskottet att bestämmelsen bör preciseras med hjälp av exaktare rekvisitselement. 
För dataskyddsbrott ska enligt 2 mom. dömas också den som uppsåtligen eller av grov oaktsamhet handlar i strid med vad som i de författningar och rättsakter som avses i 1 mom. 1—4 punkten föreskrivs om säkerhet vid behandling av personuppgifter. Inte heller här finns någon närmare hänvisning till materiella bestämmelser eller föreskrifter om säkerhet vid behandling av personuppgifter. Även denna bestämmelse bör preciseras med hjälp av exaktare hänvisningsbestämmelser och rekvisitselement. 
Övrigt
Propositionen lämnades till riksdagen den 1 mars 2018. Enligt ikraftträdandebestämmelserna är lagarna avsedda att träda i kraft den 25 maj 2018, det vill säga samtidigt som den allmänna dataskyddsförordningen blir tillämplig. Enligt 2 § 2 mom. i lagförslag 1 ska lagen inte tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten; lagförslaget i fråga lämnades till riksdagen den 5 april 2018. 
Grundlagsutskottet har i sin praxis påpekat för regeringen att utskottets möjligheter att fullfölja sin uppgift enligt 74 § i grundlagen äventyras om det inte går att avsätta tillräckligt mycket och rimlig tid för riksdagens behandling av regeringens propositioner (GrUU 60/2016 rd, s. 3–4). När lagförslagen med hänsyn till propositionens betydelse har varit avsedda att träda i kraft enligt en alltför stram tidsplan har utskottet sett tidsplanen som mycket problematisk i konstitutionellt hänseende och framhållit behovet att alltid ge riksdagen tillräckligt med tid att behandla förslagen (GrUU 26/2017 rd, s. 9). 
Så som det framgår ovan innehåller den föreliggande propositionen vissa frågor med principiell betydelse som kräver att riksdagen har tillräckliga möjligheter att grundligt sätta sig in i dem. Den 25 januari 2012 lade kommissionen fram ett förslag till ny EU-lagstiftning om skydd av personuppgifter. Finland har aktivt medverkat i den fortsatta beredningen av förslaget till förordning. Dataskyddsförordningen trädde i kraft så tidigt som den 25 maj 2016, så regeringen har redan länge haft kännedom om innehållet i den. Med tanke på framtiden påpekar grundlagsutskottet för regeringen att det måste finnas tillräckligt med tid för grundlig behandling i riksdagen mellan överlämnandet av propositionen och den målsatta tidpunkten för ikraftträdande. Det är problematiskt att den nationella lagstiftning som gäller den allmänna dataskyddsförordningen på grund av den korta tiden för riksdagsbehandling inte kan sättas i kraft vid den tidpunkt då den direkta tillämpningen av dataskyddsförordningen inleds, alltså den 25 maj 2018. 
Dessutom ska personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen upphävas enligt 25 § 2 mom. i förslaget till dataskyddslag. Personuppgiftslagen är en allmän lag som bland annat föreskriver om villkoren för lagenlig behandling, tillsynsmyndighetens uppgifter och behörighet och den registrerades rättigheter och rättssäkerhet. 
Utskottet påpekar att dataskyddslagen inte ska tillämpas på sådan behandling av personuppgifter som regleras i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Utskottet anser att personuppgiftslagen inte kan upphävas i sin helhet innan den sistnämnda lagen träder i kraft, eftersom 10 § i grundlagen föreskriver att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Det står klart att lagförbehållet i 10 § 1 mom. i grundlagen utöver kravet på bestämmelser i lag uttrycker principen att den grundläggande rättigheten gällande skydd av personuppgifter måste få stöd i form av vanlig lagstiftning (se också GrUB 25/1994 rd, s. 5–6). 
Förvaltningsutskottet måste med hjälp av övergångsbestämmelser se till att tillämpningsområdet för den allmänna lagstiftningen om skydd av personuppgifter är heltäckande också innan lagen om genomförandet av ovannämnda direktiv (EU) 2016/680 träder i kraft, om förslaget till dataskyddslag godkänns först. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till tillämpningsområdet gällande riksdagsarbetet, tillsynsmyndighetens behörighet att övervaka de högsta laglighetsövervakarna, förfarandet för att påföra administrativa påföljder och upphävandet av personuppgiftslagen beaktas på behörigt sätt.  
Helsingfors 9.5.2018 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Ville
Niinistö
gröna
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Matti
Torvinen
blå
ersättare
Maarit
Feldt-Ranta
sd.
Sekreterare var
utskottsråd
Matti
Marttunen
utskottsråd
Mikael
Koillinen.
Senast publicerat 22.5.2018 09:45