Utlåtande
GrUU
26
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsråd
Timo
Makkonen
justitieministeriet
lagstiftningsråd
Tanja
Jaatinen
justitieministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor (emeritus)
Teuvo
Pohjolainen
juris magister
Niklas
Vainio
professor
Tomi
Voutilainen.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Genom lagen genomförs det nya dataskyddsdirektivet. 
Lagarna avses träda i kraft den 6 maj 2018 eller så snart som möjligt efter det. 
I motiven till lagstiftningsordning bedöms lagförslaget med avseende på grundlagens 10 § om skydd för privatlivet, 12 § 2 mom. om handlingars offentlighet och 21 § om rättsskydd. 
Enligt regeringens uppfattning kan lagförslaget behandlas i vanlig lagstiftningsordning enligt 72 § i grundlagen. Enligt regeringens uppfattning bör propositionen ändå sändas till riksdagens grundlagsutskott för behandling. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Den föreslagna lagen ska tillämpas på behandling av personuppgifter som utförs av polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter, när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, åklagarverksamhet i samband med brott, handläggning av brottmål i domstol, verkställighet av straffrättsliga påföljder eller skydd mot eller förhindrande av brott mot den allmänna säkerheten. Lagen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. 
Syftet med denna proposition är att genomföra Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan även polisdirektivet). 
Enligt direktivet och den föreslagna lagstiftningen tillämpas på hantering av personuppgifter inom de ovan nämnda förvaltningsområdena för de ovan nämnda syftena principer och regler som i huvudsak är snarlika dem i EU:s allmänna dataskyddsförordning. Grundlagsutskottet har tidigare bedömt direktivets innehåll i samband med beredningen av det (GrUU 12/2012 rd). Då ansåg utskottet att direktivet rätt väl följer och konkretiserar bestämmelserna om skydd för personuppgifter i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Förslagen var inte heller problematiska i fråga om 10 § 1 mom. i grundlagen eller grundlagsutskottets egen praxis som preciserar den. Men utskottet ansåg ändå att regleringen i den allmänna dataskyddsförordningen och polisdirektivet bör vara enhetligare än föreslaget. Nivån på skydd för personuppgifter enligt polisdirektivet bör enligt utskottet vara lägre än nivån i förordningen endast till den del det är absolut nödvändig med tanke på den speciella karaktären för polissamarbete och straffrättsligt samarbete. 
De bestämmelser som föreslås i propositionen är viktiga med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och personuppgifter. I sitt utlåtande GrUU 14/2018 rd om regeringens proposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd) bedömde grundlagsutskottet vilken betydelse tillämpningen av EU:s allmänna dataskyddsförordning får för skyddet för personuppgifter. Med anledning av den förestående tillämpningen av dataskyddsförordningen såg utskottet det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Enligt utskottet utgör dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s. 4). 
Utskottet såg det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser (GrUU 14/2018 rd, s. 5). Utöver risker med känsliga uppgifter hänvisade utskottet uttryckligen till att i konstitutionella analyser av behandlingen av personuppgifter har utskottet sett syftet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). 
I en regleringskontext där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras tillmäter utskottet rättigheterna enligt 10 § i grundlagen särskild betydelse. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, s. 1/II, GrUU 67/2010 rd, s. 2–3). 
Enligt artikel 2 i dataskyddsförordningen är förordningen inte tillämplig på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Redan i utlåtande GrUU 14/2018 rd hänvisade grundlagsutskottet till att under pågående behandling av den aktuella propositionen behandlade utskottet också en proposition med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd), vars syfte bland annat är att genomföra det ovan nämnda polisdirektivet. 
Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen (GrUU 14/2018 rd, s.6). Relevant är också att det i den nu aktuella propositionen sägs att till den del lagen tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten, handlar det delvis om nationella beslut till följd av det tillämpningsområde som kopplas till EU-rättens tillämpningsområde, och det kan därför inte i alla avseenden hänvisas till EU-reglering som bakgrund till den föreslagna regleringen.  
Följaktligen menar utskottet att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en regleringskontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende är att det förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten som ingår i föreliggande proposition är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (RP s. 31). 
Grundlagsutskottet har också påpekat att bestämmelserna om behandling av personuppgifter är tungrodda och komplicerade (se t.ex. GrUU 31/2017 rd, s. 4, och GrUU 71/2014 rd, s. 3). Utskottet vill därför påminna om att det inte finns något hinder för att kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter till vissa delar kan uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se även GrUU 14/2018 rd, GrUU 31/2017 rd, GrUU 5/2017 rd, GrUU 38/2016 rd). 
Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Utskottet ser det som beklagligt att den aktuella propositionen inte i alla avseenden redogör för den nationella marginalens omfattning tillräckligt detaljerat. 
Grundlagsutskottet menar att i en konstitutionell bedömning av skydd för personuppgifter ska tyngdpunkten ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). 
Utskottet understryker vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (GrUU 14/2018 rd, s. 8). Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 4/I). 
Grundlagsutskottet har inga anmärkningar mot de grundläggande premisserna i de nu aktuella lagförslagen. Att lagens tillämpningsområde utvidgas till upprätthållande av den nationella säkerheten uppfyller den konstitutionella förpliktelsen om tryggande av personuppgifter också i detta avseende. Lagförslaget i propositionen innehåller relevanta och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, den registrerades rättigheter, tillsynen och exempelvis informationssäkerheten. Utskottet fäster ändå uppmärksamhet vid vissa av de föreslagna bestämmelserna. 
Relevant vid bedömningen av lagförslagen i propositionen är också deras organisatoriska tillämpningsområde. I motsats till EU:s allmänna dataskyddsförordning och den kompletterande nationella dataskyddslagen är det nu aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten principiellt begränsad till myndigheterna i fråga om tillämpningsområde (RP s. 19). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. I all offentlig verksamhet ska lag noggrant iakttas. 
Skydd för hemfriden
I 48 § i lagförslaget i propositionen finns en bestämmelse om en möjlighet för dataombudsmannen att göra inspektioner för att övervaka efterlevnaden av lagen. I utrymmen som används för boende av permanent natur får inspektion utföras endast om det är nödvändigt för att utreda de omständigheter som är föremål för inspektion och det finns motiverade och specificerade skäl att misstänka att det har skett eller kommer att ske en sådan överträdelse av bestämmelserna om behandling av personuppgifter att påföljden kan vara ett straff enligt strafflagen. 
Enligt 10 § 1 mom. är vars och ens hemfrid tryggad. Med stöd av 3 mom. i den paragrafen kan det genom lag bestämmas om åtgärder som ingriper i hemfriden och som är nödvändiga för att de grundläggande fri- och rättigheterna ska kunna tryggas eller för att brott ska kunna utredas. Grundlagsutskottet har i sin praxis ansett att åtgärder som går in på hemfridsskyddade områden är godtagbara "för att utreda brott", om åtgärden hänger samman med en konkret och specificerad anledning att misstänka att ett lagbrott har skett eller kommer att ske. Sett ur proportionalitetssynvinkel har utskottet utgått från att man inte bör ingripa i skyddet för hemfriden för att utreda föga klandervärda förseelser som allra högst bestraffas med böter. Utskottet har å andra sidan ansett att det för kontroll av att stöd och bidrag av offentliga medel används på tillbörligt vis är acceptabelt att inspektioner utförs i lokaler som omfattas av hemfriden, också om det finns grundad anledning att misstänka straffbara förseelser som allra högst ger ett bötesstraff. Inspektionsrätten har genom en vanlig lag kunnat kopplas samman med ett förfarande som är sanktionerat med en straffavgift (GrUU 2/2017 rd). 
I propositionens motiv för lagstiftningsordning hänvisas till att de föreslagna bestämmelserna om inspektion på det sätt som grundlagsutskottet förutsatt har knutits till en nödvändighetsförutsättning samt till en motiverad och specificerad misstanke om ett förfarande som är straffbart enligt strafflagen. Utöver detta kan en inspektion i praktiken bli aktuell endast för utredning av gärningar som är straffbara enligt strafflagen och till vilka de hänvisas i 60 § i den föreslagna allmänna lagen (RP s. 76). 
Befogenheten är på behörigt sätt knuten till krav på nödvändighet. Men grundlagsutskottet fäster ändå uppmärksamhet vid att det i 60 § i lagförslag 1 också hänvisas till brott med endast böter som påföljd (se t.ex. SL 38 kap. 2 §). Den föreslagna inspektionsbefogenheten på hemfridsskyddade platser ska således vara möjlig med anledning av jämförelsevis lindriga försummelser och förseelser, så den kan enligt utskottet ses som åtminstone i viss mån problematisk med tanke på proportionaliteten. Utskottet har ändå tillmätt betydelse åt att verksamhet som underkastas tillsyn enligt EU-rätt ofta pågår i hemfridsskyddade utrymmen, vilket har talat för att inspektionerna också ska kunna förrättas i sådana utrymmen för att inspektionsbefogenheten ska vara effektiv (GrUU 2/2017 rd, s. 3). Men enligt utskottets uppfattning är upplägget nu ett annat, eftersom tillämpningsområdet för den föreslagna regleringen principiellt kopplas till behandling av personuppgifter som utförs av behöriga myndigheter. Förvaltningsutskottet bör noggrant utreda behovet av åtgärder som sträcker sig till hemfridsskyddade lokaler.  
I propositionens detaljmotiv hänvisas till att bestämmelsen genomför det som förutsätts i 47.1 och 47.2 i polisdirektivet. Enligt den artikeln ska varje medlemsstat i lag säkerställa att varje tillsynsmyndighet har effektiva undersökningsbefogenheter. Dessa befogenheter ska minst inbegripa rätten att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter som behandlas och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. Propositionen redogör inte närmare för vilken nationell marginal den nationella lagstiftaren förfogar över. 
Att ingripa i det grundlagstryggade skyddet för hemfriden för att utreda föga klandervärda förseelser uppfyller enligt utskottets mening inte proportionalitetskravet beträffande en begränsning av en grundläggande fri- eller rättighet. Möjligheten att förrätta inspektion inom området för hemfriden är inte i ett sådant fall motiverad av ett tungt vägande behov. Mindre förseelser ska utredas med hjälp av andra metoder som inte ingriper lika mycket i de grundläggande fri- och rättigheterna (se också GrUU 37/2010 rd, GrUU 40/2002 rd, GrUU 26/2001 rd). Om en inspektionsbefogenhet på hemfridsskyddade platser inte till alla delar förutsätts av direktivet, måste användningen av befogenheten så som grundlagsutskottets praxis förutsätter knytas till bestämmelser med fängelsepåföljd i strafflagen, och den ändringen är då ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Den registrerades rättigheter
I 26 § i lagförslag 1 sägs att om inte den personuppgiftsansvarige godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifter eller begränsning av behandlingen av dem, ska den personuppgiftsansvarige genom ett skriftligt intyg informera den registrerade om vägran och grunderna för vägran. Enligt grundlagsutskottets uppfattning ska en myndighets intyg över avslag av en parts krav anses vara ett förvaltningsbeslut som avses i förvaltningslagen. Förvaltningsutskottet bör precisera regleringen om syftet är att ett överklagbart förvaltningsbeslut inte ska lämnas i ärendet. 
Tystnadsplikt
I 61 § i lagförslag 1 föreskrivs det om tystnadsplikt. I bestämmelsen sägs att den som har deltagit i behandlingen av personuppgifter inte obehörigen för utomstående får röja de uppgifter som han eller hon erhållit på detta sätt eller använda uppgifterna för sin egen eller någon annans vinning eller för att skada någon annan. I propositionsmotiven hänvisas till att en tystnadspliktsbestämmelse med motsvarande innehåll ingår i 33 § i den gällande personuppgiftslagen. I den gällande bestämmelsen sägs att den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, inte i strid med personuppgiftslagen för tredje man får röja de uppgifter som han på detta sätt har erhållit. Personuppgiftslagen har kommit till med grundlagsutskottets medverkan (GrUU 25/1998 rd). En motsvarande paragraf ingår också i den föreslagna dataskyddslagen (RP 9/2018 rd). Bestämmelsernas organisatoriska tillämpningsområde begränsas dock principiellt inte till myndighetsverksamhet. 
På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister ska enligt 2 § 2 mom. i lagförslaget tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. Grundlagsutskottet har ansett att en reglering enligt 2 § är befogad med avseende på 12 § 2 mom. (GrUU 14/2018 rd, s. 15). Eftersom det i den aktuella lagens organisatoriska tillämpningsområde främst ingår myndigheter som nämns i 4 § i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen), anser grundlagsutskottet att huvudregeln för tystnadsplikt enligt 61 § är konstitutionellt problematisk. Den föreslagna bestämmelsen kan i praktiken resultera i att alla personuppgifter och all information som hanteras inom lagens tillämpningsområde trots 2 § 2 mom. omfattas av tystnadsplikt. Utskottet noterar också att i de bestämmelser i personuppgiftslagen och den föreslagna dataskyddslagen som det hänvisas till i motiven är tystnadsplikten med avvikelse från den nu aktuella bestämmelsen knuten till villkor i sak, exempelvis affärshemlighet som också nämns som sekretessgrund i offentlighetslagen (se också GrUU 25/2010 rd). Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar. Personuppgifter är inte enligt offentlighetslagen principiellt sekretessbelagda, och propositionen har enligt motiven till lagstiftningsordningen inte till syfte att ändra det nuvarande inbördes förhållandet mellan offentlighetslagstiftningen och lagstiftningen om skydd för personuppgifter (RP, s. 76). 
Grundlagsutskottet anser att regleringen måste preciseras i överensstämmelse med sitt uttalade syfte så att tystnadspliktens förhållande till regleringen som genomför offentlighetsprincipen, som det hänvisas till i 2 §, framgår tydligt. Den här preciseringen är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till dess 48 och 61 § beaktas på behörigt sätt.  
Helsingfors 26.9.2018 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
medlem
Maria
Guzenina
sd
medlem
Hannu
Hoskonen
cent
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Markus
Lohi
cent
medlem
Leena
Meri
saf
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Arto
Satonen
saml
medlem
Ville
Skinnari
sd.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 27.9.2018 15:09