Utlåtande
GrUU
29
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet och till vissa lagar som har samband med den (RP 55/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
konsultativ tjänsteman
Jouko
Huhtamäki
inrikesministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Juha
Lavapuro
professor
Tuomas
Ojanen.
Skriftligt yttrande har lämnats av 
juris magister
Niklas
Vainio.
PROPOSITIONEN
Regeringen föreslår att det stiftas en lag genom vilken Europaparlamentets och rådets direktiv om användning av passageraruppgiftssamlingar för att bekämpa terroristbrott och grov brottslighet genomförs. I propositionen föreslås det också smärre revideringar av teknisk natur i den nämnda lagen om samarbete mellan myndigheter och i lagen om verkställighet av böter. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordningen bedöms lagförslagen mot bestämmelsen om jämlikhet i grundlagens 6 §, bestämmelsen om den grundläggande rättighet som gäller den straffrättsliga legalitetsprincipen i grundlagens 8 §, skyddet för personuppgifter och skydd för privatlivet i grundlagens 10 § och regleringen om avgifter i grundlagens 81 §. Regeringen fäster också vikt vid självstyrelselagen för Åland. 
Enligt regeringen kan propositionen behandlas i vanlig lagstiftningsordning. Regeringen anser ändå att det är lämpligt att riksdagen begär utlåtande om propositionen av grundlagsutskottet. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
I lagförslaget i propositionen föreskrivs det om ändamålen med behandlingen av flygpassageraruppgifter (PNR-uppgifter) och förutsättningarna för att uppgifterna ska kunna överlåtas. PNR-direktivet ålägger myndigheterna att samla in uppgifter om flygningar utanför EU. När det gäller flygningar inom EU är det enligt direktivet möjligt att samla in uppgifter om antingen alla eller endast valda flygningar. I den föreslagna lagen föreskrivs det att den riksomfattande kriminalunderrättelseenhet som avses i lagen om samarbete mellan polisen, Tullen och Gränsbevakningsväsendet ska fungera som en nationell enhet som behandlar passagerarinformation. I motiven till lagstiftningsordningen i propositionen sägs det att regleringen i praktiken innebär att passageraruppgifter behandlas i stor skala. När personuppgifter lämnas ut till enheten begränsas de inte enbart till personer som misstänks delta i brottslig verksamhet utan gäller de personuppgifter som alla passagerare uppgett till flygbolaget i samband med biljettbokningen (RP, s. 39). 
Förslaget är betydelsefullt med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. I 2 § i lagförslag 1 i regeringens proposition sägs det att utöver vad som föreskrivs i denna lag tillämpas lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten på behandling av PNR-uppgifter. Grundlagsutskottet har nyligen (GrUU 26/2018 rd) bedömt den regeringsproposition som syftar till att stifta den lagen. Syftet med lagförslaget i den propositionen är bland annat att genomföra det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). 
Grundlagsutskottet sade i sitt utlåtande om lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten att trots att utskottet inom tillämpningsområdet för EU:s allmänna dataskyddsförordning har justerat sin ståndpunkt visavi skyddet för personuppgifter särskilt när det gäller kravet på bestämmelser i lag, är det betydelsefullt att polisdirektivet till skillnad från den direkt tillämpliga dataskyddsförordningen inte innehåller några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet av privatlivet och personuppgifter i 10 § i grundlagen (se också GrUU 14/2018 rd, s. 6). Utskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en högriskkontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). Relevant i detta avseende var också att förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 
Genom de föreslagna lagarna genomförs Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan PNR-direktivet). Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). Utskottet anser att ramarna för det nationella handlingsutrymmet klargörs tillräckligt i propositionen. 
Regleringen om behandling och utlämnande av passageraruppgifter för brottsbekämpningsändamål har under de senaste åren rätt ofta varit föremål för utskottets bedömning, särskilt i EU-rättsliga sammanhang (se GrUU 11/2018 rd, GrUU 21/2017 rd, GrUU 13/2017 rd, GrUU 3/2017 rd, GrUU 2/2016 rd, GrUU 11/2008 rd). Från konstitutionell synpunkt är det också betydelsefullt att det i den gällande lagstiftningen genom grundlagsutskottets medverkan (GrUU 42/2014 rd) har föreskrivits om rätt för polisen att av samfund och sammanslutningar få sådana personuppgifter ur register över passagerare och fordons personal som behövs för att förhindra, avslöja och utreda brott och föra brott till åtalsprövning samt för att nå efterlysta personer. Genom grundlagsutskottets medverkan har det också föreskrivits om rätt för polisen, gränsbevakningsväsendet, tullverket, räddningsmyndigheterna och hälsoskyddsmyndigheterna att få passageraruppgifter av dem som utövar inkvarteringsverksamhet (GrUU 49/2004 rd). 
Grundlagsutskottet anser att syftet bakom den nu aktuella propositionen är godtagbart. Särskilt bekämpning av terrorism och allvarliga brott kan betraktas som ett sådant tungt vägande intresse att det i sig kan anses finnas ett godtagbart syfte för behandling av personuppgifter och inskränkningar i skyddet för privatlivet. Utskottet noterar ändå att regeringen i avvikelse från den gällande lagstiftningen föreslår att ett nytt personregister ska inrättas för behandling av passageraruppgifter. Grundlagsutskottet ansåg i sitt utlåtande GrUU 42/2014 rd att det var viktigt att passageraruppgifterna inte bildar ett eget personregister. I det direktiv som ska genomföras förutsätts det ändå att ett nytt register inrättas för lagring av PNR-uppgifterna, och till denna del ger inte direktivet medlemsstaterna något handlingsutrymme. 
Uppgifternas innehåll
Enligt artikel 6.3 a i PNR-direktivet får enheten för passagerarinformation jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser. Direktivet ger således den nationella lagstiftaren handlingsutrymme när det gäller vilka databaser som ska betraktas som sådana databaser enligt direktivet som PNR-uppgifterna ska jämföras med. 
Regleringen om behandling av PNR-uppgifter i 7 § i lagförslag 1 möjliggör enligt grundlagsutskottet en omfattande och automatiserad jämförelse av PNR-uppgifterna med uppgifterna i andra myndighetsregister. Passageraruppgifterna verkar inte i sig innehålla några sådana känsliga uppgifter att det skulle krävas ett särskilt skydd mot missbruk för personuppgifterna i systemet (se också GrUU 33/2016 rd). Behandlingen av personuppgifterna måste ändå vara behövlig också enligt polisdirektivet. Enligt grundlagsutskottet bör förvaltningsutskottet i fråga om varje register enligt 7 § som innehåller uppgifter som enheten för passagerarinformation genom automatiserade metoder får jämföra med PNR-uppgifter noga utreda och bedöma om utnyttjandet är nödvändigt. 
Profilering
Enligt 7 § i lagförslag 1 får enheten för passagerarinformation behandla PNR-uppgifter för identifiering av personer som kan vara delaktiga i terroristbrott eller grov brottslighet, bland annat i enlighet med på förhand fastställda kriterier för bedömning och analys eller för att uppdatera kriterierna eller fastställa nya kriterier. Enligt bestämmelsen fastställer enheten för passagerarinformation de ovannämnda kriterierna för bedömning och analys och ser över dem regelbundet tillsammans med de behöriga myndigheterna. Bedömningskriterierna ska vara riktade, proportionella och tydliga. De får inte grunda sig på uppgifter om en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, medlemskap i fackförbund, hälsotillstånd, sexualliv eller sexuella läggning. Enheten för passagerarinformation får i samband med den behandling som anges ovan genom automatiserade metoder jämföra PNR-uppgifter med uppgifter i ett flertal databaser och register som räknas upp i bestämmelsen. 
När grundlagsutskottet bedömde EU-regleringen i samband med det nya systemet med förhandsregistrering av tredjelandsmedborgare som inte behöver ha visum, Etias, påpekade utskottet att systemet innebär att riskanalyser införs i fråga om tredjelandsmedborgare. Utskottet ansåg att statsrådet vid den fortsatta beredningen av den föreslagna förordningen skulle sträva efter att se till att det inte i systemet förekommer någon etnisk eller annan profilering på personlig grund, eftersom detta skulle utgöra ett problem med tanke på likställighetsprincipen och förbudet mot diskriminering i 6 § i grundlagen och i artiklarna 20 och 21 i EU:s stadga om de grundläggande rättigheterna (GrUU 3/2017 rd). I denna typ av regleringssammanhang har utskottet mer generellt framhävt betydelsen av normerna om likställighet och förbud mot diskriminering i artiklarna 20 och 21 i EU:s stadga om de grundläggande rättigheterna. Det innebär åtminstone ett förbud mot etnisk profilering, dvs. ett förbud mot att utföra kontroller till exempel utifrån nationalitet eller nationellt ursprung (GrUU 2/2016 rd, GrUU 18/2012 rd, s. 4/II). 
Den avgränsning i bestämmelsen enligt vilken grunden för bedömningskriterierna inte får strida mot diskrimineringsförbudet baserar sig enligt motiven till regeringens proposition på grundlagens 6 § och dessutom på artikel 11.3 i polisdirektivet (RP, s. 26 och 42). Grundlagsutskottet anser de föreslagna bestämmelserna vara relevanta till denna del. Utskottet påminner ändå om att regleringen även till dessa delar ska tillämpas med hänsyn till de krav på nödvändighet, proportionalitet, jämlikhet och icke-diskriminering som följer också av EU-rätten. 
När grundlagsutskottet bedömde försöket med basinkomst fäste utskottet med anledning av kravet på bestämmelser i lag uppmärksamhet vid det urvalsförfarande som föreslogs då och dess transparens. Grundlagsutskottet ansåg att försöksgruppen inte kan väljas ut enbart med hjälp av en programkod, utan både kravet på bestämmelser i lag och kraven på att de ska vara exakta och noga avgränsade förutsätter bestämmelser i lag om grunderna för urvalet. Utskottet ansåg att lagen uttryckligen också bör innehålla bestämmelser om offentliggörandet av programkoden och dess offentlighet (GrUU 51/2016 rd, s. 5). 
Grundlagsutskottet anser att förvaltningsutskottet bör precisera regleringen om kriterierna för bedömning och analys. Förvaltningsutskottet bör av orsaker som hänför sig till 12 § 2 mom. och 21 § i grundlagen också noga granska hur de föreslagna kriterierna och algoritmerna i de automatiserade metoder som eventuellt tillämpar dem förhåller sig till lagen om offentlighet i myndigheternas verksamhet och vid behov precisera regleringen. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning. 
Helsingfors 4.10.2018 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
medlem
Maria
Guzenina
sd
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Markus
Lohi
cent
medlem
Leena
Meri
saf
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Matti
Torvinen
blå
medlem
Kaj
Turunen
saml
ersättare
Lasse
Hautala
cent
ersättare
Mats
Löfström
sv.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 11.10.2018 09:30