Utlåtande
GrUU
51
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i polisens verksamhet och till vissa lagar som har samband med den (RP 242/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till lagutskottet. 
Sakkunniga
Utskottet har hört 
specialsakkunnig
Suvi
Pato-Oja
inrikesministeriet
konsultativ tjänsteman
Heli
Heikkola
inrikesministeriet
lagstiftningsråd
Niklas
Vainio
justitieministeriet
överinspektör
Heikki
Huhtiniemi
dataombudsmannens byrå
professor
Juha
Lavapuro
professor
Sakari
Melander
professor
Olli
Mäenpää
professor
Tuomas
Ojanen.
Skriftligt yttrande har lämnats av 
professor
Tomi
Voutilainen
PROPOSITIONEN
Regeringen föreslås att det stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Samtidigt upphävs den gällande lagen med samma namn. Propositionen innehåller dessutom förslag till ändring av 25 andra lagar. I lagarna föreslås i huvudsak tekniska ändringar som gäller laghänvisningar. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordningen bedömer regeringen propositionen med avseende på grundlagens 10 § om skyddet för personuppgifter och skydd för privatlivet och 21 § om rättsskydd. Uppmärksamhet ägnas också artikel 8 i Europakonventionen om skydd för privatlivet och EU:s allmänna dataskyddsförordning. De lagförslag som ingår i propositionen kan enligt regeringens åsikt behandlas i vanlig lagstiftningsordning. De bestämmelser som föreslås i propositionen är viktiga i konstitutionellt hänseende med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och personuppgifter. Regleringen har beröringspunkter också med andra grundläggande fri- och rättigheter. Enligt regeringens uppfattning bör propositionen av dessa orsaker sändas till riksdagens grundlagsutskott för behandling. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Regeringen föreslår att det stiftas en ny lag om behandling av personuppgifter i polisens verksamhet. Den gällande lagen med samma namn, som tillkommit med grundlagsutskottets medverkan(GrUU 51/2002 rd, se även GrUU 18/2012 rd och GrUU 43/2014 rd), föreslås bli upphävd. Med grundlagsutskottets medverkan har det också stiftats speciallagar om behandling av personuppgifter vid gränsbevakningsväsendet (GrUU 19/2005 rd), tullen (GrUU 74/2005 rd) och brottspåföljdsmyndigheten (GrUU 70/2014 rd). 
Syftet med propositionen är att den lagstiftning om behandling av personuppgifter som behövs för skötseln av polisens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning. I propositionen beaktas också de ändringar som skett i polisens verksamhetsmiljö och de behov av att behandla uppgifter som dessa medfört, som i synnerhet gäller behandling av personuppgifter för att förebygga brott. Strävan är också att göra lagens struktur tydligare och enklare, då den har blivit komplicerad. 
Förslaget är betydelsefullt med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. I förslaget till 2 § 1 mom. sägs det att i syfte att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, samt för att skydda mot eller förebygga hot mot den allmänna säkerheten tillämpas på behandlingen av personuppgifter i regel lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (nedan även dataskyddslagen avseende brottmål). 
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) bedömt den regeringsproposition som innehåller ett förslag till dataskyddslag avseende brottmål. Syftet med lagförslaget i den propositionen är bland annat att genomföra det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). 
Grundlagsutskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt om skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. I den regleringskontext det nu är fråga om anser grundlagsutskottet att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund för skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Av betydelse är också att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller direkt kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftningom personuppgifter som ska behandlas på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Dataskyddslagen avseende brottmål ska enligt dess 1 § 2 mom. 2 punkten tillämpas på sådan behandling av personuppgifter som utförs av polisen, när uppgifterna behandlas inom ramen för en i 1 kap. 1 § 1 mom. i polislagen avsedd uppgift som hänför sig till skyddet av den nationella säkerheten. På behandlingen av personuppgifter som behövs för skyddspolisens skötsel av uppgifter tillämpas enligt 46 § 2 mom. i det nu aktuellalagförslaget dataskyddslagen avseende brottmål, med undantag av 10 § 2 mom., 54 § och 7 kap., i den lagen. 
Enligt utskottet (GrUU 26/2018 rd, s. 3, GrUU 14/2018 rd, s. 7)) får dock de rättigheter som är tryggade enligt 10 § i grundlagen särskild betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, s. 1/II, GrUU 67/2010 rd, s. 2–3). Utskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en högriskkontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. Samtidigt med denna proposition har utskottet som utlåtandeärende under arbete också en proposition med förslag till lag om behandling av personuppgifter inom Försvarsmakten och till vissa lagar som har samband med den (RP 13/2018 rd), en propositionenmed förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den (RP 241/2018 rd) och en proposition med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd). 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Polisens befogenheter ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd, s. 3, GrUU 51/2006 rd, s. 2/I). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 
Av propositionens motiv till lagstiftningsordning (s. 126) i framgår dessutom att känsliga personuppgifter behandlas inom polisen för att de polisuppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig dessutom till nästan alla ändamål med behandlingen enligt lagförslag, enligt motiven. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas både för förebyggande, avslöjande och utredning av brott samt i arbetsuppgifter inom tillståndsförvaltningen. Därtill behandlar polisen för utförande av sina uppgifter ocksåandra uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd. 
Grundlagsutskottet har bedömt hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har beydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Grundlagsutskottet har redan tidigare betonat att lagen om behandling av personuppgifter i polisens verksamhet till såväl struktur som innehåll är mycket komplicerad och därför bör revideras (GrUU 18/2012 rd). Utskottet har upprepat denna ståndpunkt och framhållit att den konstitutionella granskningen av den lagstiftning som definierar behandlingen av personuppgifter i polisens verksamhet börgöras utifrån lagstiftningshelheten ((GrUU 42/2014 rd, s. 3/I, se ävenGrUU 35/2018 rd, s. 35). Utskottet beklagar att också den nu föreslagna lagstiftningen har ett synnerligen komplicerat och svårbegripligt innehåll. 
Polisens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 42/2014 rd, s. 2/II, se även GrUU 35/2018 rd, s. , s. 36). Utskottet betonar att skyddet för uppgifter från obehöriganvändning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem. 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Lagens tillämpningsområde
Behandlingen av personuppgifter i polisens verksamhet regleras såväl i den allmänna dataskyddsförordningen som i den kompletterande nationella dataskyddslagen, i dataskyddslagen avseende brottmål och i den förslagna lagen om behandling av personuppgifter i polisens verksamhet. Enligt den kvantitativa uppskattning som görs i propositionen (s. 57) kommer som allmän författning dataskyddslagen avseende brottmål att tillämpas. På behandlingen av personuppgifter inom dataskyddsförordningens tillämpningsområde kommer emellertid dataskyddsförordningen och dataskyddslagen att tillämpas. Den lag som ingår i den föreliggande propositionen är således en speciallag som kompletterar de ovan nämnda lagarna. 
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klar och begriplig trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. Bestämmelserna i 2 § om lagförslagets tillämpningsområde i förhållande till annan lagstiftning är inte särskilt informativ i detta avseende. Med tanke på lagligheten i behandlingen av personuppgifter kan det bli problematiskt att identifiera vilka bestämmelser som ska iakttas i synnerhet i polisens praktiska verksamhet. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet utreda om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Principerna för behandling av personuppgifter
Dataskyddslagen avseende brottmål innehåller lämpliga och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, om den registrerades rättigheter, övervakning och t.ex. informationssäkerhet (se även GrUU 26/2018 rd, s. 4). I lagens 2 kap. föreskrivs det i detalj om vilkaallmänna principer för behandling av personuppgifter som ska följas alltid när personuppgifter behandlas inom tillämpningsområdet. Enligt grundlagsutskottet är det väsentligt att tillämpningsområdet för de centrala principerna vid behandling av personuppgifter därmed förefaller bli heltäckande. 
Vid tillämpningen bör avseende emellertid också fästas vid de krav på nödvändighet, proportionalitet, jämlikhet och icke-diskriminering som följer också av unionsrätten. Grundlagsutskottet har även bedömt polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning och understrukit vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik,lagen om militär underrättelseverksamhet och polislagen (se även GrUU 35/2018 rd, s. 16). Detta är enligt grundlagsutskottet viktigt också för att undvika kontradiktoriska slutsatser (se även GrUU 10/2016 rd, s. 3). Även om de principiella bestämmelserna i polislagen är tillämpliga också vid tillämpningen av den lag som nu granskas, bör lagförslaget enligt utskottet kompletteras med den typ av principiella bestämmelser som finns i 1 kap. 2–5 § i polislagen. Kompletteringen kan enligt utskottets uppfattning göras till exempel i form av en hänvisning till polislagen. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med, är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd, s.15) När grundlagsutskottet tog ställning till lagstiftningen om militärunderrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant diskrimineringsförbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd, s. 18). Utskottet menar att lagförslaget måste kompletteras med ett på detta sätt utformat allmänt diskrimineringsförbud. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I propositionsmotiven hänvisas det till 11 § i dataskyddslagen avseende brottmål och konstateras att uppgifter som hör till särskilda kategorier av personuppgifter och som ingår i de uppgifter som avses i 6 § 1–4 punkten får behandlas endast på vissa föreskrivna villkor. Enligt 11 § i dataskyddslagen avseende brottmål är behandling av särskilda kategorier av personuppgifter tillåten endast om det är nödvändigtoch de skyddsåtgärder som krävs för att trygga den registrerades rättigheter har vidtagits och en sådan särskild rättsgrund som nämns i 11 §, exempelvis en speciallag, är för handen.I motiveringen till lagstiftningsordning (s. 126) hänvisas det också till att behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen samt att bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål. 
Grundlagsutskottet fäster emellertid uppmärksamhet vid att bestämmelser på lagnivå om nödvändighetskriterier finns t.ex. i lagförslagets 6 § 1 mom. 3 punkten och i 8 § 1 mom. 4 punkten om en persons hälsotillstånd och hur hälsotillståndet följs ellerom personens vård. Också skyddspolisens befogenhet att enligt 49 § 2 mom. behandla sådana uppgifter som hör till särskilda kategorier av personuppgifter är i lag bundna till ett nödvändighetskrav. Men formuleringarna i paragrafförslagen är delvis diffusa. I förslagen till 6 § 1 mom. 3 punkten och i 8 § 1 mom. 4 punkten tillåts behandling inte bara av nödvändiga hälsotillståndsuppgifter utan också av andra uppgifter som hänför sig till särskilda kategorier av personuppgifter. I 12 § 1 mom. 6 punkten tillåts i ett likadant normsammanhang och med i övrigt identiska bestämmelser endast behandling av nödvändiga uppgifter som hänför sig till särskilda kategorier. 
Grundlagsutskottet menar att detta sätt att formulera bestämmelser som bara intas i vissa paragrafer öppnar upp för kontradiktoriska slutsatser, vilket vore fel. Enligt grundlagsutskottets praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är nödvändigt. Därför måste ett i särklass grundrättighetskänsligt lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Ändamålen med behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättenstillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd, s. 10, GrUU 36/2018 rd, s. 10) och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har utvärderat lagstiftning om behandling av personuppgifter har det ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet(se GrUU 14/1998 rd, s. 2 och exempelvis 14/2018, s.2). Enligt den justerade praxis som utskottet har gått in för ska dessa omständigheter på lagnivå fortfarande i den normkontext som nu är aktuell även framöver vara täckande och detaljerad. 
Bestämmelserna om riksomfattande informationssystem och andra polisiära personregister i den gällande lagen föreslås genom lagförslagen i propositionen bli ersatta med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för utförandet av de uppgifter som avses i polislagen samt innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Enligt 5 § 3 mom. i lagförslaget får polisen dock behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom.Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår i 7 § 4 mom. om förebyggande och avslöjande av brott samt i 48 § 2 mom. om skyddspolisen. 
I bestämmelsen är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av polisens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt motiven (s. 62) insamlas sådana uppgifter bland annat i samband med teknisk övervakning enligt 4 kap. 1 § i polislagen. Ett annat exempel som nämns i motiven är insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheternas offentliga register. Uppgifter kan jämföras med personuppgifter som redan har registrerats i polisens informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
I motiven till lagstiftningsordning (s. 125) sägs det att det oundvikligen också kommer att registreras uppgifter som vid en bedömning av deras betydelse visar sig vara betydelselösa med tanke på polisens arbetsuppgifter och det är då fråga om en åtgärd som begränsar skyddet för privatlivet.De registrerades rättssäkerhet förbättras emellertid av att uppgifter får bevaras högst sex månader och att uppgifter som bedömts vara onödiga ska raderas utan dröjsmål redan innan det har gått sex månader. Till denna del kan propositionen för sin del också förbättra skyddet för personlig integritet, jämfört med nuläget som saknar bestämmelser om hur länge det förberedande behandlingsskedet får pågå, sägs det i motiven. 
Grundlagsutskottet menar att det är svårt att bedöma hur den föreslagna regleringen överensstämmer med unionsrätten. Tillämpningsområdet för polisdirektivet är enligt dess artikel 2 bundet till ändamålet med behandlingen. Å andra sidan förutsätter artikel 8 i stadgan om de grundläggande rättigheterna, dataskyddsförordningen och polisdirektivet att personuppgifter får behandlas endast för särskilt angivna ändamål. Personuppgifterna ska enligt förordningen och direktivet dessutom vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. 
Enligt grundlagsutskottets uppfattning är den föreslagna regleringen möjligt mot bakgrunden av unionsrätten endast till den del den faller utanför unionsrättens tillämpningsområde, till exempel när det gäller den nationella säkerheten. Enligt artikel 4.2 i fördraget om Europeiska unionen ska den nationella säkerheten vara varje medlemsstats eget ansvar. Unionen har ingen behörighet när det gäller nationell säkerhet. Den nationella säkerheten har av hävd godtagits av EU-domstolen som en godtagbar grund för inskränkning av grundläggande fri- och rättigheter (t.ex. kommissionen mot Finland, C-284/05, punkt 45, 47 och 49). Det betyder enligt grundlagsutskottet likväl inte att den nationella lagstiftaren får obegränsad behörighet, hävdar utskottet. Enligt utskottets uppfattning är räckvidden för unionsrätten och därmed för rättighetsstadgan en EU-rättslig fråga, och medlemsstaterna har alltså inte behörighet att bestämma räckvidden för unionsrätten ens med hänvisning till den nationella säkerheten. En medlemsstat som åberopar den nationella säkerheten bör därför kunna påvisa att det finns en objektiv grund för detta (GrUU 35/2018 rd, s. 11, GrUU 36/2018 rd. s. 11). I propositionen anförs emellertid inte några sådana grunder utom när det gäller skyddspolisen och de föreslagna bestämmelserna i 5 och 7 § faller inte utanför tillämpningsområdet för unionsrätten. 
Grundlagsutskottet har ansett att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot unionsrätten (GrUU 15/2018, s. 42–43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Utskottet har bedömt EU-rättsliga lagstiftningsprojekt med avseende på de grundläggande fri- och rättigheterna och mänskliga rättigheterna, och då fäst vikt även vid relevant domstolspraxis (se även GrUU 28/2016 rd och GrUU 20/2016 rd). Utskottet har ansett att det vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och även grundar sig på unionsrätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden (GrUU 13/2017 rd s. 5, GrUU 9/2017 rd, s. 5). Utskottet anser att behandlingen av känsliga uppgifter är central för skyddet för privatlivet och att det inte kan höra till lagstiftarens behörighet att föreskriva om detta i strid med bestämmelserna i dataskyddsförordningen, som hör till unionsrätten (GrUU 15/2018 rd, s. 44). 
Grundlagsutskottet anser att den föreslagna bestämmelsen skulle leda till att polisen kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansenav de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i deregistrerade uppgifterna eller det tillåtna användningsändamålet. I motiveringen till 48 § om skyddspolisen hänvisas visserligen till att bedömningen av relevansen av behandlingen endast kan gälla sådana uppgifter som avses i 48 § 1 mom.Men i den föreslagna bestämmelsen finns ingen sådan begränsning. I de uppgifter som avses bli registrerade kan uppenbarligen också ingå känsliga uppgifter, för i motiveringen till lagstiftningsordningen (s. 126) anförs det att polisens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslaget. Enligt motiven behandlas exempelvis biometriska uppgifter både för förebyggande, avslöjande och utredning av brott samt i arbetsuppgifter inom tillståndsförvaltningen och därtill behandlar polisen för utförande av sina uppgifter ocksåandra uppgifter som hör till särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsotillstånd.Det går inte heller att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter eftersom den föreslagna bestämmelsen ger polisen befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Grundlagsutskottet uppmärksammar särskilt att i motiveringen till 48 § om skyddspolisen (s. 106) hänvisas det till att skötseln av skyddspolisens uppgifter kräver en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Enligt paragrafens 2 mom. tillåts det att de uppgifter som avses i 1 mom. tillfälligt får behandlas för att utreda om en uppgift är av betydelse eller inte med tanke på skyddspolisens uppdrag. När grundlagsutskottet behandlade lagförslaget om civil underrättelseinhämtning ansåg det i fråga om lagstiftningsordningen att lagförslaget måste kompletteras med en uttrycklig bestämmelse om förbud mot allmän och oriktad övervakning av datatrafik (GrUU 35/2018 rd, s. 21, se ävenGrUU 36/2018 vp, s. 24). Utskottet har fått den uppfattningen att 48 § 2 mom. åtminstone delvis dikteras av ett behov av en sådan allmän och oriktadövervakning av datatrafik som utskottet har ansett strida mot 10 § 4 mom. i grundlagen. 
Med stöd av den föreslagna lagstiftningen kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede"så som det sägs i propositionsmotiven (s. 126). Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften,innehåll och tillåtna ändamål.I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen endast till det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för polisens verksamhet och att spara dem i register i upp till sex månader. De föreslagna bestämmelserna i 5 § 3 mom, 7 § 4 mom. och 48 § 2 mom. om behandling för att avgöra om uppgifterna är betydelsefulla måste i sin nuvarande utformning strykas. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglerabedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd, s. 10 och GrUU 32/2013 rd, s. 7). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd, s.4/II—5/I). 
Exakta och noga avgränsade bestämmelser och nödvändighetskravet i fråga om behandling av känsliga uppgifter
I 5 § 1 mom. i lagförslaget föreskrivs om behandling av personuppgifter i undersöknings- och övervakningsuppgifter.Enligt förslaget får polisen behandla personuppgifter för utförandet av en uppgift som anknyter till förundersökning, polisundersökning eller någon annan utredning av brott eller till att föra brott till åtalsprövning, för utförandet av en uppgift som anknyter till upprätthållande av allmän ordning och säkerhet och för utförandet av någon annan övervakningsuppgift som föreskrivits för polisen. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som 1) är misstänkta för brott eller för medverkan till brott, 2) är under 15 år och misstänkta för en brottslig gärning, 3) är föremål för förundersökning, polisundersökning eller en åtgärd av polisen, 4) har anmält ett brott eller uppträder som målsägande, 5) är vittnen, 6) är offer, 7) direkt anknyter till polisens fältuppgifter eller i lag särskilt föreskrivna övervakningsuppgifter, 8) på något annat sätt än vad som anges i 1—7 punkten har anknytning till ett ärende som avses i 1 mom. I motiven sägs det att det är fråga om en preciserande bestämmelse (s. 61). I fråga om sådana personer som avses i det nämnda momentet får man enligt 6 § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 5 § 2 mom. 8 punkten är öppen på ett problematiskt sätt. Enligt motiven (s. 61) kan det t.ex. vara fråga om en person som lämnat tilläggsupplysingar men som ändå inte har ställning som vittne eller om en person som agerar som sakkunnig. Oberoende av 2 mom. i övrigt utvidgar bestämmelsen tillämpningsområdet för 5 § 2 mom. till alla personer som har anknytning till ett sådant uppdrag som avses i 1 mom.När utskottet behandlade regleringen av register enligt lagen om personuppgifter i polisens verksamhet, som föreslås bli upphävd, ansåg det att förteckningen om innehållet i registrerbara uppgifter måste vara uttömmande (GrUU 18/2012 rd, s. 3/I). Enligt utskottet måste likaså bestämmelsen i den nu föreslagna regleringen oundgängligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i propositionsmotiven. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 6 § 1 mom. 3 punkten föreskrivs det om registrering av så kallad säkerhetsinformation. Enligt förslaget får polisen behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. Grundlagsutskottet har redan tidigare behandlat motsvarade förslag och då konstaterat att förslaget förefaller möjliggöra fortsatt omfattande registreringav hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se GrUU 18/20102 rd s. 2/II och GrUU 37/2002 rd, s. 4/II). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsar området för registrerbara uppgifter (GrUU 18/2012 rd, s. 3/II). Enligt utskottet är den föreslagna bestämmelsen behäftad med samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, i synnerhet i fråga om de nämnda övriga känsliga uppgifterna, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. Bestämmelsen måste preciseras. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 8 § 1 mom. 4 punkten och 12 § 1 mom. 6 punkten i lagförslag 1. 
I förslaget till 7 § föreskrivs det om behandling av personuppgifter för förebyggande eller avslöjande av brott. I förslaget till 8 § föreskrivs det om vilka uppgifter som utöver de grundläggande personuppgifter som nämns i 4 § får behandlas. Grundlagsutskottet har den uppfattningen att dessa uppgifter kan innehålla känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven (s. 72) enligt vilken 2 punkten i momentet till sitt innehåll de facto är omfattande. Med stöd av det lagrummet skulle polisen få behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den del uppgifterna är behövliga med tanke på förbyggande och utredning av brott. Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I förslaget till 8 § föreskrivs det om behandling av personuppgifter som anknyter till förebyggande eller avslöjande av brott. De föreslagna 7 och 8 § innebär en rikstäckande utvidgning av informationsinnehållet i registret både vad gäller uppgiftsinnehållet och de kategorier av personer som får registreras (s. 127). Enligt gällande lag är antecknande i registret knutet till straffet för ett misstänkt brott på så sätt att personuppgifter om en person som gör sig skyldig eller misstänks ha gjort sig skyldig till ett brott får behandlas om straffpåföljden kan vara fängelse. Uppgifter om en person som har medverkat eller medverkar till ett brott får enligt gällande lag behandlas om det misstänkta brottet kan följas av fängelse i mer än sex månader eller om det misstänkta brottet är straffbart bruk av narkotika. Enligt 7 § uppställs inga kriterier för hur grova brott det är fråga om utan de uppgifter det handlar om förutsätts anknyta till personer som "med fog kan antas ha gjort sig skyldiga till brott". Enligt gällande 4 § 2 mom. är en förutsättning för behandling av uppgifter att en person "skäligen kan misstänkas" göra eller ha gjort sig skyldig till brott. Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till "skäligen misstänkas" i överensstämmelse med den gällande lagen. 
Den föreslagna 9 § gäller behandling av uppgifter om informationskällor. Enligt förslaget får polisen behandla uppgifter om en i 5 kap. 40 § i polislagen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. Det framgår överhuvudtaget inte vilken typ av personuppgifter som avses här. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen (s. 73).Bestämmelsen måste kompletteras. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I förslaget till 11 § föreskrivs det om behandling av personuppgifter i polisens övriga lagstadgade uppgifter och i 12 § om innehållet i personuppgifter som behandlas för utförande av sådana uppgifter. Bestämmelserna är delvis uppbyggda på dubbel icke-uttömmande och uteslutande reglering. Polisen får behandla personuppgifter också för utförande av uppgifter som anknyter till tillståndsförvaltning samt för sådana övervakningsuppgifter som polisen ska utföra enligt särskilda bestämmelser i lag och som inte anknyter till förebyggande, avslöjande eller utredning av brott eller förande av brott till åtalsprövning eller skydd mot eller förebyggande av hot mot den allmänna säkerheten. Bestämmelserna innehåller ingen begränsning i fråga om känsliga uppgifter och måste därför preciseras eller kompletteras med en begränsning enligt vilken känsliga uppgifter inte får behandlas på grundval av 12 § 1 mom. 8 punkten. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 7 kap. i lagförslaget föreskrivs om behandling av personuppgifter vid skyddspolisen. Enligt förslaget till 48 § får skyddspolisen behandla personuppgifter som behövs för att skydda den nationella säkerheten samt för att förhindra, avslöja och utreda verksamhet, förehavanden och brott som hotar stats- och samhällsordningen eller statens säkerhet. I 49 § förskrivs det om behandling av grundläggande personuppgifter. Med stöd av 1 mom. 8 punkten föreslås skyddspolisen bland annat få behandla uppgifter om resande såsom grundläggande personuppgifter och med stöd av 12 punkten uppgifter som gäller en persons verksamhet och beteende. Det är oklart hur bestämmelserna relaterar till varandra trots att det i motiven till 49 § (s. 107) hänvisas till att skyddspolisen endast får behandlauppgifter som är behövliga med tanke på dess uppdrag. 
När grundlagsutskottet behandlade den gällande lagen konstaterade det att de allmänt hållna bestämmelserna om skyddspolisens funktionella informationssystem på sätt och vis är förståeligt med tanke på sammanhanget (GrUU 51/2002 rd, s. 2/II). Men den nu föreslagna regleringens ordalydelse lämnar ändå till vissa delar frågan öppen om vilka uppgifter det är möjligt att behandla som personuppgifter. Uppgifter som gäller resande skulle i praktiken täcka in alla situationer där en person utnyttjar sin rörelsefrihet, som är skyddad i 9 § i grundlagen. Särskilt problematiskt framstår omnämnandet av uppgifter om verksamhet och beteende i 12 punkten, som enligt ordalydelsen i praktiken täcker in en privat persons hela livssfär. Sådana uppgifter kan innehålla känsliga uppgifter. Regleringen måste nödvändigt preciseras till exempel genom att klart avgränsa och i lag föreskriva om när resande respektive beteende och verksamhet är av sådan art att det uppfyller nödvändighetskravetmed avseende på skyddspolisens befogenheter att behandla anknytande personuppgifter. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Undantag från ändamålsbundenheten
Grundlagsutskottet har starkt lyft fram kravet på ändamålsbundenhet i synnerhet i fråga om behandling av känsliga uppgifter. Utskottet har ansett det möjIigt att göra bara exakt avgränsade och mycket små undantag. Bestämmelserna får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål (GrUU 15/2018 rd, s. 46, GrUU 1/201 rd, s. 4, GrUU 14/2017 rd, s. 6). 
De föreslagna avvikelserna från ändamålsbundenheten i jämförelse med den gällande lagen skulle medföra utvidgade befogenheter närmast i fråga om biometriska uppgifter enligt passlagen och lagen om identitetskort, identifieringsuppgifter för utlänningar som behandlas med stöd av 131 § i utlänningslagen och kunskapsunderlaget för beslutsfattande inom tillståndsförvaltningen. Syftet med de utvidgade undantagen är att skapa förutsättningar för ett effektivt förebyggande, avslöjande och utredande av brott som kräver att personuppgifter kontrolleras i flera personregister (s. 129). 
Enligt förslaget till 14 § 4 mom. får biometriska uppgifter som behandlas för utförande av uppgifter enligt 131 § i utlänningslagen i fortsättningen användas för andra ändamål än det ursprungliga ändamålet med behandlingen av uppgifterna endast i de fall som avses i 2 mom. och om det är nödvändigt att använda uppgifterna för förebyggande, avslöjande eller utredning av sådana terroristbrott och andra grova brott  
I sitt utlåtande ansåg grundlagsutskottet att den föreslagna lagen kunde behandlas i vanlig lagstiftningsordning bara om den ändrades så att det föreskrivs att användningen av fingeravtryck begränsas uteslutande till ändamål som svarar mot det ändamål som de samlats in och registrerats för (GrUU 47/2010 rd, s. 4). Ett sådant ändamål kan i sig ha samband med att hindra och utreda exakt angivna brott, men bara i den omfattningen som verksamheten har ett nära samband med det ursprungliga insamlings- och registreringsändamålet. Bestämmelser om det ursprungliga ändamålet för insamling och registrering av uppgifter för identifiering av utlänningar finns i 131 § i utlänningslagen. Polisen eller gränskontrollmyndigheten får för verifiering av identitet, för behandling, beslut och övervakning av utlänningars inresa och utresa samt vistelse och arbete och för tryggande av statens säkerhet ta fingeravtryck, fotografier och andra signalement på en sådan utlänning som avses i lagrummet. 
Förslaget till 14 § 4 mom. motiveras med att polisen med stöd av 131 § i utlänningslagen har rätt att uppta signalement för tryggande av statens säkerhet och att i europadomstolens rättspraxis har staten ansetts ha en bred prövningsmarginal bl.a. för att bedöma om begränsningen av skydd av personlig integritet är nödvändig för att trygga statens säkerhet (s. 137). För tryggandet av statens säkerhet anses det vara viktigt att bl.a. utreda vem det finns skäl att misstänka för ett brott som äventyrar statens säkerhet eller för planeringen av ett sådant brott. Förebyggande, avslöjande och utredande av terroristbrott och andra grova brott ska enligt propositionsmotiven anses vara ett ändamål förenligt med behandling av personuppgifter för tryggande av statens säkerhet. Det föreslås att med terroristiska gärningar ska på motsvarande sätt som i Eurodacförordningen jämställas övriga grova brott som avses i förordningen. 
Enligt artikel 2 i Eurodacförordningen avses med terroristbrottbrott enligt nationell rätt som motsvarar eller är likvärdiga med de som avses i artiklarna 1–4 i rambeslut 2002/475/RIF och med grova brott former av brottslighet som motsvarar eller är likvärdiga med de som avses i artikel 2.2 i rambeslut 2002/584/RIF om de enligt nationell rätt kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år.Tillämpningsområdet för förslaget till 14 § 4 mom. utvidgas således till brott som inte ens i sin grova form riktar sig mot statens säkerhet eller mot något annat mål som nämns i 131 § i utlänningslagen. Avvärjandet av dessa brott har därmed inte något sådant nära sambandmed den ursprungliga avsikten med att samla in och registrera information på det sätt som grundlagsutskottet förutsätter. Om förslaget till 14 § 4 mom. inte till denna del är utformad på det sätt som Eurodacförordningen kräver måste lagrummet preciseras väsentligt på så sätt att behandlingen ska ha ett nära sambandmed insamlings- och registreringssyftet. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Utlämnande av uppgifter
I 51 § i lagförslaget föreskrivs det om utlämnande av personuppgifter i internationellt samarbete. När beslut fattas om utlämnande av uppgifter ska hänsyn dessutom tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Dessutom ska nivån på dataskyddet i den stat som är mottagare av personuppgifterna beaktas och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter. 
Skyddspolisen ska i all sin verksamhet respektera de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt välja det motiverbara alternativ som bäst tillgodoser dessa rättigheter, sägs det i propositionsmotiven (s. 110). På detta sätt bör skyddspolisen agera också när den behandlar personuppgifter och lämnar ut personuppgifter till utlandet. Vid prövningen ska i möjligaste mån också beaktas nivån på datasekretessen hos den som tar emot uppgifterna och betydelsen av utlämnandet av uppgifterna med tanke på den registrerades rättigheter. Grundlagsutskottet anser bestämmelsen vara motiverad. 
Grundlagsutskottet har ansett att av förbudet enligt 9 § 4 mom. i grundlagen mot att utvisa en utlänning om han eller hon till följd av detta riskerar dödsstraff, tortyr eller någon annan behandling som kränker människovärdet, följer att det inte är tillåtet att lämna ut uppgifter, om de kan leda till att någon t.ex. döms till dödsstraff eller till att ett ådömt dödsstraff verkställs (GrUU 51/2002 rd). Utskottet har vidare i samband med bedömningen av underrättelselagarna ansett att det är ett villkor för vanlig lagstiftningsordning att regleringen av internationellt informationsutbyte kompletteras så att det av lagen uttryckligen framgår att information inte får lämnas ut till en stat som kan anses göra sig skyldig till systematiska människorättskränkningar eller där metoderna för underrättelseinhämtning inte följer de standarder som fastställts i de internationella människorättskonventionerna. Avgränsningen kunde enligt utskottets uppfattning göras exempelvis så att det i bestämmelsen införs en hänvisning till att internationella avtal som är bindande för Finland ska följas vid utlämnande och mottagande av information och genom att uttryckligen förbjuda internationellt samarbete och utbyte av information, om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång (se även GrUU 35/2018 rd, s. 26—27 GrUU 36/2018 rd, s. 29). Utskottet menar att de nu aktuella föreslagna bestämmelserna måste kompletteras med ett sådant uttryckligt förbud. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Förvaringstider
I 5 kap. föreslås bestämmelser om arkiveringstider för personuppgifter. Motsvarande bestämmelser som gäller skyddspolisen finns i 57 §. Enligt 35 § ska personuppgifter i anknytning till förebyggande och avslöjande av brott raderas senast 10 år från det att den sista uppgiften om ett brott, brottslig verksamhet eller ett uppdrag infördes. I 36 § finns bestämmelser om arkivering av uppgifter om informationskällor, som enligt förslaget ska raderas senast 10 år från det att den sista uppgiften infördes. För vissa personer kan det således bli fråga om uppgifter för en mycket lång tidsperiod, om nya uppgifter regelbundet tillfogas. Också enligt 33 § 7 mom., 34 § 4 mom. och 35 § 2 mom. får arkiveringen fortgå upprepat på synnerligen obestämbara grunder. Enligt 57 §, som gäller skyddspolisen, ska uppgifter raderas 25 år från det att den sista uppgiften fördes in, om det inte finns särskilda skäl att fortfarande bevara personuppgifterna. 
Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd). Utskottet har också ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd). Försvarsutskottet bör överväga om så långa förvaringstider behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter med avseende på syftet med nödvändig förvaring. 
Dataskyddsbrott
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i bestämmelsen närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Bestämmelsen är problematisk med avseende på den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen, eftersom den inte närmare individualiserar de andra lagar där följden kan vara straff för behandling av personuppgifter i strid med lagen (se GrUU 14/2018 rd, s. 21). 
Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Utskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som blankettbestämmelserna kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i blankettbestämmelserna är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8–9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Utskottets uppfattning är att lagen om behandling av personuppgifter i polisens verksamhet är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
Övrigt
Riksdagen har under 2018 års riksmöte godkänt en ny paragraf 17 a § i riksdagens arbetsordning, där det hänvisas till 5 § i den gällande lagen om behandling av personuppgifter i polisens verksamhet (GrUU 10/2018 rd). Utskottet påminner om att lagrummet måste ses över i samband med att den nya lagen om behandling av personuppgifter i polisens verksamhet stiftas. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets anmärkningar mot lagförslaget principbestämmelser och dess konstitutionella invändningar mot 5, 6, 7, 8, 9, 12, 14, 45, 48, 49 och 51 § beaktas på behörigt sätt.  
Helsingfors 10.1.2019 
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Markus
Lohi
cent
medlem
Leena
Meri
saf
medlem
Ville
Niinistö
gröna
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Kaj
Turunen
saml
ersättare
Mats
Löfström
sv
Sekreterare var
utskottsråd
Mikael
Koillinen
Senast publicerat 29.1.2019 11:27