Utlåtande
GrUU
52
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Försvarsmakten och till vissa lagar som har samband med den
Till försvarsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Försvarsmakten och till vissa lagar som har samband med den (RP 13/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till försvarsutskottet. 
Sakkunniga
Utskottet har hört: 
lagstiftningsdirektör
Hanna
Nordström
försvarsministeriet
regeringssekreterare
Perttu
Wasenius
försvarsministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Juha
Lavapuro
professor
Tuomas
Ojanen
professor (emeritus)
Teuvo
Pohjolainen
juris magister
Niklas
Vainio
professor
Tomi
Voutilainen.
PROPOSITIONEN
Regeringen föreslår att det ska stiftas en lag om behandling av personuppgifter inom Försvarsmakten. I förslaget ingår dessutom förslag till lagar om ändring av vissa andra lagar. 
Lagarna har när propositionen lämnades avsetts träda i kraft den 6 maj 2018. 
I motiven till lagstiftningsordning granskas lagförslagen med avseende på skyddet för privatlivet och personuppgifter, så som det garanteras i 10 § i grundlagen. Uppmärksamhet ägnas också åt artikel 8 i Europakonventionen om skydd för privatlivet. 
Lagförslagen kan enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning. Den föreslagna regleringen är dock i konstitutionellt hänseende betydelsefull med tanke på skyddet för privatlivet och skyddet för personuppgifter och därför är det skäl att överlämna propositionen till riksdagens grundlagsutskott för behandling. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
I propositionen föreslås att det ska stiftas en ny lag om behandling av personuppgifter inom Försvarsmakten (nedan också lagförslaget). Med grundlagsutskottets medverkan har det också stiftats speciallagar om behandling av personuppgifter vid Gränsbevakningsväsendet (GrUU 19/2005 rd), Tullen (GrUU 71/2014 rd) och Brottspåföljdsmyndigheten (GrUU 70/2014 rd). Utskottet har dessutom nyligen bedömt propositionen med förslag till lag om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd). 
Också det nu aktuella förslaget sammanhänger med totalrevideringen av den finska dataskyddslagsstiftningen, som ska göras på grund av Europeiska unionens lagstiftning som gäller dataskydd. I propositionen ingår också ett förslag till reglering av personuppgifter i samband med militära underrättelseuppdrag, och därför har propositionen också kopplingar till lagstiftning om underrättelsehämtning. 
Förslaget är betydelsefullt med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. I 2 § 1 mom. i propositionen sägs att på sådan behandling av personuppgifter som avses i lagen, om inte något annat föreskrivs i denna lag, tillämpas utöver denna lag också lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (nedan också lagen om behandling av personuppgifter i brottmål), med undantag av 10 § 2 mom., 54 § och 7 kap. 
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) bedömt den regeringsproposition som syftade till att stifta lagen om behandling av personuppgifter i brottmål. Syftet med lagförslaget i den propositionen är bland annat att genomföra det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). Lagen om behandling av personuppgifter i brottmål tillämpas med anledning av reglering utfärdad på grundval av nationell prövning också när Försvarsmakten, polisen och Gränsbevakningsväsendet hanterar personuppgifter vid upprätthållandet av den nationella säkerheten (se också GrUU 26/2018 rd). 
Grundlagsutskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt om skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Enligt utskottet (GrUU 26/2018 rd, GrUU 14/2018 rd) får dock de rättigheter som är tryggade enligt 10 § i grundlagen särskild betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. I motiven till den nu aktuella propositionen (s. 20) hänvisas det till att en del av Försvarsmaktens verksamhet som har samband med behandling av personuppgifter till sin art är ytterst nära de funktioner som hör till tillämpningsområdet för polisdirektivet. Försvarsmakten är exempelvis förundersökningsmyndighet i militära brottmål, och dessutom ingår i dess uppgifter att förebygga och avslöja vissa brott som anknyter till landets försvar. I lagförslaget föreskrivs också om hantering av personuppgifter i samband med militära underrättelseuppdrag. Utskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en högriskkontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. Samtidigt med denna proposition har utskottet som utlåtandeärende under arbete också propositionen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den (RP 241/2018 rd) och propositionen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd). 
Grundlagsutskottet har bedömt hantering av känsliga uppgifter utifrån att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). En sådan avgränsning har i utskottets nyare praxis ansetts vara en fråga om lagstiftningsordning (se t.ex. GrUU 15/2018 rd). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Försvarsmaktens personregister innehåller mycket sådan information som det är synnerligen viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (se även GrUU 51/2018 rd, s. 5, GrUU 42/2014 rd, s. 2—3, se även GrUU 35/2018 rd, s. 34). Utskottet vill betona att skydd av uppgifter från orättmätig användning inte kan vara beroende på enbart tjänsteansvar hos den personuppgiftsansvarige eller den som hanterar uppgifterna, eller annat påföljdssystem. 
Tillämpningsområde
I 2 § 4 mom. i lagförslaget sägs att bestämmelser om annan behandling av personuppgifter inom Försvarsmakten än sådan som avses i 1 § föreskrivs i EU:s allmänna dataskyddsförordning och i dataskyddslagen. I motiven hänvisas till att lagens tillämpningsområde följaktligen avgränsas utgående från i vilket syfte personuppgifterna behandlas. Om syftet med behandlingen hänför sig till skötseln av någon uppgift om vilken föreskrivs i den i paragrafen nämnda lagen om försvarsmakten, ska denna lag tillämpas på behandlingen. På motsvarande sätt, om behandlingen inte anknyter till skötseln av dessa uppgifter, utan grund för behandlingen är t.ex. skötsel av personalärenden, ska denna lag inte tillämpas på behandlingen, utan EU:s dataskyddsförordning och den föreslagna allmänna dataskyddslagen. I motiven anses att i praktiken ska dataskyddsförordningen och den allmänna dataskyddslagen därmed tillämpas endast på sådan behandling av personuppgifter som inte behövs för skötsel av de uppgifter om vilka föreskrivs i lagen om försvarsmakten. Till tillämpningsområdet för det nu aktuella lagförslaget ska utgående från den föreslagna bestämmelsen om tillämpningsområde inte alls höra sådan behandling av personuppgifter på vilken EU:s dataskyddsförordning tillämpas, konstateras i motiven. 
Grundlagsutskottet uppmärksammar att dataskyddsförordningen i alla avseenden är förpliktande och att den tillämpas som sådan i alla medlemsstater direkt med stöd av artikel 288.2 i EUF-fördraget (se även GrUU 14/2018 rd, s. 3). Av förordningens direkta tillämplighet följer bland annat att dess tillämplighet i medlemsstaterna bestäms direkt med stöd av förordning utan att tillämpningsområdet kan begränsas eller ens förklaras med nationell reglering. Utskottet är inte helt övertygat om att alla i lagen föreskrivna datainnehåll och användningssyften skulle ha samband med nationell säkerhet på så sätt att EU:s dataskyddsförordning inte alls skulle tillämpas på behandling som hör till lagens tillämpningsområde. Försvarsutskottet bör förtydliga lagförslagets tillämpningsbestämmelse. 
Offentlighetsprincipen
Enligt det föreslagna 2 § 2 mom. finns närmare bestämmelser om sekretess och tystnadsplikt av personuppgifter i lagen om offentlighet i myndigheternas verksamhet. Enligt motiven (s. 30) är hänvisningen enbart informativ. Enligt 2 § i dataskyddslagen avseende brottmål som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 26/2018 rd, s. 7) tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det är viktigt också för att undvika kontradiktoriska slutsatser. 
Principerna för behandling av personuppgifter
Dataskyddslagen avseende brottmål innehåller lämpliga och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, om den registrerades rättigheter, övervakning och t.ex. informationssäkerhet (se även GrUU 26/2018 rd, s. 4). I lagens 2 kap. föreskrivs det i detalj om vilka allmänna principer för behandling av personuppgifter som ska följas alltid när personuppgifter behandlas inom tillämpningsområdet. Enligt grundlagsutskottet är det väsentligt att tillämpningsområdet för de centrala principerna vid behandling av personuppgifter därmed förefaller bli heltäckande. 
Vid tillämpningen bör uppmärksamhet emellertid också fästas vid kraven på proportionalitet, jämlikhet och icke-diskriminering. Grundlagsutskottet har även bedömt polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning och understrukit vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik, lagen om militär underrättelseverksamhet och polislagen (se även GrUU 35/2018 rd, s. 16). Utskottet anser att också det nu aktuella lagförslag 1 i propositionen måste kompletteras med den typ av principiella bestämmelser som finns i 1 kap. 2—5 § i polislagen. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd, s.15) När grundlagsutskottet tog ställning till lagstiftningen om militär underrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant förbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd, s. 18). Utskottet anser att även det nu aktuella lagförslag 1 i propositionen ska kompletteras med ett så formulerat allmänt förbud mot diskriminering. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Lagförslagets 3 § 2 mom. innehåller en enligt grundlagsutskottets mening konstitutionellt adekvat allmän bestämmelse där det sägs att registrering och annan behandling av uppgifter som ingår i de särskilda kategorier av personuppgifter som avses i 11 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är tillåten endast om behandlingen är nödvändig med tanke på ändamålet med registret. Grundlagsutskottet lägger emfas vid bestämmelsens betydelse vid tolkning av lagens övriga bestämmelser. 
Ändamålen med behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter ska ske för ett specifikt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättens tillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till den först nämnda undantaget hänförs som sagt i regel exempelvis den nationella säkerheten (se även GrUU 35/2018 rd, s. 10, GrUU 36/2018 rd, s. 10) och till det senare undantaget närmast polisdirektivet. 
När grundlagsutskottet har behandlat lagstiftning om behandling av personuppgifter har det ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd, s. 2 och exempelvis GrUU 14/2018 rd, s.2). Enligt den justerade praxis som utskottet har gått in för ska dessa omständigheter på lagnivå fortfarande i den normkontext som är aktuell nu även framöver vara täckande och detaljerad. 
I lagförslagets 2 kap. föreskrivs om syftena för registreringen genom att för varje personregister föreskriva i detalj om dess ändamål. I fråga om permanenta personregister ska registreringens mål alltid motsvara ändamålet med personregistret i fråga. Det ska vara tillåtet att upprätta ett tillfälligt eller ett annat personregister endast för de syften om vilka föreskrivs i 16 § i lagen. 
Enligt 13 och 15 § i propositionen ska personuppgifter få sparas i registret i högst sex månader för att utreda om uppgifterna är av betydelse för fullgörande av militära underrättelseuppdrag eller för uppdrag som ska förebygga och avslöja brott. I motiven till lagstiftningsordning (s. 62) hänvisas till att bestämmelserna gör det möjligt att temporärt avvika från tröskeln för behandling av vanliga uppgifter. Underrättelseinhämtning i samband med fullgörande av militära underrättelseuppdrag eller uppdrag för att förebygga och avslöja brott avviker till sin karaktär från typiska myndighetsmetoder för informationssökning och det är därför enligt motiven inte alltid möjligt att genast utreda betydelsen av all den information som inhämtats i samband med utförandet av uppgifterna. Syftet med en maximitid på sex månader är enligt motiven att säkerställa att begränsningen av integritetsskyddet som helhet står i rätt proportion till det eftersträvade syftet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt direktiv 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. Enligt grundlagsutskottets uppfattning är den föreslagna regleringen möjligt mot bakgrunden av unionsrätten endast till den del den faller utanför unionsrättens tillämpningsområde, till exempel när det gäller den nationella säkerheten (se GrUU 51/2018 rd, s. 9). I motiven hänvisas till att största delen av den behandling av personuppgifter som sker inom Försvarsmakten (s. 9) sker på grund av den nationella säkerheten. 
Enligt artikel 4.2 i fördraget om Europeiska unionen ska den nationella säkerheten vara varje medlemsstats eget ansvar. Unionen har ingen behörighet när det gäller nationell säkerhet. Den nationella säkerheten har av hävd godtagits av EU-domstolen som en godtagbar grund för inskränkning av grundläggande fri- och rättigheter (t.ex. kommissionen mot Finland, C-284/05, punkt 45, 47 och 49). Det betyder enligt grundlagsutskottet likväl inte att den nationella lagstiftaren får obegränsad behörighet. Enligt utskottets uppfattning är räckvidden för unionsrätten och därmed för rättighetsstadgan en EU-rättslig fråga, och medlemsstaterna har alltså inte behörighet att bestämma räckvidden för unionsrätten ens med hänvisning till den nationella säkerheten. En medlemsstat som åberopar den nationella säkerheten måste därför påvisa att det finns en objektiv grund för detta (se GrUU 35/2018 rd, s. 11, GrUU 36/2018 rd, s. 11). Som det konstaterades ovan antas den föreslagna regleringen ändå inte i sin helhet bli begränsad utanför EU-lagstiftningens tillämpningsområde. Dessutom bör det med avseende på EU-lagstiftningen vara klart att hantering av personuppgifter på grund av den nationella säkerheten inte helt kan ske utan rättsliga begränsningar (se GrUU 35/2018 rd, s. 11, GrUU 36/2018 rd, s. 11). 
Enligt grundlagsutskottet berättigar nationell säkerhet inte till avsteg från skyldigheten att skydda personuppgifter enligt 10 § i grundlagen. Utskottet har exempelvis ansett att utvidgningen av tillämpningsområdet för lagen om behandling av personuppgifter i brottmål till upprätthållande av den nationella säkerheten uppfyller den konstitutionella förpliktelsen om tryggande av personuppgifter också i detta avseende (GrUU 26/2018 rd, s. 4). Dessutom förutsätter enligt utskottets åsikt en lagenlig användning av behörigheterna för militär underrättelseverksamhet att hanteringen av personuppgifter med hjälp av dem regleras i lag (se GrUU 36/2018 rd, s. 40). Men utskottet har ändå i ett snarlikt sammanhang ansett att en allmänt hållen registerreglering på sätt och vis är förståelig (GrUU 51/2002 rd, s. 2/II). 
Grundlagsutskottet anser att den föreslagna bestämmelsen skulle leda till att försvarsmakten kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansen av de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte de registrerade uppgifternas tillåtna användningsändamål. I de personuppgifter som ska registreras kan det uppenbart också ingå känsliga uppgifter, eftersom motiven hänvisar till att det med av betydelse ska hänvisas till uppfyllandet av trösklarna för behandling, dvs. i fråga om uppgifter som hör till särskilda kategorier av personuppgifter att de ska vara nödvändiga och i fråga om andra personuppgifter behövliga (s. 39). Det går inte heller att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter eftersom den föreslagna bestämmelsen ger försvarsmakten befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att i regleringen om skydd för personuppgifter avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen genom nödvändighetskriterier. 
Grundlagsutskottet uppmärksammar särskilt att i motiveringen till 13 § om militär underrättelseverksamhet (s. 39) hänvisas det till att utförandet av uppdrag inom den militära underrättelseverksamheten förutsätter en omfattande informationsinhämtning, och det är inte nödvändigtvis möjligt att i fråga om alla tillgängliga informationsmassor omedelbart bedöma huruvida informationen är av betydelse eller inte med tanke på ett uppdrag. Därför ska i momentet tillåtas att uppgifter tillfälligt får föras in i registret för att det ska kunna redas ut, huruvida en uppgift är av betydelse eller inte med tanke på ändamålet med registret. När grundlagsutskottet behandlade lagförslaget om militär underrättelseinhämtning ansåg det i fråga om lagstiftningsordningen att lagförslaget måste kompletteras med en uttrycklig bestämmelse om förbud mot allmän och oriktad övervakning av datatrafik (GrUU 36/2018 rd, s. 21, se även GrUU 35/2018 vp, s. 24). 
Vid sin bedömning av lagen om behandling av personuppgifter i polisens verksamhet har grundlagsutskottet ansett att så som lagförslagen är utformade i propositionen skulle de göra det möjligt att samla in uppgifter som är betydelselösa för polisens verksamhet och att spara dem i register i upp till sex månader. Därför måste de föreslagna bestämmelserna om behandling för att avgöra om uppgifterna är betydelsefulla strykas ur lagförslaget för att det ska kunna behandlas i vanlig lagstiftningsordning (GrUU 51/2018 rd, s. 10). Den nu föreslagna regleringen är mer precis, påpekar utskottet. 
I 13 § 2 mom. i lagförslaget sägs att uppgifter som avses i 1 mom. får också införas i registret för militär underrättelseverksamhet för att det ska kunna bedömas om uppgifterna är betydelsefulla med tanke på registrets ändamål. Det tillåtna uppgiftsinnehållet definieras på det sättet också i 15 § 2 mom. Utskottet anser att regleringen trots denna precisering inte harmonierar med 10 § i grundlagen. Utskottet anser att 13 § 2 mom. om militär underrättelseverksamhet åtminstone delvis dikteras av ett behov av en sådan allmän och oriktad uppföljning av datatrafik som utskottet har ansett strida mot 10 § 4 mom. i grundlagen. Bestämmelserna i 13 § 2 mom. och 15 § 2 mom. ska strykas i sin föreslagna form. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglera bedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd, s. 10 och GrUU 32/2013 rd, s. 7). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd, s.4/II—5/I). 
Exakta och noga avgränsade bestämmelser och nödvändighetskravet i fråga om behandling av känsliga uppgifter
I kapitel 2 i lagförslaget ska det föreskrivas om det datainnehåll som ska vara tillåtet i Försvarsmaktens permanenta personregister. I huvudsak ska det inte föreskrivas om datainnehållen på nivån för enskilda personuppgifter, utan i lagen ska föreskrivas om uppgiftskategorier, och de personuppgifter som ingår i dem ska få föras in i registret. Bestämmelserna om införande av uppgifter som hör till de särskilda personuppgiftskategorierna i registren ska dock vara mera detaljerade. 
Den föreslagna 12 § gäller ändamålet med registret för militär underrättelseverksamhet. Registret för militär underrättelseverksamhet används för uppdrag som avser militär underrättelseinhämtning. Enligt 13 § 1 mom. 8 punkten i lagförslaget får i registret för militär underrättelseverksamhet införas bland annat uppgifter som gäller resor och enligt 14 punkten sådana uppgifter om personers förehavanden och beteende som har införskaffats med metoder för underrättelseinhämtning. Relationen mellan bestämmelserna är inte klar även om det i motiven till 13 § (s. 38) hänvisas till att all den information som förs in i registret ska vara relevant med tanke på ändamålet med registret. 
Grundlagsutskottet har i ett motsvarande sammanhang ansett att en allmänt hållen registerreglering på sätt och vis är förståelig (GrUU 51/2002 rd, s. 2/II). Men den nu föreslagna regleringens ordalydelse lämnar ändå till vissa delar helt öppet vilka uppgifter som till denna del vore möjliga att hantera. Uppgifterna som gäller resor ska i praktiken täcka in alla situationer där en person utnyttjar sin rörelsefrihet som är skyddad i 9 § i grundlagen. Särskilt problematisk framstår omnämnandet av uppgifter om förehavanden och beteende i 14 punkten som enligt den ordalydelsen i praktiken täcker in en privat persons hela livssfär. Sådana uppgifter kan innehålla känsliga uppgifter. Regleringen måste preciseras exempelvis genom att tydligt och lagbaserat begränsa behandlingen av uppgifterna till förehavanden och beteenden av sådan art att det kan anses nödvändigt att försvarsmakten är behörig att behandla uppgifter om dem (se också GrUU 51/2018 rd). En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 15 § 1 mom. 8 punkten och 14 punkten i lagförslag 1. 
Enligt 16 § 1 mom. i lagförslaget ska försvarsmakten få upprätta ett tillfälligt eller ett annat personregister om det är nödvändigt för att utföra de uppgifter som förtecknas i momentet. Enligt paragrafens 2 mom. får det i registret införas personuppgifter som behövs för utförande av ett enskilt uppdrag. Behandling av de särskilda personuppgiftskategorierna ska dock vara tillåten endast, om den är nödvändig med tanke på ändamålet med registret. 
Enligt propositionsmotiven (s. 40) är syftet med paragrafen att till behövliga delar bevara nuvarande rättsläge och möjligheten att behandla personuppgifter till den del som bestämmelserna i 3—15 § eller annanstans i lag inte täcker alla Försvarsmaktens behandlingsbehov. Grundlagsutskottet menar att den föreslagna bestämmelsen omintetgör regleringen i 2 kap. i lagförslaget om tillåtet datainnehåll. Grundlagsutskottet har i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften, innehåll och tillåtna ändamål. Det behövs en väsentlig precisering av 16 § i propositionens lagförslag 1 exempelvis med det datainnehåll i registren som det hänvisas till i propositionsmotiven och med ändamålet med behandlingen, eller också måste den strykas ur lagförslaget. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Utlämnande av uppgifter
I 32 § i den föreslagna lagen föreskrivs om utlämnande av underrättelseinformation till en annan stat eller till en internationell organisation. När beslut fattas om utlämnande av uppgifter ska hänsyn tas till människorättssituationen i den stat som är mottagare av personuppgifterna, utlämnandets betydelse för Finlands internationella relationer samt de internationella fördrag och andra förpliktelser som binder Finland. Dessutom ska nivån på dataskyddet i den stat som är mottagare av personuppgifterna och vilken betydelse utlämnandet har med tanke på den registrerades rättigheter beaktas. 
I motiven till bestämmelsen (s. 49) hänvisas till att innan uppgifter lämnas ut bör man alltså bland annat försäkra sig om att inte den registrerade på grund av de uppgifter som lämnas ut kan bli utsatt för tortyr eller annan omänsklig behandling. När beslut fattas om att lämna ut en underrättelseuppgift, ska det också annars särskilt säkerställas att utlämnandet av uppgiften inte direkt eller indirekt äventyrar den registrerades grundläggande fri- och rättigheter och mänskliga rättigheter. Grundlagsutskottet anser bestämmelsen vara motiverad. 
Grundlagsutskottet har ansett att av förbudet enligt 9 § 4 mom. i grundlagen mot att utvisa en utlänning, om han eller hon till följd av detta riskerar dödsstraff, tortyr eller någon annan behandling som kränker människovärdet, följer tolkningen att det inte är tillåtet att lämna ut uppgifter, om de kan leda till att någon t.ex. döms till dödsstraff eller till att ett ådömt dödsstraff verkställs (GrUU 51/2002 rd). Utskottet har vidare i samband med bedömningen av underrättelselagarna ansett att det är ett villkor för vanlig lagstiftningsordning att regleringen av internationellt informationsutbyte kompletteras så att det av lagen uttryckligen framgår att information inte får lämnas ut till en stat som kan anses göra sig skyldig till systematiska människorättskränkningar eller där metoderna för underrättelseinhämtning inte följer de standarder som fastställts i de internationella människorättskonventionerna. Avgränsningen kunde enligt utskottets uppfattning göras exempelvis så att det i bestämmelsen införs en hänvisning till att internationella avtal som är bindande för Finland ska följas vid utlämnande och mottagande av information och genom att uttryckligen förbjuda internationellt samarbete och utbyte av information, om det finns grundad anledning att misstänka att någon på grund av samarbetet eller utlämnandet av information riskerar dödsstraff, tortyr, någon annan behandling som kränker människovärdet, förföljelse, godtyckligt frihetsberövande eller orättvis rättegång (se även GrUU 35/2018 rd, s. 26—27, GrUU 36/2018 rd, s. 29). Utskottet anser att regleringen bör kompletteras med ett sådant uttryckligt förbud (se också GrUU 51/2018 rd). En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande påpekande om villkor för lagstiftningsordning gäller också 31 §. 
Förvaringstider
Bestämmelser om förvaringstider för personuppgifter ska ingå i 5 kap. I 43 § i lagförslaget föreskrivs det om utplåning av personuppgifter ur registret för militär underrättelseverksamhet. De personuppgifter som gäller en registrerad ska utplånas ur registret för militär underrättelseverksamhet senast 50 år från det att den sista uppgiften om den registrerade infördes. I 44 § föreskrivs det om utplåning av personuppgifter ur säkerhetsdataregistret. De personuppgifter som gäller en registrerad ska utplånas ur säkerhetsdataregistret senast 25 år från det att den sista uppgiften om den registrerade infördes. För vissa personer kan det således bli fråga om uppgifter för en mycket lång tidsperiod, om nya uppgifter regelbundet tillfogas. 
Enligt grundlagsutskottet är varaktig lagring av uppgifter inte förenlig med skyddet för personuppgifter om det inte är befogat av skäl som är kopplade till informationssystemets art eller syfte (GrUU 31/2017 rd. Utskottet har också ansett att en fem års förvaringstid för känsliga uppgifter är lång (GrUU 13/2017 rd) och betonat att ju längre förvaringstiden blir, desto viktigare är det att se till datasäkerheten, övervakningen av användningen av uppgifterna och de registrerades rättssäkerhet (GrUU 28/2016 rd). Försvarsutskottet bör kontrollera huruvida så långa förvaringstider behövs och begränsa förvaringstiden särskilt för känsliga personuppgifter med avseende på syftet med nödvändig förvaring. 
I propositionsmotiven (s. 56) hänvisas till att grunden för och behovet av att behandla uppgifterna dock med stöd av 6 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten bör bedömas vart femte år redan innan maximitiden på 50 år har nåtts. I den nämnda bestämmelsen sägs att behovet att bevara personuppgifter ska bedömas med minst fem års mellanrum, om inte något annat föreskrivs om bevaringstider för personuppgifter någon annanstans. Bestämmelsen i lagen om behandling av personuppgifter i brottmål ska enligt motiven (RP 31/2018 rd, s. 39) säkerställa att behovet att bevara personuppgifterna bedöms regelbundet också i det fall att det i speciallagstiftning saknas särskilda bestämmelser om bedömning av behovet av bevarande. Försvarsutskottet bör försäkra sig om att 6 § är tillämplig och vid behov komplettera bestämmelserna i lagförslagets 5 kap. som möjliggör förvaring över fem år med en motsvarande bedömningsskyldighet. 
Dataskyddsbrott
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i bestämmelsen närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Bestämmelsen är problematisk med avseende på den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen, eftersom den inte närmare identifierar de andra lagar som gäller behandling av personuppgifter som det kan leda till straff för dataskyddsbrott att handla i strid med (se GrUU 14/2018 rd, s. 21). 
Bestämmelsen om dataskyddsbrott är en så kallad blankettstraffbestämmelse. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig negativt till blankettstraffbestämmelser (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Utskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som blankettbestämmelserna kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i blankettbestämmelserna är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8–9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Utskottets uppfattning är att lagen om behandling av personuppgifter inom Försvarsmakten är en sådan ”annan lag som gäller behandling av personuppgifter” som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella invändningar mot förbudet mot diskriminering och mot 13, 15, 16, 31 och 32 § beaktas på behörigt sätt. 
Helsingfors 11.1.2019 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Mia
Laiho
saml
medlem
Markus
Lohi
cent
medlem
Leena
Meri
saf
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Kaj
Turunen
saml
ersättare
Johanna
Ojala-Niemelä
sd (delvis)
Sekreterare var
utskottsråd
Mikael
Koillinen
Senast publicerat 27.5.2019 14:18