Utlåtande
GrUU
58
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter vid Gränsbevakningsväsendet och till vissa lagar som har samband med den (RP 241/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsråd
Anne
Ihanus
inrikesministeriet
kriminalinspektör
Jari
Nyström
inrikesministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Juha
Lavapuro.
Skriftligt yttrande har lämnats av 
professor
Tom
Voutilainen.
PROPOSITIONEN
Regeringen föreslår en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet, som ersätter den gällande lagen med samma namn. Propositionen innehåller dessutom förslag till ändring av vissaandra lagar. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordningen bedömer regeringen propositionen med avseende på grundlagens 10 § om skyddet för personuppgifter och skydd för privatlivet och 21 § om rättsskydd. Uppmärksamhet ägnas också artikel 8 i Europakonventionen om skydd för privatlivet och EU:s allmänna dataskyddsförordning. 
Regeringen anser att lagförslagen kan stiftas i vanlig lagstiftningsordning. Eftersom propositionen dock innehåller betydande ändringar i gällande lag med tanke på genomförandet av de grundläggande fri- och rättigheterna, anser regeringen det vara motiverat att grundlagsutskottets utlåtande begärs om propositionen. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Regeringen föreslår att det stiftas en ny lag om behandling av personuppgifter vid Gränsbevakningsväsendet. Den gällande lagen med samma namn, som tillkommit med grundlagsutskottets medverkan(GrUU 19/2005 rd), föreslås samtidigt bli upphävd. Grundlagsutskottet har lämnat utlåtanden om propositioner om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd) och inom Försvarsmakten (GrUU 52/2018 rd). Utskottet ska dessutom lämna utlåtande om en proposition med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd). 
Syftet med den aktuella propositionen är att uppdatera lagstiftningen om behandling av personuppgifter vid Gränsbevakningsväsendet. I bestämmelserna beaktas Europeiska unionens reformerade dataskyddslagstiftning samt nationella ändringsbehov. Ett ytterligare syfte är att göra den gällande lagstiftningen tydligare och enklare. Förslaget är betydelsefullt med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. 
Lagen avses komplettera Europeiska unionens allmänna dataskyddsförordning och det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). I propositionsmotiven (s. 14) sägs det att dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Gränsbevakningsväsendet på behandling av personuppgifter i anknytning till exempelvis gränskontroll, ett flertal tillsynsuppgifter som föreskrivits för Gränsbevakningsväsendet, tulluppgifter och räddningsuppdrag. 
När det gäller polisdirektivet omfattas Gränsbevakningsväsendet av uppgifter med anknytning till förebyggande, avslöjande och utredning av brott och förande av brott till åtalsprövning samt till relaterade åtgärder för upprätthållande av den allmänna ordningen och säkerheten. Vid Gränsbevakningsväsendet behandlas därutöver personuppgifter i uppdrag som gäller för upprätthållande av den nationella säkerheten och i samband med sjöräddning. I propositionsmotiven (s. 15) anses det att de sist nämnda inte omfattas av unionsrätten. 
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om personuppgifter som ska behandlas på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Enligt utskottet (GrUU 26/2018 rd, s. 3, GrUU 14/2018 rd, s. 7)) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, s. 1/II, GrUU 67/2010 rd, s. 2–3). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. Utskottet behandlar dessutom för närvarande och ska lämna utlåtande om en proposition med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd). 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Befogenheterna ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd, s. 3, GrUU 51/2006 rd, s. 2/I). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 
Av propositionens motiv till lagstiftningsordning (s. 84) i framgår att känsliga personuppgifter behandlas vid Gränsbevakningsväsendet för att de uppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Gränsbevakningsväsendets behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål för behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas inom Gränsbevakningsväsendet för att upprätthålla säkerheten vid gränsen samt i brottmål. 
Grundlagsutskottet har bedömt hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med exempelvis sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna och med hänsyn tillinskränkningarnas acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har betydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Gränsbevakningsväsendets personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 51/2018 rd, s. 5, GrUU 42/2014 rd, s. 2—3, se även GrUU 35/2018 rd, s. 34). Utskottet betonar att skyddet för uppgifter från obehöriganvändning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem (GrUU 51/2018 rd, s. 5, GrUU 52/2018 rd, s. 4). 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Tillämpningsområde
Behandlingen av personuppgifter i Gränsbevakningsväsendets verksamhet regleras såväl i den allmänna dataskyddsförordningen som i den kompletterande nationella dataskyddslagen, i dataskyddslagen avseende brottmål och i den förslagna lagen om behandling av personuppgifter inom Gränsbevakningsväsendet. Av propositionsmotiven framgår det att på merparten av Gränsbevakningsväsendets behandling av personuppgifter tillämpas dataskyddsförordningen som allmän rättsakt och därutöver den kompletterande dataskyddslagen. 
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. 
Bestämmelserna i 2 § om lagförslagets tillämpningsområde i förhållande till annan lagstiftning är inte särskilt tydliga i detta avseende. Med tanke på lagligheten i behandlingen av personuppgifter kan det bli problematiskt att identifiera vilka bestämmelser som ska iakttas i synnerhet i den praktiska verksamheten. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Enligt propositionsmotiven finns det i 2 § 2 mom. en informativ hänvisning till lagen om offentlighet i myndigheternas verksamhet och till lagen om gränsbevakningens förvaltning, som har kompletterande bestämmelse om sekretess och tystnadsplikt och om rätt att trots det lämna ut uppgifter. Bestämmelsen är emellertid skriven som en hänvisning (”tillämpas”) och begränsar sig enligt formuleringen tillsekretess och tystnadsplikt i fråga om personuppgifter. Formuleringen bör ändras så att det i stället på det sätt som sägs i motiven ”föreskrivs”. 
Grundlagsutskottet påpekar ytterligare att enligt 28 § i dataskyddslagen,som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd, s. 16, GrUU 26/2018 rd, s. 7)), tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Bestämmelsen kan kompletteras med föreskrifter enligt 62 § i dataskyddslagen avseende brottmål om tystnadsplikt och om förbud mot utnyttjande av uppgifter.  
Principerna för behandling av personuppgifter
Dataskyddslagen och dataskyddslagen avseende brottmål innehåller lämpliga och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, om den registrerades rättigheter, övervakning och t.ex. informationssäkerhet (se även GrUU 15/2018 rd, och GrUU 26/2018 rd, s. 4). I lagens 2 kap. föreskrivs det i detalj om vilkaallmänna principer för behandling av personuppgifter som ska följas alltid när personuppgifter behandlas inom tillämpningsområdet. I förslaget till 20 §, som gäller sjöräddning och som bedöms falla utanför tillämpningsområdet för unionsrätten, föreslås det en hänvisningsbestämmelse om att ifall inte något annat föreskrivs i sjöräddningslagen, tillämpas på behandlingen av personuppgifter i sjöräddningsregistret dataskyddsförordningen, med undantag av artikel 56 och kapitel VII, samt dataskyddslagen. Enligt grundlagsutskottet är det väsentligt att tillämpningsområdet för de centrala principerna vid behandling av personuppgifter därmed förefaller bli heltäckande. Det finns emellertid skäl för förvaltningsutskottet att dryfta om den förslagna materiella hänvisningsbestämmelsen i sjöräddningslagen behövs, med hänsyn till 2 § 1 mom. i dataskyddslagen, samt vid behov omformulera bestämmelsen i en informativ riktning för att undvika kontradiktoriska slutsatser. 
Vid tillämpningen bör avseende emellertid också fästas vid de krav på nödvändighet, proportionalitet, jämlikhet och icke-diskriminering som följer också av unionsrätten. Grundlagsutskottet har även bedömt polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning, och understrukit vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik,lagen om militär underrättelseverksamhet och polislagen (se även GrUU 35/2018 rd, s. 16). Detta är enligt grundlagsutskottet viktigt också för att undvika kontradiktoriska slutsatser (se även GrUU 10/2016 rd, s. 3). När utskottet behandlade förslaget till lag om behandling av personuppgifter i polisens verksamhet ansåg det att även om de principiella bestämmelserna i polislagen är tillämpliga också vid tillämpningen av den lag som då var aktuell, fanns det enligt utskottet skäl att komplettera förslaget med den typ av principiella bestämmelser som finns i 1 kap. 2–5 § i polislagen. Utskottet menar att också det nu föreliggande lagförslaget bör kompletteras med motsvarande bestämmelser. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning, konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd, s.15) När grundlagsutskottet tog ställning till lagstiftningen om militärunderrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant förbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd, s. 18). Grundlagsutskottet förutsatte att också lagen om behandling av personuppgifter i polisens verksamhet kompletteras med ett allmänt diskrimineringsförbud för att lagen skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 51/2018 rd, s. 6, se även GrUU 52/2018 rd, s. 5). Utskottet menar att också det nu aktuella lagförslaget måste kompletteras på motsvarande sätt för att kunna behandlas i vanlig lagstiftningsordning. 
I propositionsmotiven (s. 96) hänvisas det beträffande lagstiftningsordningen också till att behandlingen av uppgifter som hör till särskilda kategorier av personuppgifter i lagförslaget knutits till Gränsbevakningsväsendets lagfästa uppgifter och till nödvändighetskriteriet. Grundlagsutskottet fäster emellertid uppmärksamhet vid att bestämmelser på lagnivå om nödvändighetskriterier finns t.ex. i lagförslagets 5 § 1 mom. 10 punkten och i 8 § 1 mom. 3 punkten om en persons hälsotillstånd och hur hälsotillståndet följs ellerom personens vård. Men formuleringarna i paragrafförslagen är delvis diffusa. I t.ex. 15 § i lagförslaget tillåts behandling av personuppgifter för andra ändamål med behandlingen än det ursprungliga, när det behövs för beslut eller utlåtanden som gäller beviljande eller giltighet av ett tillstånd, om tillståndet enligt gällande bestämmelser är beroende av sökandens eller tillståndshavarens tillförlitlighet, lämplighet eller någon liknande egenskap, och det för bedömningen av egenskapen krävs uppgifter om sökandens eller tillståndshavarens hälsotillstånd, bruk av berusningsmedel, brottslighet eller våldsamma uppträdande. 
Enligt grundlagsutskottets vedertagna praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Därför måste i synnerhet i särklass grundrättighetskänsliga lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Ändamålen med behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättenstillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel bland annat den nationella säkerheten (se även GrUU 35/2018 rd, s. 10, GrUU 36/2018 rd, s. 10) och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har tagit ställning tilllagstiftning om behandling av personuppgifter har det ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd, s. 2 och exempelvis GrUU 14/2018 rd, s.2). Enligt den justerade praxis som utskottet har gått in för ska dessa omständigheter på lagnivå fortfarande i den normkontext som nu är aktuell även framöver vara täckande och detaljerad. 
Bestämmelserna om Gränsbevakningsväsendets personregister i den gällande lagen föreslås bli ersatta med bestämmelser om ändamålet med behandlingen av personuppgifter som är behövliga för utförandet av Gränsbevakningsväsendets uppgifter samt om innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Enligt 6 § 3 mom. i lagförslaget får Gränsbevakningsväsendet dock behandla personuppgifter också för att bedöma om uppgifterna är av betydelse med tanke på ändamålet med behandlingen enligt 1 mom. Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår i 8 § 4 mom. om förebyggande och avslöjande av brott samt i 48 § 6 mom.  
I bestämmelsen är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av myndighetens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt propositionsmotiven (s. 39) är det fråga om insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheters offentliga register. Uppgifterna kan jämföras med personuppgifter som redan har registrerats i informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
Det är oundvikligt att det i registret också införs uppgifter som efter bedömning av nödvändigheten visar sig vara betydelselösa med tanke på Gränsbevakningsväsendets uppgifter, sägs det i motiven (s. 39). I momentets sista mening understryks kravet i 6 § i dataskyddslagen avseende brottmål på att obehövliga personuppgifter ska utplånas utan obefogat dröjsmål. Kravet kompletteras av den tidsgräns på sex månader inom vilken bedömningen av om personuppgifterna är betydelsefulla ska ske. 
Grundlagsutskottet menar att det är svårt att bedöma hur väl den föreslagna regleringen överensstämmer med unionsrätten. Artikel 8 i stadgan om de grundläggande rättigheterna, dataskyddsförordningen och polisdirektivet förutsätter å andra sidan att personuppgifter får behandlas endast för särskilt angivna ändamål. Personuppgifterna ska enligt förordningen och direktivet dessutom vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. 
Enligt grundlagsutskottets uppfattning är den föreslagna regleringen möjlig mot bakgrunden av unionsrätten endast till den del den faller utanför unionsrättens tillämpningsområde, till exempel när det gäller den nationella säkerheten. Enligt artikel 4.2 i fördraget om Europeiska unionen ska den nationella säkerheten vara varje medlemsstats eget ansvar. Unionen har ingen behörighet när det gäller nationell säkerhet. Den nationella säkerheten har av hävd accepterats av EU-domstolen som en godtagbar grund för inskränkning av grundläggande fri- och rättigheter (t.ex. kommissionen mot Finland, C-284/05, punkt 45, 47 och 49). Det betyder enligt grundlagsutskottet likväl inte att den nationella lagstiftaren får obegränsad behörighet. Enligt utskottets uppfattning är räckvidden för unionsrätten och därmed för rättighetsstadgan en EU-rättslig fråga, och medlemsstaterna har alltså inte behörighet att bestämma räckvidden för unionsrätten ens med hänvisning till den nationella säkerheten. En medlemsstat som åberopar den nationella säkerheten måste därför påvisa att det finns en objektiv grund för detta (se GrUU 35/2018 rd, s. 11, GrUU 36/2018 rd, s. 11). I propositionen anförs emellertid inte några sådana grunder och de föreslagna bestämmelserna i 6 och 8 § faller inte utanför tillämpningsområdet för unionsrätten. 
Grundlagsutskottet har ansett att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42–43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Utskottet har bedömt EU-rättsliga lagstiftningsprojekt med avseende på de grundläggande fri- och rättigheterna och mänskliga rättigheterna, och då fäst vikt även vid relevant domstolspraxis (se även GrUU 28/2016 rd och GrUU 20/2016 rd). Utskottet har ansett att det vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och även grundar sig på unionsrätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden (GrUU 13/2017 rd s. 5, GrUU 9/2017 rd, s. 5). Utskottet anser att behandlingen av känsliga uppgifter är central för skyddet för privatlivet och att det inte kan höra till lagstiftarens behörighet att föreskriva om detta i strid med bestämmelserna i dataskyddsförordningen, som hör till unionsrätten (GrUU 15/2018 rd, s. 44). 
Grundlagsutskottet anser att den föreslagna bestämmelsen skulle leda till att Gränsbevakningsväsendet kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansenav de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i deregistrerade uppgifterna eller det tillåtna användningsändamålet. I de uppgifter som avses bli registrerade kan uppenbarligen också ingå känsliga uppgifter, för i motiveringen till lagstiftningsordningen anförs det att Gränsbevakningsväsendets behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslaget. Det går inte heller att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter, eftersom den föreslagna bestämmelsen ger Gränsbevakningsväsendet befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede"så som det sägs i propositionsmotiven (s. 88). Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften,innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för Gränsbevakningsväsendets verksamhet och att spara dem i register i upp till sex månader. Grundlagsutskottet ansåg att motsvarande bestämmelser i regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet(GrUU 51/2018 rd, s. 19) och i förslaget till lag om behandling av personuppgifter inom försvarsmakten (GrUU 52/2018 rd, s. 8) var grundlagsstridiga i den föreslagna formen. De då föreslagna bestämmelserna i6 § 3 mom. och 8 § 6 mom. om behandling för att avgöra om uppgifterna är betydelsefulla måste i sin nuvarande utformning strykas. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglerabedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd s. 10 och GrUU 32/2013 rd, s. 7). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd, s.4/II—5/I). 
Exakta och noga avgränsade bestämmelser och nödvändighetskravet i fråga om behandling av känsliga uppgifter
I förslaget till 6 § föreskrivs det om behandling av personuppgifter för utredning av brott samt för upprätthållande av allmän ordning och säkerhet. Gränsbevakningsväsendet får enligt förslaget behandla personuppgifter för utförandet av en uppgift som anknyter till utredning av brott eller till att föra brott till åtalsprövning samt för upprätthållande av allmän ordning och säkerhet. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som är misstänkta för brott eller för medverkan till brott, är under 15 år och misstänkta för en brottslig gärning, är föremål för förundersökning eller en åtgärd av Gränsbevakningsväsendet,har anmält ett brott eller uppträder som målsägande, vittne, offer, eller på ett annat sätt än det som nämns i 1–6 direkt anknyter till ett ärende som avses i 1 mom. I motiven sägs det att det är fråga om en preciserande bestämmelse (s. 36). I fråga om sådana personer som avses i det nämnda momentet får man enligt 7 § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 6 § 2 mom. 8 punkten är öppen på ett problematiskt sätt. Enligt motiven (s. 63) kan det t.ex. vara fråga om en person som lämnat tilläggsupplysningar men som ändå inte har ställning som vittne eller om en person som agerar som sakkunnig. Oberoende av 2 mom. i övrigt utvidgar bestämmelsen tillämpningsområdet för 6 § 1 mom. till alla personer som har anknytning till ett sådant uppdrag som avses i 1 mom. När utskottet behandlade lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen. Enligt utskottet måste bestämmelsen i den nu föreslagna formuleringen oundgängligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i propositionsmotiven. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 5 § 2 mom. 10 punkten föreskrivs det om registrering av så kallad säkerhetsinformation. Enligt förslaget får Gränsbevakningsväsendet behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. Grundlagsutskottet har redan tidigare behandlat motsvarade förslag och då konstaterat att förslaget förefaller möjliggöra fortsatt omfattande registreringav hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se GrUU 18/2012 rd s. 2/II och GrUU 37/2002 rd, s. 4/II). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsade området för registrerbara uppgifter (GrUU 18/2012 rd, s. 3/II). Enligt utskottet är den föreslagna bestämmelsen behäftad med samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). Den nu föreslagna bestämmelsen måste således preciseras i synnerheti fråga om de nämnda övriga känsliga uppgifterna. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 12 §3 mom. och 13 § 2 mom. 4 punkten i lagförslag 1. 
I förslaget till 8 § föreskrivs det om behandling av personuppgifter för förebyggande eller avslöjande av brott. I förslaget till 9 § föreskrivs det om vilka uppgifter som utöver de grundläggande personuppgifter som nämns i 4 § får behandlas. Grundlagsutskottet menar att åtminstone sådana uppgifter som avses i 1 mom. 2–4 punkten kan inkludera känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven (s. 43), enligt vilken 2 punkten i momenteti själva verket är mycket vid till innehållet.Med stöd av det lagrummet skulle Gränsbevakningsväsendetfå behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven gälla t.ex. en persons kontakter, livsstil, ekonomiska situation, hobbyer och annat av intresse till den del uppgifterna är behövliga med tanke på förbyggande och utredning av brott. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
De föreslagna 8 och 9 § innebär en rikstäckande utvidgning av informationsinnehållet i registret både vad gäller uppgiftsinnehållet och de kategorier av personer som får registreras (s. 86). Enligt 8 § uppställs det inga kriterier för hur grova brott det är fråga om utan de uppgifter det handlar om förutsätts anknyta till personer som "med fog kan antas ha gjort sig skyldiga till brott". Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. När grundlagsutskottet behandlade lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till kategorin "kan skäligen misstänkas". 
Den föreslagna 10 § gäller behandling av uppgifter om informationskällor. Enligt paragrafen får Gränsbevakningsväsendet behandla uppgifter om en i 36 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet avsedd informationskälla, uppgifter om hur informationskällan har använts och om tillsynen samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. Det framgår överhuvudtaget inte vilken typ av personuppgifter som avses här. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen (s. 44). Bestämmelsen måste kompletteras. När grundlagsutskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Användning och utlämnande av uppgifter
I 17 § föreskrivs det om rätt att få uppgifter. Enligt paragrafen har Gränsbevakningsväsendet rätt att trots sekretessen av en myndighet och av en sådan sammanslutning eller person som tillsatts för att handla ett offentligt uppdrag få de uppgifter och handlingar som behövs för utförande av ett tjänsteuppdrag, om inte lämnandet av uppgiften eller handlingen till Gränsbevakningsväsendet eller användningen av uppgiften såsom bevis har förbjudits eller begränsats i lag. 
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots banksekretessen. (Se GrUU 48/2018 rd, s. 5). 
Den föreslagna regleringen i 17 § måste på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Samma ståndpunkt gäller förslaget till 18 § om rätt att få uppgifter av privata sammanslutningar och personer, 20 § om rätt att få uppgifter ur vissa register och datasystem, 30 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål samt 31 § om övrigt utlämnande av personuppgifter till myndigheter.  
Enligt föreslagna 27 mom. har Gränsbevakningsväsendet rätt att få de uppgifter som avses i detta kapitel avgiftsfritt, om inte något annat föreskrivs i lag. Enligt överenskommelse med den personuppgiftsansvarige har Gränsbevakningsväsendet rätt att få uppgifterna också genom en teknisk anslutning eller som en datamängd. Med överenskommelse avses (s. 59) de praktiska förfaranden som krävs för att öppna en teknisk anslutning till en annan myndighets personregister. Bestämmelsen måste preciseras i överensstämmelse med det som sägs i motiveringen. 
Dataskyddsbrott
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Bestämmelsen är problematisk med avseende på den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen, eftersom den inte närmare individualiserar de andra lagar där följden kan vara straff för behandling av personuppgifter i strid med lagen (se GrUU 14/2018 rd, s. 21). 
Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Utskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som bestämmelserna in blanco kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i bestämmelserna in blanco är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8–9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Utskottets uppfattning är att lagen om behandling av personuppgifter inom Gränsbevakningsväsendet är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslaget principbestämmelser ochmot 5, 6, 8, 9, 10, 12, 13, 17, 18, 20, 30 och 31 § beaktas på behörigt sätt.  
Helsingfors 6.2.2019 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Markus
Lohi
cent
medlem
Leena
Meri
saf
medlem
Ville
Niinistö
gröna
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
ersättare
Mats
Löfström
sv.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 12.2.2019 19:24