Utlåtande
GrUU
60
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter inom Tullen och till vissa lagar som har samband med den (RP 259/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
specialsakkunnig
Jaana
Vehmaskoski
finansministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Juha
Lavapuro.
Utskottet har fått ett skriftligt yttrande av 
juris doktor
Riku
Neuvonen
professor
Tomi
Voutilainen.
PROPOSITIONEN
Regeringen föreslår en ny lag om behandling av personuppgifter inom Tullen, som ersätter den gällande lagen med samma namn. Propositionen innehåller dessutom förslag till ändring av vissaandra lagar. 
Lagarna avses träda i kraft så snart som möjligt. 
I motiven till lagstiftningsordningen bedömer regeringen propositionen med avseende på grundlagens 6 § om jämlikhet, 10 § om skyddet för personuppgifter och skydd för privatlivet och 21 § om rättsskydd. Uppmärksamhet ägnas också artikel 8 i Europakonventionen om skydd för privatlivet och EU:s allmänna dataskyddsförordning. 
Regeringen anser att lagförslagen kan stiftas i vanlig lagstiftningsordning. De bestämmelser som föreslås i propositionen är viktiga i konstitutionellt hänseende med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och personuppgifter. Regleringen har även beröringspunkter med andra grundläggande fri- och rättigheter. Enligt regeringens uppfattning bör propositionen av dessa orsaker sändas till riksdagens grundlagsutskott för behandling. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
Regeringen föreslår att det stiftas en ny lag om behandling av personuppgifter inom Tullen. Den gällande lagen med samma namn, som tillkommit med grundlagsutskottets medverkan(GrUU 71/2012 rd), föreslås samtidigt bli upphävd. Grundlagsutskottet har lämnat utlåtanden om propositioner om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd), inom Försvarsmakten (GrUU 52/2018 rd) och inom Gränsbevakningsväsendet (GrUU 58/2018 rd). 
Syftet med den aktuella propositionen är att uppdatera lagstiftningen om behandling av personuppgifter inom Tullen. Syftet med propositionen är att lagstiftningen om behandling av personuppgifter som behövs för skötseln av Tullens uppgifter ska motsvara kraven enligt Europeiska unionens dataskyddslagstiftning. Förslaget är betydelsefullt med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. 
Lagen avses komplettera Europeiska unionens allmänna dataskyddsförordning och det så kallade polisdirektivet (Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). I propositionsmotiven sägs det att dataskyddsförordningen och dataskyddslagen, som kompletterar förordningen, tillämpas vid Tullen till exempel på tullövervakning och skattekontroll, övriga övervakningsuppgifter som föreskrivs för Tullen och behandling av personuppgifter i samband med gränsbevakningsuppgifter. Till polisdirektivets tillämpningsområde inom Tullen hör förebyggande, avslöjande och utredande av brott och förande av brott till åtalsprövning. 
Grundlagsutskottet har nyligen (GrUU 26/2018 rd) behandlat en regeringsproposition med förslag till lag om dataskyddslag avseende brottmål som bland annat syftar till att genomföra polisdirektivet. Utskottet har inom tillämpningsområdet för EU:s dataskyddsförordning justerat sin ståndpunkt till skyddet för personuppgifter i fråga om kraven på föreskrivande genom lag. Grundlagsutskottet fäster avseende vid att till skillnad från den direkt tillämpliga dataskyddsförordningen innehåller polisdirektivet inte några sådana detaljerade bestämmelser som skulle utgöra en tillräcklig rättslig grund när det gäller skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen (GrUU 14/2018 rd, s.6). Det är också av betydelse att nationell säkerhet är ett område som i fördraget om Europeiska unionen faller utanför EU:s behörighet och därmed inte heller i första hand kan hänföras till polisdirektivets tillämpningsområde. Till följd av förpliktelsen att skydda personuppgifter enligt 10 § i grundlagen krävs det nationell lagstiftning om personuppgifter som ska behandlas på grundval av nationell säkerhet (se GrUU 26/2018 rd, s. 4). 
Enligt utskottet (GrUU 26/2018 rd, s. 3, GrUU 14/2018 rd, s. 7)) får dock de rättigheter som är tryggade enligt 10 § i grundlagen en speciell betydelse i sammanhang som är särskilt känsliga med avseende på de grundläggande fri- och rättigheterna. Före reformen av de grundläggande fri- och rättigheterna kom utskottet med en karaktärisering som senare blivit vedertagen, nämligen att "polislagen är typexemplet på en lag som lätt kan råka i konflikt med medborgarnas grundläggande rättigheter, i synnerhet de klassiska friheterna” (GrUU 15/1994 rd, s. 1/II, GrUU 67/2010 rd, s. 2–3). Grundlagsutskottet anser att bestämmelserna om behandling av personuppgifter fortfarande bör analyseras utifrån utskottets tidigare praxis med fokus på exakta och heltäckande bestämmelser på lagnivå i en kontext som den här, där det finns ett känsligt samband med de grundläggande fri- och rättigheterna (se även GrUU 14/2018 rd, s. 6). 
Relevant i detta avseende var också att det då aktuella förslaget till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten är en lag som blir tillämplig som allmän lag på sitt tillämpningsområde, och som ska kompletteras med speciallagstiftning för olika förvaltningsområden (GrUU 26/2018 rd, s. 3—4). Enligt utskottets uppfattning är det nu aktuella lagförslaget tänkt att utgöra sådan kompletterande speciallagstiftning. 
I konstitutionella analyser av behandlingen av personuppgifter har utskottet sett ändamålet med behandlingen som relevant, eftersom behandlingen möjliggör utövning av offentlig makt gällande individer (se GrUU 1/2018 rd, s. 6). Enligt 2 § 3 mom. i grundlagen ska all utövning av offentlig makt bygga på lag. För lagar gäller det allmänna kravet på att en lag ska vara exakt och noga avgränsad. Befogenheterna ska med tanke på rättsstatsprincipen i grundlagens 2 § 3 mom. grunda sig på lag (se även GrUU 10/2016 rd, s. 3, GrUU 51/2006 rd, s. 2/I). Enligt utskottet är regleringen av befogenheter vanligen relevant också i förhållande till de i grundlagen inskrivna grundläggande fri- och rättigheterna (GrUU 51/2006 rd, s. 2/I). 
Av propositionens motiv till lagstiftningsordning (s. 73) i framgår att känsliga personuppgifter behandlas vid Tullen för att de uppgifter som hör till direktivets och förordningens tillämpningsområde ska kunna skötas. Tullens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslag 1. Exempelvis biometriska uppgifter, som i grundlagsutskottets praxis i många avseenden ansetts kunna liknas vid känsliga uppgifter, (se t.ex. GrUU 14/2009 rd, s. 3/I) behandlas både för förebyggande, avslöjande och utredning av brott. 
Grundlagsutskottet har bedömt hantering av känsliga uppgifter med utgångspunkt i att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar i de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2—3 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att i synnerhet tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas i skenet av villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter, som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter, åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Denna avgränsning har i utskottets senare praxis ansetts vara en fråga som har betydelse för lagstiftningsordningen (se t.ex. GrUU 15/2018 rd, s. 40). 
Följaktligen menar utskottet att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. I fråga om behovet bör också det riskbaserade synsättet i förordningen vägas in. Utskottet framhåller att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6). 
Tullens personregister innehåller mycket sådan information som det är ytterst viktigt att skydda mot obehörig användning. I en sådan situation måste också övervakningen av användningen av informationen ägnas särskild uppmärksamhet (GrUU 51/2018 rd, s. 5, GrUU 42/2014 rd, s. 2—3, se även GrUU 35/2018 rd, s. 34). Utskottet betonar att skyddet för uppgifter från obehöriganvändning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna eller på något annat påföljdssystem (GrUU 51/2018 rd, s. 5, GrUU 52/2018 rd, s. 4). 
Grundlagsutskottet har inte inom ramen för sitt konstitutionella uppdrag gjort någon övergripande bedömning av den föreslagna regleringens överensstämmelse med unionsrätten. Förvaltningsutskottet har anledning att försäkra sig om att den föreslagna regleringen inte står i konflikt med de krav som följer av unionsrätten. 
Tillämpningsområde
Behandlingen av personuppgifter i Tullens verksamhet regleras såväl i den allmänna dataskyddsförordningen som i den kompletterande nationella dataskyddslagen, i dataskyddslagen avseende brottmål och i den förslagna lagen om behandling av personuppgifter inom Tullen. På den största delen av den behandling av personuppgifter som regleras genom lagförslaget tillämpas enligt propositionsmotiven (s. 35) dock som allmän lag dataskyddslagen avseende brottmål.  
Grundlagsutskottet menar att det komplex som den tillämpliga lagstiftningen utgör inte kan anses klart och begripligt trots att strukturen i den reglering som nu utvärderas bär spår av försök till klarhet och tydlighet. Förhållandet mellan unionsrätten och den nationella lagstiftningen är delvis överlappande och delvis avskiljande. Det är svårt och tidsödande att utifrån de bestämmelser som ingår i lagförslaget få klarhet i det exakta tillämpningsområdet för den föreslagna regleringen. 
Bestämmelserna i 2 § om lagförslagets tillämpningsområde i förhållande till annan lagstiftning är inte särskilt tydliga i detta avseende. Med tanke på lagligheten i behandlingen av personuppgifter kan det bli problematiskt att identifiera vilka bestämmelser som ska iakttas i synnerhet i den praktiska verksamheten. Trots att utskottet anser det klart att det begränsade och specifika tillämpningsområdet för unionsrätten och dess dataskyddsbestämmelser är en synnerligen starkt bidragande orsak till den komplicerade regleringen, bör förvaltningsutskottet undersöka om det finns några sätt att förtydliga frågan om tillämpningsområdet. 
Lagförslagets 2 § 1 mom. 2 punkten har en hänvisning till lagen om offentlighet i myndigheternas verksamhet. Grundlagsutskottet påpekar att enligt 28 § i dataskyddslagen,som ska tillämpas som allmän lag och som i detta avseende stiftats med grundlagsutskottets uttryckliga medverkan (GrUU 14/2018 rd, s. 16, GrUU 26/2018 rd, s. 7)), tillämpas på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister vad som föreskrivs om offentlighet i myndigheternas verksamhet. Utskottet ser det av orsaker hänförliga till 12 § 2 mom. i grundlagen som nödvändigt att bestämmelsens ordalydelse samordnas med den allmänna lagen. Det här är viktigt också för att undvika kontradiktoriska slutsatser. Bestämmelsen kan kompletteras med föreskrifter enligt 62 § i dataskyddslagen avseende brottmål om tystnadsplikt och om förbud mot utnyttjande av uppgifter. 
Principerna för behandling av personuppgifter
Dataskyddslagen och dataskyddslagen avseende brottmål innehåller lämpliga och detaljerade bestämmelser om de allmänna förutsättningarna och principerna för behandling av personuppgifter, om den registrerades rättigheter, övervakning och t.ex. informationssäkerhet (se även GrUU 15/2018 rd, och GrUU 26/2018 rd, s. 4). I lagens 2 kap. föreskrivs det i detalj om vilkaallmänna principer för behandling av personuppgifter som ska följas alltid när personuppgifter behandlas inom tillämpningsområdet. Enligt grundlagsutskottet är det väsentligt att tillämpningsområdet för de centrala principerna vid behandling av personuppgifter därmed förefaller bli heltäckande. 
Vid tillämpningen bör avseende emellertid också fästas vid de krav på nödvändighet, proportionalitet, jämlikhet och icke-diskriminering som följer också av unionsrätten. Grundlagsutskottet har även bedömt polisens befogenheter mot bakgrunden av bestämmelserna om civil underrättelseinhämtning, och understrukit vikten av enhetliga bestämmelser i lagen om civil underrättelseinhämtning avseende datatrafik,lagen om militär underrättelseverksamhet och polislagen (se även GrUU 35/2018 rd, s. 16). Detta är enligt grundlagsutskottet viktigt också för att undvika kontradiktoriska slutsatser (se även GrUU 10/2016 rd, s. 3). När utskottet behandlade förslaget till lag om behandling av personuppgifter i polisens verksamhet ansåg det att även om de principiella bestämmelserna i polislagen är tillämpliga också vid tillämpningen av den lag som då var aktuell, fanns det enligt utskottet skäl att komplettera förslaget med den typ av principiella bestämmelser som finns i 1 kap. 2–5 § i polislagen (GrUU 51/2018 rd, s. 6). Utskottet menar att också det nu föreliggande lagförslaget bör kompletteras med motsvarande bestämmelser. 
När grundlagsutskottet tog ställning till lagstiftningen om civil underrättelseinhämtning, konstaterade det att med tanke på den risk för profilering som underrättelseinhämtningen är förknippad med är det också nödvändigt att i lagen ta in ett uttryckligt och korrekt formulerat förbud mot diskriminering. Detta är ett villkor för att lagen ska kunna behandlas i vanlig lagstiftningsordning (GrUU 35/2018 rd, s.15) När grundlagsutskottet tog ställning till lagstiftningen om militärunderrättelseinhämtning konstaterade det i fråga om lagstiftningsordningen att ett sådant förbud måste motsvara diskrimineringsförbudet i 6 § 2 mom. i grundlagen i det avseendet att förteckningen över diskrimineringsgrunder inte är uttömmande (GrUU 36/2018 rd, s. 18). Grundlagsutskottet förutsatte att också lagen om behandling av personuppgifter i polisens verksamhet kompletteras med ett allmänt diskrimineringsförbud för att lagen skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 51/2018 rd, s. 6, se även GrUU 52/2018 rd, s. 5). Utskottet menar att också det nu aktuella lagförslaget måste kompletteras på motsvarande sätt för att kunna behandlas i vanlig lagstiftningsordning. 
I motiveringen till lagstiftningsordning (s. 74 i propositionsmotiven) hänvisas det också till att behandling av personuppgifter som hör till särskilda kategorier av personuppgifter ska begränsas med beaktande av EU:s dataskyddslagstiftning, lagstiftningen om grundläggande fri- och rättigheter och grundlagsutskottets ställningstaganden till vad som är nödvändigt med tanke på ändamålet med behandlingen samt att bestämmelser om nödvändighetskriterier finns i dataskyddslagen avseende brottmål. Grundlagsutskottet fäster emellertid uppmärksamhet vid att bestämmelser på lagnivå om nödvändighetskriterier finns t.ex. i lagförslagets 6 § 1 mom. 3 punkten och i 8 § 1 mom. 1 mom. 4 punkten om en persons hälsotillstånd och hur hälsotillståndet följs ellerom personens vård. Men formuleringarna i paragrafförslagen är delvis diffusa. Det förefaller som om nödvändighetsförutsättningen inte i de nämnda bestämmelserna skulle utsträckas till övriga uppgifter som hör till särskilda kategorier av personuppgifter och som regleras i de aktuella punkterna.  
Enligt grundlagsutskottets vedertagna praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Därför måste i synnerhet i särklass grundrättighetskänsliga lagförslag kompletteras med en allmän bestämmelse med ett nödvändighetskrav för behandling av känsliga uppgifter. Alternativt kan regleringen kompletteras paragrafvis med bestämmelser som knyter behandlingen av känsliga uppgifter till ett nödvändighetskrav. En sådan komplettering är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Ändamålen med behandlingen
Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna förutsätter att behandling av personuppgifter sker för ett särskilt ändamål. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att 1 punkten har följts. Dataskyddsförordningen tillämpas emellertid bland annat inte på sådan behandling av personuppgifter som utförs i samband med verksamhet som inte omfattas av unionsrättenstillämpningsområde eller som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Till det först nämnda undantaget hänförs i regel bland annat den nationella säkerheten (se även GrUU 35/2018 rd, s. 10, GrUU 36/2018 rd, s. 10) och till det senare undantaget närmast polisdirektivet. 
Enligt artikel 2 i polisdirektivet tillämpas direktivet på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1. I den sist nämnda artikeln nämns som godtagbara ändamål behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Enligt artikel 4.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt artikel 4.4 ska den personuppgiftsansvarige ansvara för, och kunna visa att personuppgifterna har behandlats enligt denna princip. I artikel 8.2 sägs det att medlemsstaternas nationella rätt, som reglerar behandling av personuppgifter inom tillämpningsområdet för direktivet, åtminstone ska specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål. 
När grundlagsutskottet har tagit ställning tilllagstiftning om behandling av personuppgifter har det ansett det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll och det tillåtna användningsändamålet (se GrUU 14/1998 rd, s. 2 och exempelvis GrUU 14/2018 rd, s. 2). Enligt den justerade praxis som utskottet har gått in för ska dessa omständigheter på lagnivå fortfarande i den normkontext som nu är aktuell även framöver vara täckande och detaljerad. 
Bestämmelserna om riksomfattande informationssystem och andra Tullens personregister i den gällande lagen ersätts med bestämmelser om ändamålet med behandlingen av personuppgifter som behövs för skötseln av de övervakningsuppdrag som i lag föreskrivs för Tullen och för att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning samt innehållet i de personuppgifter som behandlas. Grundlagsutskottet har ingenting att invända mot den principen. 
Enligt 5 § 3 mom. i lagförslaget får Tullen behandla personuppgifter som en i lagen om brottsbekämpning inom Tullen (623/2015) avsedd tullman inom tullbrottsbekämpningen inhämtat eller erhållit också för att bedöma om uppgifterna är av betydelse med tanke på det ändamål med behandlingen som avses i 1 mom. Uppgifternas betydelse ska bedömas och onödiga uppgifter raderas utan dröjsmål, dock senast sex månader från det att de registrerats. Motsvarande bestämmelse ingår i 7 § 4 mom. om förebyggande och avslöjande av brott samt i 48 § 6 mom. . 
I bestämmelsen är det fråga om behandling av personuppgifter som fåtts i samband med utförandet av myndighetens uppgifter i situationer där uppgifterna inte direkt anknyter till det enskilda uppdrag som utförs. Enligt propositionsmotiven (s. 39) är det fråga om insamling av uppgifter för brottsanalys från offentliga källor såsom internet och myndigheters offentliga register. Uppgifterna kan jämföras med personuppgifter som redan har registrerats i informationssystem för att klargöra om de lagfästa kriterierna för behandlingen av personuppgifter uppfylls. 
Oundvikligen kommer det också att registreras uppgifter som vid en bedömning av deras nödvändighet visar sig vara betydelselösa med tanke på Tullens uppgifter inom brottsbekämpningen.(s. 75). De registrerades rättssäkerhet förbättras emellertid enligt motiven av att uppgifter får bevaras högst sex månader och att uppgifter som bedömts vara onödiga ska raderas utan dröjsmål redan innan det har gått sex månader. 
Grundlagsutskottet menar att det är svårt att bedöma hur väl den föreslagna regleringen överensstämmer med unionsrätten. Artikel 8 i stadgan om de grundläggande rättigheterna, dataskyddsförordningen och polisdirektivet förutsätter å andra sidan att personuppgifter får behandlas endast för särskilt angivna ändamål. Personuppgifterna ska enligt förordningen och direktivet dessutom vara adekvata och relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas. 
Enligt grundlagsutskottets uppfattning är den föreslagna regleringen möjlig mot bakgrunden av unionsrätten endast till den del den faller utanför unionsrättens tillämpningsområde, till exempel när det gäller den nationella säkerheten. Enligt artikel 4.2 i fördraget om Europeiska unionen ska den nationella säkerheten vara varje medlemsstats eget ansvar. Unionen har ingen behörighet när det gäller nationell säkerhet. Den nationella säkerheten har av hävd accepterats av EU-domstolen som en godtagbar grund för inskränkning av grundläggande fri- och rättigheter (t.ex. kommissionen mot Finland, C-284/05, punkt 45, 47 och 49). Det betyder enligt grundlagsutskottet likväl inte att den nationella lagstiftaren får obegränsad behörighet. Enligt utskottets uppfattning är räckvidden för unionsrätten och därmed för rättighetsstadgan en EU-rättslig fråga, och medlemsstaterna har alltså inte behörighet att bestämma räckvidden för unionsrätten ens med hänvisning till den nationella säkerheten. En medlemsstat som åberopar den nationella säkerheten måste därför påvisa att det finns en objektiv grund för detta (se GrUU 35/2018 rd, s. 11, GrUU 36/2018 rd, s. 11). I propositionen anförs emellertid inte några sådana grunder och de föreslagna bestämmelserna i 6 och 7 § faller inte utanför tillämpningsområdet för unionsrätten. 
Grundlagsutskottet har ansett att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att det inte finns skäl att i vår nationella lagstiftning gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42–43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Utskottet har bedömt EU-rättsliga lagstiftningsprojekt med avseende på de grundläggande fri- och rättigheterna och mänskliga rättigheterna, och då fäst vikt även vid relevant domstolspraxis (se även GrUU 28/2016 rd och GrUU 20/2016 rd). Utskottet har ansett att det vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och även grundar sig på unionsrätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden (GrUU 13/2017 rd s. 5, GrUU 9/2017 rd, s. 5). Utskottet anser att behandlingen av känsliga uppgifter är central för skyddet för privatlivet och att det inte kan höra till lagstiftarens behörighet att föreskriva om detta i strid med bestämmelserna i dataskyddsförordningen, som hör till unionsrätten (GrUU 15/2018 rd, s. 44). 
Grundlagsutskottet anser att den föreslagna bestämmelsen skulle leda till att Tullen kan registrera en stor mängd personuppgifter i sina elektroniska databaser och att relevansenav de här uppgifterna är oklara i registreringsögonblicket. I lagen definieras inte innehållet i deregistrerade uppgifterna eller det tillåtna användningsändamålet. I de uppgifter som avses bli registrerade kan uppenbarligen också ingå känsliga uppgifter, för i motiveringen till lagstiftningsordningen anförs det att Tullens behov att behandla uppgifter som hör till särskilda kategorier av personuppgifter ansluter sig till nästan alla ändamål med behandlingen enligt lagförslaget. Det går inte heller att övervaka i vilken mån behandlingen av personuppgifter enbart omfattar betydelsefulla uppgifter, eftersom den föreslagna bestämmelsen ger Tullen befogenheter att obegränsat registrera personuppgifter i sina databaser utan att definiera användningsändamål, innehåll eller registreringsvillkor. 
Med stöd av den föreslagna lagstiftningen kunde det skapas ett omfattande register som är helt okontrollerat i rättslig mening vad beträffar innehåll och ändamål och registret kunde också innehålla en stor mängd känsliga uppgifter. Utskottet anser det självklart att behandling av insamlade personuppgifter för ett särskilt ändamål kräver att uppgifternas innehåll bedöms med avseende på ändamålet. Utskottet framhåller att såväl i dataskyddsförordningen som i polisdirektivet avses med behandling av personuppgifter även insamling av uppgifter, vilket är möjligt endast för ett uttalat ändamål. Det är således inte fråga om något "förberedande behandlingsskede"så som det sägs i propositionsmotiven (s. 75). Grundlagsutskottet har likaså i sin praxis på det sätt som sägs ovan förutsatt att det finns reglering på lagnivå om registreringens syften,innehåll och tillåtna ändamål. I synnerhet när det gäller behandling av känsliga uppgifter måste bestämmelserna vara exakta och noggrant avgränsade på ett sätt som begränsar behandlingen till endast det nödvändiga. 
Så som lagförslagen är utformade i propositionen skulle det vara möjligt att samla in uppgifter som är betydelselösa för Tullens verksamhet och att spara dem i register i upp till sex månader. Grundlagsutskottet ansåg att motsvarande bestämmelser i regeringens proposition med förslag till lag om behandling av personuppgifter i polisens verksamhet (GrUU 51/2018 rd, s. 19) och i förslaget till lag om behandling av personuppgifter inom försvarsmakten (GrUU52/2018 rd, s. 8) och i förslaget till lag om behandling av personuppgifter inom Gränsbevakningsväsendet (GrUU 58/2018 rd, s. 10) var grundlagsstridiga i den föreslagna formen. 
De bestämmelser utskottet tar ställning till i detta utlåtande är något mer exakta. Rätten att behandla uppgifter för att bedöma deras betydelse är bundet till det sätt på vilket de har inhämtats. I t.ex. 5 § 3 mom. föreskrivs det att Tullen får behandla personuppgifter som en i lagen om brottsbekämpning inom Tullen avsedd tullman inom tullbrottsbekämpningen inhämtat eller erhållit.Men enligt grundlagsutskottet är denna begränsning inte tillräcklig och eliminerar inte heller de problem som påtalas ovan. Utskottet menar att bestämmelserna i5 § 3 mom. och 7 § 6 mom. i lagförslag 1 om behandling för att avgöra om uppgifterna är betydelsefulla måste strykas i sin nuvarande utformning. Utan dessa ändringar kan lagförslag 1 enligt grundlagsutskottet inte behandlas i vanlig lagstiftningsordning. Utskottet påpekar att man utan hinder av grundlagen kan välja att reglerabedömningen av grunderna för behandling av personuppgifter till exempel genom bestämmelser som motsvarar 5 kap. 55 § i polislagen om utplåning av information (se även 57 § i tvångsmedelslagen och GrUU 66/2010 rd s. 10 och GrUU 32/2013 rd, s. 7). Bestämmelsen i polislagen har tillkommit genom grundlagsutskottets medverkan (GrUU 60/2010 rd, s.4/II—5/I). 
Automatisk behandling av ansiktsbilder
Enligt 12 § i lagförslaget har Tullen rätt att behandla personuppgifter vid automatisk ansiktsidentifiering för en åtgärd i anknytning till förebyggande, utredning eller avslöjande av brott eller förande av brott till åtalsprövning eller för användning av tvångsmedel. I propositionen redovisas förslaget mycket knapphändigt. Med automatisk ansiktsidentifiering avses mätning av biometriska identifieringspunkter och deras relativa storlek och avstånd i en form som förstås av en dator (s. 50—52 i propositionsmotiven). Det hänvisas också till att för att övervaka att tullagstiftningen och andra bestämmelser som faller inom Tullens behörighet följs är det nödvändigt att man i upptagningarna från den tekniska övervakningen genom automatisk behandling kan identifiera till exempel personer som misstänks för tullbrott eller som på annat sätt har handlat i strid med de bestämmelser som Tullen ska övervaka. Konsekvensen av automatisk ansiktsidentifiering för de grundläggande fri- och rättigheterna är till exempel att den som blir föremål för en åtgärd med stor säkerhet är rätt person, sägs det vidare. Om det inte finns grund för att behandla dessa uppgifter, till exempel för undersökning eller underrättelseinhämtning, ska de raderas inom sex månader efter att de har konstaterats vara onödiga. 
Propositionen ger en oklar bild av vilket slag av personuppgiftsbehandling som den föreslagna automatiska ansiktsidentifieringen egentligen omfattar. Det är därför svårt att avgöra vilken betydelse förslaget sist och slutligen har. Grundlagsutskottet anser att bestämmelsen i 12 § om automatisk ansiktsidentifiering måste styrkas eller preciseras i flera avseenden. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Enligt utskottets uppfattning är det klart att det inte på grundval av en så öppen reglering är möjligt att exempelvis i ett landsomfattande register ta inansiktsbilder av alla som passerat riksgränsen för att behandla informationen på det sätt som sägs i motiveringen och för att bland annat utsätta personerna för övervakningsåtgärder. Utskottet anser det också märkligt att bestämmelsen motiveras med att uppgifter som konstaterats vara överflödiga skulle kunna behandlas under hela sex månader. 
Exakta och noga avgränsade bestämmelser och nödvändighetskravet i fråga om behandling av känsliga uppgifter
I 5 § 1 mom. i lagförslaget föreskrivs om behandling av personuppgifter i utredningssyfte. Tullen får enligt förslaget behandla personuppgifter för utredning av tullbrott eller en annan åtgärd i anknytning till att föra brott till åtalsprövning. Enligt paragrafens 2 mom. krävs det dessutom att de i 1 mom. avsedda uppgifterna anknyter till personer som är misstänkta för brott eller för medverkan till brott, är under 15 år och misstänkta för en brottslig gärning, är föremål för förundersökning,har anmält ett brott eller uppträder som målsägande, vittne, offer, eller på ett annat sätt än det som nämns i 1–6 direkt anknyter till ett ärende som avses i 1 mom. I motiven sägs det att det är fråga om en preciserande bestämmelse (s. 38). I fråga om sådana personer som avses i det nämnda momentet får man enligt 6 § också behandla vissa känsliga uppgifter såsom biometriska uppgifter och uppgifter som gäller hälsotillståndet. 
Grundlagsutskottet menar att ordalydelsen i 5 § 2 mom. 7 punkten är öppen på ett problematiskt sätt. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). Enligt utskottet måste bestämmelsen i den nu föreslagna formuleringen oundvikligen preciseras i allt väsentligt till exempel med de synpunkter som har framförts i grundlagsutskottets utlåtande GrUU 51/2018 rd. Det är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
I 6 § 3 punkten föreskrivs det om registrering av så kallad säkerhetsinformation. Enligt förslaget får Tullen behandla uppgifter som behövs för att trygga säkerheten för en person som är föremål för en åtgärd eller en myndighets säkerhet i arbetet, inklusive nödvändiga uppgifter om en persons hälsotillstånd och hur hälsotillståndet följs eller om personens vård och andra uppgifter som hör till särskilda kategorier av personuppgifter. Grundlagsutskottet har redan tidigare behandlat motsvarade förslag och då konstaterat att förslaget förefaller möjliggöra fortsatt omfattande registreringav hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården (se GrUU 18/2012 rd s. 2/II och GrUU 37/2002 rd, s. 4/II). Utskottet påpekar att bestämmelsen måste preciseras med en definition av vilka hälsorelaterade uppgifter och uppgifter om åtgärder inom socialvården det är tillåtet att registrera, även om nödvändighetskravet på ett adekvat sätt begränsar området för registrerbara uppgifter (GrUU 18/2012 rd, s. 3/II). Enligt utskottet är den föreslagna bestämmelsen behäftad med samma slags öppenhet när det gäller behandlingen av känsliga uppgifter, trots att förslaget inte nämner uppgifter som hänför sig till åtgärder inom socialvården. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). (Se även GrUU 58/2018 rd, s. 11). Den nu föreslagna bestämmelsen måste således preciseras i synnerheti fråga om de nämnda övriga känsliga uppgifterna. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande till lagstiftningsordningen gäller även 8 § 1 mom. 4 punkten i lagförslag 1. 
I förslaget till 7 § föreskrivs det om behandling av personuppgifter för förebyggande eller avslöjande av tullbrott. I förslaget till 8 § föreskrivs det om vilka uppgifter som utöver de grundläggande personuppgifter som nämns i 4 § får behandlas. Grundlagsutskottet menar att åtminstone sådana uppgifter som avses i 1 mom. 2–4 punkten kan inkludera känsliga uppgifter. Utskottet omfattar den syn som framgår av propositionsmotiven (s. 45), enligt vilken 2 punkten i momenteti själva verket är mycket vid till innehållet. Med stöd av det lagrummet skulle Tullen få behandla behövliga uppgifter som gäller en persons verksamhet och beteende. Sådana uppgifter kan enligt propositionsmotiven (s. 46) gälla t.ex. en personskontakter, levnadsvanor, ekonomiska situation, fritidsintressen och andra intressen till den del de behövs med tanke på förebyggandet och utredningen av tullbrott. När utskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en motsvarande bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). Bestämmelsen måste preciseras exempelvis med den beskrivning som framgår av motiven. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Enligt motiven i propositionen till lagstiftningsordningen (s. 76) innebär de föreslagna 7 och 8 §en utvidgning av det datainnehåll som behandlas riksomfattande, både vad gäller datainnehållet och de kategorier av personer som får registreras. Enligt 7 § uppställs det inga kriterier för hur grova brott det är fråga om utan de uppgifter det handlar om förutsätts anknyta till personer som "med fog kan antas ha gjort sig skyldiga till brott". Utskottet påpekar att myndighetsmisstanke om brott enligt artikel 10 i dataskyddsförordningen utgör en känslig personuppgift som kräver särskild konstitutionell reglering. Förvaltningsutskottet måste komplettera regleringen så att behandlingen knyts till brottets grovhetsgrad. När grundlagsutskottet behandlade lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Dessutom finns det skäl för förvaltningsutskottet att höja graden av antagande exempelvis till kategorin "kan skäligen misstänkas". 
Den föreslagna 9 § gäller behandling av uppgifter om informationskällor. Enligt paragrafen får Tullen behandla uppgifter om en i 3 kap. 39 § i lagen om brottsbekämpning inom Tullen eller 10 kap. 39 § i tvångsmedelslagen avsedd person som har använts som informationskälla, uppgifter om användningen och övervakningen av informationskällan samt uppgifter om det huvudsakliga innehållet i de uppgifter som informationskällan lämnat. Det framgår överhuvudtaget inte vilken typ av personuppgifter som avses här. Av propositionsmotiven framgår emellertid att känsliga uppgifter får behandlas endast när det är nödvändigt med tanke på ändamålet med behandlingen (s. 46). Bestämmelsen måste kompletteras. När grundlagsutskottet tog ställning till lagen om behandling av personuppgifter i polisens verksamhet ansåg det att preciseringen av en sådan bestämmelse var en fråga som påverkade lagstiftningsordningen (GrUU 51/2018 rd, s.11). En sådan ändring är också nu en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Användning och utlämnande av uppgifter
I förslaget till 18 § föreskrivs det om Tullens rätt att få uppgifter ur vissa register och informationssystem. Enligt bestämmelsen har Tullen t.ex. rätt att av Brottspåföljdsmyndigheten få behövliga personuppgifter för att avvärja tullbrott.  
Grundlagsutskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5, och de utlåtanden som nämns där). I sina analyser av exakthet och innehåll har utskottet lagt särskild vikt vid huruvida de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om överlåtelse av uppgifter har gällt också känsliga uppgifter, har det för vanlig lagstiftningsordning krävts att bestämmelserna preciseras så att de följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (se t.ex. GrUU 15/2018 rd, s 39). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 14/2018 rd, s. 5). Utskottet anser att motsvarande utgångspunkter också kan tillämpas på rätten att få och lämna ut information trots banksekretessen (se GrUU 48/2018 rd, s. 5). 
Den föreslagna regleringen i 14 § måste på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter preciseras så att den följer grundlagsutskottets ovan återgivna praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess. Kompletteringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. Motsvarande ställningstagande i fråga om lagstiftningsordningen gäller också 15 § om uppgifter som andra myndigheter lämnar ut till Tullen genom registrering via direkt anslutning eller för registrering som en datamängd, 18 § om utlämnande av personuppgifter till en annan behörig myndighet som avses i dataskyddslagen avseende brottmål och 19 § om övrigt utlämnande av personuppgifter till myndigheter. 
Utöver vad som föreskrivs annanstans i lag har Tullen enligt 14 § trots sekretessbestämmelserna rätt att ur vissa register genom en teknisk anslutning eller som en datamängd få information för att utföra sina uppgifter och föra sina personregister, på det sätt som avtalas om saken med den personuppgiftsansvarige. Grundlagsutskottet påpekar att till följd av kravet på reglering i lag kan avtal av denna karaktär närmast omfatta de praktiska åtgärder som öppnande av en teknisk anslutning till en annan myndighets personregister kräver (se GrUU 71/2014 rd, s. 3/II). Bestämmelsen måste preciseras. 
Dataskyddsbrott
I lagförslaget ingår ingen hänvisning till bestämmelsen om dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbart enligt 1 mom. 4 punkten i bestämmelsen om dataskyddsbrott är i den närmare specificerad verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Också bestämmelsens 2 mom. gäller verksamhet i strid med någon annan lag som gäller behandling av personuppgifter. Bestämmelsen är problematisk med avseende på den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen, eftersom den inte närmare individualiserar de andra lagar där följden kan vara straff för behandling av personuppgifter i strid med lagen (se GrUU 14/2018 rd, s. 21). 
Bestämmelsen om dataskyddsbrott är en straffbestämmelse in blanco. Av orsaker som hänför sig till legalitetsprincipen bör man förhålla sig avvaktande till sådana (t.ex. GrUU 10/2016 rd, s. 8, GrUU 31/2002 rd, s. 3, GrUU 15/1996 rd, s. 2/II, och GrUU 20/1997 rd, s. 3/II). Utskottet underströk i samband med reformen av de grundläggande fri- och rättigheterna att målet bör vara att de kedjor av bemyndiganden som bestämmelserna in blanco kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd). I nyare praxis har utskottet ansett att en precisering i bestämmelserna in blanco är ett villkor för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 10/2016 rd, s. 8–9). Också när bestämmelsen räknar upp de gärningsformer som kan vara straffbara har utskottet i sin praxis ansett att det behövs preciseringar genom mer exakta hänvisningar och rekvisitelement (GrUU 14/2018 rd, s. 21). Utskottets uppfattning är att lagen om behandling av personuppgifter inom Tullen är en sådan "annan lag som gäller behandling av personuppgifter" som avses i 38 kap. 9 § 1 mom. 4 punkten i strafflagen. Lagförslaget måste kompletteras med en hänvisning till bestämmelsen om dataskyddsbrott i strafflagen. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar mot lagförslagets principbestämmelser och mot 5, 6, 7, 8, 9, 12, 14, 15, 18 och 19 § beaktas på behörigt sätt.  
Helsingfors 7.2.2019 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Anna-Maja
Henriksson
sv
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Markus
Lohi
cent
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Matti
Torvinen
blå
ersättare
Mats
Löfström
sv.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 20.2.2019 11:12