Senast publicerat 09-05-2021 20:44

Utlåtande LaUU 10/2018 rd RP 31/2018 rd Lagutskottet Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten och till vissa lagar som har samband med den (RP 31/2018 rd): Ärendet har remitterats till lagutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsråd Timo Makkonen 
    justitieministeriet
  • lagstiftningsråd Tanja Jaatinen 
    justitieministeriet
  • överinspektör Suvi Pato-Oja 
    inrikesministeriet
  • referendarieråd Mikko Eteläpää 
    Riksdagens justitieombudsmans kansli
  • justitieråd Riitta Mutikainen 
    högsta förvaltningsdomstolen
  • president Pertti Nieminen 
    Östra Finlands hovrätt
  • lagman Martti Juntikka 
    Egentliga Finlands tingsrätt
  • statsåklagare Johanna Hervonen 
    Riksåklagarämbetet
  • registerchef Teemu Mikkola 
    Rättsregistercentralen
  • jurist Esa-Pekka Hänninen 
    Brottspåföljdsmyndigheten
  • överinspektör Heikki Partanen 
    dataombudsmannens byrå
  • chef för it-förvaltningen Jari Råman 
    Polisstyrelsen
  • professor Sakari Melander 
  • professor Olli Mäenpää. 

Skriftligt yttrande har lämnats av 

  • finansministeriet
  • justitiekanslersämbetet
  • Helsingfors förvaltningsdomstol
  • Gränsbevakningsväsendet
  • Tullen
  • Finlands Advokatförbund.

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

I regeringens proposition handlar det om att nationellt genomföra Europeiska unionens dataskyddsdirektiv för brottsbekämpande myndigheter (EU 2016/680), nedan dataskyddsdirektivet. Direktivet tillämpas när polisen, åklagare, domstolar och andra behöriga myndigheter behandlar personuppgifter i brottmål. Syftet med direktivet är att säkerställa skyddet för personuppgifter på direktivets tillämpningsområde samt underlätta det fria flödet av uppgifter mellan polismyndigheter och straffrättsliga myndigheter i medlemsstaterna. 

För att genomföra direktivet föreslår regeringen att det stiftas en särskild personuppgiftslag (lagförslag 1) som ska tillämpas vid behandling av brottmål. Lagen är en allmän lag som ska tillämpas om inte annat föreskrivs någon annanstans i lag. Den föreslagna regleringen ska också tillämpas när Försvarsmakten, polisen och Gränsbevakningsväsendet behandlar personuppgifter i samband med upprätthållande av den nationella säkerheten. Detta är inget krav i direktivet, utan det handlar om en nationell lösning. 

Det har ansetts finnas behov av särskilda bestämmelser för de olika förvaltningsområdena inom direktivets tillämpningsområde. För närvarande finns det särskilda bestämmelser om behandling av personuppgifter inom polisens, Gränsbevakningsväsendets och Tullens ansvarsområden. De lagar som gäller dessa revideras just nu. 

Direktivet har ett nära samband med EU:s allmänna dataskyddsförordning. Förordningen och direktivet bildar tillsammans det så kallade dataskyddspaketet, som syftar till att modernisera och förenhetliga EU:s dataskyddslagstiftning. Förordningen gäller som utgångspunkt så gott som all behandling av personuppgifter inom den privata och den offentliga sektorn, med undantag av behandling av personuppgifter i brottmål enligt det nu aktuella direktivet. Regeringen har överlämnat en separat proposition (RP 9/2018 rd) med förslag till lagstiftning som kompletterar och preciserar förordningen. Lagutskottet gav nyligen sitt utlåtande (LaUU 5/2018 rd) om den propositionen. Beredningen av betänkandet om saken pågår fortfarande i förvaltningsutskottet när detta utlåtande skrivs. 

Den allmänna dataskyddsförordningen gäller också alla myndigheter som verkställer dataskyddsdirektivet. Förordningen blir tillämplig vid sådan behandling av personuppgifter som inte hör till direktivets tillämpningsområde. Lagstiftningen om behandling av personuppgifter är således för de behöriga myndigheternas del uppdelad på den allmänna dataskyddsförordningen och den nationella regleringen för att genomföra den, den allmänna lagen för att genomföra dataskyddsdirektivet och de särskilda bestämmelserna för de olika förvaltningsområdena. Regleringsfältet är alltså inte bara komplicerat utan också mycket splittrat. Med beaktande av detta anser lagutskottet att det är motiverat att man vid genomförandet av direktivet har försökt finna en lösning som är så enhetlig som möjligt med den nationella regleringen för att genomföra dataskyddsförordningen, och att man har avvikit från denna princip om det har funnits vägande skäl. 

Det är dataombudsmannen som utövar tillsyn över efterlevnaden av den föreslagna allmänna lagen (45 § 1 mom.). Samma myndighet utövar således tillsyn över efterlevnaden av den allmänna dataskyddsförordningen, den dataskyddslag som kompletterar den och den lag som genomför direktivet. Lagutskottet ser detta som motiverat. 

Lagutskottet koncentrerar sig i sitt utlåtande på domstolarnas ställning samt rättssäkerheten och påföljderna. 

Regleringens tillämplighet på domstolarna

Enligt 1 § 1 mom. i den föreslagna allmänna lagen ska lagen tillämpas vid sådan behandling av personuppgifter som utförs av de behöriga myndigheter som anges i lagen när det är fråga om förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning (1 punkten), åtalsprövning och annan åklagarverksamhet som har samband med brott (2 punkten), handläggning av brottmål i domstol (3 punkten), verkställighet av straffrättsliga påföljder (4 punkten) eller skydd mot eller förhindrande av hot mot den allmänna säkerheten i samband med verksamhet som avses i 1—4 punkten (5 punkten). 

Med behörig myndighet avses enligt 3 § 1 mom. 5 punkten i den allmänna lagen en myndighet som har behörighet att förebygga, avslöja eller utreda brott eller föra brott till åtalsprövning, att åtalspröva eller vidta andra åtgärder som avser åtal för brott eller att döma till straffrättsliga påföljder eller verkställa straffrättsliga påföljder. 

Handläggning av brottmål i domstol nämns således som en särskild punkt i 1 § 1 mom. i den allmänna lagen (3 punkten). Också i definitionen av behörig myndighet i 3 § beaktas att ”döma till straffrättsliga påföljder”. 

Vid sakkunnigutfrågningen i lagutskottet gjordes emellertid den tolkningen att direktivet ger nationell prövningsmarginal i fråga om domstolarna och att domstolarna därför borde ha undantagits från tillämpningsområdet för den föreslagna allmänna lagen. 

Lagutskottet konstaterar att i direktivet fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1). Utanför direktivets tillämpningsområde har endast lämnats sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten samt sådan behandling av personuppgifter som utförs av unionens institutioner, organ och byråer (artikel 2.3). Eftersom domstolar eller utdömande av straffrättsliga påföljder inte nämns uttryckligen vare sig i direktivets namn eller i dess bestämmelser om syfte och tillämpningsområde, blir det oklart om regleringen ska tillämpas på behandling av brottmål i domstol. Det framgår ändå av artiklarna 18, 32 och 45 samt av skälen 20, 63 och 80 i ingressen att direktivet också ska tillämpas på behandling av brottmål i domstol. 

Till exempel framgår det av artikel 32 i direktivet att medlemsstaterna får undanta domstolars och andra oberoende rättsliga myndigheters dömande verksamhet från skyldigheten att utnämna ett dataskyddsombud. Likaså sägs det i artikel 45.2 att varje medlemsstat ska föreskriva att varje tillsynsmyndighet inte ska vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter inom ramen för sin dömande verksamhet. Dessutom sägs det för tydlighetens skull följande i skäl 80 i ingressen till direktivet: 

”Detta direktiv är visserligen tillämpligt på nationella domstolars och andra rättsliga myndigheters verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter inom ramen för domstolars dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga uppgifter. Detta undantag bör vara inskränkt till rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med medlemsstaternas nationella rätt kan medverka.” 

I ljuset av det som sägs ovan anser lagutskottet det klart att direktivet också ska tillämpas på domstolarnas verksamhet när de behandlar brottmål. I de fall när det handlar om domstolarnas dömande verksamhet har medlemsstaterna ändå möjlighet att undanta domstolarna från skyldigheten att utnämna ett dataskyddsombud. Likaså förutsätter direktivet att domstolarnas rättsliga uppgifter i samband med behandling av brottmål inte alls ska omfattas av tillsynsmyndigheternas tillsyn. 

I direktivet anges inte närmare vad som avses med domstolarnas ”dömande verksamhet” eller ”rättsliga uppgifter”, alltså rättsskipningsuppgifter. I det finländska rättssystemet har domstolarnas rättskipning ansetts utgöra en del av det rättsskydd som tillgodoses i efterskott och vars funktion är att avgöra rättstvister och säkerställa att den materiella rättens normer tillämpas rätt. Rättskipningen indelas enligt rättsområden i dels rättegångsförfarande och dels förvaltningsrättskipning (se RP 72/2002 rd, s. 56). Enligt lagutskottet har domstolarnas rättskipning således anknytning till utövandet av den dömande makten och dess krav på oberoende domare (3 § i grundlagen och 6 § i domstolslagen). Med beaktande av det som sägs ovan kan det i det här regleringssammanhanget anses vara fråga om handläggning och avgörande av brottmål i domstol med tillämpning av materiell och processuell lagstiftning. Att besvara en begäran om en registrerades rätt till insyn är däremot inte rättsskipning. Det finns dessutom också annan verksamhet vid domstolarna, till exempel personalregister. Behandling av personuppgifter inom ramen för sådan annan verksamhet utgör inte rättskipning utan förvaltningsverksamhet och omfattas av den allmänna dataskyddsförordningen. 

På det sätt som direktivet möjliggör föreslås det i 40 § 2 mom. i den allmänna lagen att dataskyddsombudets uppgifter inte ska omfatta rättsskipningsverksamhet i domstolarna. I 45 § 2 mom. i den allmänna lagen föreslås det dessutom att lagens bestämmelser om tillsyn inte ska tillämpas på domstolarna. Enligt den sistnämnda bestämmelsen ska domstolarnas verksamhet inte alls omfattas av tillsynsmyndigheternas tillsyn, vilket går längre än direktivet. Lagutskottet anser ändå att det med tanke på domstolarnas oberoende är motiverat att helt och hållet undanta domstolarna från tillsynsmyndigheternas tillsyn. Justitiekanslern i statsrådet och riksdagens justitieombudsman övervakar domstolarna som en del av den allmänna laglighetskontrollen. 

Regleringen i direktivet är inte helt tydlig när det gäller domstolarnas verksamhet. Trots det anser lagutskottet att de lösningar man har gått in för i direktivet är motiverade för domstolarnas del och att de har genomförts på behörigt sätt i den föreslagna allmänna lagen. Utskottet anser att det som utgångspunkt är motiverat att en enhetlig dataskyddsreglering ska tillämpas på samtliga myndigheter som i straffprocesskedjan behandlar personuppgifter i samband med brottmål. 

I fråga om domstolarna gäller också den allmänna dataskyddsförordningen. Förordningen blir tillämplig exempelvis vid behandling av personuppgifter i samband med något annat ärende än ett brottmål, till exempel ett tvistemål eller ansökningsärende. Tillsynsmyndigheterna är ändå inte heller enligt den allmänna dataskyddsförordningen behöriga att utöva tillsyn över domstolarnas dömande verksamhet (artikel 55.3). 

De sakkunniga fäste vid utfrågningen uppmärksamhet vid att den allmänna lag som föreslagits för att genomföra direktivet inte ger tillräckliga anvisningar om behandlingen av personuppgifter i domstolarna. Till exempel lagens 8 § 1 mom. ansågs vara svårbegripligt. I momentet sägs det att den personuppgiftsansvarige vid behov och så långt det är möjligt ska göra en klar åtskillnad mellan personuppgifter som avser registrerade i olika ställning med tanke på det ärende som behandlas. Lagutskottet konstaterar att det framgår av motiven (s. 40) att om en persons ställning (vittne, målsägande, åtalad) entydigt framgår av sammanhanget, ”behövs” det inga åtgärder enligt momentet för att göra åtskillnad mellan uppgifterna. Enligt lagutskottets åsikt är detta i allmänhet fallet i domstolsärenden. Man bör dessutom notera att skyldigheten att göra åtskillnad mellan uppgifterna också luckras upp av uttrycket ”så långt det är möjligt”. 

Också de registrerades rätt till insyn (23 § i den föreslagna allmänna lagen) har ansetts problematisk ur domstolarnas synvinkel särskilt i tvångsmedelsärenden. Lagutskottet konstaterar att en registrerad inte har rätt till insyn utifrån 62 § i tvångsmedelslagen (806/2011). Den särskilda bestämmelsen har företräde framför den föreslagna allmänna lagen. 

Som lagutskottet ser det beror den allmänna lagens svårbegriplighet när det gäller de olika behöriga myndigheternas verksamhet på att det handlar om en allmän lag som ska tillämpas på behandling av personuppgifter i brottmål vid alla behöriga myndigheter. Å andra sidan underlättas tillämpningen av regleringen av att den allmänna lagen på många punkter är mer detaljerad än den gällande personuppgiftslagen, som tillämpas i domstolarna redan nu. Det är ändå viktigt att vid behov utfärda särskilda bestämmelser om saken när det gäller domstolarnas — och övriga behöriga myndigheters — verksamhet. Det är också viktigt att de behöriga myndigheterna får tillräcklig utbildning om lagändringen. Vid verkställigheten måste man lägga särskild vikt vid den handledning och rådgivning som ges av dataombudsmannen. 

Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring

Enligt artikel 52 i direktivet ska alla registrerade personer som anser att behandling som avser dem står i strid med de bestämmelser som antas i enlighet med direktivet ha rätt att lämna in ett klagomål till en tillsynsmyndighet. Den registrerade ska underrättas av den behöriga tillsynsmyndigheten om klagomålets handläggning och dess resultat. Enligt artikel 53 i direktivet ska en fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som avser dem och som meddelats av en tillsynsmyndighet, utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol. Varje registrerad person ska ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller dess resultat. Enligt artikel 54 ska medlemsstaterna dessutom föreskriva en rätt till effektiva rättsmedel för registrerade om han eller hon anser att deras rättigheter har kränkts som en följd av att hans eller hennes personuppgifter har behandlats på ett sätt som inte är förenligt med lag. 

För att genomföra de ovannämnda bestämmelserna i direktivet föreslås det i 56 § i den allmänna lagen att en registrerad ska ha rätt att föra ett ärende till dataombudsmannen för behandling (begäran om åtgärder), om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot denna lag eller någon annan lag som gäller behandling av personuppgifter. Enligt 58 § i den föreslagna allmänna lagen får dataombudsmannens beslut överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996). Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut. 

De föreslagna bestämmelserna motsvarar bestämmelserna i förslaget till den dataskyddslag som ska komplettera den allmänna dataskyddsförordningen. Lagutskottet bedömde de bestämmelserna i sitt utlåtande (LaUU 5/2018 rd, s. 17 och 18) bland annat med avseende på huruvida det är godtagbart att det inte föreslås någon möjlighet att begära omprövning. Utskottet bedömde också kravet på besvärstillstånd vid sökande av ändring i förvaltningsdomstolens beslut samt myndigheternas besvärsrätt. Utskottet kom fram till att den föreslagna regleringen i förslaget till dataskyddslag var lämplig till dessa delar. Lagutskottet anser att det som sägs i det ovannämnda utlåtandet också gäller det nu aktuella lagförslaget. 

Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling

I artikel 54 i direktivet föreskrivs det att de registrerade ska ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna rätt får ändå inte begränsa bland annat rätten att lämna in klagomål till en tillsynsmyndighet enligt artikel 52. I den föreslagna allmänna lagen finns det inga separata bestämmelser om saken. 

Vid utfrågningen i utskottet tolkade en del sakkunniga artikeln så att den uttryckligen kräver rättsmedel i domstol medan andra ansåg att rätten att föra ett ärende till dataombudsmannen för behandling och rätten att överklaga dataombudsmannens beslut hos domstol räcker. 

Motsvarande reglering finns också i den allmänna dataskyddsförordningen, och lagutskottet behandlade således tolkningen av bestämmelserna i sitt utlåtande om förslaget till dataskyddslag (LaUU 5/2018 rd, s. 18 och 19). Utskottet anser liksom i det utlåtandet också i det här sammanhanget att det är ett naturligare rättsmedel för en registrerad att vända sig till dataombudsmannen än till domstolen. Dataombudsmannens beslut får också överklagas hos förvaltningsdomstolen och vidare hos högsta förvaltningsdomstolen, om besvärstillstånd beviljas. Den registrerade har alltså också i det här fallet tillgång till domstolsbehandling om han eller hon inte nöjer sig med dataombudsmannens beslut. Det finns å andra sidan inget hinder för att den registrerade hos förvaltningsdomstolen överklagar ett förvaltningsbeslut som en myndighet har fattat i egenskap av personuppgiftsansvarig utan att först vända sig till dataombudsmannen. Enligt utskottets uppfattning kan ett förvaltningsbeslut av en myndighet också avse behandling av personuppgifter, och den registrerade får vid behov begära ett förvaltningsbeslut, som får överklagas. Enligt utskottets uppfattning kräver direktivet inte särskilda nationella bestämmelser till dessa delar. 

Parallella förfaranden

Enligt den första meningen i 57 § 1 mom. i den föreslagna allmänna lagen prövar dataombudsmannen det ärende som avses i begäran om åtgärder, om inte ärendet är anhängigt i domstol. 

Enligt de kompletterande uppgifter som utskottet fått från justitieministeriet gäller bestämmelsen situationer där överträdelser som gäller behandling av personuppgifter är anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att fastställa en sådan ersättning. Det handlar då om samma registrerade, samma personuppgiftsansvariga eller personuppgiftsbiträde och samma överträdelse. 

När lagutskottet behandlade regeringens proposition med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen fäste utskottet uppmärksamhet vid att propositionen inte innehöll några bestämmelser för situationer där samma ärende är anhängigt både vid dataombudsmannen och vid domstol. Lagutskottet föreslog därför för förvaltningsutskottet att det skulle föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som är anhängigt vid domstol (LaUU 5/2018 rd, s. 19). Att ärendet avbryts betyder enligt lagutskottet inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare. 

Av bestämmelsen i den allmänna lag som föreslås för att genomföra det nu aktuella direktivet får man den uppfattningen att dataombudsmannen inte tar upp eller behandlar en begäran om åtgärder om ärendet samtidigt är anhängigt i domstol. Enligt lagutskottet är det motiverat att bestämmelsen utformas på samma sätt som i den föreslagna dataskyddslagen och föreslår därför för förvaltningsutskottet att den första meningen i 57 § 1 mom. ändras som följer: 

Dataombudsmannen får avbryta behandlingen av ett ärende om ett ärende som anknyter till det är anhängigt i domstol. 

Dataombudsmannen avgör utifrån prövning frågan om huruvida behandlingen av ett ärende ska avbrytas. Bestämmelsen är allmänt utformad och ger dataombudsmannen prövningsrätt i fråga om vad som är motiverat och lämpligt i varje enskilt fall. Vid bedömningen av uttrycket ”ärende som anknyter till” i momentet kan man fästa vikt vid om det handlar om samma registrerade, samma personuppgiftsansvariga eller personuppgiftsbiträde och samma påstådda överträdelse av den allmänna dataskyddsförordningen eller dataskyddslagen. 

Dröjsmålsbesvär

Enligt artikel 53.2 i direktivet ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med klagomålet fortskrider eller om dess resultat. Enligt 57 § 1 mom. ska dataombudsmannen inom rimlig tid informera den som inlett ärendet om hur behandlingen fortskrider, om behandlingen av ärendet fördröjs. Den föreslagna allmänna lagen innehåller ändå inte några uttryckliga bestämmelser om de rättsmedel som en registrerad ska ha rätt till enligt direktivet. 

En bestämmelse som motsvarar direktivet ingår också i den allmänna dataskyddsförordningen, men inte heller den föreslagna dataskyddslagen som kompletterar förordningen innehåller några särskilda bestämmelser om rättsmedel. I sin behandling av det förslaget övervägde lagutskottet behovet av särskilda bestämmelser om dröjsmålsbesvär. Lagutskottet ansåg att tillsynen över en självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Utskottet ansåg det inte heller vara ändamålsenligt att ta i bruk särskilda dröjsmålsbesvär enbart för de ärenden som avses i den allmänna dataskyddsförordningen. Dessutom menade utskottet att redan den nuvarande möjligheten att anföra klagomål hos laglighetsövervakarna är ett effektivt rättsmedel och räcker i detta sammanhang. Utskottet beslutade sig därför utifrån inkommen information för att godkänna förslaget i propositionen enligt vilket bestämmelser om dröjsmålsbesvär inte tas in i den nationella lagstiftningen (LaUU 5/2018 rd, s. 20). 

Enligt lagutskottet lämpar sig det som sägs i det ovannämnda utlåtandet också för det nationella genomförandet av direktivet. 

Kommissionens beslut om adekvat skyddsnivå

I 57 § 2 mom. i den föreslagna allmänna lagen sägs det att om dataombudsmannen i ett ärende som inletts hos dataombudsmannen anser att det behöver utredas om ett i 41 § 1 mom. 3 punkten avsett beslut av kommissionen om adekvat skyddsnivå är förenligt med dataskyddsdirektivet, får dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. Den paragraf som det hänvisas till möjliggör överföring av personuppgifter till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. 

Bakgrunden till den föreslagna 57 § 2 mom. är EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet är således nu att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med direktivet. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs. 

En motsvarande bestämmelse finns i förslaget till den dataskyddslag som ska komplettera den allmänna dataskyddsförordningen (RP 9/2018 rd, 24 § i lagförslag 1). När lagutskottet bedömde den bestämmelsen ansåg det att man av ordalydelsen i den kan få den uppfattningen att det är frågan om huruvida Europeiska kommissionens beslut är förenligt med förordningen som ska hänskjutas till Helsingfors förvaltningsdomstol. De nationella myndigheterna har ändå inte behörighet att pröva om ett beslut av kommissionen är förenligt med förordningen, utan EU-domstolen har exklusiv behörighet i frågan. I enlighet med detta är syftet med bestämmelsen främst att göra det möjligt för dataombudsmannen att hänskjuta frågan om det behöver utredas om ett beslut av kommissionen är förenligt med förordningen till domstol. Lagutskottet föreslog därför att förvaltningsutskottet skulle bedöma om det föreslagna momentet kan förtydligas så att det bättre motsvarar sitt syfte. Lagutskottet föreslår samma sak i det här sammanhanget. 

Lagutskottet konstaterar på samma sätt som i fråga om förslaget till den dataskyddslag som kompletterar den allmänna dataskyddsförordningen, att det i den föreslagna allmänna lagen inte finns några särskilda bestämmelser om förfarandet vid behandlingen i förvaltningsdomstolen av de ansökningsärenden som avses här. För tydlighetens skull påpekar utskottet att 72 § i förvaltningsprocesslagen, som gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”, är tillämplig på detta. Enligt den paragrafen anhängiggörs ärendena genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den paragrafen gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt utskottets uppfattning är det därför möjligt att beakta särdragen i nu aktuella ansökningsärendena vid behandlingen av ärendena. 

Den föreslagna 57 § 2 mom. i den allmänna lagen innehåller inte någon särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Meningen är förmodligen att 58 § 2 mom. om ändringssökande ska bli tillämpligt. Lagutskottet anser ändå att det är motiverat att i fråga om de beslut av kommissionen som avses i 57 § 2 mom. ta in en särskild bestämmelse om sökande av ändring i Helsingfors förvaltningsdomstols beslut, på samma sätt som gjorts i fråga om förslaget till den dataskyddslag som kompletterar den allmänna dataskyddsförordningen (24 §). En sak som talar för detta är att det som utgångspunkt är en myndighet, rättare sagt dataombudsmannen, som har rätt att överklaga Helsingfors förvaltningsdomstols i 57 § 2 mom. avsedda beslut medan det enligt 58 § 2 mom. är den registrerade som har denna rätt och det därför föreskrivs särskilt i det momentet att ”även dataombudsmannen får söka ändring i förvaltningsdomstolens beslut”. 

Lagutskottet tog ställning till frågorna kring besvärsrätten när det bedömde förslaget till den dataskyddslag som kompletterar den allmänna dataskyddsförordningen. Det som utskottet noterade i det utlåtandet gäller också den nu föreslagna bestämmelsen (se LaUU 5/2018 rd, s. 21). Till exempel i en situation där det är oklart om huruvida kommissionens beslut är förenligt med direktivet, krävs det för att avgöra frågan om den registrerade vars ärende det gäller har rätt att överklaga Helsingfors förvaltningsdomstols beslut en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. I princip är det enligt utskottets uppfattning möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt. 

Enligt lagutskottet kunde den ovannämnda särskilda bestämmelsen om ändringssökande, som bör avskiljas till ett separat moment, lyda till exempel som följer: 

I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd.  

Lagutskottet anser också att det i lagtekniskt avseende är tydligare att de nu aktuella bestämmelserna om kommissionens beslut avskiljs till en separat paragraf. Så har man gjort också i förslaget till den dataskyddslag som kompletterar den allmänna dataskyddsförordningen (24 §). Om bestämmelserna om kommissionens beslut blir en ny 58 §, ändras numreringen på de följande paragraferna i enlighet med det. 

Självinkrimineringsskyddet

Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv samt rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder. Lagutskottet behandlade frågan om självinkrimineringsskyddets betydelse i sitt utlåtande om den nationella lagstiftning som kompletterar den allmänna dataskyddsförordningen (LaUU 5/2018 rd). 

I det här sammanhanget fäster utskottet vikt vid den föreslagna allmänna lagens bestämmelser om skyldigheten att anmäla personuppgiftsincidenter (33 och 34 §). Enligt utskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i dessa fall tolkas i överensstämmelse med skyddet mot självinkriminering och med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol. 

Lagutskottet fäster också uppmärksamhet vid 52 § i den föreslagna allmänna lagen, som innehåller bestämmelser om vite. Enligt 1 mom. får dataombudsmannen förena vissa beslut samt rätten att få information enligt 47 § med vite. I 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. I det senare momentet är det fråga om skyddet mot självinkriminering. 

Tröskeln för att inte förelägga vite har i 2 mom. kopplats till uttrycket ”finns skäl att misstänka” (”on syytä epäillä”). I förslaget till den dataskyddslag som kompletterar den allmänna dataskyddsförordningen är tröskeln ”finns anledning att misstänka” (RP 9/2018 rd, 22 § i lagförslag 1). Lagutskottet konstaterar att det inte har utformats någon enhetlig linje om tröskeln för att inte förelägga vite utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska bedöma frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning (”finns skäl att misstänka”) eller om skyddet också ska gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”finns anledning att misstänka”). 

Lagutskottet ansåg i sitt utlåtande om förslaget till dataskyddslag (LaUU 5/2018 rd, s. 23) att för uttrycket ”finns anledning att misstänka” talar det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Uttrycket ”finns skäl att misstänka”, kan i alltför hög grad binda skyddet till inledande av en formell förundersökning. Lagutskottet såg ändå inte något hinder för att man i bestämmelsen använder uttrycket ”finns skäl att misstänka”. Utskottet påpekade ändå att om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan skyddet kan i vissa fall vara mer omfattande. 

I det här sammanhanget hänvisar lagutskottet till sitt utlåtande om förslaget till dataskyddslag och föreslår att förvaltningsutskottet bedömer vilketdera uttrycket som är det mest motiverade. Det viktiga är ändå att man använder enhetliga begrepp i förslaget till dataskyddslag och det nu aktuella förslaget till allmän lag. 

Påföljder

Enligt artikel 57 i direktivet ska medlemsstaterna föreskriva om effektiva, proportionella och avskräckande sanktioner för överträdelser av dataskyddsbestämmelserna. 

Den allmänna dataskyddsförordningen föreskriver om en administrativ påföljdsavgift för överträdelser av vissa av dataskyddsbestämmelserna i förordningen. Medlemsstaterna får ändå undanta myndigheterna, antingen helt eller delvis, från tillämpningsområdet för administrativ påföljdsavgift. I samband med propositionen med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen föreslås det att Finland ska utnyttja det nationella handlingsutrymmet fullt ut och undanta myndigheterna från den administrativa påföljdsavgift som avses i förordningen (RP 9/2018 rd, s. 57, 58, 107 och 108). Lagutskottet stannade i sitt utlåtande om propositionen för att godkänna regeringens förslag (LaUU 5/2018 rd). 

Direktivet innehåller inte några bestämmelser om administrativ påföljdsavgift. Det ger medlemsstaterna ett större handlingsutrymme än den allmänna dataskyddsförordningen när det gäller påföljdssystemet. Regeringen föreslår inte någon administrativ påföljdsavgift inom den föreslagna allmänna lagens tillämpningsområde i samband med genomförandet av direktivet. Ombudsmannen kan ändå i fall av ett lagstridigt förfarande till exempel meddela en anmärkning eller uppställa ett tillfälligt eller bestående förbud eller någon annan tillfällig eller bestående begränsning av behandlingen av personuppgifter. Ombudsmannen kan förena ett rättsligt förpliktande beslut med vite. I propositionen föreslås det också mer omfattande befogenheter för dataombudsmannen än minimikravet i direktivet, vilket för sin del möjliggör ett brett urval metoder för att ingripa i lagstridig behandling av personuppgifter. För den personuppgiftsansvarige gäller dessutom ett strikt ersättningsansvar för skador som tillfogats någon av att personuppgifter har behandlats i strid med lagen (59 § i lagförslag 1). Lagutskottet har inget att invända mot den föreslagna regleringsmetoden. 

I 60 § i den föreslagna allmänna lagen finns det hänvisningar till de bestämmelser i strafflagen som är relevanta med tanke på den samlade regleringen. Enligt en hänvisning finns bestämmelser om straff för dataskyddsbrott i 38 kap. 9 § i strafflagen. Straffbestämmelsen är ny och ingår i regeringens proposition med förslag till lagstiftning som kompletterar den allmänna dataskyddsförordningen. I den propositionen föreslår regeringen en ny straffbestämmelse om dataskyddsbrott som ersätter den tidigare bestämmelsen om personregisterbrott i 38 kap. 9 § i strafflagen. Lagutskottet bedömde straffregleringen i sitt utlåtande om propositionen (se LaUU 5/2018 rd). 

I den tredje meningen i 60 § i den föreslagna allmänna lagen hänvisas det till strafflagens bestämmelser om brott mot den i 61 § i den allmänna lagen föreskrivna tystnadsplikten. Lagutskottet anser att hänvisningen även bör gälla hemlighållande av en rapportörs identitet enligt 55 §. I ljuset av det som sägs ovan föreslår lagutskottet för förvaltningsutskottet att paragrafen ändras som följer: 

Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. Bestämmelser om straff för kränkning av kommunikationshemlighet finns i 3 § och för grov kränkning av kommunikationshemlighet i 4 § det kapitlet samt bestämmelser om straff för dataintrång i 8 § och för grovt dataintrång i 8 a § i det kapitlet. Till straff för brott mot tystnadsplikten enligt 55 och 61 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i den lagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. 

Lagutskottet anser också att det är motiverat att i lagförslag 2—5 ta in en informativ hänvisning till 38 kap. 9 § om dataskyddsbrott i strafflagen. Överträdelse av bestämmelserna om exempelvis ändamålsbegränsning, utlämnande och överföring i fråga om personuppgifter och om säkerhet vid behandling av uppgifterna i de lagarna kan vara straffbart enligt den nya bestämmelsen om dataskyddsbrott. Enligt lagutskottet skulle hänvisningsbestämmelsen kunna ha till exempel följande lydelse: 

X §. Straffbestämmelser Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen (39/1889).  

En ovannämnd informativ hänvisning till 38 kap. 9 § i strafflagen ingår i 37 § 2 mom. i lagförslag 6. Lagutskottet föreslår att förvaltningsutskottet gör en ändring av ordalydelsen i den finska paragraftexten. Ändringen påverkar inte den svenska texten. 

 

Lagtekniska synpunkter

När lagutskottet behandlade den nationella lagstiftning som kompletterar den allmänna dataskyddsförordningen påpekade utskottet att det både i förslaget till dataskyddslag och i förslaget om ändring av strafflagen hänvisas till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, alltså till lagförslag 1 i den nu aktuella propositionen, som gäller genomförande av dataskyddsdirektivet (LaUU 5/2018 rd, s. 23). Om lagförslagen i regeringens proposition RP 9/2018 rd godkänns före den reglering för att genomföra direktivet som ingår i denna proposition, bör detta lagtekniskt beaktas i lagförslagen i den förstnämnda propositionen. 

FÖRSLAG TILL BESLUT

Lagutskottet föreslår

att förvaltningsutskottet beaktar det som sägs ovan
Helsingfors 19.6.2018 

I den avgörande behandlingen deltog

ordförande 
Kari Tolvanen saml 
 vice ordförande 
Eva Biaudet sv 
 medlem 
Eeva-Johanna Eloranta sd 
 medlem 
Katja Hänninen vänst 
 medlem 
Ari Jalonen blå 
 medlem 
Johanna Karimäki gröna 
 medlem 
Niilo Keränen cent 
 medlem 
Suna Kymäläinen sd 
 medlem 
Antero Laukkanen kd 
 medlem 
Juha Pylväs cent 
 medlem 
Antti Rantakangas cent 
 medlem 
Mari-Leena Talvitie saml 
 medlem 
Kaj Turunen saml. 
 

Sekreterare var

utskottsråd 
Marja Tuokila.