Utlåtande
LaUU
5
2018 rd
Lagutskottet
Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning
Till förvaltningsutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd): Ärendet har remitterats till lagutskottet för utlåtande till förvaltningsutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsdirektör
Tuula
Majuri
justitieministeriet
lagstiftningsråd
Ville
Hinkkanen
justitieministeriet
lagstiftningsråd
Tanja
Jaatinen
justitieministeriet
lagstiftningsråd
Anu
Talus
justitieministeriet
specialsakkunnig
Tiina
Mantere
inrikesministeriet
polisinspektör
Juha
Tuovinen
inrikesministeriet
överdomare
Liisa
Heikkilä
Helsingfors förvaltningsdomstol
konsultativ tjänsteman
Virpi
Jalkanen
Riksåklagarämbetet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
överinspektör
Anna
Hänninen
dataombudsmannens byrå
specialsakkunnig
Tuula
Seppo
​Finlands Kommunförbund
vice ordförande
Elias
Aarnio
Electronic Frontier Finland - Effi ry
direktör
Hannu
Rautiainen
Finlands näringsliv rf
advokat
Jukka
Lång
Finlands Advokatförbund
professor
Sakari
Melander
professor
Olli
Mäenpää.
Skriftligt yttrande har lämnats av 
Vanda tingsrätt
Rättsregistercentralen
Polisstyrelsen
Kyrkostyrelsen
Folkpensionsanstalten
Ålands landskapsregering
Suomen Asiakastieto Oy
Finsk Handel rf
Centralhandelskammaren
Företagarna i Finland rf
professor
Kimmo
Nuotio.
UTSKOTTETS ÖVERVÄGANDEN
Allmänt
Europeiska unionens allmänna dataskyddsförordning (nedan även förordningen) trädde i kraft den 24 maj 2016 och börjar tillämpas den 25 maj 2018. Förordningen gäller som utgångspunkt all behandling av personuppgifter inom den privata och den offentliga sektorn. När polisen, åklagare, domstolar och andra behöriga myndigheter behandlar personuppgifter tillämpas ändå det så kallade dataskyddsdirektivet för brottsbekämpande myndigheter, (direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF). Direktivet antogs samtidigt som förordningen. Förordningen och direktivet utgör en central del av det så kallade dataskyddspaketet, vars syfte är att modernisera och förenhetliga EU:s dataskyddslagstiftning. Det handlar om en betydande reform av lagstiftningen i syfte att stärka individens rättigheter och effektivisera övervakningen av genomförandet. Bakom reformen ligger den snabba utvecklingen inom informationstekniken och medlemsstaternas splittrade och oenhetliga bestämmelser om skyddet av personuppgifter. 
Förordningen är direkt tillämplig rätt i medlemsstaterna, och den innehåller detaljerade och heltäckande bestämmelser. Syftet med regeringens proposition är att utfärda lagstiftning som kompletterar och preciserar förordningen till den del nationella bestämmelser enligt den är möjliga och behövs. Den föreslagna nationella lagstiftningen ska tillämpas parallellt med förordningen. En separat proposition (RP 31/2018 rd) har överlämnats om det nationella genomförandet av dataskyddsdirektivet för brottsbekämpande myndigheter. Också den propositionen behandlas nu i riksdagen. 
Lagutskottet koncentrerar sig i sitt utlåtande på rättssäkerheten och påföljderna, vilka hör till dess ansvarsområde. 
Påföljder
Effektivisering av påföljdssystemet
Ett av de centrala målen för den allmänna dataskyddsförordningen är att effektivisera påföljdssystemet. Enligt förordningen förutsätter detta att det inom hela EU finns likvärdiga befogenheter för övervakning och att det säkerställs att reglerna för skyddet av personuppgifter efterlevs och att sanktionerna för överträdelser är likvärdiga i medlemsstaterna (skäl 11 i ingressen). I enlighet med detta innehåller förordningen mycket heltäckande och detaljerade bestämmelser om påföljdssystemet och tillsynsmyndigheternas befogenheter. 
I förordningen föreskrivs det om tillsynsmyndigheternas korrigerande befogenheter (artikel 58.2). Tillsynsmyndigheterna får bland annat utfärda varningar och reprimander till en personuppgiftsansvarig eller personuppgiftsbiträdet om att planerade behandlingar kommer att bryta mot eller behandling bryter mot bestämmelserna i förordningen (led a och b) och införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling (led f). Tillsynsmyndigheterna får påföra administrativa sanktionsavgifter utöver eller i stället för korrigerande åtgärder (led i). 
Bestämmelser om allmänna villkor för påförande av administrativa sanktionsavgifter finns i artikel 83 i förordningen. De administrativa sanktionsavgifter som ska påföras vid överträdelse av de bestämmelser som anges i artikel 83.4 i förordningen kan uppgå till högst 10 000 000 euro eller, om det gäller ett företag, två procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Det gäller bland annat överträdelse av bestämmelserna om den i artikel 31 nämnda skyldigheten att samarbeta med tillsynsmyndigheten eller om den i artiklarna 33 och 34 nämnda skyldigheten att göra en anmälan av en personuppgiftsincident till tillsynsmyndigheten och att ge information till den registrerade om en personuppgiftsincident. I de fall som avses i artikel 83.5 kan det påföras administrativa sanktionsavgifter på högst 20 000 000 euro eller, om det gäller företag, fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Punkten gäller överträdelser av bland annat registrerades rättigheter enligt artiklarna 12—22. 
När förordningen börjar tillämpas kommer de nationella tillsynsmyndigheterna att få betydligt större befogenheter än i dag direkt med stöd av förordningen. Det innebär en betydande förändring av nuläget i Finland. 
Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och vid bedömning av beloppet för avgifterna ska man enligt artikel 83.2 i förordningen ta hänsyn till bland annat överträdelsens karaktär, svårighetsgrad och varaktighet samt dess skadlighet och tidigare överträdelser och till huruvida överträdelsen skett med uppsåt eller genom oaktsamhet. Regleringen bygger således inte på strikt ansvar eller omvänd bevisbörda, vilket är motiverat när man beaktar rätten till en rättvis rättegång och god förvaltning enligt Europakonventionen och 21 § i grundlagen. Det är viktigt att respektera dessa garantier vid påförandet av administrativa sanktioner, eftersom de administrativa sanktionsavgifterna i sak är ekonomiska sanktioner av straffkaraktär, som enligt Europadomstolen och grundlagsutskottet kan jämställas med en straffrättslig påföljd. Som grundlagsutskottet konstaterar i sitt utlåtande om propositionen (GrUU 14/2018 rd, s. 18) är prövningsrätten å andra sidan betydande när det gäller hur de omständigheter som anges i punkten förhåller sig till varandra. Det finns också prövningsrätt när det gäller den administrativa sanktionsavgiftens storlek, eftersom förordningen endast anger en maximinivå. Lagutskottet betonar att garantierna för en rättvis rättegång och god förvaltning ska beaktas vid påförandet av administrativa sanktionsavgifter. Det är en viktig sak att förordningen har fått uttryckliga bestämmelser om att tillsynsmyndighetens utövande av sina befogenheter omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet (artiklarna 83.8 och 58.4). 
Enligt artikel 84.1 i förordningen ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av förordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. Det framgår också av förordningen att sådana nationella regler vid behov kan fastställas också i andra fall, till exempel vid allvarliga överträdelser av förordningen (skäl 152 i ingressen). Dessa sanktioners art bör fastställas i medlemsstaternas nationella rätt, och de kan vara antingen straffrättsliga eller administrativa. 
Trots att regleringen om påföljder i förordningen är mycket detaljerad, behöver den nationella lagstiftningen kompletteras med bestämmelser om bland annat påförande av sådana administrativa sanktionsavgifter som avses i artikel 83 i förordningen. Det bör också utfärdas nationella bestämmelser om de fall när administrativa sanktionsavgifter enligt förordningen inte ska tillämpas och anges om sanktionerna är straffrättsliga eller administrativa. Dessutom bör det bedömas om det behövs sådana nationella bestämmelser med tanke på allvarliga överträdelser av förordningen. 
Förhållandet mellan det administrativa och det straffrättsliga påföljdssystemet
Påföljdssystemet i förordningen innebär en stor nationell förändring, eftersom påföljderna i förordningen i hög grad grundar sig på administrativa påföljder som ska bestämmas av den nationella tillsynsmyndigheten. Vårt nuvarande system grundar sig däremot på straffrättsliga påföljder som ska bestämmas av domstol. Rekvisitet för personregisterbrott i 38 kap. 9 § i strafflagen är mycket omfattande. Till brottet kan vem som helst göra sig skyldig som uppsåtligen eller av grov oaktsamhet behandlar personuppgifter i strid med personuppgiftslagens bestämmelser om ändamålsbundenhet, allmänna förutsättningar för behandling, personuppgifternas relevans och felfrihet, känsliga uppgifter, personbeteckning eller behandling av personuppgifter för särskilda ändamål. 
Eftersom påföljdssystemet i fortsättningen som utgångspunkt ska grunda sig direkt på de administrativa sanktionsavgifter som avses i artikel 83 i förordningen och artikeln i hög grad täcker de förfaranden som strider mot förordningen, anser regeringen att den mycket omfattande kriminaliseringen i 38 kap. 9 § i strafflagen inte längre är befogad. Regeringen föreslår därför i propositionen att den nuvarande kriminaliseringen upphävs och ersätts med en straffbestämmelse enligt vilken straffrättsligt ansvar blir aktuellt bara i situationer där lagstridig behandling av personuppgifter inte med stöd av förordningen omfattas av administrativa påföljdsavgifter (s. 126). Enligt propositionen aktualiseras straffrättsligt ansvar endast i situationer där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde (s. 130). 
Av motiveringen till regeringens proposition får man den uppfattningen att straffrättsligt ansvar i fortsättningen endast ska gälla i situationer där ett lagstridigt förfarande inte hör till tillämpningsområdet för de administrativa sanktionsavgifter som det föreskrivs om i förordningen och där en person inte kan anses ha handlat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Med andra ord skulle straffrätten inte alls tillämpas i de fall när det handlar om en personuppgiftsansvarig eller ett personuppgiftsbiträde enligt förordningen vars lagstridiga förfarande omfattas av de administrativa sanktionsavgifter som avses i förordningen. De administrativa sanktionsavgifter som avses i förordningen och det straffrättsliga systemet skulle alltså inte till någon del överlappa varandra. 
Enligt lagutskottets uppfattning stämmer det som sägs ovan ändå bara delvis. Det beror på att de personuppgiftsansvariga och personuppgiftsbiträden som avses i förordningen inte omfattas av tillämpningsområdet för den föreslagna bestämmelsen om att skaffa, lämna ut och överföra personuppgifter i 38 kap. 9 § 1 mom. i strafflagen men däremot nog av dess 2 mom. om personuppgiftsincidenter. I den senare straffbestämmelsen är tillämpningsområdet allmänt i fråga om gärningsmannakretsen. 
Enligt de uppgifter som utskottet fått från justitieministeriet under utskottsbehandlingen av propositionen har utgångspunkten varit att samtidigt som man utvidgar användningsområdet för administrativa påföljder upphäva de straffbestämmelser som gäller motsvarande gärningar. Det har ändå visat sig att detta inte är befogat när det gäller säkerheten för personuppgifter. Bakgrunden är att det finns bestämmelser om säkerhet för personuppgifter bland annat i artiklarna 32—34 i förordningen. Enligt artikel 83.4 a ska administrativa sanktionsavgifter påföras vid överträdelser av skyldigheterna enligt de bestämmelserna. Det finns emellertid också bestämmelser om skyldigheter som gäller dataskydd i de övriga författningar som det hänvisas till i det föreslagna 38 kap. 9 § 2 mom. i strafflagen. Överträdelser av dessa har i regel inte sanktionerats genom sådana administrativa sanktionsavgifter som anges i förordningen. Det betyder att det kan uppstå situationer där både de dataskyddsbestämmelser som finns i förordningen och de dataskyddsbestämmelser som finns i övrig lagstiftning kan bli tillämpliga på en gärning som helhet. Justitieministeriet anser därför att det är motiverat att med tanke på situationer där de administrativa påföljder som avses i förordningen endast delvis gäller en viss typ av gärningshelhet föreskriva om straffrättsliga straffbestämmelser som täcker gärningen i dess helhet. Detta trots att påföljderna då delvis överlappar varandra. 
Enligt justitieministeriet är den föreslagna lösningen motiverad också av orsaker som hänför sig till förbudet mot dubbel bestraffning. Europadomstolen ansåg i sitt avgörande Sergey Zolotukhin mot Ryssland (14939/03, stora kammarens dom 10.2.2009, punkt 82) att det centrala vid bedömningen av om det var fråga om samma brott var huruvida fakta var desamma eller väsentligt desamma, inte de formella rekvisiten i straffbestämmelserna. Förbudet mot dubbel bestraffning kan således i vissa fall hindra att ärenden som gäller samma gärningshelhet (samma eller väsentligt samma fakta) behandlas i separata processer trots att rekvisiten är utformade så att de formellt inte överlappar varandra. På grund av det föreslås det att alla gärningar som kränker säkerheten vid behandlingen av personuppgifter ska vara straffbara. 
Lagutskottet bedömer den föreslagna regleringen i regeringens proposition på följande sätt. 
Utskottet konstaterar för det första att användningen av administrativa påföljder av straffkaraktär i lagstiftningen har ökat under den senaste tiden. Bakgrunden är regeringens långsiktiga mål att utvidga användningsområdet för administrativa sanktioner i stället för straffrättsliga metoder. Tanken är att det straffrättsliga systemet inte ska belastas genom att de lindrigaste gärningarna som endast förorsakar obetydlig skada för samhället ingår i det. De administrativa påföljderna har i enlighet med detta ansetts lämpa sig framför allt för situationer där det handlar om mindre förseelser eller försummelser och där avgiften kan bestämmas av en administrativ myndighet genom ett förhållandevis enkelt förfarande. Ett exempel på en utvidgning av användningsområdet för administrativa påföljder som grundar sig på dessa principer är trafikförseelseavgiften, som föreslås ersätta merparten av ordningsböterna (RP 180/2017 rd). 
Användningen av administrativa påföljder av straffkaraktär har ökat också som en följd av EU-lagstiftningen. Till exempel kan administrativa påföljdsavgifter påföras för brott mot regleringen om missbruk av finansmarknaden, och avgifterna kan uppgå till mycket höga belopp (lagen om Finansinspektionen 878/2008). Motsvarande reglering finns i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017). I dessa regleringshelheter används administrativa påföljder parallellt med straffrättsliga medel, så att det är möjligt att förverkliga ett straffrättsligt ansvar också när det kommer till allvarligare gärningsformer (se t.ex. LaUU 8/2016 rdRP 65/2016 rd, s. 2). I Europadomstolens rättspraxis jämställs administrativa påföljdsavgifter med straffrättsliga straff, vilket betyder att både en administrativ påföljdsavgift och en straffrättslig påföljd inte kan dömas ut för samma gärning. Förbudet mot dubbel bestraffning, det vill säga regeln om ne bis in idem, betyder inte ett kategoriskt förbud mot att föreskriva om överlappande materiella rekvisit. Användningen av administrativa påföljder och straffrättsliga påföljder ska ändå samordnas processuellt. 
Den lösning som regeringen föreslår i propositionen kommer att minska de straffrättsliga straffen betydligt i personuppgiftsregleringen. I stället övergår man till administrativa påföljder. Den föreslagna inskränkningen av tillämpningsområdet för det nuvarande personregisterbrottet i strafflagen innebär således en omfattande avkriminalisering. Inte ens de allvarligaste gärningarna kommer att höra till det straffrättsliga systemet, utan de omfattas av de administrativa påföljdsavgifterna. Detta är exceptionellt eftersom ett straffrättsligt straff som utgångspunkt anses uttrycka en större klandervärdhet än en administrativ påföljd. Om administrativa sanktionsavgifter enligt förordningen och straffrättslig påföljder inte används parallellt, kan inte heller det administrativa påföljdsförfarandet och den straffrättsliga processen användas parallellt. 
I den nationella dataskyddsregleringen kunde man också övervägt ett alternativ där administrativa påföljdsavgifter och det straffrättsliga systemet hade använts jämsides, inom de ramar som förordningen medger. Som det konstaterades ovan kan sådana nationella regler enligt förordningen vid behov fastställas också till exempel vid allvarliga överträdelser av förordningen (skäl 152 i ingressen). Detta får ändå inte medföra ett åsidosättande av principen ne bis in idem (skäl 149 i ingressen). Som det framgår av det som sägs ovan har sådan reglering tidigare använts vid genomförandet av EU-lagstiftning. 
Sammantaget har utskottet ändå kommit till att det är motiverat att inom tillämpningsområdet för den nu aktuella EU-förordningen i så stor utsträckning som möjligt övergå till att använda endast de administrativa påföljder som avses i förordningen, eftersom en betydande del av regleringen — också av påföljdssystemet — kommer direkt från förordningen och denna förutsätter att administrativa sanktionsavgifter påförs i de fall som regleras i den. Med beaktande av att förordningen möjliggör mycket kännbara administrativa sanktionsavgifter är det i det här sammanhanget inte vare sig nödvändigt eller behövligt att föreskriva att överträdelser av förordningen ska omfattas av det straffrättsliga systemet, inte ens om de är allvarliga. Utskottet understryker också att avkriminaliseringen i detta fall inte betyder att man skulle se lindrigare på straffbara gärningar eller att inga påföljder i framtiden skulle dömas ut för dem. Man bör dessutom beakta att en reglering där det administrativa och det straffrättsliga påföljdssystemet inte överlappar varandra är klar och tydlig när det gäller både lagstiftning och praxis och är den bästa garantin för att man inte bryter mot förbudet mot dubbel bestraffning. 
Det har ändå inte varit möjligt att tillämpa denna utgångspunkt på ett enhetligt sätt. När de gärningar som kränker säkerheten för personuppgifter omfattas både av de administrativa sanktionsavgifter som avses i förordningen och av straffrättsliga påföljder blir regleringen komplicerad och bestämmelserna svåra att tillämpa. I ljuset av de kompletterande uppgifter som justitieministeriet har gett in och med beaktande av att det handlar om en snäv överlappning anser utskottet ändå att den föreslagna regleringen är godtagbar. 
Slutligen upprepar lagutskottet att det anser att det är problematiskt att regleringen om administrativa påföljder är så splittrad och oenhetlig och att man i Finland inte på ett enhetligt och konsekvent sätt har utvecklat lagstiftningen om dessa påföljder och hur de ska påföras (se t.ex. LaUU 3/2017 rd). Användningen av administrativa påföljder av straffkaraktär blir allt vanligare, vilket i kombination med att det finns olika bestämmelser inom de olika förvaltningsområdena ökar behovet att bedöma systemet med administrativa sanktioner och överväga om bestämmelserna om användningen av dessa sanktioner, som i dag grundar sig på många olika lagar, bör förenhetligas. 
Förslaget om att dataombudsmannen ska påföra de administrativa påföljdsavgifterna
Enligt artikel 58.2 i i förordningen har tillsynsmyndigheten befogenheter att påföra administrativa sanktionsavgifter i enlighet med artikel 83. Enligt artikel 83.9 får sanktionsavgifterna i vissa fall påföras av domstol i stället för av tillsynsmyndigheten. Den möjligheten gäller ändå bara Danmark och Estland, vilket framgår av skäl 153 i ingressen till förordningen. Finland har således inte nationell prövningsmarginal så att man skulle kunna föreskriva om ett förfarande där den administrativa påföljdsavgiften skulle påföras av domstol i stället för av tillsynsmyndigheten. 
Det föreslås i propositionen att dataombudsmannen ska vara den nationella tillsynsmyndighet som avses i förordningen (8 § i förslaget till dataskyddslag). Av förslaget följer att det hos oss är dataombudsmannen som ska påföra den administrativa sanktionsavgift som avses i förordningen. Förslaget om att en administrativ sanktionsavgift som kan uppgå till ett mycket högt belopp på detta sätt ska kunna påföras av en enskild tjänsteman mötte stark kritik vid lagutskottets utfrågning av sakkunniga. Dataombudsmannen får inte i dag påföra administrativa påföljdsavgifter. Tvärtom har den allmänna åsikten varit att sådana beslut ska fattas på bred bas. 
Lagutskottet konstaterar att vi har nationella administrativa påföljdsavgifter som påförs av en förvaltningsmyndighet. Å andra sidan ska beslut om att påföra administrativa påföljdsavgifter exempelvis inom tillsynen över finansmarknaden med dess ibland mycket stränga påföljdsavgifter i vissa situationer fattas av ett kollegialt organ, Finansinspektionens direktion. Dessutom finns det administrativa påföljdsavgifter som domstolen ska fatta beslut om. Det gäller till exempel de påföljdsavgifter som marknadsdomstolen påför med stöd av konkurrenslagen (948/2011). 
Det framgår av regeringens proposition att man vid beredningen diskuterade ett alternativ där de administrativa påföljdsavgifterna skulle ha påförts av en påföljdsnämnd. Enligt uppgift från justitieministeriet skulle detta ha krävt att tillsynsmyndigheten skulle ha haft formen av ett verk. Enligt arbetsgruppens förslag skulle det vid dataskyddsverket ha funnits både en dataombudsman och en påföljdsnämnd. Det var ändå inte möjligt att genomföra den förvaltningsorganisatoriska struktur som arbetsgruppen föreslog för dataombudsmannens byrå, eftersom detta skulle ha krävt en längre beredningstid. 
Dessutom har justitieministeriet påpekat att trots att medlemsstaterna enligt förordningen får organisera sin tillsynsmyndighet så att det finns flera tillsynsmyndigheter i en medlemsstat (artikel 51), ger förordningen ingen nationell prövningsmarginal för att dela upp dess befogenheter på flera myndigheter. Detta beror på att förordningen förutsätter att varje tillsynsmyndighet som utgångspunkt ska ha samtliga befogenheter enligt förordningen (artikel 58). På grund av det som sägs ovan kommer inte en sådan modell med påföljdsnämnd i fråga där en särskild myndighet skulle besluta om påföljdsavgiftens storlek. 
Justitieministeriet har också noterat att vid gränsöverskridande behandling av personuppgifter ska den materiellträttsliga frågan avgöras på EU-nivå i ett samarbetsförfarande mellan tillsynsmyndigheterna, vilket betyder behandling i kollegial sammansättning. Det är då den nationella tillsynsmyndigheten som ska besluta om påföljdsavgiftens storlek. 
Grundlagsutskottet menar ändå i sitt utlåtande om propositionen (GrUU 14/2018 rd, s. 19 och 20) att ett beslutsförfarande för administrativ påföljdsavgift likt det som nu föreslås strider mot 21 § i grundlagen och att ett kollegialt organ bör ges i lagfäst uppdrag att besluta om administrativa påföljdsavgifter. Grundlagsutskottet anser att den här ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Även lagutskottet anser att det är befogat att de administrativa sanktionsavgifterna som avses i förordningen nationellt ska påföras av ett kollegialt organ, med beaktande av att avgifterna enligt förordningen kan bli mycket höga. Det handlar alltså om en betydande befogenhet. För den som påförs avgiften är det följaktligen från rättsskyddssynpunkt av ytterst stor betydelse vilket slags organ som fattar beslut och i ett hurdant förfarande beslutet fattas. En annan sak som talar för att beslutet ska fattas av ett kollegialt organ är att man i de fall när en överträdelse av förordningen omfattas av de administrativa sanktionsavgifterna i huvudsak avstår från att använda straffrättsliga påföljder. Det betyder att inte ens de mest allvarliga överträdelserna av förordningen då blir föremål för domstolsprövning. 
Justitieministeriet har med anledning av grundlagsutskottets utlåtande föreslagit att förfarandet för att påföra administrativa påföljder i detta sammanhang ska utvecklas så att en kollegial sammansättning inrättas vid dataombudsmannens byrå. Den kollegiala sammansättningen skulle bestå av dataombudsmannen och av biträdande ombudsmän. Då bör 9 § i förslaget till dataskyddslag preciseras så att det ska finnas minst två biträdande ombudsmän vid dataombudsmannens byrå. Genom ändringen kan man säkerställa att det finns ett tillräckligt antal biträdande ombudsmän för en kollegial sammansättning. 
I 25 § om administrativa påföljdsavgifter bör det dessutom enligt justitieministeriet föreskrivas att dataombudsmannen och de biträdande dataombudsmännen tillsammans bestämmer påföljdsavgiften. Det bör också föreskrivas om det förfarande som ska iakttas när avgiften bestäms, så att ett ärende som gäller påföljdsavgift alltid ska avgöras efter föredragning. Det behövs särskilda bestämmelser om detta, eftersom dataombudsmannen enligt 15 § i den föreslagna dataskyddslagen också kan besluta avgöra ärenden utan föredragning. Det bör dessutom föreskrivas att vid lika röstetal i kollegiet vinner den ståndpunkt som är lindrigare för den som ska påföras påföljdsavgiften. 
Enligt justitieministeriet ska ett ärende som gäller en administrativ påföljdsavgift beredas och föredras av en föredragande vid dataombudsmannens byrå. För att säkerställa en kollegial sammansättning kan det i arbetsordningen för dataombudsmannens byrå bestämmas om vikarier för de biträdande dataombudsmännen. Enligt justitieministeriet behövs det inte uttryckliga bestämmelser om detta i dataskyddslagen. 
Lagutskottet anser att justitieministeriets ovannämnda förslag som gäller sammansättningen och förfarandet är en förbättring jämfört med propositionen. Den föreslagna sammansättningen kan sannolikt också tas i bruk rätt snabbt, vilket är viktigt med tanke på den tidpunkt när förordningen börjar tillämpas. Å andra sidan är det klart att den föreslagna sammansättningen är exceptionell. 
Lagutskottet anser följaktligen att det är viktigt att förvaltningsutskottet i egenskap av betänkandeutskott bedömer om den sammansättning och det förfarande för påförande av påföljdsavgifter som justitieministeriet föreslår är motiverade och genomförbara och hurdana ändringar av bestämmelserna de skulle kräva. Lagutskottet anser att åtminstone följande ändringar bör göras i förslaget till dataskyddslag. 
Utskottet föreslår att 9 § 1 mom. i förslaget till dataskyddslag får exempelvis följande lydelse: 
Dataombudsmannen har en byrå med minst två biträdande dataombudsmän och ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde och annan personal. 
I 25 § i förslaget till dataskyddslag föreslås följande två moment som nya 1 och 2 mom. 
Administrativa sanktionsavgifter (administrativa påföljdsavgifter) enligt artikel 83 i dataskyddsförordningen påförs i en sammansättning som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen är ordförande för sammansättningen
Beslutet fattas efter föredragning. Som sammansättningens beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot.  
På grund av de nya momenten ändras numreringen av 25 § 1—4 mom. i propositionen så att de blir 3—6 mom. Dessutom bör 25 § 1 mom. i regeringens proposition ändras som följer: 
(Utesl.) Påföljdsavgifter får påföras även för överträdelse av artikel 10 i dataskyddsförordningen, med iakttagande av vad som föreskrivs i artikel 83.5 i dataskyddsförordningen och i denna lag. 
Dessutom bör förfarandet för påförande av administrativa påföljdsavgifter beaktas i 1 och 3 mom. i 23 § om ändringssökande i förslaget till dataskyddslag, till exempel som följer: 
Dataombudsmannens och de biträdande dataombudsmännens beslut samt det beslut som anges i 23 § får överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen (586/1996) (1 mom.). 
I dataombudsmannens eller de biträdande dataombudsmännens beslut (utesl.) kan det bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. 
Lagutskottet anser att det är viktigt att i framtiden utreda om det går att utveckla och stärka förfarandet vid bestämmande av administrativa påföljdsavgifter samt sammansättningen vid beslutsfattandet ännu mer än vad som nu föreslås. Det skulle till exempel vara befogat att utreda det alternativ som var aktuellt redan under beredningen av propositionen, det vill säga en tillsynsmyndighet som är organiserad som ett dataskyddsverk med både en dataombudsman och en påföljdsnämnd. I det sammanhanget bör man också beakta de övriga särskilda ombudsmännens ställning och organisation. 
De administrativa påföljdsavgifterna
De nationella bestämmelser som kompletterar artikel 83 om påförande av administrativa sanktionsavgifter i förordningen finns i 25 § i förslaget till dataskyddslag. Paragrafen gäller administrativa påföljdsavgifter. Påföljdens namn motsvarar inte det som används i förordningen, men motsvarande namn används annanstans i den nationella lagstiftningen. Lagutskottet håller med det som grundlagsutskottet säger i sitt utlåtande om att begreppet administrativa sanktionsavgifter åtminstone bör återfinnas i form av ett informativt komplement till innehållet i förslaget till dataskyddslag (GrUU 14/2018 rd, s. 9). En möjlighet är att paragrafen får en hänvisning till administrativa sanktionsavgifter i artikel 83 i förordningen på det sätt som lagutskottet föreslår ovan i samband med förfarandet för påförande av administrativa påföljdsavgifter (nytt 1 mom.). 
Exempelvis föreskriver 25 § 1 mom. i regeringens proposition att administrativa påföljdsavgifter enligt artikel 83 i dataskyddsförordningen får påföras även för överträdelse av artikel 10 i dataskyddsförordningen. Den artikeln gäller behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser. Trots att det i artikel 83 i förordningen föreskrivs heltäckande om administrativa påföljdsavgifter och artikeln i hög grad täcker förfaranden som strider mot förordningen, kan administrativa påföljder inte utifrån den artikeln påföras för överträdelser av artikel 10 i förordningen. Därför behövs det en nationell bestämmelse. Om 25 § på det sätt som lagutskottet föreslår ovan får två nya moment om det nya förfarandet vid påförande av administrativa påföljdsavgifter, blir det nu aktuella momentet 3 mom.  
I 25 § 2 mom. i regeringens proposition begränsas tillämpningsområdet för påföljdsavgifterna så att statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk eller republikens presidents kansli inte får påföras påföljdsavgift. Om paragrafen på det sätt som lagutskottet föreslår ovan får två nya moment om det nya förfarandet vid påförande av administrativa påföljdsavgifter, blir det nu aktuella momentet 4 mom.  
Bakgrunden till momentet är artikel 83.7 i den allmänna dataskyddsförordningen, enligt vilken varje medlemsstat får fastställa regler för huruvida och i vilken utsträckning administrativa sanktionsavgifter nationellt kan påföras offentliga myndigheter och organ. Det föreslås således att det nationella handlingsutrymmet ska utnyttjas så att myndigheter och organ inom den offentliga förvaltningen undantas från avgifterna. 
I regeringens proposition motiveras detta (s. 57, 58, 108 och 109) bland annat med att en administrativ påföljdsavgift som riktar sig till en myndighet är ett för vår rättsordning främmande förfarande och med att vår lagstiftning ställer andra specialkrav på den offentliga förvaltningen som inte gäller den privata sektorn. Sådana specialkrav följer bland annat av kravet på laglighet i förvaltningen och av de allmänna förvaltningslagarna. Behandlingen av personuppgifter hos myndigheterna är också en lagstadgad uppgift för myndigheterna och hör således till tjänstemännens tjänsteplikt och tjänsteansvar. Tjänsteansvaret kan i praktiken vara ett disciplinärt, skadeståndsrättsligt eller straffrättsligt ansvar. Vid bedömningen av frågan har man också beaktat att riksdagens justitieombudsman och justitiekanslern övervakar lagligheten av myndigheternas och tjänstemännens verksamhet och att myndigheterna och tjänstemännen uppfyller sina skyldigheter. I propositionen motiveras förslaget om att myndigheterna ska undantas från de administrativa påföljdsavgifterna med att myndigheternas verksamhet är bunden till budgeten, vilket innebär att en administrativ påföljdsavgift inte skulle ha en likadan effekt för myndigheterna som den har för aktörerna inom den privata sektorn. 
Vid utfrågningen i lagutskottet vann förslaget understöd bland en del sakkunniga medan andra motsatte sig det. De som understödde förslaget framförde i huvudsak samma motiveringar som de som ingår i propositionen. De som motsatte sig förslaget — särskilt företrädarna för den privata sektorn — ansåg bland annat att förslaget försätter aktörerna inom den offentliga och den privata sektorn i en ojämlik ställning sinsemellan när det gäller risken för sanktioner. Detta har ansetts utgöra ett problem särskilt när aktörerna inom den privata och den offentliga sektorn är verksamma på samma marknad. En del har också menat att det straffrättsliga tjänsteansvaret inte i detta sammanhang kan ställas i relation till den mycket stränga administrativa påföljdsavgiften. 
Enligt uppgifter till lagutskottet verkar det som om EU:s medlemsstater kommer att utnyttja handlingsutrymmet på olika sätt och välja olika nationella lösningar för påföljdssystemen. Som det ser ut i dag kommer Danmark, Frankrike, Förenade kungariket, Irland, Luxemburg, Nederländerna och Sverige att göra det möjligt att påföra myndigheterna administrativa sanktionsavgifter. Också i Frankrike omfattas myndigheterna av administrativa påföljdsavgifter, med undantag av staten. Sverige, Danmark och Irland kommer för sin del att utnyttja handlingsutrymmet så att avgifternas maximibelopp är lägre för myndigheterna. Österrike och Tyskland kommer däremot att undanta myndigheterna från administrativa påföljdsavgifter. Uppgifterna är ändå fortfarande osäkra, eftersom genomförandet av förordningen fortfarande pågår i många medlemsstater. 
Grundlagsutskottet säger i sitt utlåtande om propositionen (GrUU 14/2018 rd, s. 20) att administrativa påföljdsavgifter som påförs myndigheter blir problematiska inte bara med tanke på de fakta som nämns i propositionen utan också i systemet med grundläggande fri- och rättigheter överlag. Enligt grundlagsutskottets uppfattning är det uppenbart att hotet om en mycket hög påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan äventyra jämvikten när de olika grundläggande fri- och rättigheterna ska vägas mot varandra i myndighetsverksamheten och kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. Därför menar grundlagsutskottet att det inte är konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet. 
Också lagutskottet anser att det i propositionen anförs flera godtagbara grunder för att myndigheterna ska undantas från de administrativa påföljdsavgifterna. Därför har utskottet beslutat sig för att stödja den föreslagna lösningen. Man bör ändå följa hur den fungerar. 
I momentet anges de myndigheter och aktörer inom den offentliga förvaltningen som inte får påföras administrativa påföljdsavgifter. Eftersom förteckningen är uttömmande är det viktigt att notera vilka som nämns i den. Till dessa delar anser lagutskottet att momentet behöver kompletteras åtminstone så att man där beaktar den evangelisk-lutherska kyrkan och den ortodoxa kyrkan samt deras församlingar och kyrkliga samfälligheter, eftersom de är offentliga samfund. Lagutskottet föreslår att förvaltningsutskottet kompletterar momentet till dessa delar. 
I 25 § 3 mom. i propositionen föreskrivs det om preskription av rätten att påföra påföljdsavgifter. Om paragrafen på det sätt som lagutskottet föreslår ovan får två nya moment om det nya förfarandet vid påförande av administrativa påföljdsavgifter, blir det nu aktuella momentet 5 mom. 
Enligt momentet får påföljdsavgift inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Preskriptionstiden är lång, men detta kan anses motiverat för att säkerställa ett effektivt genomförande av förordningen. Förslaget motsvarar också författningarna om tillsynen över finansmarknaden och förhindrande av penningtvätt och terrorism som även de möjliggör stränga administrativa påföljdsavgifter (4 kap. 42 a § 2 mom. i lagen om Finansinspektionen och 8 kap. 7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism). Man bör dessutom beakta att överträdelserna av förordningen kan vara omfattande, allvarliga och rättsligt komplicerade och att det kan dröja en lång tid innan tillsynsmyndigheten får kännedom om dem. Det är således viktigt att det finns tillräckligt med tid för att reda ut saken och påföra påföljdsavgifterna. När det gäller dataskyddsärenden kan överträdelserna och försummelserna ändå vara förutom av engångsnatur också fortlöpande. Därför föreslår lagutskottet att förvaltningsutskottet kompletterar det föreslagna momentet till exempel som följer: 
Påföljdsavgift får inte påföras, om det har förflutit mer än tio år sedan överträdelsen eller försummelsen har skett. Om en överträdelse eller försummelse till sin natur har varit fortlöpande, ska tiden på tio år räknas från det att överträdelsen eller försummelsen har upphört. 
Bestämmelsen i 25 § 4 mom. i propositionen gäller verkställighet av påföljdsavgifter. Om paragrafen på det sätt som lagutskottet föreslår ovan får två nya moment om det nya förfarandet vid påförande av administrativa påföljdsavgifter, blir det nu aktuella momentet 6 mom. 
I momentet sägs det att bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). Lagutskottet anser att förfarandet enligt den lagen som utgångspunkt lämpar sig som sådant för verkställighet av de administrativa påföljdsavgifter som avses i artikel 83 i förordningen. Lagen i fråga gäller också verkställighet av motsvarande administrativa påföljdsavgifter som påförts utifrån andra lagar. 
Likaså är det motiverat att även lagen om verkställighet av böter på det sätt som regeringen föreslår i propositionen får en bestämmelse om att administrativa påföljdsavgifter enligt artikel 83 i förordningen verkställs i den ordning som föreskrivs i den lagen (1 § 1 mom. 12 punkten i lagförslag 3). Lagutskottet har inget att invända mot det här förslaget. 
Förslaget innehåller inga bestämmelser om verkställbarheten av administrativa påföljdsavgifter. Det betyder att frågan bestäms enligt förvaltningsprocesslagen (586/1996). Administrativa påföljdsavgifter är således verkställbara när de har vunnit laga kraft (31 § 1 mom. i förvaltningsprocesslagen). Lagutskottet anser att detta är en bra lösning när man beaktar dessa avgifters karaktär av sanktioner samt deras stränghet. Om det behövs besvärstillstånd i ett ärende, får beslutet ändå verkställas trots att besvär har anförts, utom om högsta förvaltningsdomstolen förbjuder verkställigheten (31 § 3 mom. i förvaltningsprocesslagen). Detta gäller även de administrativa påföljdsavgifterna, eftersom besvär får anföras över förvaltningsdomstolens beslut endast om högsta förvaltningsdomstolen beviljar besvärstillstånd (23 § 2 mom. i förslaget till dataskyddslag). Det som sägs ovan betyder att ett beslut av tillsynsmyndigheten som gäller en administrativ påföljdsavgift inte får verkställas om inte det har vunnit laga kraft, medan förvaltningsdomstolens beslut däremot får verkställas trots att det inte har vunnit laga kraft om inte högsta förvaltningsdomstolen förbjuder detta när den behandlar besvärstillståndet (se även 32 § i förvaltningsprocesslagen). 
Det bör ändå noteras att det föreskrivs i 23 § 3 mom. i förslaget till dataskyddslag att det i ett annat beslut av tillsynsmyndigheten än ett beslut som gäller en administrativ påföljdsavgift kan bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat. På det här sättet är det meningen att säkerställa att tillsynsmyndigheten har möjlighet att effektivt ingripa i lagstridig behandling av personuppgifter (RP, s. 106). 
I momentet föreskrivs det inte om preskription av verkställigheten av administrativa påföljdsavgifter. För närvarande finns det inte några allmänna bestämmelser om saken. Det finns emellertid bestämmelser i speciallagstiftning, och enligt dem är den normala preskriptionstiden fem år. Lagutskottet anser att det är motiverat att ta in en motsvarande särskild bestämmelse i det nu aktuella lagförslaget och föreslår därför att förvaltningsutskottet ändrar momentet som följer: 
Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (672/2002). En påföljdsavgift preskriberas fem år efter den dag då avgiften påfördes.  
I förslaget till dataskyddslag finns det inga särskilda bestämmelser om förfarandet vid påförande av administrativa påföljdsavgifter. Det betyder att den allmänna förvaltningslagen (434/2003) blir tillämplig. Förvaltningslagen föreskriver bland annat om rätt att anlita ombud och biträde, utredningsskyldighet för myndigheten, hörande med tillhörande procedur, muntliga utredningar och muntlig bevisning, syn och inspektion samt om beslutets form, innehåll, motivering och besvärsanvisning. 
Straffbestämmelserna
I 26 § i förslaget till dataskyddslag finns det hänvisningar till de bestämmelser i strafflagen som är av betydelse med tanke på den samlade regleringen. I den sista meningen i 1 mom. hänvisas det till strafflagens bestämmelser för brott mot den i 36 § i dataskyddslagen föreskrivna tystnadsplikten. Den paragrafen gäller ändå skydd för rapportörers identitet, och 35 § gäller tystnadsplikt. Lagutskottet anser att hänvisningen ska gälla båda bestämmelserna och föreslår därför att meningen ändras som följer: 
Till straff för brott mot tystnadsplikten enligt 35 och 36 § i denna lag döms enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen utgör brott enligt 40 kap. 5 § i strafflagen eller om inte strängare straff för den föreskrivs någon annanstans i lag. 
I 38 kap. 9 § i strafflagen föreskrivs det i dag om ett omfattande personregisterbrott som kan medföra böter eller fängelse i högst ett år. 
Som det sägs ovan kommer påföljdssystemet framöver som utgångspunkt att grunda sig direkt på de administrativa sanktionsavgifter som avses i artikel 83 i den allmänna dataskyddsförordningen. Därför föreslås det i propositionen att den omfattande bestämmelsen i 38 kap. 9 § i strafflagen ska upphävas och ersättas med en snävare straffbestämmelse med nytt innehåll. Lagutskottet ansåg ovan att den reglering som föreslås i regeringens proposition är godtagbar. 
För det föreslagna dataskyddsbrottet döms enligt 1 mom. den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt dataskyddsförordningen skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter i strid med sådana bestämmelser i 
den allmänna dataskyddsförordningen, 
dataskyddslagen, 
lagen om behandling av personuppgifter i brottmål och i samband med upprätthållandet av den nationella säkerheten, eller 
någon annan lag som gäller behandling av personuppgifter 
som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter, och därmed gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet. 
För dataskyddsbrott döms enligt 2 mom. i den föreslagna straffbestämmelsen också den som uppsåtligen eller av grov oaktsamhet handlar i strid med vad som i de författningar och rättsakter som avses i 1 mom. 1—4 punkten föreskrivs om säkerhet vid behandling av personuppgifter. Straffet för dataskyddsbrott är böter eller fängelse i högst ett år. 
Grundlagsutskottet påpekar i sitt utlåtande om propositionen att det i den föreslagna straffbestämmelsen till väsentliga delar finns hänvisningar till annan lagstiftning där de gärningar och försummelser som kan utgöra dataskyddsbrott definieras närmare. Grundlagsutskottet anser att de krav som legalitetsprincipen ställer uppfylls bättre om 1 punkten hänvisar till dataskyddsförordningen och 2 och 3 punkten hänvisar till den nationella lagen i fråga om överträdelser som kan utgöra dataskyddsbrott. Särskilt problematisk är 1 mom. 4 punkten enligt vilken det är straffbart att överträda någon sådan bestämmelse i "någon annan lag" om behandling av personuppgifter som gäller ändamålsbegränsning, utlämnande eller överföring av personuppgifter. Enligt grundlagsutskottets uppfattning finns det flera hundra bestämmelser av det slag som avses i 4 punkten, så det är omöjligt att räkna upp dem i bestämmelsen. Därför anser grundlagsutskottet att bestämmelsen bör preciseras med hjälp av exaktare brottsrekvisit. 
Grundlagsutskottet noterar vidare att det inte heller i det föreslagna 2 mom. finns någon närmare hänvisning till de materiella bestämmelserna eller föreskrifterna om säkerhet vid behandling av personuppgifter. Enligt grundlagsutskottet bör även denna bestämmelse preciseras med hjälp av exaktare hänvisningar och rekvisit. 
Lagutskottet konstaterar att den föreslagna straffbestämmelsen på grund av hänvisningstekniken delvis får sitt materiella innehåll från övrig lagstiftning. För lagtillämparen är den här typen av reglering inte särskilt tydlig eller enkel. Det finns ändå sådan reglering i den gällande lagstiftningen redan i dag. I typfallet handlar det om frågor som regleras i nationell speciallagstiftning medan den materiella rättens innehåll till centrala delar bestäms utifrån EU-lagstiftningen eller internationella fördrag. 
Lagutskottet har bedömt möjligheterna att precisera den föreslagna regleringen så att den bättre motsvarar den straffrättsliga legalitetsprincipen. En exakt hänvisning i 1 mom. 1 punkten till de bestämmelser i dataskyddsförordningen som kunde aktualisera dataskyddsbrott förtydligar enligt utskottet ändå inte regleringen, eftersom det inte till alla delar är möjligt att ur förordningen plocka ut sådana enskilda bestämmelser som kunde läggas till grund för straffbarhet. Till exempel krävs det ofta att man beaktar flera av bestämmelserna i förordningen för att kunna avgöra om en person skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål. Inte heller när det gäller utlämnande eller överföring av personuppgifter går det att peka på enskilda materiella bestämmelser i förordningen, utan frågorna regleras i flera olika typer av bestämmelser. 
Lagutskottet anser att det inte heller är motiverat att ta in exaktare hänvisningar i momentets 2 eller 3 punkt. De relevanta bestämmelserna när det gäller exempelvis 2 punkten finns främst i 2 och 5 kap. i dataskyddslagen, som det hänvisas till, men också de ska i allmänhet tolkas tillsammans med förordningen. 
Särskilt vag är momentets 4 punkt, där det allmänt hänvisas till ”någon annan lag”. Det är ändå omöjligt att precisera punkten, eftersom det finns flera hundra sådana andra bestämmelser. Å andra sidan har vi redan i dag motsvarande straffbestämmelser med allmänt utformade hänvisningar till annan lagstiftning. Sådana hänvisningar där lagstiftningen inte specificeras ens på författningsnivån finns bland annat i straffbestämmelserna om motstånd mot person som upprätthåller ordningen (SL 17:6.1), sekretessbrott (SL 38:1) och miljöförstöring (SL 48:1). 
I momentet preciseras det straffbara området också genom rekvisit som gäller gärningssättet och följden, och det är därför inte helt öppet. Till exempel när det gäller gärningssättet förutsätts det att gärningsmannen ”skaffar personuppgifter på ett sätt som är oförenligt med uppgifternas ändamål, lämnar ut personuppgifter eller överför personuppgifter”. I fråga om följden förutsätts det för sin del att gärningsmannen genom gärningssättet ”gör intrång i den registrerades integritetsskydd eller orsakar honom eller henne annan skada eller betydande olägenhet”. 
Efter en samlad bedömning av det som sägs ovan har lagutskottet stannat för att stödja den föreslagna regleringen i 1 och 2 mom., trots de allmänt utformade hänvisningarna. 
För tydlighetens skull konstaterar lagutskottet att det personella tillämpningsområdet för 1 mom. i den föreslagna straffbestämmelsen inte är detsamma som för dess 2 mom. I 1 mom. sägs det följande: ”Den som uppsåtligen eller av grov oaktsamhet på annat sätt än i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)...”. Formuleringen är invecklad, men enligt propositionsmotiven ska bestämmelsen tillämpas endast i en situation där personen i fråga inte kan anses ha agerat i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde enligt förordningen (RP, s. 127). Som det sägs ovan är bakgrunden att straffrättsligt ansvar i det nu aktuella momentet endast aktualiseras i situationer där lagstridig behandling av personuppgifter inte omfattas av administrativa sanktionsavgifter enligt förordningen. 
Av det som sägs ovan följer att det personella tillämpningsområdet för 1 mom. är snävt. Enligt utskottets uppfattning kommer momentet främst att tillämpas på personer som är anställda hos en personuppgiftsansvarig eller behandlar personuppgifter för dennes räkning, i de fall när deras verksamhet uppfyller de föreskrivna rekvisiten men inte utgör självständig registerföring. Det bör noteras att en person som självständigt börjar behandla personuppgifter på ett olagligt sätt i allmänhet ska betraktas som personuppgiftsansvarig och således omfattas av de administrativa påföljderna. Det gäller oavsett om uppgifterna skaffas ur något annat register eller av den registrerade själv. 
Bestämmelsen i 2 mom. om personuppgiftsincidenter är däremot allmän när det gäller den personkrets som kan vara gärningsmän. De personuppgiftsansvariga och personuppgiftsbiträden som avses i dataskyddsförordningen har inte undantagits från tillämpningsområdet för momentet. Det betyder att även de administrativa sanktionsavgifter som avses i förordningen ska tillämpas på de gärningar som ska bestraffas enligt momentet. Överlappningen i fråga om de administrativa påföljdsavgifterna och straffbestämmelserna gäller ändå bara personuppgiftsansvariga och personuppgiftsbiträden som är fysiska personer. Det minskar betydelsen av överlappningen, eftersom de personuppgiftsansvariga som avses i förordningen i regel är juridiska personer. 
Slutligen fäster lagutskottet uppmärksamhet vid att det för den föreslagna straffbestämmelsens del behövs en särskild övergångsbestämmelse, som utgör ett undantag från huvudregeln om den lindrigaste lagens princip i 3 kap. 2 § 2 mom. i strafflagen. Det behövs särskilda bestämmelser om tillämpligheten i tiden, eftersom avkriminaliseringen på det sätt som sägs ovan inte i detta fall betyder att inställningen till straffbara gärningar skulle ha blivit lindrigare. Inte heller betyder det partiella upphävandet av straffbestämmelsen att inga påföljder i framtiden skulle dömas ut för gärningarna. 
Gärningar och försummelser som begås före ikraftträdandet av lagen ska som utgångspunkt leda till ett straffrättsligt straff. Att den straffrättsliga regleringen delvis ersätts med administrativa sanktionsavgifter enligt förordningen innebär således inte befrielse från straffansvar utan att principen om lindrigaste lag beaktas vid bestämmande av straffet (se LaUU 3/2017 rd). Om en administrativ sanktionsavgift eller straffrättslig påföljd för det föreslagna nya dataskyddsbrottet enligt den allmänna dataskyddsförordningen och dataskyddslagen i ett enskilt fall de facto skulle vara lindrigare än en straffrättslig påföljd för personregisterbrott enligt den tidigare lagen, ska övergångsbestämmelsen tolkas i överensstämmelse med artikel 15.1 i konventionen om medborgerliga och politiska rättigheter (FördrS 8/1976). Exempelvis antalet dagsböter kan då sänkas vid behov. 
Med stöd av det som sägs ovan föreslår lagutskottet för förvaltningsutskottet att ikraftträdandebestämmelsen i lagförslag 2 får ett nytt 2 mom. som följer: 
På gärningar och försummelser som har begåtts före ikraftträdandet av denna lag tillämpas de bestämmelser i 38 kap. 9 § som gällde vid ikraftträdandet. Om tillämpningen av denna lag, den allmänna dataskyddsförordningen och dataskyddslagen leder till ett lindrigare resultat, ska detta beaktas när straffet bestäms. 
Rättssäkerhet och rättsmedel
Rätt för den registrerade att föra ärenden till dataombudsmannen samt sökande av ändring
I 21 § i den föreslagna dataskyddslagen sägs det att en registrerad har rätt att föra ett ärende till dataombudsmannen för behandling, om den registrerade anser att någon vid behandlingen av hans eller hennes personuppgifter bryter mot den gällande lagstiftningen. Dataombudsmannens beslut får enligt 23 § i den föreslagna dataskyddslagen överklagas genom besvär hos förvaltningsdomstolen på det sätt som anges i förvaltningsprocesslagen. Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Även dataombudsmannen får söka ändring i ett beslut av förvaltningsdomstolen. 
Syftet med de föreslagna bestämmelserna är att utfärda nationella bestämmelser som kompletterar rättsmedlen i dataskyddsförordningen. I artikel 77 i förordningen föreskrivs det om den registrerades rätt att lämna in klagomål till en tillsynsmyndighet, i artikel 78 om den registrerades rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslut och i artikel 79 om den registrerades rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. 
Ovan behandlas de ändringar som grundlagsutskottet har förutsatt i förfarandet för påförande av administrativa påföljdsavgifter samt den nya kollegiala sammansättning som justitieministeriet med anledning av dessa ändringar har föreslagit för att besluta om avgifterna. Som det sägs ovan kommer dessa ändringar också att påverka de bestämmelser om ändringssökande som föreslås i regeringens proposition. Utöver det anför lagutskottet följande om de föreslagna bestämmelserna om ändringssökande. 
Lagutskottet konstaterar för det första att regeringen inte föreslår någon möjlighet att begära omprövning av tillsynsmyndighetens beslut. Enligt 23 § 1 mom. i den föreslagna dataskyddslagen är ett egentligt överklagande hos förvaltningsdomstolen det första rättsmedlet. Lagutskottet anser att detta är motiverat, eftersom omprövningsförfarandet inte är tänkt att vara en obligatorisk fas i alla förvaltningsärenden och inte heller lämpar sig för alla förvaltningsärenden. De beslut av tillsynsmyndigheten som avses här är till sin karaktär förvaltningsbeslut som en särskild myndighet för laglighetskontroll har fattat i ett enskilt tillsynsärende. Myndigheten har meddelat sitt beslut efter att noggrant ha utrett ärendet och efter att ha gjort en rättslig prövning utifrån sin särskilda sakkunskap. Dessa beslut är vanligtvis varken enkla eller av sådan vardaglig karaktär att det skulle vara motiverat eller lämpligt att granska dem närmare hos samma myndighet i ett omprövningsförfarande. 
Enligt den första meningen i 23 § 2 mom. i den föreslagna dataskyddslagen får besvär anföras över förvaltningsdomstolens beslut endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. Den föreslagna bestämmelsen motsvarar de allmänna riktlinjerna för utvecklande av högsta förvaltningsdomstolens ställning. Lagutskottet har inget att invända mot förslaget om att kräva besvärstillstånd. 
Enligt momentets andra mening får även dataombudsmannen söka ändring i ett beslut av förvaltningsdomstolen. För tillsynsmyndighetens rätt att söka ändring talar myndighetens uppgift att övervaka att den allmänna dataskyddsförordningen iakttas samt behovet att garantera en enhetlig rättspraxis. Dessa omständigheter motiverar enligt utskottet också att myndighetens rätt att söka ändring ska vara öppen. Detta trots att det i praktiken förmodligen kommer att vara i de fall när förvaltningsdomstolen ändrar eller upphäver tillsynsmyndighetens beslut som tillsynsmyndigheten har intresse av att överklaga förvaltningsdomstolens beslut. 
Den registrerades rätt att föra ett ärende till någon annan än dataombudsmannen för behandling
I artikel 79 i förordningen föreskrivs det att de registrerade ska ha rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Denna rätt får ändå inte begränsa bland annat rätten att lämna in klagomål till en tillsynsmyndighet i enlighet med artikel 77. Enligt artikel 79.2 ska talan mot en personuppgiftsansvarig eller ett personuppgiftsbiträde väckas vid domstolarna i den medlemsstat där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. I förslaget till dataskyddslag finns det inga särskilda bestämmelser om detta. 
Vid utfrågningen i utskottet har de sakkunniga tolkat artikeln både så att den uttryckligen kräver rättsmedel i domstol och så att det räcker med rätten att föra ett ärende till dataombudsmannen för behandling och rätten att överklaga dataombudsmannens beslut hos domstol. 
Lagutskottet konstaterar att artikel 79 i förordningen är en direkt tillämplig bestämmelse. Den registrerade kan således åberopa bestämmelsen direkt till stöd för sina rättigheter. Bestämmelsen i förordningen verkar inte heller lämna någon möjlighet att nationellt begränsa den registrerades möjligheter att vända sig till någon annan än dataombudsmannen, även om det i praktiken är naturligast att vända sig till dataombudsmannen. 
Vårt rättssystem innehåller redan nu metoder som kan anses uppfylla de registrerades rätt till ett effektivt rättsmedel i enlighet med artikel 79. Exempelvis när den personuppgiftsansvarige eller personuppgiftsbiträdet är någon annan än en myndighet, finns det inget hinder för att den registrerade för ett ärende som gäller behandling av personuppgifter till tingsrätten som ett tvistemål. Det kan handla om fullgörelsetalan eller fastställelsetalan. Den registrerade kan genom fullgörelsetalan kräva att den personuppgiftsansvarige tillmötesgår rättigheter enligt den allmänna dataskyddsförordningen såsom den registrerades rätt till information. En domstolsdom som utfärdats med anledning av en fullgörelsetalan får verkställas genom utsökningsförfarande. Den registrerade kan i ett ärende som gäller behandling av personuppgifter också väcka fastställelsetalan som kan gälla exempelvis giltigheten av ett avtalsvillkor. Den registrerade kan dessutom i tingsrätten väcka ett yrkande enligt artikel 82 i den allmänna dataskyddsförordningen om rätt till skadestånd. 
Om den personuppgiftsansvarige är en myndighet, kan den registrerade hos förvaltningsdomstolen överklaga ett förvaltningsbeslut som myndigheten fattat i egenskap av personuppgiftsansvarig. Enligt utskottets uppfattning kan ett förvaltningsbeslut av en myndighet också gälla behandling av personuppgifter, och vid behov kan den registrerade i ärendet begära ett förvaltningsbeslut, som får överklagas. 
Parallella förfaranden
Överträdelser av förordningen kan vara anhängiga vid tillsynsmyndigheten och domstolen samtidigt. Det kan exempelvis handla om att den registrerade kräver skadestånd genom talan vid domstol eftersom tillsynsmyndigheten inte har behörighet att fastställa en sådan ersättning. Det handlar då om samma registrerade person, samma personuppgiftsansvariga eller personuppgiftsbiträde och samma påstådda överträdelse av den allmänna dataskyddsförordningen eller dataskyddslagen. 
I ljuset av den föreslagna regleringen är det emellertid inte klart hur sådana parallella förfaranden som har anknytning till varandra ska hanteras. Lagutskottet anser att det kan föreskrivas om en möjlighet för dataombudsmannen att avbryta behandlingen av ett ärende som samtidigt är anhängigt vid domstol. Att ärendet avbryts betyder inte att behandlingen av det upphör, utan dataombudsmannen kan fortsätta behandlingen senare. En motsvarande bestämmelse ingår i förslaget till lag om behandling av personuppgifter i brottmål (RP 31/2018 rd, 57 § i lagförslag 1). 
Dataombudsmannen får avbryta behandlingen av ett ärende om ett ärende som anknyter till det är anhängigt i domstol.  
Dataombudsmannen avgör frågan om behandlingen av ett ärende ska avbrytas utifrån prövning. Bestämmelsen är allmänt utformad och ger dataombudsmannen prövningsrätt i fråga om vad som är motiverat och lämpligt i varje enskilt fall. Vid bedömningen av uttrycket ”ärende som anknyter till” i momentet kan man fästa vikt vid om det handlar om samma registrerade, samma personuppgiftsansvariga eller personuppgiftsbiträde och samma påstådda överträdelse av den allmänna dataskyddsförordningen eller dataskyddslagen. 
Dröjsmålsbesvär
Enligt artikel 78.2 i dataskyddsförordningen ska varje registrerad person ha rätt till ett effektivt rättsmedel om tillsynsmyndigheten underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat. Dataskyddslagen innehåller inga uttryckliga bestämmelser om ett sådant rättsmedel. 
Enligt uppgift har man vid justitieministeriet övervägt om det behövs bestämmelser om särskilda dröjsmålsbesvär som skulle anföras hos domstol. I remissvaren betvivlades det ändå om ett sådant system behövs och att det skulle fungera. Därför har det inte tagits in något förslag om dröjsmålsbesvär i den nu aktuella propositionen. Utgångspunkten är således att det för att genomföra direktivet räcker med den tillsyn som utövas av justitiekanslern och riksdagens justitieombudsman samt möjligheten att anföra klagomål hos dessa laglighetsövervakare med anledning av dataombudsmannens verksamhet. 
Lagutskottet anser att tillsyn över en självständig tillsynsmyndighets verksamhet på det sätt som avses i förordningen inte lämpar sig naturligt för domstolar. Det är inte heller ändamålsenligt att ta i bruk särskilda dröjsmålsbesvär enbart för de ärenden som avses i den allmänna dataskyddsförordningen. Utskottet anser också att redan den nuvarande möjligheten att anföra klagomål hos laglighetsövervakarna är ett effektivt rättsmedel eftersom deras uppgift är att vidta nödvändiga åtgärder med anledning av klagomålet. De kan också väcka åtal eller förordna om förundersökning. De kan också rikta en framställning till en myndighet om att ett fel ska rättas eller ett missförhållande avhjälpas eller gottgöras. I ljuset av detta tillstyrker lagutskottet den lösning som regeringen föreslår. 
Beslut av kommissionen om adekvat skyddsnivå
I 24 § 1 mom. i förslaget till dataskyddslag sägs det att om dataombudsmannen i ett ärende som är anhängigt hos dataombudsmannen anser att det behöver utredas om ett beslut som Europeiska kommissionen fattat om adekvat skyddsnivå enligt artikel 45 i dataskyddsförordningen är förenligt med dataskyddsförordningen, kan dataombudsmannen genom en ansökan föra ärendet till Helsingfors förvaltningsdomstol för avgörande. I artikel 45 som det hänvisas till möjliggörs överföring av personuppgifter till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. När kommissionen bedömer frågan ska den beakta de omständigheter som nämns i artikeln i fråga. 
Bakgrunden till 24 § i förslaget till dataskyddslag är enligt uppgift till utskottet EU-domstolens avgörande i målet Schrems (C-362/14). I avgörandet konstaterar domstolen att det ankommer på den nationella lagstiftaren att föreskriva om rättsmedel som gör det möjligt för den nationella tillsynsmyndigheten att vid nationella domstolar göra gällande de invändningar som den anser att det finns fog för, så att nationella domstolar, för det fall att de delar myndighetens tvivel angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande till EU-domstolen för att pröva detta besluts giltighet. Syftet är således att göra det möjligt för den nationella tillsynsmyndigheten att till Helsingfors förvaltningsdomstol hänskjuta frågan om ett förhandsavgörande behöver begäras av EU-domstolen för att utreda om ett beslut som kommissionen fattat är förenligt med dataskyddsförordningen. Att ansökan bifalls betyder då i praktiken att en begäran om förhandsavgörande ska framställas, och att ansökan avslås betyder att inget förhandsavgörande begärs. 
Av ordalydelsen i den föreslagna bestämmelsen kan man ändå få den uppfattningen att det är frågan om huruvida Europeiska kommissionens beslut är förenligt med förordningen som ska hänskjutas till Helsingfors förvaltningsdomstol. De nationella myndigheterna har emellertid inte behörighet att pröva om ett beslut av kommissionen är förenligt med förordningen, utan EU-domstolen har exklusiv behörighet i frågan. I enlighet med detta är syftet med bestämmelsen främst att göra det möjligt för dataombudsmannen att hänskjuta frågan om det behöver utredas om ett beslut av kommissionen är förenligt med förordningen till domstol. Lagutskottet föreslår att förvaltningsutskottet bedömer om det föreslagna momentet kan förtydligas så att det bättre motsvarar sitt syfte. 
I förslaget finns det inte några särskilda bestämmelser om förfarandet vid behandlingen i förvaltningsdomstolen av de ansökningsärenden som avses här. För tydlighetens skull påpekar utskottet att 72 § i förvaltningsprocesslagen, som gäller ”andra förvaltningsprocessärenden än besvär, extraordinärt ändringssökande eller förvaltningstvistemål”, är tillämplig på dessa ansökningsärenden. Enligt den paragrafen anhängiggörs ärendena genom att en handling om anhängiggörande ges in till den myndighet som är behörig att avgöra ärendet. Också 73 § i förvaltningsprocesslagen blir tillämplig. Enligt den gäller i fråga om förfarandet i övrigt i tillämpliga delar vad den lagen föreskriver om besvär. Bestämmelserna om behandling av besvär i förvaltningsprocesslagen är flexibla, och enligt utskottets uppfattning är det därför möjligt att beakta särdragen i nu aktuella ansökningsärendena vid behandlingen av ärendena. 
Den föreslagna 24 § 2 mom. innehåller en särskild bestämmelse om sökande av ändring i beslut som fattats av Helsingfors förvaltningsdomstol. Momentet behöver kompletteras med orden ”genom besvär endast” som följer: 
I förvaltningsdomstolens beslut får ändring sökas genom besvär endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. 
Momentet innehåller inte några särskilda bestämmelser om vem som har besvärsrätt. Det betyder att de allmänna bestämmelserna i förvaltningsprocesslagen blir tillämpliga på besvärsrätten. Enligt 6 § 1 mom. i den lagen får besvär över ett beslut anföras av den som beslutet avser eller vars rätt, skyldighet eller fördel direkt påverkas av beslutet. Med beaktande av att det är tillsynsmyndigheten som är sökande i ett sådant ansökningsärende som avses här, anser lagutskottet att beslutet på det sätt som avses i bestämmelsen ovan avser tillsynsmyndigheten, och det är således denna som har rätt att överklaga förvaltningsdomstolens beslut. Behovet att överklaga ett beslut av förvaltningsdomstolen kommer främst att aktualiseras i de fall när beslutet avviker från tillsynsmyndighetens ståndpunkt. 
När det har uppstått oklarhet om huruvida kommissionens beslut är förenligt med förordningen, krävs det för att avgöra frågan om den registrerade vars ärende det gäller har rätt att överklaga Helsingfors förvaltningsdomstols beslut en bedömning av om förvaltningsdomstolens beslut på det sätt som avses i 6 § 1 mom. i förvaltningsprocesslagen ska anses ”direkt” påverka den registrerades rätt, skyldighet eller fördel. I princip är det enligt utskottets uppfattning möjligt att anse att förvaltningsdomstolens beslut om att begära förhandsavgörande inte gäller den registrerade ”direkt” och att den registrerade således inte har besvärsrätt. Å andra sidan är det möjligt att förvaltningsdomstolen i vissa fall anser att beslutet ”direkt” påverkar den registrerades rätt på det sätt som avses i förvaltningsprocesslagen så att den registrerade har besvärsrätt. 
Självinkrimineringsskyddet
Övergången från straffrätt till administrativa påföljder innebär inte att garantierna för en rättvis rättegång och minimirättigheterna för åtalade enligt Europakonventionen och grundlagen skulle vara betydelselösa i förfarandet med att påföra administrativa påföljder. Skyddet mot självinkriminering handlar fundamentalt om rätten att i brottmål vägra vittna mot sig själv samt rätten att inte medverka till utredningen av sin egen skuld. Detta skydd är en av garantierna för en rättvis rättegång enligt 21 § i grundlagen (se GrUU 39/2014 rd, s. 4/I och RP 309/1993 rd, s. 79/I). Även Europadomstolen har i sin praxis ansett att självinkrimineringsskyddet hänför sig till kärnområdet för en rättvis rättegång enligt artikel 6.1 i Europakonventionen (t.ex. i fallet Saunders mot Förenade kungariket, 17.12.1996). I rättspraxis har skyddet främst tillämpats vid förundersökning av brott och i brottmålsrättegångar, men i vissa fall har det ansetts utsträcka sig också till situationer där det inte är fråga om straffrättsliga påföljder. 
Skyddet mot självinkriminering hindrar inte i sig lagstiftaren från att utfärda bestämmelser om administrativ anmälningsskyldighet, men skyddet kan i vissa fall vara relevant vid bedömning av om anmälningsskyldigheten har iakttagits. Den anmälningsskyldiga har ansetts ha tystnadsrätt om en brottsutredning som gäller samma omständigheter är anhängig samtidigt som den administrativa anmälningsskyldigheten eller om den anmälningsskyldiga inte har kunnat utesluta den möjligheten att de uppgifter som lämnas skulle kunna leda till en brottmålsrättegång eller användas vid en sådan, och ett utdömt straff för försummelse av anmälningsskyldigheten har ansetts kränka rätten till en rättvis rättegång (t.ex. Funke mot Frankrike 25.2.1993 punkt 44, J.B. mot Schweiz 3.5.2001 punkterna 47 och 66 och Shannon mot Förenade kungariket 4.10.2005 punkt 38. 
I ljuset av det som sägs ovan fäster lagutskottet uppmärksamhet vid artikel 33 i den allmänna dataskyddsförordningen, där det sägs att den personuppgiftsansvarige ska anmäla en personuppgiftsincident till tillsynsmyndigheten. Försummelse av anmälningsskyldigheten kan enligt förordningen leda till påförande av administrativ påföljdsavgift eller exempelvis en anmärkning. Enligt utskottets uppfattning ska påföljdsbestämmelser som tillämpas på anmälningsskyldigheten i så fall tolkas i överensstämmelse med skyddet mot självinkriminering och med beaktande av bland annat Europadomstolens rättspraxis. I sista hand avgörs ärendet av domstol. 
I detta sammanhang fäster lagutskottet också uppmärksamhet vid 22 § i den föreslagna dataskyddslagen, som innehåller bestämmelser om vite. Enligt 1 mom. får dataombudsmannen förena vissa i dataskyddsförordningen avsedda beslut samt rätten att få information enligt 18 § i den föreslagna dataskyddslagen med vite. I 2 mom. sägs det att ett i 1 mom. avsett föreläggande att lämna ut uppgifter inte får förenas med ett vitesföreläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna gäller en omständighet som har samband med brottsmisstanken. I det senare momentet är det fråga om skyddet mot självinkriminering. 
Tröskeln för att inte förelägga vite har i 2 mom. kopplats till uttrycket ”finns anledning att misstänka”. Lagutskottet ansåg vid behandlingen av förslaget till lagstiftning om förhindrande av penningtvätt och terrorism att man i bestämmelsen om att förena en fysisk persons informationsskyldighet med vite bör använda uttrycket ”finns skäl att misstänka”, eftersom det då framgår tydligare av formuleringen att bedömningen ska göras av förundersökningsmyndigheten (LaUU 3/2017 rd). 
Det har inte utformats någon enhetlig linje om tröskeln för att inte förelägga vite utan lagstiftningen om saken varierar. Vid valet av ordalydelse kan man lägga vikt vid vilken myndighet som ska bedöma frågan samt vid om skyddet mot självinkriminering endast kopplas till situationer där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning (”finns skäl att misstänka”) eller om skyddet också ska gälla situationer där tillsynsmyndigheten bedömer att fallet senare kan komma att leda till straffrättsliga påföljder (”finns anledning att misstänka”). 
För uttrycket ”finns anledning att misstänka” talar enligt lagutskottet det att det ger en fysisk person som är skyldig att lämna uppgifter ett mer omfattande skydd och därmed bättre står i samklang med skyddet mot självinkriminering. Om skyddet kopplas till uttrycket ”finns skäl att misstänka”, kan det uppstå en alltför strikt anknytning till kravet på inledande av en formell förundersökning. 
Lagutskottet ser ändå inte heller något hinder för att man i bestämmelsen använder uttrycket ”finns skäl att misstänka”. Det bör ändå noteras att om man gör det, blir regleringen av innebörden av skyddet mot självinkriminering inte heltäckande i bestämmelsen, utan det kan i vissa fall vara mer omfattande. 
Lagtekniska synpunkter
Den inbördes ordningen mellan 23—25 § i förslaget till dataskyddslag är inte enligt lagutskottet helt konsekvent, eftersom paragrafen om ändringssökande har placerats mellan paragrafer som gäller olika slags beslut. Utskottet föreslår därför att 23 § om ändringssökande blir 25 §, varvid propositionens 24 § om beslut av kommissionen blir 23 § och 25 § om administrativa påföljdsavgifter blir 24 §. 
De föreslagna lagarna avses träda i kraft den 25 maj 2018. Denna tidpunkt anges i de föreslagna ikraftträdandebestämmelserna. Frågan behöver ändå bedömas på nytt, eftersom riksdagsbehandlingen av propositionen fortfarande pågår. 
Både i förslaget till dataskyddslag och i förslaget om ändring av strafflagen hänvisas det till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Med den avses lagförslag 1 i regeringens proposition om genomförande av dataskyddsdirektivet för brottsbekämpande myndigheter (RP 31/2018 rd). Om den nu aktuella propositionen godkänns före lagen om genomförande av det direktivet, bör detta lagtekniskt beaktas i bestämmelserna i de ovannämnda lagförslagen. 
FÖRSLAG TILL BESLUT
Lagutskottet föreslår
att förvaltningsutskottet beaktar det som sägs ovan
Helsingfors 24.5.2018 
I den avgörande behandlingen deltog
ordförande
Kari
Tolvanen
saml
vice ordförande
Eva
Biaudet
sv
medlem
Eeva-Johanna
Eloranta
sd
medlem
Ari
Jalonen
blå
medlem
Johanna
Karimäki
gröna
medlem
Pia
Kauma
saml
medlem
Niilo
Keränen
cent
medlem
Suna
Kymäläinen
sd
medlem
Antero
Laukkanen
kd
medlem
Ilmari
Nurminen
sd
medlem
Juha
Pylväs
cent
medlem
Mari-Leena
Talvitie
saml
medlem
Ville
Tavio
saf
medlem
Kaj
Turunen
saml.
Sekreterare var
utskottsråd
Marja
Tuokila.
Senast publicerat 9.7.2018 15:24