Europaparlamentets och rådets förordning (EU) 2019/818 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete, asyl och migration (nedan förordningen om polisinteroperabilitet) och Europaparlamentets och rådets förordning (EU) 2019/817 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området gränser och viseringar (nedan förordningen om gränsinteroperabilitet) trädde i kraft den 9 juni 2019. EU-förordningarna är direkt tillämplig rätt.
Bakgrunden till förordningarna om interoperabilitet är bland annat utvecklingen av EU:s informationssystem, det ökade antalet otillåtna gränsövergångar till följd av migrationskrisen och terrorattacker. Det finns flera omfattande informationssystem på EU-nivå som gränsmyndigheter, migrationsmyndigheter och rättsvårdande myndigheter använder i sina uppgifter. Systemens informationsarkitektur är emellertid splittrad och systemen kommunicerar inte sinsemellan. Detta leder till systemluckor som underlättar användningen av falska personuppgifter. Europeiska kommissionen har ansett att informationshanteringen måste uppnå bättre resultat och bli effektivare för att EU:s inre säkerhet ska stärkas, samtidigt som de grundläggande fri- och rättigheterna och särskilt skyddet för personuppgifter respekteras. Även Europaparlamentet har påskyndat åtgärder för att förbättra och utveckla befintliga informationssystem, ta itu med problem som bidrar till avbrott i informationsgången och sträva efter interoperabilitet mellan informationssystemen och ett effektivare utbyte av information på EU-nivå.
Interoperabilitetsförordningarna gör det möjligt att jämföra uppgifter mellan systemen. Genom förordningarna har fyra komponenter inrättats: en europeisk sökportal (ESP) där man kan söka i flera informationssystem samtidigt, ett gemensamt biometriskt matchningssystem (gemensamt BMS), en gemensam databas för identitetsuppgifter (CIR) och en detektor för multipla identiteter (MID). Förordningarna kopplar samman EU:s informationssystem för viseringar (VIS) och Schengens informationssystem (SIS) samt det nya in- och utresesystemet (EES), EU-systemet för reseuppgifter och resetillstånd (Etias) och ett centraliserat informationssystem för utbyte av uppgifter ur kriminalregister avseende tredjelandsmedborgare (Ecris-TCN). Förordningsförhandlingarna pågår för att integrera det reviderade systemet för jämförelse av asylsökandes fingeravtryck (Eurodac) i helheten.
Det aktuella lagförslaget hänför sig till en av de ovannämnda komponenterna, således databasen för identitetsuppgifter, som det föreskrivs om i artiklarna 17–24 i interoperabilitetsförordningarna. I artikel 20 i förordningarna föreskrivs om möjlighet för polismyndigheter att få åtkomst till databasen för identitetsuppgifter för identifiering av personer när det är fråga om att bidra till att förebygga och bekämpa olaglig invandring eller att bidra till en hög säkerhetsnivå inom området med frihet, säkerhet och rättvisa i unionen, inbegripet att bevara allmän säkerhet och allmän ordning och trygga säkerheten på medlemsstaternas territorier. I förordningarna avses med polismyndighet alla myndigheter vars behörighet omfattar förebyggande, avslöjande eller utredning av brott. Medlemsstaterna ska utse de behöriga polismyndigheterna, och fastställa förfaranden, villkor och kriterier för identifiering. I artikel 20 förutsätts det att om en medlemsstat vill tillämpa artikeln, ska den anta nationell lagstiftning om detta.
I den föreslagna lagen kompletteras den nationella lagstiftningen till den del det är nödvändigt för att man nationellt ska kunna utnyttja möjligheten att utreda identiteten i enlighet med artikel 20. Polisen, Gränsbevakningsväsendet och Tullen föreslås bli utsedda till behöriga myndigheter. I Finland föreslås det att polisen, Gränsbevakningsväsendet och Tullen ges tillgång till databasen för identitetsuppgifter i enlighet med artikel 20 i syfte att främja förebyggande och bekämpning av olaglig invandring eller upprätthålla allmän ordning och säkerhet. Dessutom ges polisen rätt att i händelse av en naturkatastrof, olycka eller terrordåd söka i den gemensamma databasen för identitetsuppgifter med biometriska uppgifter i syfte att identifiera okända personer som inte kan identifiera sig eller oidentifierade mänskliga kvarlevor.
I lagförslaget har man noggrant hållit sig till de mål som nämns i interoperabilitetsförordningarna. Det är fråga om användning av personuppgifter, inklusive biometriska uppgifter, vars behandling kräver exakta och noggrant avgränsade bestämmelser. I propositionen föreslås det inga ändringar i den reglering som gäller förutsättningarna för behandling av biometriska uppgifter i nationella register och utlämnande av dem till EU:s gemensamma informationssystem. Genom interoperabilitetsförordningarna och den kompletterande nationella regleringen ändras inte heller de regler som gäller myndigheternas åtkomst till EU:s gemensamma informationssystem. Åtkomsträttigheterna för dessa system baserar sig på den rättsliga grunden för respektive informationssystem och gällande nationell lagstiftning. Den registrerades intressen tryggas av den registrerades rättigheter enligt gällande dataskyddslagstiftning.
Sakkunniga har påpekat för förvaltningsutskottet att ett av syftena med interoperabilitetsförordningarna också är att främja en hög säkerhetsnivå inom unionens område med frihet, säkerhet och rättvisa och att den föreslagna lagens nationella tillämpningsområde är mer begränsat än vad interoperabilitetsförordningarna möjliggör. Enligt utredning till utskottet förblir det dock i viss mån oklart hurdan den praktiska situationen är då polisen eller Gränsbevakningsväsendet behöver tillgång till databasen för identitetsuppgifter för att förhindra sådana funktioner eller projekt som kan hota rikets yttre eller inre säkerhet och där det inte är fråga om en uppgift som gäller att förhindra och bekämpa olaglig inresa eller en uppgift som gäller att upprätthålla allmän ordning och säkerhet. Det bör också noteras att en sökning i databasen för identitetsuppgifter kan göras för identifieringssyfte först när någon av de omständigheter som avses i artikel 20.1 a–e uppfylls. Utskottet tillstyrker lagförslagets tillämpningsområde i den föreslagna formen, men anser ändå att det finns skäl att följa upp tillämpningsområdet och hur lagen fungerar.
Förvaltningsutskottet konstaterar att det i propositionsmotiven (s. 30) finns ett felaktigt omnämnande av att ”när en myndighet utför en sökning i CIR får myndigheten också uppgifter om i vilket eller vilka av de ovannämnda informationssystemen det finns närmare uppgifter om den berörda personen. Åtkomst till dessa uppgifter fås på de villkor som anges i den rättsliga grunden för det berörda informationssystemet.” Enligt inkommen utredning får myndigheten när den i enlighet med artikel 20 i interoperabilitetsförordningarna gör en sökning i databasen för identitetsuppgifter inte information om i vilket bakomliggande system uppgifterna om personen i fråga finns.
Lagförslaget innehåller informativa hänvisningar till polisens, Gränsbevakningsväsendets och Tullens personuppgiftslagar. I dessa lagar ingår kompletterande nationell reglering om EU:s gemensamma informationssystem bland annat när det gäller rätten att få uppgifter för brottsbekämpande ändamål, utlämnande av personuppgifter, tillgodoseende av de registrerades rättigheter och personuppgiftsansvaret för systemen. Dessutom innehåller lagförslaget en informativ hänvisning till den allmänna lagstiftningen om behandling av personuppgifter. Även om man i princip bör förhålla sig restriktivt till hänvisningar till allmänna lagar, anser utskottet att hänvisningarna i denna lag för tydlighetens skull behövs med beaktande av att EU-lagstiftningen och den nationella lagstiftningen bildar en mycket komplicerad helhet, vilket också grundlagsutskottet (GrUU 33/2022 rd) fäst uppmärksamhet vid.
Förvaltningsutskottet anser att lagförslaget är mycket tydligt, men anknyter till den komplexa helhet som EU-lagstiftningen och den nationella lagstiftningen utgör. Utskottet anser att det på grund av EU-lagstiftningen knappast finns några förutsättningar att förtydliga regleringen. EU:s dataskyddslagstiftning har spjälkat upp författningsgrunden så att samma reglering inte kan till-lämpas på all behandling av personuppgifter. Dessutom måste det föreskrivas exakt och noggrant avgränsat om behandlingen av känsliga personuppgifter. Förvaltningsutskottet anser att det är av största vikt att ordna utbildning och utfärda anvisningar om tillämpningen av lagstiftningen. I kommande och pågående EU-lagstiftningsprojekt bör Finland i högre grad och med större framförhållning försöka påverka tydligheten i regleringen.
Sammantaget anser förvaltningsutskottet att propositionen behövs och fyller sitt syfte. Utifrån inkommen utredning har också den rättsliga grunden för behandling av personuppgifter och utnyttjandet av det nationella handlingsutrymmet bedömts på behörigt sätt i propositionen. Behörigheten att bedöma om lagstiftningen harmonierar med unionsrätten hör emellertid till EU-domstolen. Av grundlagsutskottets utlåtande (GrUU 33/2022 rd) framgår det att lagförslaget kan behandlas i vanlig lagstiftningsordning. Förvaltningsutskottet tillstyrker lagförslagen med de kommentarer och mindre preciseringar som framgår av betänkandet.
Förvaltningsutskottet betonar att det krävs ökade resurser också på nationell nivå för att informationssystemen på EU-nivå ska bli interoperabla. Interoperabilitetsförordningarna förutsätter ändringar i nationella informationssystem som gäller flera förvaltningsområden och ämbetsverk (Polisstyrelsen, Gränsbevakningsväsendet, Migrationsverket, Tullen, utrikesministeriet, justitieministeriet och Rättsregistercentralen). Dessutom bör man sörja för behövliga ändringar i datanätmiljöerna och för systemunderhållet. Interoperabiliteten snabbar upp processerna, men tills vidare måste man också göra manuella utredningar. Det är möjligt att få finansiering för interoperabilitet ur EU:s fond för inrikes frågor, men dessutom behövs betydande nationella satsningar.
Förvaltningsutskottet konstaterar avslutningsvis att av de EU-informationssystem som omfattas av EU:s interoperabilitetsförordningar förs uppgifterna i Schengens informationssystem (SIS) inte in i den aktuella databasen för identitetsuppgifter på grund av att SIS har en annorlunda teknisk struktur. Biometriska kännetecken i SIS är dock av stor betydelse för den vidare interoperabiliteten mellan informationssystem på EU-nivå. Att den nationella lagstiftningen begränsar exempelvis registreringen av biometriska uppgifter i SIS-registreringar som registrerats med stöd av 131 § i utlänningslagen medför ett behov av ytterligare informationsutbyte för myndigheterna och ökar det manuella kontrollarbetet. Länkar mellan SIS och andra EU-informationssystem kan också saknas om en person har flera olika identiteter, men biometriska uppgifter saknas i SIS. Detta försvagar myndigheternas möjligheter att bekämpa identitetsbedrägerier, vilket ändå är ett av de viktigaste målen med interoperabilitetsförordningarna. Utskottet hänvisar till sitt betänkande om lagstiftning som kompletterar förordningarna om användningen av Schengens informationssystem och riksdagens uttalande som riksdagen godkände utifrån betänkandet (FvUB 14/2021 rd — RP 35/2021 rd, RSv 92/2022 rd).