Motivering
Utgångspunkter
Det centrala syftet med propositionen är att genomföra
den andra etappen av EU:s s.k. passförordning (förordning
nr 2252/2004), dvs. fingeravtryck i pass. Regeringen lägger
emellertid också sådana betydelsefulla förslag
med avseende på de grundläggande fri- och rättigheterna som
inte avser att verkställa EG-förordningen och
som därmed bara bygger på nationella behov. Till
dessa hör lagring i passregistret av de fingeravtryck för
passets chip som tas av den som ansöker om pass och användning
av fingeravtrycksuppgifter för andra ändamål än
sådana som motsvarar insamling och lagring av uppgifter.
Att föra in sådana uppgifter i passregistret
i stor skala och sedan använda dem innebär det
ett intrång i skyddet av privatlivet och personuppgifter.
Bestämmelserna måste således granskas med
utgångspunkt i 10 § i grundlagen. Enligt
1 mom. utfärdas närmare bestämmelser
om skydd för personuppgifter genom lag. Grundlagsutskottets
tolkningspraxis har varit att lagstiftarens handlingsutrymme begränsas
dels av den här bestämmelsen, dels av att skyddet
för personuppgifter delvis ingår i samma moment
som skyddet för privatlivet. På det hela taget
handlar det om att lagstiftaren måste tillgodose denna rätt
på ett sätt som är godtagbart med avseende på de
grundläggande fri- och rättigheterna. För skyddet
av personuppgifter har utskottet ansett det viktigt att det i lag åtminstone
ingår bestämmelser om målet med registreringen,
vad de berörda personuppgifterna innehåller, tillåtna
användningsändamål inklusive rätt
att lämna ut dem, hur länge uppgifterna ska lagras
i personregister och de registrerades rättssäkerhet.
Dessutom ska regleringen av dessa faktorer på lagnivå vara
heltäckande och detaljerad (se t.ex. GrUU 11/2008
rd, s. 3/I, och där nämnda utlåtanden).
Artikel 8 i Europakonventionen innehåller bestämmelser
som vars och ens rätt till respekt för sitt privatliv.
Europadomstolen har i sin rättspraxis ansett att registrering
av personuppgifter som gäller privatlivet faller inom den
artikeln (se sammanfattningsvis punkt 67 i domstolens dom i målet
S. and Marper mot Förenade kungariket, 4.12 2008). Europarådets
konvention från 1981 om skydd för enskilda vid
automatisk databehandling av personuppgifter innehåller
mer detaljerade bestämmelser om principerna för
registrering och behandling av personuppgifter. Konventionen betonar
bland annat att uppgifterna ska användas för avsett ändamål
(artikel 5) och datasäkerhetens betydelse (artikel 7).
Skyddet av personuppgifter tas också upp i artikel
8 i Europeiska unionen stadga om de grundläggande rättigheterna.
Enligt den ska uppgifterna bl.a. behandlas lagenligt för
bestämda ändamål. Den bestämmelsen
bygger på artikel 286 i EG-fördraget, EU:s dataskyddsdirektiv,
artikel 8 i Europakonventionen och den nämnda konventionen
från 1981.
Passregistret
Den som ansöker om pass ska på grundval av 6 a § i
lagförslag 1 lämna fingeravtryck för
passets tekniska del, men dessutom också för lagring
i det passregister som polisen ska föra enligt den föreslagna
29 §. Passregistret ingår i det informationssystem
för förvaltningsärenden som nämns
i 3 § i lagen om behandling av personuppgifter
i polisens verksamhet. Också i den lagen föreslås ändringar
i anknytning till den aktuella frågan (3 § i
lagförslag 2).
Enligt uppskattning kommer det på cirka tio år
att bildas en databas i passregistret med två fingeravtryck
av så gott som alla som hör till vuxenbefolkningen
i vårt land. Den föreslagna regleringen innebär
såsom man mycket riktigt säger i propositionsmotiven
en stor principiell förändring jämfört
med nuvarande rättsläge: av tradition har man
tagit och i synnerhet registrerat fingeravtryck av personer som är
misstänkta för brott. Som biometrisk egenskap är
fingeravtrycket en bestående, oföränderlig
och oåterkallelig del av individen. Fingeravtrycken innehåller
sådan information om individen som gör det möjligt
att exakt identifiera denne i mycket olika sammanhang (se punkt
84 i domen i målet S. and Marper mot Förenade
kungariket, 4.12.2008). Sådana biometriska identifieringsuppgifter
kan på många sätt jämställas
med känsliga uppgifter enligt personuppgiftslagen.
Allvarliga risker som gäller informationssäkerhet
och missbruk av uppgifter kan vara förknippade med en sådan
exceptionellt omfattande databas med biometriska kännetecken
som nu föreslås. I sista hand kan det vara en
persons identitet som är hotad. Att fingeravtrycksuppgifter över
huvud taget förs in i ett sådant register kan
redan i sig ge anledning till oro med tanke på skyddet
av privatlivet (se också punkt 85 i domen i målet
S. and Marper mot Förenade kungariket, 4.12.2008). Registret
måste bedömas med avseende på villkoren
för begränsning av de grundläggande fri-
och rättigheterna, särskilt med avseende på om
en sådan begränsning är godtagbar och
uppfyller kravet på proportionalitet. Utskottet anser på grund
av principen om att användningen ska vara bunden till ändamålet — en
grundläggande princip inom skyddet av personuppgifter — att
man som motivering för det föreslagna registret
bara kan beakta grunder med en nära anknytning till de
användningsändamål som anges i passlagen.
Däremot kan man inte beakta till exempel att polisen i
samband med sin övriga verksamhet snabbare eller effektivare identifierar
någon.
Regeringen anför omfattande motiv för målsättningen
med registrering i anknytning till passförfarandet. Bland
annat blir identifieringen tillförlitligare i samband med
att påvisa passinnehavarens rätt att resa och
att bevilja pass och dessutom ska man kunna eliminera dubbla identiteter
och identitetsstölder. På detta sätt
försöker man också skydda den personliga
säkerheten och förhindra identitetsmissbruk som
kränker skyddet för privatlivet. Det finns således godtagbara
skäl för ett fingeravtrycksregister med hänsyn
till de grundläggande fri- och rättigheterna,
och de har att göra med förfarandet för att
bevilja pass och passets användning som ett resedokument.
När man bedömer om regleringen är
proportionerlig är det väsentligt att titta på om
registrering av fingeravtryck är nödvändig
i det avseendet att syftet med passförfarandet inte kan
uppnås på ett sätt som ingriper mindre
i skyddet av privatlivet. Dessutom måste man bedöma
om registrering innebär en mer långtgående
inskränkning än vad som är motiverat
med hänsyn till hur tungt vägande de bakomliggande
intressena till passförfarandet är i relation
till den grundläggande rättighet som ska inskränkas
(se GrUU 25/1994 rd, s.5). En grundläggande
princip inom skyddet av personuppgifter är å sin
sida att lagringen av uppgifter ska stå i rätt
proportion till det ändamål de samlas in för
(se t.ex. punkt 107 i domen i målet S. and Marper mot Förenade kungariket).
Regeringen för på flera ställen (se
t.ex. RP 234/2008 rd, s. 64/II)
i proportionsmotiveringen fram de risker som lagring av fingeravtryck
i ett centralregister av den föreslagna typen kan komma
att innebära. Det rör sig särskilt om
faktorer som har att göra med uppgifternas natur (de är bestående,
oföränderliga och oåterkalleliga) och med
att elektroniska identifikationsuppgifter kan kopieras och spridas.
Om fingeravtrycksuppgifter hamnar i fel händer kan både
enskilda personer och registrets tillförlitlighet orsakas betydande
skada. Riskens omfattning accentueras av att nästan hela
den vuxna befolkningens fingeravtrycksuppgifter med tiden skulle
finnas i registret.
Det finns i och för sig lämpliga bestämmelser om
skyddet av identifieringsuppgifter som grundar sig på fysiska
egenskaper i 10 a § i lagförslag 2. Med
tanke på ett register som innehåller biometriska
kännetecken på det sätt som fingeravtrycksregistret är
det ändå viktigt att man genast när registreringen
inleds har högklassiga informationssäkerhetssystem
på plats som hindrar missbruk. Utskottet anser utifrån
inkommen utredning att det åtminstone inte för
närvarande finns tillräckliga garantier för
att systemen för informationssäkerhet kommer att
vara tillräckligt säkra.
Utskottet menar att det med avseende på de grunder
som regeringen anför för ett register inte ser
ut att vara absolut nödvändigt eller proportionerligt
att lagra fingeravtryck i passregistret, särskilt när
man beaktar de betydande risker som är förknippade
med registrets existens och användning. Utskottet pekar
också på att flera EU-länder, däribland
Sverige och Danmark, inte tänker inrätta något
fingeravtrycksregister. Dessutom har Europadomstolen i samband med
en liknande proportionalitetsbedömning påpekat
att varje stat som agerar föregångare när
det gäller att utveckla ny teknik bär ett särskilt
ansvar för att balans uppnås (punkt 112 i domen
i målet S. and Marper mot Förenade kungariket).
Med tanke på skyddet för personuppgifter och privatlivet
bör förvaltningsutskottet därför
allvarligt överväga att låta bestämmelserna
om registrering av fingeravtrycksuppgifter utgå ur lagförslaget, åtminstone
om arrangemangen för informationssäkerhet inte
ligger på den höga nivå som krävs
när registret börjar användas. Ett fingeravtrycksregister
som täcker in nästan hela den vuxna befolkningen
i Finland och tillhörande accentuerat höga informationssäkerhetskrav
kan enligt utskottets mening i framtiden bättre granskas
som en övergripande fråga exempelvis i samband
med beredningen av allmän lagstiftning om skydd för
personuppgifter i fråga om biometriska kännetecken
och användningen av dem (se RP 234/2008
rd, s. 65/I).
Användning av fingeravtrycksuppgifter i pass för
andra ändamål än de som uppgifterna har samlats
in och registrerats för
Enligt 29 § 2 mom. i lagförslag 1
gäller i fråga om användning av uppgifter
i passregistret vad som bestäms i 15, 16 och 16 a § i
lagen om behandling av personuppgifter i polisens verksamhet. Enligt
16 a § i den nämnda lagen (lagförslag 2)
får polisen använda fingeravtrycksuppgifter i pass
för andra ändamål än de som
uppgifterna har samlats in och registrerats för endast
om uppgifterna behövs för utredning av identitet
i samband med ett visst uppdrag som hör till polisen och
som nödvändigt kräver att identiteten styrks.
Enligt propositionsmotiven kan man avvika från ändamålsbundenheten
bland annat när det är fråga om att med
stöd av lag identifiera en person i samband med förundersökning
eller annan polisutredning. I praktiken ser det ut som om den föreslagna
regleringen innebär att polisen fritt kan använda
fingeravtrycksuppgifterna i passregistret i sina operativa uppgifter
om det är nödvändigt att då identifiera
en person. Att begränsa denna användning till
vissa enskilda ("yksittäinen") uppdrag innebär
knappast någon begränsning av användningen,
eftersom polisens verksamhet närmast består av
sådana uppdrag. Kravet på nödvändighet är
i och för sig lämpligt, men trots det kvarstår
vagheten i bestämmelserna.
När det gäller omfattande register med biometriska
kännetecken av det slag som nu är i fråga finns
det enligt grundlagsutskottet orsak att förhålla
sig negativt till att uppgifterna används för ändamål
som ligger utanför det syfte som de egentligen samlats
in och registrerats för. Man kan då bara göra
exakt avgränsade och som mycket små karakteriserbara
undantag från ändamålsbundenheten. Bestämmelserna
får inte leda till att någon annan verksamhet än
den som är förknippad med det ursprungliga användningsändamålet
blir det huvudsakliga ändamålet och inte ens ett
betydande användningsändamål. De föreslagna
bestämmelserna är inte ändamålsenliga,
särskilt inte med avseende på det krav på exakthet
och noga avgränsning som ställs på definitionen
av användningsändamål. Därför
måste 16 a § i lagförslag 2
utgå eller åtminstone göras väsentligt
exaktare, om lagförslaget ska kunna behandlas i vanlig
lagstiftningsordning.